La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

FIREWALL Y SISTEMAS DE DETECCIÓN DE INTRUSOS Allende, Sebastián Etcheverry, Juan Groppo, Ricardo.

Presentaciones similares


Presentación del tema: "FIREWALL Y SISTEMAS DE DETECCIÓN DE INTRUSOS Allende, Sebastián Etcheverry, Juan Groppo, Ricardo."— Transcripción de la presentación:

1 FIREWALL Y SISTEMAS DE DETECCIÓN DE INTRUSOS Allende, Sebastián Etcheverry, Juan Groppo, Ricardo

2 Visión Global de la Seguridad Informática

3 Mecanismos de Seguridad Mecanismos de Prevención: Aumentan la seguridad de un sistema durante su funcionamiento normal, previniendo la ocurrencia de violaciones a la seguridad. (Ej: Firewall) Mecanismos de Detección: Se utilizan para detectar violaciones a la seguridad o intentos. (Detección de intrusos) Mecanismos de Recuperación: Se aplican cuando una violación del sistema se ha detectado, para retornar a éste a su funcionamiento correcto. (Ej: Copias de seguridad)

4 Mecanismos de Seguridad Los tres tipos de mecanismos son importantes para la seguridad de un sistema. Evitar un ataque, detectar un intento de violación, o detectar una violación exitosa inmediatamente después de que ocurra es mucho más productivo y menos comprometedor para el sistema que restaurar el estado tras una penetración a la seguridad. Si consiguiéramos un sistema sin vulnerabilidades implementado sobre un mecanismo de prevención completo, no se necesitarían mecanismos de detección ni de recuperación. Como lo anterior es imposible de conseguir en la práctica, será en los mecanismos de prevención y detección en donde se debe centrar el trabajo en materia de seguridad.

5 Mecanismos de Seguridad La forma de aislamiento más efectiva para cualquier política de seguridad consiste en el aislamiento físico, es decir, no tener conectada la máquina o la subred a otros equipos o a Internet. Sin embargo, en la mayoría de los casos no es posible un aislamiento total. (Figura A) El punto opuesto consistiría en una conectividad completa con la red, lo que desde el punto de vista de la seguridad es muy problemático, ya que cualquiera, desde cualquier parte del mundo, puede potencialmente tener acceso a nuestros recursos. (Figura B) Un término medio entre ambas aproximaciones consiste en implementar cierta separación lógica mediante un Firewall. (Figura C)

6 FIREWALL Un firewall es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes. Se lo puede definir como cualquier sistema (desde un simple router hasta varias redes en serie) utilizado para separar -en cuanto a seguridad se refiere- una máquina o subred del resto, protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la seguridad. El espacio protegido se denomina perímetro de seguridad. La protección se realiza contra una red externa, no confiable, llamada zona de riesgo.

7 ¿Por qué utilizar un Firewall? Confidencialidad de datos: El sistema sólo debe ser accedido por elementos autorizados. Los elementos autorizados no deben revelar información a otras entidades. Integridad de datos: Los objetos sólo deben ser modificados (escribir, borrar, crear, etc.) por elementos autorizados, y de una manera controlada. Disponibilidad de datos: Los objetos del sistema deben permanecer accesibles para los elementos autorizados (es el caso contrario a la negación del servicio).

8 FIREWALL Características de Diseño Decisiones Políticas Decisiones Técnicas

9 Decisiones Políticas Política de Seguridad Firewall para bloquear todo el tráfico externo hacia el dominio de su propiedad (excepto, quizás, las consultas a su página web). Firewall para evitar que los usuarios pierdan su tiempo en la red (bloqueando, por ejemplo, todos los servicios de salida al exterior, excepto el correo electrónico).

10 Decisiones Políticas Nivel de monitorización, redundancia y control deseado Postura restrictiva: Se deniega todo, excepto lo que explícitamente se permita. Postura Permisiva: Se permite todo, excepto lo que explícitamente se deniegue.

11 Decisiones Políticas Decisión económica En función del valor estimado de lo que se desee proteger, se puede gastar más o menos dinero, o no gastar nada. Se puede utilizar un Pc con Linux a modo de Firewall sin gastarse dinero, se pueden utilizar sistemas propietarios que suelen ser caros, o aprovechar los routers de salida de la red que son más baratos pero requieren más tiempo de configuración.

