La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

Presentaciones similares


Presentación del tema: "DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812"— Transcripción de la presentación:

1 DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
IDS (INTRUSION DETECTION SYSTEM) DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos

2 INTRUSO Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.

3 INTRUSIÓN Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.

4 IDS Un sistema de detección de intrusos (IDS) es un complemento de seguridad de los firewalls. Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red. El objetivo final de cualquier IDS es el de atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos.

5 CARACTERISTICAS IDS Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

6 Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.

7 Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc.

8 IDS SE CLASIFICAN: Según localización:
NIDS (Network Intrusion Detection System). HIDS (Host Intrusion Detection System). Según modelo de detección: Detección de mal uso Detección de uso anómalo Según naturaleza Pasivos Activos

9 NIDS Analiza el tráfico de toda la red
Examina paquetes en búsqueda de opciones no permitidas y diseñadas para no ser detectadas por los cortafuegos Produce alertas cuando se intenta explorar algún fallo de un programa de un servidor

10 NIDS: Componentes Sensores (agentes): situado en un segmento de red monitoriza en busca de tráfico sospechoso Una consola: recibe las alarmas de los sensores y reacciona según el tipo de alarma recibida

11 NIDS DESVENTAJAS: VENTAJAS: Detectan accesos no deseados en la red
Número de alto falsos-positivos Sensores distribuidos en cada segmento de la red Tráfico adicional en la red Difícil detección de los ataques de sesiones encriptadas VENTAJAS: Detectan accesos no deseados en la red No necesitan software adicional en los servidores Fácil instalación y actualización (sistemas dedicados)

12 HIDS Analiza el tráfico sobre un servidor o un PC
Detecta intentos fallidos de acceso Detecta modificaciones en archivos críticos

13 HIDS VENTAJAS: DESVENTAJAS:
Potente: registra comandos, ficheros abiertos, modificaciones importantes. Menor número de falsos-positivos que el NIDS Menor riesgo en las respuestas activas que los NIDS DESVENTAJAS: Instalación en máquinas locales Carga adicional en los sistemas Tiende a confiar la auditoria y el loggin a la máquina

14 IDS: modelos de detección
Detección del mal uso: Verificación sobre tipos ilegales de tráfico de red Se implementa observando cómo explotar los puntos débiles de los sistemas y describiéndolos mediante patrones Ej.: combinaciones ‘imposibles’ dentro de un paquete, detección de sniffers.

15 IDS: modelos de detección
Detección de uso anómalo: Estadísticas sobre tráfico típico en la red Detecta cambios en los patrones de utilización o comportamiento del sistema Utiliza modelos estadísticos y busca desviaciones estadísticas significantes Ej.: tráfico excesivo en horario fuera de oficina, accesos repetitivos ...

16 IDS: Según su naturaleza
IDS Pasivo: Detectan la posible violación de la seguridad, la registran y generan alerta IDS Activo: Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall

17 DONDE COLOCAR UN IDS Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en cada host ó en cada tramo de red. Esto último sería un tanto lógico cuando se trata de grandes redes, no es nuestro caso ahora. Lo lógico sería instalar el IDS en un dispositivo por donde pase todo el tráfico de red que nos interese.

18 POSICION DEL IDS Si colocamos el IDS antes del cortafuegos capturaremos todo el tráfico de entrada y salida de nuestra red. La posibilidad de falsas alarmas es grande. La colocación delante del cortafuegos monitorizará todo el tráfico que no sea detectado y parado por el firewall o cortafuegos, por lo que será considerado como malicioso en un alto porcentaje de los casos. La posibilidad de falsas alarmas muy inferior. Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás del cortafuegos para obtener información exacta de los tipos de ataques que recibe nuestra red ya que si el cortafuegos está bien configurado puede parar o filtras muchos ataques. En ambientes domésticos, podemos colocar el IDS en la misma máquina que el cortafuegos. En este caso actúan en paralelo, es decir, el firewall detecta los paquetes y el IDS los analizaría.

19

20 CONCLUSIONES IDS es un complemento de seguridad de los cortafuegos que apoya a la seguridad de un sistema informático. Busca soluciones que se adapten a los recursos de la empresa y del sistema. Se recomienda integrar los IDS en la política de seguridad de la empresa para una mayor seguridad.


Descargar ppt "DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812"

Presentaciones similares


Anuncios Google