La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Trabajo de Ampliación de Redes: Sistemas de Detección de Intrusos

Publicada porTeodosio Vasques Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Trabajo de Ampliación de Redes: Sistemas de Detección de Intrusos"— Transcripción de la presentación:

1 Trabajo de Ampliación de Redes: Sistemas de Detección de Intrusos

2 Sumario Generalidades. Arquitectura de los IDSs.
Clasificaciones: fuentes de información, tipo de análisis, respuesta. Localización del IDS: organización, ISP. Ejemplos de IDSs. Caso práctico. Conclusiones.

3 ¿Qué es un IDS? Un Sistema de Detección de Intrusos o IDS es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión. Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste.

4 ¿Por qué utilizar un IDS?
Prevenir problemas al disuadir a individuos hostiles. Detectar violaciones de seguridad que no pueden ser prevenidas por otros medios. Detectar preámbulos de ataques. Documentar el riesgo de la organización. Proveer información útil sobre las intrusiones que ocurren.

5 Sumario Generalidades. Arquitectura de los IDSs.
Clasificaciones: fuentes de información, tipo de análisis, respuesta. Localización del IDS: organización, ISP. Ejemplos de IDSs. Caso práctico. Conclusiones.

6 CIDF (Common Intrusion Detection Framework)
Componentes: Equipos E: generadores de eventos. Equipos A: máquinas de análisis. Equipos D: componentes de BBDD. Equipos R: equipos de respuesta. CISL (Common Intrusion Specification Language): lenguaje desarrollado para interconectar estos componentes. CIDF no fue aceptado por el IETF.

7 Diagrama de la arquitectura CIDF

8 AusCERT Automated Report Processing
Sistema sencillo: Source: Ports: tcp 111 Incident type: Network_scan re-distribute: yes timezone: GMT reply: no Time: Web 15 Mar 2000 at 14:01 (UTC) Alta interoperabilidad, pero ofrece muy poco nivel de detalle.

9 IDWG (Intrusion Detection Working Group)
Grupo de trabajo del IETF. Objetivos: definir formatos y procedimientos de intercambio para la información que han de compartir IDSs y sistemas de respuesta. Tres borradores esperando ser aceptados.

10 Sumario Generalidades. Arquitectura de los IDSs.
Clasificaciones: fuentes de información, tipo de análisis, respuesta. Localización del IDS: organización, ISP. Ejemplos de IDSs. Caso práctico. Conclusiones.

11 Fuentes de información
IDSs basados en red (NIDS) Monitorizan el tráfico de red que afecta a múltiples hosts. Ventajas: Un IDS bien localizado puede monitorizar una red grande. Tiene un impacto pequeño en la red. Inconvenientes: Problemas en redes con tráfico elevado (soluciones hardware). No analizan información encriptada. No saben si el ataque ha tenido éxito o no. Problemas con paquetes fragmentados.

12 IDSs basados en host (HIDS)
Operan sobre los logs del sistema. Ventajas: Detectan ataques que no pueden ser vistos por un NIDS. Pueden operar en entornos con tráfico encriptado. Inconvenientes: Más costosos de administrar que los NIDS. Puede ser deshabilitado si el ataque logra tener éxito (penetración o DoS). No son adecuados para detectar ataques en toda una red. Disminuyen el rendimiento del sistema monitorizado.

13 Tipo de análisis Detección de abusos o firmas
Buscan eventos que coincidan con un patrón predefinido o firma que describe un ataque conocido. Ventajas: Son efectivos sin generar muchas falsas alarmas. Diagnostica rápidamente el uso de un ataque específico. Inconvenientes: Deben de ser actualizados continuamente. Firmas ajustadas les privan de detectar variantes comunes.

14 Detección de anomalías.
Se centra en identificar comportamientos inusuales en un host en una red. Ventajas: Capacidad de detectar ataques para los cuales no tiene conocimiento específico. La información que producen puede ser utilizada para definir firmas en la detección de abusos. Inconvenientes: Gran número de falsas alarmas. Requieren conjuntos de entrenamiento muy grandes.

15 Respuesta Activa Pasiva
Al detectar un ataque se toman acciones de forma automática: Recogida de información adicional. Cambio del entorno Pasiva El IDS avisa al analista, al administrador del sistema atacado, al CERT de la organización.