12 Decisiones Técnicas ¿Dónde situar el Firewall? Se puede utilizar como Firewall un router. Se puede utilizar una máquina con un Firewall implementado en ella. Los equipos que queden fueran del perímetro de seguridad serán igual de vulnerables que antes de instalar el Firewall. Por lo cual, si se instala el Firewall en un punto que no protege completamente nuestra red, se deberá pensar en añadir Firewalls internos dentro de la misma, aumentado de esta forma la seguridad de las partes más importantes.

13 Componentes de un Firewall Filtrado de Paquetes Proxy de aplicación Monitorización

14 Componentes de un Firewall Filtrado de paquetes Se permite o deniega el flujo de tramas entre dos redes (la interna, protegida por el Firewall, y la externa) de acuerdo a normas preestablecidas. El filtro más elemental puede ser un simple router, trabajando en el nivel de red del modelo OSI. También puede implementarse en un puente, o en una máquina individual. El filtrado se conoce como screening.

15 Componentes de un Firewall Filtrado de paquetes Funcionamiento: Se analiza la cabecera de cada paquete, y en función de una serie de reglas establecidas de antemano la trama es bloqueada o se le permite seguir su camino. Estas reglas suelen contemplar campos como el protocolo utilizado (TCP, UDP, ICMP, etc), las direcciones fuente y destino, y el puerto destino.

16 Componentes de un Firewall Filtrado de paquetes El Firewall de filtrado de paquetes es capaz de trabajar tanto a nivel de red (para discriminar en función de las direcciones origen y destino) como de transporte (para discriminar en función de los puertos usados).

17 Componentes de un Firewall Filtrado de paquetes Reglas de filtrado: Se expresan como una simple tabla de condiciones y acciones que se consulta en orden hasta encontrar una regla que permita tomar una decisión sobre el bloqueo o reenvío de la trama. Se debe tener presente el orden de análisis de las tablas para poder implementar la política de seguridad de una forma correcta. OrigenDestinoTipoPuertoAcción ***Deny * **Deny ***Allow * **Deny ****

18 Componentes de un Firewall Filtrado de paquetes Reglas de filtrado: Como se puede observar de la tabla anterior, las cosas no son muy obvias ni siquiera en ese simple ejemplo, por lo que si se extiende la tabla a un Firewall real nos podemos hacer una idea de hasta qué punto se debe ser cuidadoso con el orden de las entradas a la tabla.

19 Componentes de un Firewall Filtrado de paquetes Problemas: La especificación incorrecta de las reglas de filtrado. Es incapaz de analizar (y por tanto de verificar) datos situados por encima del nivel de transporte. En el caso de utilizar un simple router como filtro, las capacidades de registro de la información del mismo suelen ser bastante limitadas, por lo que en ocasiones es difícil la detección de un ataque. Para intentar solucionar estas (y otras) vulnerabilidades es recomendable utilizar aplicaciones software capaces de filtrar las conexiones a servicios. A dichas aplicaciones se les denomina proxies de aplicación.

20 Componentes de un Firewall Proxy de aplicación Además del filtrado de paquetes, es habitual que los Firewall utilicen aplicaciones software para reenviar o bloquear conexiones a servicios (Ej: telnet, FTP). A tales aplicaciones se les denomina servicios proxy. Proxy: Es un programa (trabajando en el nivel de aplicación del modelo OSI) que permite o niega el acceso a una aplicación determinada entre dos redes. Los clientes proxy se comunican sólo con los servidores proxy, que autorizan las peticiones y las envían a los servidores reales, o las deniegan y las devuelven a quién las solicitó.

21 Componentes de un Firewall Proxy de aplicación Ventajas: Permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si la pasarela de aplicación (máquina donde se ejecutan los servicios proxy) contiene únicamente proxies para telnet, HTTP y FTP, el resto de los servicios no estarán disponibles. Es posible filtrar tramas basándose en algo más que la cabecera, lo que hace posible por ejemplo tener habilitado un servicio como FTP pero con órdenes restringidas (se podrían bloquear todos los comandos put para que nadie pueda subir ficheros a un servidor). La pasarela de aplicación permite un alto grado de ocultamiento de la estructura de la red protegida (la pasarela es el único sistema que está disponible hacia el exterior). La pasarela facilita la autenticación y la auditoría del tráfico sospechoso antes de que alcance el host destino. La pasarela simplifica enormemente las reglas de filtrado implementadas en el router, sólo se debe permitir el tráfico hacia la pasarela, bloqueando el resto.

