Sistemas Detectores de Intrusos IDS Por: Arturo de la Torre Escuela Politécnica del Ejercito 2006 Junio 9

¿Por qué es importante la seguridad de la Información? La importancia de la Información como elemento de ventaja competitiva en las empresas, exige el desarrollo de prácticas para una administración segura de los datos. La Seguridad de la Información comprende a: Personas, Procesos y Tecnologías. Es un componente del Riesgo de las Tecnologías de la Información Arturo de la Torre

Repercusión de las infracciones de seguridad Perjuicio de la reputación Pérdida de beneficios Deterioro de la confianza del inversor Pérdida o compromiso de seguridad de los datos Deterioro de la confianza del cliente Interrupción de los procesos empresariales Consecuencias legales Arturo de la Torre

PIRAMIDE DEL RIESGO INFORMATICO EN LOS DEPARTAMENTOS DE TECNOLOGIAS DE LA INFORMACION Arturo de la Torre

Qué son los eventos? Los eventos son acciones que se desarrollan en la red. Ejemplos de eventos son: intentos de conexiones, enlaces cumplidas entre dos estaciones de trabajo, una autentificación y login del sistema, una respuesta exitosa a un URL, o la respuesta enviada por un servidor a una petición realizada por un navegador. Arturo de la Torre

Qué es el Riesgo Informático? Diseñamos los sistemas para minimizar el Riesgo Informático. El riesgo es una función de la vulnerabilidad de los sistemas y la exposición de ellos al entorno como consecuencia de un evento. R = V x E Arturo de la Torre

Qué son los ataques del día cero? Los ataques del día cero, ocurren cuando se explota una vulnerabilidad que fue creada con anterioridad, o en el mismo día en que se encontró la vulnerabilidad del sistema. Las organizaciones de TI constantemente buscan que sus miembros tengan sistemas actualizados y parchados, pero la realidad es que muchos de los parches no han sido verificados con la debida precaución y se desconoce las secuencias de relacionarlos con otros paquetes que pueden encontrarse instalados en los hosts (Dilema de Prometeo). Este margen de error deja expuestos los sistemas a ataques, en el intervalo entre que se aplicó un parche y el instante en que se detectó la vulnerabilidad. Este espacio de tiempo puede un programador con medianos conocimientos aprovechar para generar un ataque devastador contra el sistema. Arturo de la Torre

Qué son las políticas de los scripts? Las políticas en scripts son programas destinados a detectar eventos. Ellos contienen las reglas que describen los tipos de actividades que deben ser desechadas por razones de administración. Ellos analizan los eventos en la red e inician acciones basadas en este análisis. Arturo de la Torre

Pueden utilizarse los scripts para ejecutar acciones? Sí, los scripts generan un número significativo de archivos de salida que manifiestan toda la actividad desarrollada en la red (incluyendo aquella información que no necesariamente representa un ataque). Los scripts pueden generar alertas que informan sobre un evento específico. Complementariamente, los scripts pueden ejecutar programas para terminar las conexiones existentes, bloquear el tráfico desde los hosts considerados peligrosos, mediante la introducción de reglas sobre los equipos maliciosos. Enviar e-mails de alertas o también mensajes a todo el staff responsable. Arturo de la Torre

TODOS LOS COMPONENTES DEL SISTEMA PUEDEN SER OBJETO DE ATAQUE WEB Server Mobile Users File/Applications Server Workstations E-mail Gateway Perimetral Security

Cuáles son los tipos de ataques más comunes y las firmas reconocidas? Los tipos de ataques más comunes son : ping sweeps, DNS zone transfers, e-mail recons, TCP or UDP port scans, y posiblemente la indexación de todo un sitio web para buscar vulnerabilidades. Los intrusos generalmente se aprovecharán de ventanas ocultas o fallas de programación para obtener acceso al sistema. Denial-of-service (DoS) es uno de los métodos de ataque más comun. Donde el intruso intenta violar un servicio en la máquina, sobrecargando los enlaces de red, sobrecargando el CPU o superando la capacidad del disco. El intruso no trata de obtener información del sistema, busca es violar las seguridades del mismo. Por tanto las firmas se basan en la evidencia que dejan estos tipos de ataques. Arturo de la Torre