16 Sumario Generalidades. Arquitectura de los IDSs.
Clasificaciones: fuentes de información, tipo de análisis, respuesta. Localización del IDS: organización, ISP. Ejemplos de IDSs. Caso práctico. Conclusiones.

17 Localización de un IDS dentro de una organización
Internet IDS ZONA ROJA IDS ZONA VERDE IDS ZONA AZUL Red Privada

18 Localización de un IDS dentro de un ISP
Canal seguro E Estación de análisis + BBDD A E BBDD Sensor monitorizando el tráfico de la organización E E

19 Sumario Generalidades. Arquitectura de los IDSs.
Clasificaciones: fuentes de información, tipo de análisis, respuesta. Localización del IDS: organización, ISP. Ejemplos de IDSs. Caso práctico. Conclusiones.

20 No comerciales Snort Shadow Disponible en UNIX y Windows.
Número uno en IDSs en este momento. Balanceo de carga complicado (hasta la fecha). Shadow Idea: construir interfaz rápida para una DMZ caliente. No es en tiempo real  no es útil para análisis forense.

21 Comerciales RealSecure NetRanger Sistema comercial más desplegado.
Dividido en dos partes: directores y sensores. Permite definir normativas que se configuran en el director y se descargan en los sensores. Back-end: Microsoft Access NetRanger Dispone de equipos R con capacidad de respuesta. Sensores, director y equipos R se comunican por medio de un protocolo patentado. Ventajas: gran integración con routers Cisco y sensores avanzados. Inconvenientes: coste, bajo rendimiento del director.

22 Sensores NetRanger Modulo IDS Catalyst 6000: IDS 4230: IDS 4210:
Monitoriza 100Mbps de tráfico. Aprox. 47,000 paquetes por segundo. IDS 4230: Hasta 100 Mbps de tráfico. Processor: Dual PIII MHz. RAM: 512 MB. IDS 4210: Hasta 45 Mbps de tráfico. Processor: Celeron 566 MHz. RAM: 256 MB.

23 Sumario Generalidades. Arquitectura de los IDSs.
Clasificaciones: fuentes de información, tipo de análisis, respuesta. Localización del IDS: organización, ISP. Ejemplos de IDSs. Caso práctico. Conclusiones.

24 Localización del IDS para monitorizar una VLAN
VLAN A f.o. VLAN B INTERNET UTP Interfaz Monitorización f.o. f.o. VLAN de servidores Interfaz Gestión IDS

25 Localización del IDS para monitorizar la red de la UV
RedIRIS INTERNET UV IDS PVC multipunto STM-1 (155 Mbps)

26 Ejemplos de análisis COUNT SIG_ID NUM_SRC NUM_DST SIG_NAME (REF)
WEB-IIS cmd.exe access WEB-IIS CodeRed v2 root.exe access EXPLOIT ssh CRC32 overflow NOOP (bugtraq 2347) INFO msn chat access SCAN nmap TCP (arachnids 28) spp_stream4: STEALTH ACTIVITY (SYN FIN scan) FTP Bad login TELNET Bad Login INFO Napster Client Data SHELLCODE x86 setuid 0 (arachnids 436) SHELLCODE x86 unicode NOOP DNS zone transfer (arachnids 212) spp_stream4: STEALTH ACTIVITY (FIN scan) detection spp_stream4: STEALTH ACTIVITY (NULL scan) detection RPC EXPLOIT statdx (arachnids 442) FTP CWD / - possible warez site BAD TRAFFIC tcp port 0 traffic MISC Tiny Fragments SCAN FIN (arachnids 27) spp_stream4: STEALTH ACTIVITY (nmap XMAS scan) spp_stream4: NMAP FINGERPRINT (stateful) detection FTP EXPLOIT format string (arachnids 453)

27 Ejemplo 1: Transferencia de zona
## DNS zone transfer ## 3852 ## COUNT TOT_SRC TOT_DST TIME_INI TIME_FIN SRC :34: :48:10 slabii.informat.uv.es :51: :04:24 hostcount.ripe.net :48: :48: :11: :11:54 acfpp06.acfp.upv.es :03: :03:35 ineco.nic.es :26: :26: twmaine.com :20: :20:45 ariston.netcraft.com COUNT TOT_SRC TOT_DST TIME_INI TIME_FIN DST :48: :20:45 qfgate.quifis.uv.es