22 Componentes de un Firewall Proxy de aplicación Desventajas: Cada servicio que se desee ofrecer necesita tener su propio proxy. Generalmente es más caro que un simple filtro de paquetes y su rendimiento es menor (por ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el análisis de cada trama es costoso).

23 Componentes de un Firewall Monitorización Monitorizar la actividad del Firewall es indispensable para la seguridad del perímetro protegido. Facilita información sobre los intentos de ataque que se estén sufriendo (origen, franjas horarias, tipos de acceso, etc). Permite detectar la existencia de tramas que aunque no supongan un ataque a priori, son al menos sospechosas.

24 Componentes de un Firewall Monitorización Información que se debe registrar: Tipos de paquetes recibidos Frecuencias Direcciones fuente y destino Nombre de usuario Hora Duración Intento de uso de protocolos denegados Paquetes que lleguen desde la red externa con la dirección de un equipo interno Tramas recibidas desde routers desconocidos. Estos registros deben ser leídos con frecuencia, y el administrador de la red debe tomar las medidas necesarias si se detectan actividades sospechosas.

25 Arquitecturas de Firewalls Filtrado de paquetes Screened Host Screened Subnet (DMZ)

26 Arquitecturas de Firewalls Filtrado de paquetes Es el más sencillo. Arquitectura más antigua. Consiste en un dispositivo capaz de filtrar paquetes utilizando las capacidades de algunos routers (screening routers) para hacer un enrutamiento selectivo. Los accesos desde la red interna hacia el exterior son directos (no existen proxies). Arquitectura más utilizada en organizaciones que no precisan grandes niveles de seguridad.

27 Arquitecturas de Firewalls Filtrado de paquetes Desventajas: No disponen de un sistema de monitorización sofisticado (muchas veces el administrador no puede determinar si el router está siendo atacado o si su seguridad ha sido comprometida). Las reglas de filtrado pueden llegar a ser complejas de establecer, y por lo tanto difíciles de corregir.

28 Arquitecturas de Firewalls Sreened Host Combina un router con un host bastión. Router: Primer y más importante línea de defensa gracias al filtrado de paquetes. Host Bastión: Único sistema accesible desde el exterior, donde se ejecutan los proxies de las aplicaciones.

29 Arquitecturas de Firewalls Sreened Subnet (DMZ) También conocida como Red Perimétrica o Zona Desmilitarizada (DMZ) Es la arquitectura más utilizada. Añade un nivel de seguridad situando una subred (DMZ) entre las redes externa e interna, de forma que se reducen los efectos de un ataque exitoso al host bastión.

30 Arquitecturas de Firewalls Sreened Subnet (DMZ) Se utilizan dos routers, denominados exterior e interior, conectados a la red perimétrica. La red perimétrica constituye el Firewall. También se podrían incluir el la DMZ sistemas que requieran un acceso controlado, como servidores Web, correo, etc.

31 Arquitecturas de Firewalls Sreened Subnet (DMZ) Router exterior: bloquea el tráfico no deseado en ambos sentidos entre la red perimétrica y la red externa. Router interior: bloque el tráfico no deseado en ambos sentidos entre la red interna y la perimétrica. De esta forma, un atacante debe romper la seguridad de ambos routers para acceder a la red protegida. Si se desearan mayores niveles de seguridad, se pueden definir varias redes perimétricas en serie, de forma que un atacante debe saltar por todas y cada una de ellas para acceder a la red protegida.

32 FIREWALL Puntos Fuertes Son excelentes para reforzar la seguridad de un sistema. Pueden controlar el tráfico según el tipo de protocolo, direcciones origen y/o destino, tipo de servicio, usuario, aplicación, etc. Son buenos auditores del sistema.

33 FIREWALL Puntos Débiles No ofrece protección ante lo que está autorizado. No puede bloquear virus o códigos malisiosos que pasen por canales autorizados. Es tan eficaz como las reglas que tiene que aplicar de acuerdo a su configuración. No puede proteger la red de un usuario autorizado que utilice su acceso con propósitos malisiosos. No puede prevenir ataques de usuarios que se encuentren dentro del perímetro de seguridad. No puede detener ataques si el tráfico no pasa a través de él.

