sistemas de detección de intrusos · un sistema de detección de intrusos o ids es una ......
TRANSCRIPT
![Page 1: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/1.jpg)
Sistemas de Detección de Intrusos
![Page 2: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/2.jpg)
05/10/06 2
¿Qué es un IDS?
Un Sistema de Detección de Intrusos o IDS es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión.
Se Define intento de intrusión a cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste.
![Page 3: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/3.jpg)
05/10/06 3
¿Por qué utilizar un IDS?
Detectar violaciones de seguridad que no pueden ser prevenidas por otros medios.
Detectar preámbulos de ataques.
Documentar el riesgo de la organización.
Proveer información útil sobre las intrusiones que ocurren.
![Page 4: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/4.jpg)
05/10/06 4
Clasificación según fuentes de información NIDS
IDSs basados en red (NIDS)
Monitorizan el tráfico de red que afecta a múltiples hosts.
Ventajas:
Un IDS bien localizado puede monitorizar una red grande.
Tiene un impacto pequeño en la red.
Inconvenientes:
Problemas en redes con tráfico elevado (soluciones hardware).
No analizan información encriptada.
No saben si el ataque ha tenido éxito o no.
Problemas con paquetes fragmentados.
![Page 5: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/5.jpg)
05/10/06 5
Clasificación según fuentes de información. HIDS
IDS basados en host (HIDS)Operan sobre los logs del sistema.Ventajas: Detectan ataques que no pueden ser vistos por un NIDS. Pueden operar en entornos con tráfico encriptado.Inconvenientes: Más costosos de administrar que los NIDS. Puede ser deshabilitado si el ataque logra tener éxito
(penetración o DoS). Disminuyen el rendimiento del sistema monitorizado.
![Page 6: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/6.jpg)
05/10/06 6
Tipo de análisis efectuado por un IDS
Detección de abusos o firmasBuscan eventos que coincidan con un patrón
predefinido o firma que describe un ataque conocido.Ventajas:Son efectivos sin generar muchas falsas alarmas.Diagnostica rápidamente el uso de un ataque
específico.Inconvenientes:Deben de ser actualizados continuamente.
![Page 7: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/7.jpg)
05/10/06 7
Detección de anomalías.
Se centra en identificar comportamientos inusuales en un host en una red.
Ventajas:Capacidad de detectar ataques para los cuales no
tiene conocimiento específico. La información que producen puede ser utilizada
para definir firmas en la detección de abusos.Inconvenientes:Gran número de falsas alarmas.Requieren conjuntos de entrenamiento muy grandes.
![Page 8: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/8.jpg)
05/10/06 8
Tipos de Respuesta de un IDS
Activa
Al detectar un ataque se toman acciones de forma automática:
Recogida de información adicional.
Cambio del entorno
Pasiva
El IDS avisa al analista, al administrador del sistema atacado.
![Page 9: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/9.jpg)
05/10/06 9
Localización de un IDS dentro de una organización
IDS
ZONA ROJA
IDS
ZONA AZULRed
Privada
Internet
IDS
ZONA VERDEFirewall
![Page 10: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/10.jpg)
05/10/06 10
Ejemplos de IDSNo comerciales
Snort Disponible en UNIX y Windows. Número uno en IDSs en este momento. www.snort.org
![Page 11: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/11.jpg)
05/10/06 11
Ejemplos de IDSComerciales
RealSecure
Serie Cisco 4200
IDS incorporados en Firewalls
![Page 12: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/12.jpg)
05/10/06 12
Técnicas de evasión para Network IDS
Denegación de Servicio. (DoS)
Generación de gran numero de alarmas.
Evitar que el IDS vea el ataque.
El IDS ve el ataque pero no sabe que lo es.
![Page 13: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/13.jpg)
05/10/06 13
Técnicas de evasión para Network IDS
Denegación de Servicio
Objetivo: Dejar inservible el IDS.
El IDS deja de actuar durante un lapso de tiempo.
Durante ese tiempo no se registran alarmas.
![Page 14: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/14.jpg)
05/10/06 14
Técnicas de evasión para Network IDS
Denegación de Servicio
Objetivo: Dejar inservible el IDS.El IDS deja de actuar durante un lapso de tiempo.
Durante ese tiempo no se registran alarmas.
Flood de sesiones TCP.Flood de eventos.DoS especifico de S.O. o de IDS
![Page 15: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/15.jpg)
05/10/06 15
Técnicas de evasión para Network IDS
Generación de gran numero de alarmas
Objetivo: Conseguir que el administrador no perciba el ataque. (DoS al administrador)
Generación de un gran numero de eventos en el IDS con el fin de ocultar el verdadero ataque, entre miles de ataques falsos.
![Page 16: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/16.jpg)
05/10/06 16
Técnicas de evasión para Network IDS
Evitar que el IDS vea el ataque
Objetivo: Conseguir que el IDS no sea capaz de analizar la información correctamente.
Confundir al IDS para que no sea capaz de visualizar la acción maliciosa.
![Page 17: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/17.jpg)
05/10/06 17
Soluciones para Técnicas de Evasión de IDS
Activar solo las firmas para detección de patrones que sean de interés
Usar herramientas de correlación de eventos
Utilizar un esquema distribuido de Sensores
![Page 18: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/18.jpg)
05/10/06 18
Correlación de Eventos
Es la capacidad de agrupar eventos provenientes de varias fuentes, con el objetivo final de facilitar la labor de análisis, especificando lo máximo posible los detalles del mismo (impacto real, sistemas implicados, etc.).
El proceso de correlación se realiza en el momentodel registro de eventos en los sistemas dedetección
![Page 19: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/19.jpg)
05/10/06 19
Correlación de Eventos
Una vez generado el evento y previo a su almacenamiento, se compara éste con los datos que el sistema conoce y que se puedan relacionar con el evento en cuestión. En función de qué tipo de datos se usen para el análisis del evento se distinguen varios tipos de correlación:
Correlación entre varios puntos de la infraestructura Correlación con otros eventos relacionados Correlación con otros datos conocidos del sistema objetivo
![Page 20: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/20.jpg)
05/10/06 20
Correlación de Eventos
Correlación entre varios puntos de la infraestructura
Este tipo de correlación permite hacer un seguimiento de los puntos exactos en los que se ha detectado el comportamiento anómalo que genera el evento, evitando así la duplicidad de eventos.
![Page 21: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/21.jpg)
05/10/06 21
Correlación de Eventos
Correlación con otros eventos relacionados
Son eventos que por sí solos no tengan especial significado, pero junto con otros eventos pueden dar lugar a la identificación de un ataque específico
![Page 22: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/22.jpg)
05/10/06 22
Correlación de Eventos
Correlación con otros datos conocidos del sistema objetivo
El evento que se genera se compara con información de vulnerabilidades registradas del sistema o sistemas objetivos, y se ajusta el nivel de criticidad en función de si el ataque puede o no tener éxito.
![Page 23: Sistemas de Detección de Intrusos · Un Sistema de Detección de Intrusos o IDS es una ... Monitorizan el tráfico de red que afecta a múltiples hosts. ... con el fin de ocultar](https://reader030.vdocuments.net/reader030/viewer/2022040915/5e8cbfcf53b6a931d9293834/html5/thumbnails/23.jpg)
05/10/06 23
FIN!
Sistemas de Detección de Intrusos