28 Registros de 194.85.9.53 en la BD 5 5503 FTP EXPLOIT format string
:11: > apotkpr.ffarma.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:64 ID:2978 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:54106 [TCP] SPort:3086, DPort:21 Seq: Ack: Offset:5 Res:0 Flags:0x18 Win:32120 Cksum:63768 Urp:0 Res:0 :33: > aficio2.informat.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:76 ID:38242 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:17912 [TCP] SPort:2184, DPort:21 Seq: Ack: Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:36706 Urp:0 Res:0 :34: > nexus.informat.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:76 ID:38628 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:17462 [TCP] SPort:2254, DPort:21 Seq: Ack: Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:7593 Urp:0 Res:0 :34: > teruca.informat.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:76 ID:38828 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:17216 [TCP] SPort:2304, DPort:21 Seq: Ack: Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:14328 Urp:0 Res:0 :37: > capone.informat.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:76 ID:12685 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:43730 [TCP] SPort:4158, DPort:21 Seq: Ack: Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:30413 Urp:0 Res:0 DNS zone transfer :48: > qfgate.quifis.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:75 ID:52910 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:41847 [TCP] SPort:3657, DPort:53 Seq: Ack: Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:52791 Urp:0 Res:0 [IP] Ver:4 HLen:5 Tos:32 Len:75 ID:52910 Flags:0 Offset:0 TTL:46 Proto:6 Cksum:42103

29 Información sobre 194.85.9.53 www.visualroute.com www.ripe.net
inetnum: netname: SIOBC descr: Shemyakin-Ovchinnikov Institute of Bioorganic Chemistry descr: Russian Academy of Sciences descr: Moscow country: RU admin-c: IVM11-RIPE tech-c: DEN2-RIPE rev-srv: wowa.siobc.ras.ru rev-srv: nss.ras.ru status: ASSIGNED PI notify: notify: mnt-by: AS3058-MNT changed: source: RIPE

30 Ejemplo 2: Exploit statdx
## RPC EXPLOIT statdx ## 5507 ## COUNT TOT_SRC TOT_DST TIME_INI TIME_FIN SRC :39: :42: :53: :53:40 caetano.empresa.net :27: :27: COUNT TOT_SRC TOT_DST TIME_INI TIME_FIN DST :39: :53:26 bugs.informat.uv.es :39: :53:22 iris.quiorg.uv.es :41: :41:12 qfgate.quifis.uv.es :27: :27:31 crean.red.uv.es :53: :53:40 wild.red.uv.es :53: :53:27 marvin.informat.uv.es :53: :53:27 taz.informat.uv.es :53: :53:27 tro.informat.uv.es :39: :39:50 crac.informat.uv.es :42: :42:00 hussey.red.uv.es

31 Registros de 61.182.50.241 en la BD 14 1 RPC portmap request rstatd
:39: > iris.quiorg.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:21911 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 :39: > slabii.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22917 Flags:0 Offset:0 :39: > sdisco.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22942 Flags:0 Offset:0 :39: > bugs.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22950 Flags:0 Offset:0 :39: >slopez.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22965 Flags:0 Offset:0 :39: > bunny.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22968 Flags:0 Offset:0 :39: > crac.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22971 Flags:0 Offset:0 RPC EXPLOIT statdx :39: > iris.quiorg.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:21912 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 :39: > bugs.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:22962 Flags:0 :39: > crac.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:22973 Flags:0 :41: > qfgate.quifis.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:54670 Flags:0 :42: > hussey.red.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:7569 Flags:0 :42: > macklin.red.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:7581 Flags:0

32 Información sobre 61.182.50.241 www.apnic.net
inetnum netname CHINANET-HE descr CHINANET Hebei province network descr Data Communication Division descr China Telecom country CN admin-c DK26-AP, inverse tech-c ZC24-AP, inverse mnt-by MAINT-CHINANET, inverse mnt-lower MAINT-CHINANET-HE, inverse changed source APNIC

33 Sumario Generalidades. Arquitectura de los IDSs.
Clasificaciones: fuentes de información, tipo de análisis, respuesta. Localización del IDS: organización, ISP. Ejemplos de IDSs. Caso práctico. Conclusiones.