34 PC Tools Firewall Plus

35

36

37

38

39

40

41

42

43 SISTEMAS DE DETECCIÓN DE INTRUSOS

44 Sistemas de Detección de Intrusos Intrusión: conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso. A los sistemas utilizados para detectar las intrusiones o los intentos de intrusión se los denomina Sistemas de Detección de Intrusos ( IDS). Esta denominación generalmente se aplica a los sistemas automáticos (software o hardware). Es una herramienta mas para proteger recursos, y actúa en casos en donde la seguridad perimetral (FIREWALL) no detecta anomalías.

45 Requisitos de un IDS Debe ejecutarse continuamente sin que nadie esté obligado a supervisarlo. Aceptabilidad o grado de aceptación: no introducir sobrecarga en el sistema no generar una cantidad elevada de falsos positivos Adaptabilidad a cambios en el entorno de trabajo Ningún sistema informático es estático, lo cual requiere que se ajuste a los cambios del mismo (forma de trabajar de los usuarios, actualizaciones de software, etc). Debe presentar cierta tolerancia a fallos. Capacidad de respuesta ante situaciones inesperadas.

46 Clasificación de IDS Según donde actúan. En red En máquina Según como actúan. Detección de anomalías Detección de usos indebidos Según cuando actúan. Activos Pasivos

47 ¿Dónde actúan? IDS basados en red: Monitorean los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra algunos de los sistemas ubicados en ella. Puede estar situado en cualquiera de los host o en un elemento que analice todo el tráfico (como un HUB o ROUTERS). Monitorea todo un dominio de colisión

48 ¿Dónde actúan? IDS basados e máquina: Realizan su función protegiendo un único sistema. Son procesos que se ejecutan periódicamente en segundo plano buscando patrones que denoten intento de intrusión y alertan o toman medidas oportunas en caso de detección.

49 ¿Dónde actúan? Los IDS basados en máquina se clasifican en: Verificadores de integridad del sistema (SIV): Busca modificaciones no autorizadas a archivos. En sistemas basados en Unix el más conocido es el TRIPWIRE Monitores de registros (LFM): Monitorea archivos LOG generados por los programas de una máquina. Un monitor conocido es el SWATCH, o los mas utilizados son los SHELLSCRIPTS. Sistemas de decepción (DTK): Simula problemas de seguridad ante un intruso.

50 ¿Cómo actúan? Detección de anomalías: Por estadística se establece un perfil de comportamiento habitual. Una desviación de la media del mismo implicaría una intrusión (conocimiento positivo). Detección de usos indebidos: A partir de patrones de ataques conocidos el sistema puede detectar intrusiones. Este esquema se limita a conocer el funcionamiento anormal (conocimiento negativo).

51 ¿Cuándo actúan? Sistemas PASIVOS: Operan periódicamente. Son analizadores de vulnerabilidades que se ejecutan regularmente en busca de violaciones de la política de seguridad. Sistemas ACTIVOS: Operan en tiempo real. Trabajan continuamente en busca de posibles ataques, demandando gran cantidad de recursos. Son sistemas dedicados dedicados exclusivamente.

52 Clasificación de IDS Según donde actúan. En máquina En red

53 Basados en máquina Monitores de registro Verificadores de integridad Sistemas de decepción

54 IDS basados en máquina MONITORES DE REGISTRO (LFM) Es un juego de herramientas automáticas de análisis de LOGs generados por el sistema. Los LOGs son registros de actividades con alto grado de detalle de los eventos que se llevan a cabo en el sistema, tanto las propias del SO como las de las aplicaciones. Cada SO tiene su propio formato de registro de actividades, por lo cual las herramientas automáticas de análisis deben tener conocimiento de ello. Algunos de los mas conocidos para LINUX son el SWATCH y EL LOGCHECK. Estos programas poseen información de registros sospechosos que son comparados con los pertenecientes a archivos LOGs.

55 IDS basados máquina MONITORES DE REGISTRO (LFM) ¿A que registro de actividades debemos estar pendientes? Depende de cada SO y de lo que sea normal en él. Sin embargo existen archivos comunes a cualquier SO que puedan denotar actividad sospechosa. Ejemplos: Ejecuciones fallidas o exitosas de la orden SU (súper usuario). Peticiones no habituales al servicio SMTP (protocolo de transferencia de correo simple) como VRFY que solicita al servidor la verificación del argumento. EXPN solicita al servidor la confirmación del argumento. Intentos de conexión a puertos filtrados (TCP Wrappers). Intentos de acceso remoto como SU. Si en la propia máquina tenemos instalado un FIREWALL independiente o cualquier software de seguridad es conveniente revisar los LOGs generados por los mismos.

