IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
Sistemas de Detección de Intrusos Introducción Importancia de la seguridad en las organizaciones Desconocimiento de todas las vulnerabilidades Se descubren vulnerabilidades en los sistemas cada día 3/05/02 Sistemas de Detección de Intrusos
Tecnologías de la seguridad Escáneres de vulnerabilidades Sistemas (política de seguridad, usuarios, configuraciones,...) Servicios ofrecidos a los demás ordenadores Detectores de ataques Centinelas en los sistemas Análisis del flujo de datos que circulan por la red 3/05/02 Sistemas de Detección de Intrusos
Complementos a los cortafuegos Los cortafuegos se basan en un sistema de restricciones y excepciones Problema: cuando un atacante enmascara el tráfico o se comunica directamente con una aplicación remota el cortafuegos no cumple con su misión de primera barrera 3/05/02 Sistemas de Detección de Intrusos
Sistemas Detectores de Intrusos Complemento de seguridad de los firewalls Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red Intrusión: actividad realizada por personas no autorizadas o actividades no autorizadas 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos IDS: Clasificación Según localización: NIDS (Network Intrusion Detection System) HIDS (Host Intrusion Detection System) Según modelo de detección: Detección de mal uso Detección de uso anómalo Según naturaleza Pasivos Reactivos 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos NIDS: Introducción Analiza el tráfico de toda la red Examina paquetes en búsqueda de opciones no permitidas y diseñadas para no ser detectadas por los cortafuegos Produce alertas cuando se intenta explorar algún fallo de un programa de un servidor 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos NIDS: Componentes Sensores (agentes): situado en un segmento de red monitoriza en busca de tráfico sospechoso Una consola: recibe las alarmas de los sensores y reacciona según el tipo de alarma recibida 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos NIDS: Ventajas Detectan accesos no deseados en la red No necesitan software adicional en los servidores Fácil instalación y actualización (sistemas dedicados) 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos NIDS: Desventajas Número de falsos-positivos Sensores distribuidos en cada segmento de la red Tráfico adicional en la red Difícil detección de los ataques de sesiones encriptadas 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos HIDS: Introducción Analiza el tráfico sobre un servidor o un PC Detecta intentos fallidos de acceso Detecta modificaciones en archivos críticos 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos HIDS: Ventajas Potente: registra comandos, ficheros abiertos, modificaciones importantes,... Menor número de falsos-positivos que el NIDS Menor riesgo en las respuestas activas que los NIDS 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos HIDS: Inconvenientes Instalación en máquinas locales Carga adicional en los sistemas Tiende a confiar la auditoria y el loggin a la máquina 3/05/02 Sistemas de Detección de Intrusos
IDS: modelos de detección Detección del mal uso Verificación sobre tipos ilegales de tráfico de red Se implementa observando cómo explotar los puntos débiles de los sistemas y describiéndolos mediante patrones Ej.: combinaciones ‘imposibles’ dentro de un paquete, detección de sniffers,... 3/05/02 Sistemas de Detección de Intrusos
IDS: modelos de detección Detección de uso anómalo Estadísticas sobre tráfico típico en la red Detecta cambios en los patrones de utilización o comportamiento del sistema Utiliza modelos estadísticos y busca desviaciones estadísticas significantes Ej.: tráfico excesivo en horario fuera de oficina, accesos repetitivos ... 3/05/02 Sistemas de Detección de Intrusos
IDS: Según su naturaleza IDS Pasivo Detectan la posible violación de la seguridad, la registran y generan alerta IDS Activo Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos Topología de IDS Diferentes topologías dentro de una red Buscar un compendio entre coste económico, seguridad y necesidad de la empresa 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos Topología de IDS Antes del cortafuegos Aviso prematuro Detecta rastreo de puertos Número de alertas elevado En la DMZ Configuración exclusiva del NIDS para ataques dirigidos a los sistemas del DMZ En la intranet Volumen de tráfico a monitorizar reducido NIDS menos potentes 3/05/02 Sistemas de Detección de Intrusos
Topología de IDS: Ejemplo 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos Arquitectura de IDS Han evolucionado con el paso del tiempo y la aparición de nuevas tecnologías y métodos Dos principios básicos: Agentes autónomos distribuidos y coordinados por una entidad central Exploración de los datos en tiempo real 3/05/02 Sistemas de Detección de Intrusos
IDS: Agentes Autónomos Un mismo agente autónomo puede ser distribuido en cualquier host Cada agente monitoriza una característica El agente genera un informe y lo envia al transceiver al que pertenece Los transceivers procesan todos los informes y lo envían al monitor El monitor recopila información y obtiene conclusiones 3/05/02 Sistemas de Detección de Intrusos
IDS: Agentes Autónomos Transceiver Monitor Agente Flujo de Control HOST Flujo de Datos 3/05/02 Sistemas de Detección de Intrusos
IDS: Agentes Autónomos Ventajas: La caída o fallo de un agente no repercute en el sistema Los agentes pueden actuar de NIDS o HIDS Pueden existir agentes SNMP o auditores de routers 3/05/02 Sistemas de Detección de Intrusos
IDS: Agentes Autónomos Desventajas Consola central elemento crítico El tamaño de la red a monitorizar es limitado Aumento tráfico en red 3/05/02 Sistemas de Detección de Intrusos
IDS: Exploración en tiempo real El IDS ejecuta un conjunto de reglas con coste computacional creciente El flujo de datos es analizado en binario por programas especializados que los compara con patrones de la base de datos 3/05/02 Sistemas de Detección de Intrusos
IDS: Exploración en tiempo real Componentes Sensores: analizan y formatean los bits Detectores: procesan los datos para determinar ataques. Envía resultados a la base de datos. Dos tipos: Front-End: detecciones de intrusos sencilla Back-End: utilización de métodos complejos 3/05/02 Sistemas de Detección de Intrusos
IDS: Exploración en tiempo real Flujo de bits Sensor Detector Datos formateados Modelo Base de Datos Datos formateados Modelo Generador del Modelo Adaptativo 3/05/02 Sistemas de Detección de Intrusos
IDS: Exploración en tiempo real Ventajas Veracidad: pocos falsos-positivos Eficiencia: 4 niveles Nivel 1: características computadas al recibir el paquete Nivel 2: Características de la conexión Nivel 3: Características analizadas después de la conexión Estadísticas computadas al final de la conexión Usabilidad: facilidad de actualizar patrones Se conocen todos los datos recogidos por los detectores 3/05/02 Sistemas de Detección de Intrusos
IDS: Exploración en tiempo real Desventajas: Número de datos de entrenamiento elevados Requiere personal altamente preparado 3/05/02 Sistemas de Detección de Intrusos
Sistemas de Detección de Intrusos Conclusiones IDS es un complemento de seguridad de los cortafuegos Buscar soluciones que se adapten a los recursos de la empresa Integrar los IDS en la política de seguridad de la empresa 3/05/02 Sistemas de Detección de Intrusos