IDS/IPS Intrusion Detection System/Intrusion Prevention System Dispositivo/aplicación que supervisa actividades de red o sistema para detectar eventos sospechosos o maliciosos. Respondiendo con alarmas y generando reportes

¿Por qué es necesario un IDS? Bloquea cosas malas externas conocidas Detecta cosas sospechosas internas

Sistemas de Detección de Intrusos (IDS)‏ Si todas las protecciones fallan, sólo nos queda detectar cuando algo no deseado ocurre Proceso de detectar actividades anormales, inapropiadas o incorrectas La mayoría de los ataques son perpetrados desde el interior

Detectar cosas malas conocidas Detección Detectar cosas malas conocidas Basada en conocimiento Patrones de comportamiento sospechoso Detectar cosas no buenas Basada en comportamiento Pérfil de comportamiento normal Análisis estadístico

Monitoriza actividades de usuario y sistema IDS Monitoriza actividades de usuario y sistema Audita configuración de sistemas Reconoce patrones de ataques conocidos Identifica actividad anormal Análisis estadístico Registra información de intrusos

Problemas Falsos positivos Falsos negativos Falsas alarmas Generar alarma cuando no pasó nada Falsos negativos No generar la alarma cuando hubo una intrusión

Funcionamiento continuo y en tiempo real Características Funcionamiento continuo y en tiempo real Tolerancia a fallas del sistema Tolerancia a fallas de si mismo Mínima carga adicional (overhead) Configurabilidad Flexibilidad Confiabilidad Mínimo falsos positivos No falsos negativos

Tipos de IDS Network Intrusion Detection Systems Host-Based Intrusion Detection Systems Hybrid Intrusion Detection Systems Signature-Based Intrusion Detection Systems Anomaly-Based Intrusion Detection Systems

Network IDS Supervisa paquetes en la red Detecta actividad anormal Lee y analiza paquetes que entran y salen en busca de patrones de actividad sospechosa Se puede configurar para que trabaje con otros sistemas

Host based IDS Supervisa y analiza el equipo en el que está instalado Verifica si algún programa o usuario ha evadido la política de seguridad establecida por el sistema operativo. Se encuentra al tanto del estado del equipo

HIDS vs NIDS HIDS Típicamente es un software instalado en un sistema Agent-based Monitoriza múltiples fuentes de datos, incluyendo el sistema de archivos tipo meta-data, y archivos tipo log Wrapper-based Actúa como un firewall – bloquea o acepta conexiones o logins de acuerdo a políticas previamente establecidas. NIDS Monitoriza el tráfico en la red Reporta tráfico considerado “anormal” Basado en anomalías Tamaño de paquetes, destinos, protocol de distribuciones, etc Difícil de determinar que tráfico es “normal” Basado en firmas La mayoría de los productos utiliza tecnologías basadas en firmas.

Signature Based IDS Busca patrones de eventos específicos de ataques documentados y conocidos Típicamente conectado a grandes bases de datos que contienen la información de la firmas. Sólo detecta ataques conocidos y registrados en la base de datos. Lenta ejecución cuando se detectan ciertos patrones dañinos conocidos.

Anomaly Based IDS Identifica intrusos al momentos de detectar anomalías Funciona con la noción de que la “conducta extraña” es lo suficientemente diferente a la “conducta normal” El administrador del sistema define los parámetros de la conducta normal Tiene la capacidad de detectar nuevos ataques Problemas con falsos positivos, mucho tiempo de proceso en los encabezados, requiere tiempo para crear records estadísticos de comportamiento.

IDS y ........... Prevención Detección Se necesitan ambos! Reacción Puertas, candados, rejas, perro, etc. Detección Detectores movimiento, de humo, perrito, etc. Se necesitan ambos! Reacción Alarma, llamar policía, soltar perrote, etc.

Sistemas de prevención de Intrusos IPS: Intrusion Prevention System Detección antes del ataque IDS de reacción activa o firewall? Es un término muy usado

Snort (www.snort.org)