56 Basados en máquina Monitores de registro Verificadores de integridad Sistemas de decepción

57 IDS basados en máquina VERIFICADORES DE INTEGRIDAD (SIV) Este sistema comprueba la integridad de la información registrada asociada a cada fichero. Por ejemplo fecha de modificación del archivo, propietario, tamaño, como así también la información contenida en el mismo. Lo que se hace es generar una base de datos de referencia con resúmenes de determinados archivos de relevancia. De esta forma cualquier modificación de la integridad del archivo dará como resultado un resumen diferente al original almacenado en la base de datos denotando posible intrusión. Para evitar vulnerabilidades en el sistema de verificación es VITAL mantener la integridad de la base de datos, ya que si un intruso logra modificarla habrá burlado por completo al sistema de verificación. Por lo tanto es recomendable utilizar medios de solo lectura para las bases de datos.

58 Basados en máquina Monitores de registro Verificadores de integridad Sistemas de decepción

59 IDS basados en máquina SISTEMAS DE DECEPCIÓN (DTK) Llamados tarros de miel Básicamente son sistemas diseñados para recibir ciertos tipos de ataques. Al sufrir un ataque se detecta la actividad hostil y aplican una estrategia de respuesta. Las respuestas posibles son desde una alerta al administrador, pasando por el bloqueo de la dirección del atacante, hasta la simulación de vulnerabilidades conocidas.

60 IDS basados en máquina El concepto que enmarca este sistema es el conocimiento negativo por el cual se entrega información falsa al intruso con diferentes fines, que van desde monitorizar las actividades hasta despistarlo. Un sistema completo de simulación de vulnerabilidades dedicado a tal efecto se denomina máquina de sacrificio Algunos sistemas de decepción no simulan ser vulnerables, su objetivo no es engañar. Presentan un aspecto vulnerable para ser descubierto de su engaño, pero con el objetivo de recopilar información el atacante y del ataque en si. Estos sistemas se los suelen llamar detectores de pruebas

61 Clasificación de IDS Según donde actúan. En máquina En red

62 IDS basados en red Son capaces de detectar ataques contra diferentes sistemas en una misma red (actúan en un mismo dominio de colisión). Generalmente se ejecutan en un solo HOST de la red. En dicho HOST la placa de red debe estar configurada en modo promiscuo para capturar y analizar todas las tramas que pasan por él. Los patrones indicativos de un ataque mas habituales son: Campos de fragmentación (IP): Valores incorrectos de los parámetros de fragmentación causan importantes negaciones de servicios a los sistemas. Ejemplo: que el MF=1 siempre, o que DF=1 y que MF=1. Dirección origen y destino (IP): Tráfico proveniente de la DMZ con destino a nuestra red protegida. Peticiones originadas desde internet con destino a máquinas que no ofrecen servicios directos al exterior.

63 IDS basados en red Puerto origen y destino (TCP): Intentos de acceso no autorizado a servicios de nuestro sistema. Violaciones de la política de seguridad como existencia de troyanos, ciertos barrido de puertos o la presencia de servidores no autorizados dentro de nuestra red. Flag TCP: Una incorrecta combinación en los valores de estos flag suponen una posible intrusión. Por ejemplo una trama con los bit SYN y FIN en alto simultáneamente (indicaría que la conexión trata de abrirse y cerrarse simultáneamente). Campo de datos: Las tramas que no son filtradas por no poseer una cabecera sospechosa pueden contener indicios de intento de intrusión en los mismos datos.

64 IDS basados en red En estos sistemas (IDS basados en red) existen honeynets o redes de miel que son redes completas reales diseñadas para ser comprometidas. Una ves vulneradas permiten capturar y analizar las acciones realizadas por el atacante para aprender sus tecnicas y objetivos. En honeynets existen dos aspectos fundamentales en la administración: El control de flujo de datos: una vez que el atacante ha ingresado no la utilice como plataforma de salto para atacar otras máquinas. Captura de datos: monitorizar las actividades que un atacante lleva a cabo en la honeynet. Los datos recogidos nunca deben ser almacenados dentro del perímetro de la honeynet, ya que podrían ser destruidos por el atacante.

