Descargar la presentación
La descarga está en progreso. Por favor, espere
1
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
2
Sistemas de Detección de Intrusos
Introducción Importancia de la seguridad en las organizaciones Desconocimiento de todas las vulnerabilidades Se descubren vulnerabilidades en los sistemas cada día 3/05/02 Sistemas de Detección de Intrusos
3
Tecnologías de la seguridad
Escáneres de vulnerabilidades Sistemas (política de seguridad, usuarios, configuraciones,...) Servicios ofrecidos a los demás ordenadores Detectores de ataques Centinelas en los sistemas Análisis del flujo de datos que circulan por la red 3/05/02 Sistemas de Detección de Intrusos
4
Complementos a los cortafuegos
Los cortafuegos se basan en un sistema de restricciones y excepciones Problema: cuando un atacante enmascara el tráfico o se comunica directamente con una aplicación remota el cortafuegos no cumple con su misión de primera barrera 3/05/02 Sistemas de Detección de Intrusos
5
Sistemas Detectores de Intrusos
Complemento de seguridad de los firewalls Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red Intrusión: actividad realizada por personas no autorizadas o actividades no autorizadas 3/05/02 Sistemas de Detección de Intrusos
6
Sistemas de Detección de Intrusos
IDS: Clasificación Según localización: NIDS (Network Intrusion Detection System) HIDS (Host Intrusion Detection System) Según modelo de detección: Detección de mal uso Detección de uso anómalo Según naturaleza Pasivos Reactivos 3/05/02 Sistemas de Detección de Intrusos
7
Sistemas de Detección de Intrusos
NIDS: Introducción Analiza el tráfico de toda la red Examina paquetes en búsqueda de opciones no permitidas y diseñadas para no ser detectadas por los cortafuegos Produce alertas cuando se intenta explorar algún fallo de un programa de un servidor 3/05/02 Sistemas de Detección de Intrusos
8
Sistemas de Detección de Intrusos
NIDS: Componentes Sensores (agentes): situado en un segmento de red monitoriza en busca de tráfico sospechoso Una consola: recibe las alarmas de los sensores y reacciona según el tipo de alarma recibida 3/05/02 Sistemas de Detección de Intrusos
9
Sistemas de Detección de Intrusos
NIDS: Ventajas Detectan accesos no deseados en la red No necesitan software adicional en los servidores Fácil instalación y actualización (sistemas dedicados) 3/05/02 Sistemas de Detección de Intrusos
10
Sistemas de Detección de Intrusos
NIDS: Desventajas Número de falsos-positivos Sensores distribuidos en cada segmento de la red Tráfico adicional en la red Difícil detección de los ataques de sesiones encriptadas 3/05/02 Sistemas de Detección de Intrusos
11
Sistemas de Detección de Intrusos
HIDS: Introducción Analiza el tráfico sobre un servidor o un PC Detecta intentos fallidos de acceso Detecta modificaciones en archivos críticos 3/05/02 Sistemas de Detección de Intrusos
12
Sistemas de Detección de Intrusos
HIDS: Ventajas Potente: registra comandos, ficheros abiertos, modificaciones importantes,... Menor número de falsos-positivos que el NIDS Menor riesgo en las respuestas activas que los NIDS 3/05/02 Sistemas de Detección de Intrusos
13
Sistemas de Detección de Intrusos
HIDS: Inconvenientes Instalación en máquinas locales Carga adicional en los sistemas Tiende a confiar la auditoria y el loggin a la máquina 3/05/02 Sistemas de Detección de Intrusos
14
IDS: modelos de detección
Detección del mal uso Verificación sobre tipos ilegales de tráfico de red Se implementa observando cómo explotar los puntos débiles de los sistemas y describiéndolos mediante patrones Ej.: combinaciones ‘imposibles’ dentro de un paquete, detección de sniffers,... 3/05/02 Sistemas de Detección de Intrusos
15
IDS: modelos de detección
Detección de uso anómalo Estadísticas sobre tráfico típico en la red Detecta cambios en los patrones de utilización o comportamiento del sistema Utiliza modelos estadísticos y busca desviaciones estadísticas significantes Ej.: tráfico excesivo en horario fuera de oficina, accesos repetitivos ... 3/05/02 Sistemas de Detección de Intrusos