34 Conclusiones Los IDS han de utilizarse junto a otras herramientas de seguridad  política de seguridad. NIDS en la red + HIDS en servidores visibles desde fuera. Proceso de análisis costoso  herramientas de gran ayuda: BBDD, entorno amigable ...

35 Referencias [1] “Detección de intrusos. 2a Ed.”. S. Northcutt, Judy Novak. Prentice Hall. 2001 [2] “Intrusion Detection Systems”. R. Bace, P. Mell. NIST (National Intitute of Standards and Technology) Special Publication. Agosto ( [3] “An Introduction to Intrusion Detection Systems”. P. Inella, O. McMillan. Tetrad Digital Integrity, LLC. Diciembre ( [4] “Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection”. T.H. Ptacek, T. N. Newsham. Secure Networks, Inc. Enero ( [5] “Introduction to Security Policies”. C. van der Walt. SecurityFocus. Agosto 2001. Parte 1: Parte 2: Parte 3: Parte 4: [6] “Web security and commerce, 2nd Ed.”. S. Garfinkel, G. Spafford. O’Reilly & Associates, Inc. Noviembre 2001 [7] “Building Internet Firewalls, 2nd Ed.”. D.Brent Chapman, Elizabeth D.Zwicky. O’Reilly & Associates, Inc. Junio [8] “Incident Response”. Kenneth R. vanWyk, Richard Forno. O’Reilly & Associates, Inc. Agosto 2001. [9] “Network Security: Private communication in a public world”. C. Kaufman, R. Perlman, M. Speciner. Prentice Hall [10] Intrusion Detection Resources -

Descargar ppt "Trabajo de Ampliación de Redes: Sistemas de Detección de Intrusos"

Presentaciones similares

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
1 Datos sobre webloggers Datos extraidos de la encuesta a webloggers disponibles en la web de los autores.

1 Datos sobre webloggers Datos extraidos de la encuesta a webloggers disponibles en la web de los autores.
Respuestas Jack y la mata de frijoles /60. 1.vivía 2.estaba 3.estaba 4.era 5.llamaba 6.gustaba 7.comía 8.dormía 9.gustaba 10.llamó 11.dijo 12.había 13.quería.

Respuestas Jack y la mata de frijoles /60. 1.vivía 2.estaba 3.estaba 4.era 5.llamaba 6.gustaba 7.comía 8.dormía 9.gustaba 10.llamó 11.dijo 12.había 13.quería.
Medición de La Utilidad: El proceso de Ajuste

Medición de La Utilidad: El proceso de Ajuste
Los números del 0 al cero uno dos tres cuatro cinco 6 7 8

Los números del 0 al cero uno dos tres cuatro cinco 6 7 8
Universidad San Martín de Porres

Universidad San Martín de Porres
1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO 2005 30 mayo 2005.

1 LA UTILIZACION DE LAS TIC EN LAS MICROEMPRESAS GALLEGAS. AÑO mayo 2005.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO de Junio de 2005.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
AYUDA A LA FUNCIÓN DOCENTE Internet

AYUDA A LA FUNCIÓN DOCENTE Internet
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
TEMA 2 MÚLTIPLOS Y DIVISORES

TEMA 2 MÚLTIPLOS Y DIVISORES
02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

01- OFERTA FORMATIVA v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó

Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó
Respuestas Buscando a Nemo.

Respuestas Buscando a Nemo.
ABECEDARIO FIGURAS GEOMÉTRICAS NÚMERO

ABECEDARIO FIGURAS GEOMÉTRICAS NÚMERO
SIMATICA V2.0. Automatización de Viviendas con Simatic S7-200

SIMATICA V2.0. Automatización de Viviendas con Simatic S7-200
Objetivo: Los estudiantes van a usar vocabulario del desayuno para comprender un cuento. Práctica: 1. ¿Te gusta comer? 2. ¿Te gusta beber Mt. Dew.

Objetivo: Los estudiantes van a usar vocabulario del desayuno para comprender un cuento. Práctica: 1. ¿Te gusta comer? 2. ¿Te gusta beber Mt. Dew.

Presentaciones similares

Anuncios Google