65 Clasificación de IDS Según como actúan. Detección de anomalías o Basados en estadísticas o Basados en especificaciones Detección de usos indebidos

66 Detección de anomalías Estos métodos de detección conocen lo que es normal en nuestra red o nuestras maquinas a la lardo del tiempo. Si uno de estos eventos se sale del conjunto de la normalidad automáticamente se cataloga como sospechoso. Para saber lo que es normal en el entorno de trabajo existen dos aproximaciones: Basado en estadísticas: El sistema es capaz de aprenderlo por sí mismo (basandose en el comportamiento de los usuarios, de sus procesos, del tráfico). Utiliza métodos estadísticos o mediante algoritmos de aprendizaje. El detector observa las actividades de los elementos del sistema y genera para cada uno de ellos un perfil. El perfil prioriza las estadísticas mas recientes. A intervalos periódicos se generan perfiles actuales que se comparan los almacenados previamente en busca de desviaciones que puedan indicar anomalías. Para la elaboración del perfil se definen diferentes medidas:

67 Detección de anomalías 1. Intensidad de la actividad: tasa de progreso de la actividad para intervalos muy pequeños. 2. Numéricas: por ejemplo número de ficheros leídos, tecleo incorrecto de claves. 3. Categóricas: mide la frecuencia relativa o la distribución determinada con respecto a otras actividades. 4. Distribución de registro de auditoría: analiza la distribución de actividades dándole mayor importancia a las mas recientes, y es comparada con un perfil de actividades habituales previamente almacenada

68 Detección de anomalías Basado en especificaciones: Consiste en describir mediante un conjunto de reglas el comportamiento habitual del sistema (comportamiento deseable). Esta descripción se realiza en base a una especificación de seguridad mediante gramática. El inconveniente es que es difícil determinar el tráfico normal de una red. Para ello las políticas de aprendizaje son las principales responsables. Por ejemplo, un aprendizaje rápido puede ser una debilidad ante intrusos que generen eventos que distorsionen lo normal. Por el contrario un aprendizaje lento considerara cualquier evento que se aleje mínimamente de lo normal como algo anómalo.

69 Clasificación de IDS Según como actúan. Detección de anomalías Detección de usos indebidos o Sistemas expertos o Análisis de transición de estados o Reglas de comparación y emparejamiento de patrones o Detección basados en modelos

70 Detección de usos indebidos Se basa en especificar las potenciales intrusiones que amenazan a un sistema y esperar a que alguna de ellas ocurra. Para la implementación existen cuatro grandes aproximaciones: Sistemas expertos: Se elaboran instrucciones a modo de reglas de la forma if CONDICIÓN them ACCIÓN Cada una de estas reglas compara eventos únicos o secuencia de eventos. Análisis de transición de estados: Una intrusión se contempla como una secuencia de eventos (estados). Si se consigue identificar las secuencias intermedias se podrá detener la intrusión antes de que se haga efectiva. Reglas de comparación y emparejamiento de patrones: El sistema es capaz de detectar los ataques que sufre sin importar el estado inicial en que esté cuando se produzca dicha detección. Detección basadas en modelos: Utiliza una base de datos de escenarios de ataque, cada uno de los cuales está formado por una secuencia de eventos que conforman el ataque.

71 Comparación entre métodos Los IDS basados en la detección de usos indebidos son mas robustos que los basados en la detección de anomalías por conocer la forma de los ataques (es extraño que generen falsos positivos) La debilidad en la detección de usos indebidos radica en que solo detectan lo que conocen y requieren actualización constante.

72 Implementación de un IDS

73 IDS en el Firewall Es el primer punto que separa al atacante de su objetivo El firewall trabaja al menos con cinco elementos que definen la conexión TCP/IP: dir origen, dir destino, puerto origen, puerto destino y protocolo. De cara a detectar ataques los mas importantes son: dir origen, dir destino y puerto destino. Con estos tres parámetros podemos detectar cierto tipo de ataques (el mas habitual es el escaneo de puertos, escaneo vertical y horizontal). Se puede implementar analizando cuando una misma dirección origen accede a un determinado puerto de varios destinos en menos de un cierto tiempo umbral (escaneo horizontal), o cuando accede a diferentes puertos bien conocidos de un mismo sistema también en menos de ese tiempo umbral (escaneo vertical)

74 Implementación de un IDS En el escaneo vertical se habla de puerto bien conocido porque muchas aplicaciones abren puertos destino (generalmente por encima de 1024) en una única sesión de funcionamiento, y el FIREWALL lo tomaría como un escaneo vertical, cuando en realidad no lo es. Una respuesta automática a este tipo de ataques es el bloqueo de la dirección del atacante en el propio FIREWALL.

