Descargar la presentación
La descarga está en progreso. Por favor, espere
1
IDS/IPS Intrusion Detection System/Intrusion Prevention System
Dispositivo/aplicación que supervisa actividades de red o sistema para detectar eventos sospechosos o maliciosos. Respondiendo con alarmas y generando reportes
2
¿Por qué es necesario un IDS?
Bloquea cosas malas externas conocidas Detecta cosas sospechosas internas
3
Sistemas de Detección de Intrusos (IDS)
Si todas las protecciones fallan, sólo nos queda detectar cuando algo no deseado ocurre Proceso de detectar actividades anormales, inapropiadas o incorrectas La mayoría de los ataques son perpetrados desde el interior
4
Detectar cosas malas conocidas
Detección Detectar cosas malas conocidas Basada en conocimiento Patrones de comportamiento sospechoso Detectar cosas no buenas Basada en comportamiento Pérfil de comportamiento normal Análisis estadístico
5
Monitoriza actividades de usuario y sistema
IDS Monitoriza actividades de usuario y sistema Audita configuración de sistemas Reconoce patrones de ataques conocidos Identifica actividad anormal Análisis estadístico Registra información de intrusos
6
Problemas Falsos positivos Falsos negativos Falsas alarmas
Generar alarma cuando no pasó nada Falsos negativos No generar la alarma cuando hubo una intrusión
7
Funcionamiento continuo y en tiempo real
Características Funcionamiento continuo y en tiempo real Tolerancia a fallas del sistema Tolerancia a fallas de si mismo Mínima carga adicional (overhead) Configurabilidad Flexibilidad Confiabilidad Mínimo falsos positivos No falsos negativos
8
Tipos de IDS Network Intrusion Detection Systems
Host-Based Intrusion Detection Systems Hybrid Intrusion Detection Systems Signature-Based Intrusion Detection Systems Anomaly-Based Intrusion Detection Systems
9
Network IDS Supervisa paquetes en la red Detecta actividad anormal
Lee y analiza paquetes que entran y salen en busca de patrones de actividad sospechosa Se puede configurar para que trabaje con otros sistemas
10
Host based IDS Supervisa y analiza el equipo en el que está instalado
Verifica si algún programa o usuario ha evadido la política de seguridad establecida por el sistema operativo. Se encuentra al tanto del estado del equipo
11
HIDS vs NIDS HIDS Típicamente es un software instalado en un sistema
Agent-based Monitoriza múltiples fuentes de datos, incluyendo el sistema de archivos tipo meta-data, y archivos tipo log Wrapper-based Actúa como un firewall – bloquea o acepta conexiones o logins de acuerdo a políticas previamente establecidas. NIDS Monitoriza el tráfico en la red Reporta tráfico considerado “anormal” Basado en anomalías Tamaño de paquetes, destinos, protocol de distribuciones, etc Difícil de determinar que tráfico es “normal” Basado en firmas La mayoría de los productos utiliza tecnologías basadas en firmas.
12
Signature Based IDS Busca patrones de eventos específicos de ataques documentados y conocidos Típicamente conectado a grandes bases de datos que contienen la información de la firmas. Sólo detecta ataques conocidos y registrados en la base de datos. Lenta ejecución cuando se detectan ciertos patrones dañinos conocidos.
13
Anomaly Based IDS Identifica intrusos al momentos de detectar anomalías Funciona con la noción de que la “conducta extraña” es lo suficientemente diferente a la “conducta normal” El administrador del sistema define los parámetros de la conducta normal Tiene la capacidad de detectar nuevos ataques Problemas con falsos positivos, mucho tiempo de proceso en los encabezados, requiere tiempo para crear records estadísticos de comportamiento.
14
IDS y ........... Prevención Detección Se necesitan ambos! Reacción
Puertas, candados, rejas, perro, etc. Detección Detectores movimiento, de humo, perrito, etc. Se necesitan ambos! Reacción Alarma, llamar policía, soltar perrote, etc.
15
Sistemas de prevención de Intrusos
IPS: Intrusion Prevention System Detección antes del ataque IDS de reacción activa o firewall? Es un término muy usado
16
Snort (
Presentaciones similares