Ejemplo de recolección de eventos en la red. Arturo de la Torre

Qué es un falso positivo? La mayoría de Sistemas de Seguridad utilizan firmas para comparar los tipos de ataques que puedan presentarse. En ocasiones la actividad normal de la red puede disparar un trigger en el Sistema de Seguridad , es decir se detecta una firma de ataque en el trabajo normal de la red. Los IDS detectan una firma de ataque durante la actividad normal del sistema. Por tanto, parte del mantenimiento del IDS deberá ser identificar el tipo de información con la cual estamos trabajando, y preparar el IDS para que esta información no sea identificada como un falso positivo. Arturo de la Torre

Qué es un falso negativo? La mayoría de Sistemas de Seguridad actuales se basan en comparación de firmas referentes a los ataques. En determinadas ocasiones, la actividad generada por un ataque no es correctamente identificada y consecuentemente no se dispara el trigger del IDS para alertar sobre el problema. Es decir esta sucediendo un ataque real y el Sistema de Seguridad no está informando debidamente sobre este evento. Arturo de la Torre

Cómo se detectan las intrusiones? Reconocimiento de firmas La mayoría de sistemas de este tipo se diseñan para examinar el tráfico, buscando en el mismo huellas de ataques conocidos. Esto significa que para cada técnica de Hacking, los ingenieros deberán codificar algo que identifiquen inequívocamente a esta técnica. Las opciones aquí conocidas pueden variar desde la simple coincidencia de un rastro dejado en el sistema. Por ejemplo rastrear el destino de cada paquete enviado por la red desde el origen "/cgi-bin/phf?", lo cual puede identificar que alguien esta intentando violar el sistema a través de una vulnerabilidad bien identificada en el servidor. Arturo de la Torre

Qué es la detección de intrusos? La Detección de Intrusos es un proceso activo que facilita la documentación, detección de ataques y código malicioso en la red. Esta basado en dos tipos de análisis que debe realizarse al software: El análisis del software en los hosts y el análisis de los paquetes en la red. Arturo de la Torre

Porqué es importante tener un IDS (Sistema Detector de Intrusos)? Los computadores conectados directamente al Internet son objeto continuo de ataques. Mientras que las medidas de protección como: configuraciones seguras, actualizaciones de software y firewalls son todas medidas preventivas difíciles de mantener y que no pueden garantizar un blindaje total contra todas las vulnerabilidades. Un IDS proporciona una defensa pro activa, detectando cada conexión y actividad peligrosa. Podemos decir que un IDS funciona como los ojos de un guardia, que persiguen a cualquier intruso, y que nos mantiene informados cuando todas las otras medidas de seguridad han fallado. Arturo de la Torre

Si un IDS no puede prevenir un ataque, por qué es necesario mantener uno? Un IDS no puede evitar una acción de hacking, y mas bien solo puede alertarnos sobre ciertas actividades peligrosas. Sin embargo, en base a anteriores experiencias conocemos que una acción de hacking y la violación de un sistema no son cosas que suceden en una noche. Una violación planificada de un sistema puede tomar varios días, semanas, meses e incluso años. En estos casos el IDS nos proporciona las alertas necesarias para tomar las medidas correctivas en nuestro sistema. Arturo de la Torre

Cuáles son los tipos de IDS más comunes? Los dispositivos IDS se clasifican en: Basados en firmas Basados en el análisis de acciones. Arturo de la Torre

Qué es un sistema IDS de red? Un IDS es un sistema diseñado para detectar y reportar intentos no autorizados de acceso al sistema o utilizar recursos que no están autorizados. Un sistema IDS de red, colecciona, filtra y analiza todo el tráfico que pasa a través de un punto de red específico. Arturo de la Torre

Otros tipos de IDS, además de los basados en el análisis del tráfico en la red. Existen IDS basados en el análisis del software existente en cada computador (o host). En estos sistemas cada equipo tiene instalado un IDS cliente, el cual reporta en forma local a una estación de monitoreo de la red. La ventaja de estos sistemas, radica en que las operaciones y configuraciones internas del sistema, pueden ser monitoreadas en forma individual. Arturo de la Torre