16
IDS: Según su naturaleza
IDS Pasivo Detectan la posible violación de la seguridad, la registran y generan alerta IDS Activo Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall 3/05/02 Sistemas de Detección de Intrusos
17
Sistemas de Detección de Intrusos
Topología de IDS Diferentes topologías dentro de una red Buscar un compendio entre coste económico, seguridad y necesidad de la empresa 3/05/02 Sistemas de Detección de Intrusos
18
Sistemas de Detección de Intrusos
Topología de IDS Antes del cortafuegos Aviso prematuro Detecta rastreo de puertos Número de alertas elevado En la DMZ Configuración exclusiva del NIDS para ataques dirigidos a los sistemas del DMZ En la intranet Volumen de tráfico a monitorizar reducido NIDS menos potentes 3/05/02 Sistemas de Detección de Intrusos
19
Topología de IDS: Ejemplo
3/05/02 Sistemas de Detección de Intrusos
20
Sistemas de Detección de Intrusos
Arquitectura de IDS Han evolucionado con el paso del tiempo y la aparición de nuevas tecnologías y métodos Dos principios básicos: Agentes autónomos distribuidos y coordinados por una entidad central Exploración de los datos en tiempo real 3/05/02 Sistemas de Detección de Intrusos
21
IDS: Agentes Autónomos
Un mismo agente autónomo puede ser distribuido en cualquier host Cada agente monitoriza una característica El agente genera un informe y lo envia al transceiver al que pertenece Los transceivers procesan todos los informes y lo envían al monitor El monitor recopila información y obtiene conclusiones 3/05/02 Sistemas de Detección de Intrusos
22
IDS: Agentes Autónomos
Transceiver Monitor Agente Flujo de Control HOST Flujo de Datos 3/05/02 Sistemas de Detección de Intrusos
23
IDS: Agentes Autónomos
Ventajas: La caída o fallo de un agente no repercute en el sistema Los agentes pueden actuar de NIDS o HIDS Pueden existir agentes SNMP o auditores de routers 3/05/02 Sistemas de Detección de Intrusos
24
IDS: Agentes Autónomos
Desventajas Consola central elemento crítico El tamaño de la red a monitorizar es limitado Aumento tráfico en red 3/05/02 Sistemas de Detección de Intrusos
25
IDS: Exploración en tiempo real
El IDS ejecuta un conjunto de reglas con coste computacional creciente El flujo de datos es analizado en binario por programas especializados que los compara con patrones de la base de datos 3/05/02 Sistemas de Detección de Intrusos
26
IDS: Exploración en tiempo real
Componentes Sensores: analizan y formatean los bits Detectores: procesan los datos para determinar ataques. Envía resultados a la base de datos. Dos tipos: Front-End: detecciones de intrusos sencilla Back-End: utilización de métodos complejos 3/05/02 Sistemas de Detección de Intrusos
27
IDS: Exploración en tiempo real
Flujo de bits Sensor Detector Datos formateados Modelo Base de Datos Datos formateados Modelo Generador del Modelo Adaptativo 3/05/02 Sistemas de Detección de Intrusos
28
IDS: Exploración en tiempo real
Ventajas Veracidad: pocos falsos-positivos Eficiencia: 4 niveles Nivel 1: características computadas al recibir el paquete Nivel 2: Características de la conexión Nivel 3: Características analizadas después de la conexión Estadísticas computadas al final de la conexión Usabilidad: facilidad de actualizar patrones Se conocen todos los datos recogidos por los detectores 3/05/02 Sistemas de Detección de Intrusos
29
IDS: Exploración en tiempo real
Desventajas: Número de datos de entrenamiento elevados Requiere personal altamente preparado 3/05/02 Sistemas de Detección de Intrusos
30
Sistemas de Detección de Intrusos
Conclusiones IDS es un complemento de seguridad de los cortafuegos Buscar soluciones que se adapten a los recursos de la empresa Integrar los IDS en la política de seguridad de la empresa 3/05/02 Sistemas de Detección de Intrusos
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.