La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS. 3/05/02 Sistemas de Detección de Intrusos 2 Introducción n Importancia de la seguridad en las organizaciones n.

Presentaciones similares


Presentación del tema: "IDS SISTEMAS DE DETECCIÓN DE INTRUSOS. 3/05/02 Sistemas de Detección de Intrusos 2 Introducción n Importancia de la seguridad en las organizaciones n."— Transcripción de la presentación:

1 IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

2 3/05/02 Sistemas de Detección de Intrusos 2 Introducción n Importancia de la seguridad en las organizaciones n Desconocimiento de todas las vulnerabilidades n Se descubren vulnerabilidades en los sistemas cada día

3 3/05/02 Sistemas de Detección de Intrusos 3 Tecnologías de la seguridad n Escáneres de vulnerabilidades –Sistemas (política de seguridad, usuarios, configuraciones,...) –Servicios ofrecidos a los demás ordenadores n Detectores de ataques –Centinelas en los sistemas –Análisis del flujo de datos que circulan por la red

4 3/05/02 Sistemas de Detección de Intrusos 4 Complementos a los cortafuegos n Los cortafuegos se basan en un sistema de restricciones y excepciones n Problema: cuando un atacante enmascara el tráfico o se comunica directamente con una aplicación remota el cortafuegos no cumple con su misión de primera barrera

5 3/05/02 Sistemas de Detección de Intrusos 5 Sistemas Detectores de Intrusos n Complemento de seguridad de los firewalls n Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red n Intrusión: actividad realizada por personas no autorizadas o actividades no autorizadas

6 3/05/02 Sistemas de Detección de Intrusos 6 IDS: Clasificación n Según localización: –NIDS (Network Intrusion Detection System) –HIDS (Host Intrusion Detection System) n Según modelo de detección: –Detección de mal uso –Detección de uso anómalo n Según naturaleza –Pasivos –Reactivos

7 3/05/02 Sistemas de Detección de Intrusos 7 NIDS: Introducción n Analiza el tráfico de toda la red n Examina paquetes en búsqueda de opciones no permitidas y diseñadas para no ser detectadas por los cortafuegos n Produce alertas cuando se intenta explorar algún fallo de un programa de un servidor

8 3/05/02 Sistemas de Detección de Intrusos 8 NIDS: Componentes n Sensores (agentes): situado en un segmento de red monitoriza en busca de tráfico sospechoso n Una consola: recibe las alarmas de los sensores y reacciona según el tipo de alarma recibida

9 3/05/02 Sistemas de Detección de Intrusos 9 NIDS: Ventajas n Detectan accesos no deseados en la red n No necesitan software adicional en los servidores n Fácil instalación y actualización (sistemas dedicados)

10 3/05/02 Sistemas de Detección de Intrusos 10 NIDS: Desventajas n Número de falsos-positivos n Sensores distribuidos en cada segmento de la red n Tráfico adicional en la red n Difícil detección de los ataques de sesiones encriptadas

11 3/05/02 Sistemas de Detección de Intrusos 11 HIDS: Introducción n Analiza el tráfico sobre un servidor o un PC n Detecta intentos fallidos de acceso n Detecta modificaciones en archivos críticos

12 3/05/02 Sistemas de Detección de Intrusos 12 HIDS: Ventajas n Potente: registra comandos, ficheros abiertos, modificaciones importantes,... n Menor número de falsos-positivos que el NIDS n Menor riesgo en las respuestas activas que los NIDS

13 3/05/02 Sistemas de Detección de Intrusos 13 HIDS: Inconvenientes n Instalación en máquinas locales n Carga adicional en los sistemas n Tiende a confiar la auditoria y el loggin a la máquina

14 3/05/02 Sistemas de Detección de Intrusos 14 IDS: modelos de detección n Detección del mal uso –Verificación sobre tipos ilegales de tráfico de red –Se implementa observando cómo explotar los puntos débiles de los sistemas y describiéndolos mediante patrones –Ej.: combinaciones imposibles dentro de un paquete, detección de sniffers,...

15 3/05/02 Sistemas de Detección de Intrusos 15 IDS: modelos de detección n Detección de uso anómalo –Estadísticas sobre tráfico típico en la red –Detecta cambios en los patrones de utilización o comportamiento del sistema –Utiliza modelos estadísticos y busca desviaciones estadísticas significantes –Ej.: tráfico excesivo en horario fuera de oficina, accesos repetitivos...