75 Implementación de un IDS IDS en red Con frecuencia suele ser el sistema de protección mas importante y más ataques detecta. Uno de los IDS mas usados en redes de tráfico moderado es el SNORT (es un sniffer de fácil configuración, buena adaptabilidad y requerimientos mínimos). Es un IDS basado en red y funciona mediante detección de usos indebidos (posee una base de datos formada por patrones de ataque). Es un IDS activo (trabaja en tiempo real) La base de datos debe poseer solo los patrones de ataque de interés ( ej: ataques a servidores web). Si se sobrecarga la base de datos el IDS tardará mas en decidir si un paquete se adapta a algún patrón y se corre el riesgo que mientras realiza el análisis deje pasar tramas que presenten amenazas reales.

76 Implementación de un IDS Por otro lado se debe estudiar los patrones de tráfico para detectar falsos positivos, para reconfigurar la base de datos, etc. (se puede llegar a eliminar algún patrón que genere falsas alarmas) El sensor debe ser colocado en la zona protegida (después del FIREWALL). No se coloca antes del FIREWALL porque estaría analizando todos los posibles ataques sin ningún filtrado, y no es ese el fin. El objetivo es analizar el tráfico sospechoso que atraviesa el FIREWALL. El sensor no tiene porque tener dirección IP. Puede ser útil para que no sea alcanzado por el resto del sistema. Se puede utilizar una máquina con dos placas de red; una escuchando todo el tráfico y la otra configurada en forma normal.

77 Implementación de un IDS IDS en máquina Se utiliza en el caso que los esquemas de detección basados en red no perciben amenazas. Ej: Un IDS basado en red (como el SNORT) no podrá detectar una petición al puerto 80 (servidor web PHP con deficiencia de seguridad ocultas en código ASCII) que solicite un archivo. Es un complemento que refuerza la estrategia de seguridad. Los tres modelos IDS basados en máquina son modelos necesarios y útiles para distintas situaciones, por lo tanto tendremos que recurrir a cada uno de ellos según resulte mas útil. Los programas mas conocidos son: Tripwire, Swatch y Lids.

78 Implementación de un IDS TRIPWIRE (licencia GNU) El Tripwire se basa en verificación de integridad de archivos. Es un sistema pasivo ya que realiza análisis periódicos del sistema de archivos en busca de aquellos nuevos, borrados y comparando aquellos modificados con la base de datos. En un inicio el ids crea la base de datos original tomando en cuenta el estado del sistema que representa el un sistema limpio y sin intrusiones. Basándose en un archivo config, se construye la base de datos original,con un registro por archivo. El archivo de configuración puede tener solamente los nombres de los directorios Periódicamente se recalculan las firmas o resúmenes de los archivos y se comparan con la información en la base de datos.

79 Implementación de un IDS SWATCH (libre) El Swatch se basa en el monitoreo de registros. Es un sistema pasivo ya que realiza análisis periódicos de archivos de registros de eventos log generados por SYSLOG. Al final de un periodo determinado, entrega un resumen de las actividades monitoreadas basándose en un archivo de configuración de usuario.

80 Implementación de un IDS KFSensor(windows Honeypot). Compuesto por un único sistema que emula sistemas, servicios conocidos o vulnerabilidades.

81 Preguntas ¿Qué es un Firewall? ¿En qué se basa la arquitectura de Firewall Screened Subnet (DMZ)? ¿Cuáles son los puntos débiles de un Firewall? Definir IDS y nombrar qué requisitos debe cumplir ¿Cómo se clasifican los IDSs según el lugar donde actúan? Explique las diferencias entre detección de anomalías y detección de usos indebidos.

82


Descargar ppt "FIREWALL Y SISTEMAS DE DETECCIÓN DE INTRUSOS Allende, Sebastián Etcheverry, Juan Groppo, Ricardo."

Presentaciones similares


Anuncios Google