Cuál es la diferencia entre los IDS basados en el análisis de los HOSTS y los IDS basados en el análisis del flujo en la red. HIDS es un software que informa sobre el estado en que una máquina se encuentra. Esto lo realiza a través del análisis de los archivos en la máquina que indican si la máquina ha sido violada, comprometida o permanece segura. Algunos ejemplos de software basados en el concepto de HIDS son aquellos que manejan la integridad del sistema, por ejemplo (TripWire), Anti-virus software kaspersky y su tecnología iStream, Server Logs (syslog), y los sistemas de backup que permiten detectar cambios en el sistema. NIDS es un software que monitores los paquetes en la red y los examina en comparación con firmas existentes y reglas definidas. Cuando las reglas son violadas la acción puede ser registrada y el administrador informado sobre el estado. Ejemplos de estos sistemas son SNORT, ISS Real Secure, Junipher Arturo de la Torre

Cuáles son las condiciones requeridas para una óptima explotación de los HIDS? Los HIDS son sistemas que se utilizan para un monitoreo más puntual, en servidores específicos o máquinas importantes para la Institución. Los HIDS detectan cualquier anomalía en estos importantes servidores o hosts. Utilizamos HIDS cuando no podemos comprometer el buen funcionamiento de un servidor o grupo de equipos específicos. Los servidores deben ser muy importantes y de misión critica para que en ellos se instalen un IDS. Este monitoreo se realiza a través de un agente que se instala en el sistema, el agente monitorea el sistema y proporciona la información necesaria a la estación de monitoreo. Arturo de la Torre

Cuáles son las condiciones requeridas para una óptima explotación de los HIDS? Las firmas dejadas por un hacker son evidencias de una violación al sistema. Cuando un ataque malicioso es lanzado contra un sistema, el atacante necesariamente deja evidencias de sus acciones en los logs del sistema. Cada intento de violación deja huellas de accesos no autorizados (e.g., unauthorized software executions, failed logins, misuse of administrative privileges, file and directory access). Basados en esta evidencia el administrador puede documentar el ataque y prevenir la violación del sistema en el futuro. Además puede tener un registro de firmas propio complementario que le ayude a proteger el sistema en forma pro activa, determinado que ataque fue perpetrado, en qué forma y bajo qué condiciones. Arturo de la Torre

Cuál es la diferencia entre un firewall y un Sistema Detector de Intrusos? Un firewall es un sistema que normalmente se coloca para la protección perimetral de la red, define los accesos permitidos a los sistemas internos desde Internet. En el firewall cada acción que no esta explícitamente permitida tiene el acceso denegado a través de las reglas. Un Sistema Detector de Intrusos es un dispositivo de software o hardware conectado a la red, que permite monitorear y detectar todas las actividades sospechosas en el sistema. En términos simples se puede decir que el firewall representa una puerta o ventana de acceso, mientras que el IDS es una cámara que registra todos los eventos en el sistema. Un firewall puede bloquear una conexión, mientras que un IDS puede alertar sobre cualquier actividad sospechosa al interior de la red. Por otra parte existen los denominados IPS (Intrusion Prevention System) que son dispositivos que pueden bloquear en forma pro activa todas las conexiones sospechosas que puedan presentarse en el sistema. Arturo de la Torre

Cómo puedo verificar el buen funcionamiento de mi IDS? Coloquen el IDS en una red de prueba con un hub y un servidor de prueba. Ejecuten una herramienta como nmap contra el servidor. Cuando nmap haya terminado de atacar, el IDS deberá haber identificado el tipo de ataque. Si el IDS no detecto ningún ataque, significa que el sistema tienen unas firmas muy antiguas, y consecuentemente puede utilizar esta información para crear sus propias nuevas reglas. Finalmente escriba unos cuantos paquetes que utilicen las reglas escritas y verifiquen el buen funcionamiento. Arturo de la Torre

Ejemplos de algunos IDS personales? Algunos IDS están diseñados para ser aplicados en computadores personales. Estos paquetes proporcionan funciones de firewalls e IDS para computadores específicos o usuarios, ejemplos: Antihacker Kaspersky ZoneAlarm Arturo de la Torre