16 3/05/02 Sistemas de Detección de Intrusos 16 IDS: Según su naturaleza n IDS Pasivo –Detectan la posible violación de la seguridad, la registran y generan alerta n IDS Activo –Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall

17 3/05/02 Sistemas de Detección de Intrusos 17 Topología de IDS n Diferentes topologías dentro de una red n Buscar un compendio entre coste económico, seguridad y necesidad de la empresa

18 3/05/02 Sistemas de Detección de Intrusos 18 Topología de IDS n Antes del cortafuegos –Aviso prematuro –Detecta rastreo de puertos –Número de alertas elevado n En la DMZ –Configuración exclusiva del NIDS para ataques dirigidos a los sistemas del DMZ n En la intranet –Volumen de tráfico a monitorizar reducido –NIDS menos potentes

19 3/05/02 Sistemas de Detección de Intrusos 19 Topología de IDS: Ejemplo

20 3/05/02 Sistemas de Detección de Intrusos 20 Arquitectura de IDS n Han evolucionado con el paso del tiempo y la aparición de nuevas tecnologías y métodos n Dos principios básicos: –Agentes autónomos distribuidos y coordinados por una entidad central –Exploración de los datos en tiempo real

21 3/05/02 Sistemas de Detección de Intrusos 21 IDS: Agentes Autónomos n Un mismo agente autónomo puede ser distribuido en cualquier host n Cada agente monitoriza una característica n El agente genera un informe y lo envia al transceiver al que pertenece n Los transceivers procesan todos los informes y lo envían al monitor n El monitor recopila información y obtiene conclusiones

22 3/05/02 Sistemas de Detección de Intrusos 22 IDS: Agentes Autónomos Transceiver Monitor Agente Flujo de Control Flujo de Datos HOST

23 3/05/02 Sistemas de Detección de Intrusos 23 IDS: Agentes Autónomos n Ventajas: –La caída o fallo de un agente no repercute en el sistema –Los agentes pueden actuar de NIDS o HIDS –Pueden existir agentes SNMP o auditores de routers

24 3/05/02 Sistemas de Detección de Intrusos 24 IDS: Agentes Autónomos n Desventajas –Consola central elemento crítico –El tamaño de la red a monitorizar es limitado –Aumento tráfico en red

25 3/05/02 Sistemas de Detección de Intrusos 25 IDS: Exploración en tiempo real n El IDS ejecuta un conjunto de reglas con coste computacional creciente n El flujo de datos es analizado en binario por programas especializados que los compara con patrones de la base de datos

26 3/05/02 Sistemas de Detección de Intrusos 26 IDS: Exploración en tiempo real n Componentes –Sensores: analizan y formatean los bits –Detectores: procesan los datos para determinar ataques. Envía resultados a la base de datos. Dos tipos: Front-End: detecciones de intrusos sencilla Back-End: utilización de métodos complejos

27 3/05/02 Sistemas de Detección de Intrusos 27 IDS: Exploración en tiempo real SensorDetector Base de Datos Generador del Modelo Adaptativo Flujo de bits Datos formateados Modelo Datos formateadosModelo

28 3/05/02 Sistemas de Detección de Intrusos 28 IDS: Exploración en tiempo real n Ventajas –Veracidad: pocos falsos-positivos –Eficiencia: 4 niveles Nivel 1: características computadas al recibir el paquete Nivel 2: Características de la conexión Nivel 3: Características analizadas después de la conexión Estadísticas computadas al final de la conexión –Usabilidad: facilidad de actualizar patrones –Se conocen todos los datos recogidos por los detectores

29 3/05/02 Sistemas de Detección de Intrusos 29 IDS: Exploración en tiempo real n Desventajas: –Número de datos de entrenamiento elevados –Requiere personal altamente preparado

30 3/05/02 Sistemas de Detección de Intrusos 30 Conclusiones n IDS es un complemento de seguridad de los cortafuegos n Buscar soluciones que se adapten a los recursos de la empresa n Integrar los IDS en la política de seguridad de la empresa


Descargar ppt "IDS SISTEMAS DE DETECCIÓN DE INTRUSOS. 3/05/02 Sistemas de Detección de Intrusos 2 Introducción n Importancia de la seguridad en las organizaciones n."

Presentaciones similares


Anuncios Google