Qué herramientas pueden utilizarse para generar paquetes de verificación? Estas son algunas de las herramientas más utilizadas para esta actividad: kltps Hping Trinux Arturo de la Torre

Qué es un sistema de prevención de red IPS? Intrusion Prevention Systems (IPS), son sistemas que automáticamente detectan y bloquean el tráfico malicioso en la red. Permitiendo validar el tráfico en forma automática y en caso de ser necesario bloquear los eventos maliciosos antes de que lleguen a su destino final. Un IPS debe operar en tiempo real con el menor impacto para el sistema, en lo referente a latencia y debe ser escalable para cubrir toda la demanda de un sistema multigigabit. Arturo de la Torre

Prevención contra intrusos INFECTED

Porqué necesito un IPS, si en la actualidad yo tengo un firewall y un IDS? Los firewalls comúnmente se encuentran en el perímetro de la red, y muchos ataques pueden fácilmente violar esta seguridad. Muchos de estos ataques pueden ser inadvertidos para la organización. Ejemplos: Un empleado que utiliza su notebook en casa y en el trabajo. Un usuario que descarga malware en forma inadvertida desde Internet. Un usuario remoto que se conecta a través de una VPN, y se encuentra en un ambiente de alto riesgo. Usuarios disgustados o desadaptados, que sabotean intencionalmente los sistemas. Arturo de la Torre

Porqué necesito un IPS, si en la actualidad yo tengo un firewall y un IDS? Un IDS puede ser efectivo al detectar actividades sospechosas dentro del sistema, pero no proporciona protección contra los ataques por ejemplo de gusanos. Como por ejemplo: Slammer y Blaster, los que se reproducen tan rápidamente que para el momento en que se generan las alertas el daño ya fue causado. Para que una prevención sea efectiva, debe desarrollarse en línea y ser capaz de detectar automáticamente las acciones maliciosas. Adicionalmente, deberá bloquear los paquetes maliciosos en el tráfico normal de la red, antes de que pueda ocasionar daños. La prevención debe presentarse aún cuando las condiciones de tráfico son extremas y consecuentemente importantes. El tráfico positivo nunca deberá bloquearse aún durante un ataque de red. Finalmente un IPS deberá tener una latencia similar a la de un switch. Arturo de la Torre

Porqué necesito un IPS, si en la actualidad yo tengo un firewall y un IDS? Una vez aceptados estos parámetros para la efectiva prevención contra intrusos, es fácil determinar que agregando unos cuantos dispositivos para bloquear el tráfico no deseado se puede considerablemente incrementar el rendimiento del sistema. El concepto de bloquear el tráfico malicioso en la red, antes de que alcance los Hosts es el más simple y adecuado. Sin embargo dada la rápida evolución de los sistemas y la sofisticación de los ataques de fuerza bruta, los administradores de seguridad requieren de IPS y otros dispositivos complementarios como IDS y Firewalls para garantizar la seguridad. Arturo de la Torre

Cuáles son las principales características de un IPS? Las principales características de un buen IPS son: Bloquear los ataques conocidos y desconocidos, incluso los de día cero. No bloquear jamás el tráfico positivo aún bajo un ataque masivo.. En virtud que debe trabajar en línea debe ser una solución de hardware, para no convertirse en un punto de fallo. No depender de las firmas conocidas como su primera línea de identificación, sino mas bien tener otras formas más sofisticadas. No introducir latencia en la comunicación aún bajo un fuerte ataque o carga extrema, en virtud que esto generara un impacto negativo para el negocio. Una rápida configuración para una protección inmediata con requerimientos mínimos de mantenimiento. Arturo de la Torre

Cuáles son las principales características de un IPS? Acceso desde una consola central a todas las estaciones, que permiten mantener datos para auditoria. Capacidad de crecimiento proporcional a los nuevos requerimientos de la red. Actualizaciones que cubran los nuevos requerimientos que pueda presentar nuestra red a futuro (firmas, parches, configuraciones). Presentación de información en forma comprensible para los administradores, sobre los tipos de ataques maliciosos realizados contra el sistema, y recomendaciones para reprogramar los firewalls, email gateways, web services. Una combinación de análisis de trafico en la red y comportamiento de los sistemas operativos, a fin de determinar posibles amenazas. Arturo de la Torre