IDS (Intrusion Detection System)

IDS (

IDS (Intrusion Detection System)Por: KTCConceptos BsicosIntrusin: Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso.Tipos de intrusosSuplantadorUsuario fraudulentoUsuario clandestinoLa deteccin de la intrusin se basa en que el comportamiento del intruso difiere del comportamiento del usuario legitimoAnderson[ANDE80]2SuplantadorIndividuo que no est autorizado a usar la computadora y penetra hasta los controles de acceso del sistema para obtener provecho de la cuenta de un usuario legtimo. Usuario externoConceptos BsicosUsuario fraudulentoUsuario legtimo que accede a recursos para los que el acceso no est autorizado o que hace mal uso de sus privilegios. Usuario interno.Conceptos BsicosUsuario clandestinoIndividuo que toma el control de supervisin del sistema y lo usa para evadir los controles de auditora y de acceso o para suprimir informacin de auditora. Usuario interno o externo.Conceptos BsicosDeteccin de intrusos: Anlisis automtico de parmetros que modelan la actividad de un entorno con el propsito de detectar e identificar intrusiones.

Conceptos BsicosFalso positivo: deteccin de datos o paquetes como una amenaza o intrusin cuando en realidad no se trata de algn intento de ataque sobre alguna red.Falso negativo: paquetes o datos que son amenazas para una red pero el sistema de seguridad no detecta dichas amenazas.Conceptos BsicosDefinicinHerramienta o sistema de seguridad que monitorea el trfico en una red y los eventos ocurridos en un determinado sistema informtico, para identificar los intentos de ataques o amenazas que puedan comprometer la seguridad y el desempeo de dicho sistema.DefinicinSu desempeo se basa en la bsqueda y anlisis de patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre una red o host.Nos puede ayudar a conocer la amenaza existente dentro y fuera de la organizacin, ayuda a redactar la poltica.En un plan de gestin de la seguridad se deben establecer las posibles amenazas que puede sufrir la red.Enfoques para la deteccin de la intrusinDeteccin estadstica de anomalas: recopilar datos del comportamiento de usuarios legtimos.Deteccin de umbrales: frecuencia de acontecimientos, independiente del usuario.Basado en perfiles: perfil para cada usuario y detectar cambios por usuario.Intenta definir el comportamiento normal o esperado11Enfoques para la deteccin de la intrusinDeteccin basada en reglasDeteccin de anomalas: detectar desviacin en modelos anteriores.Identificacin de la penetracin: sistemas expertos que buscan comportamientos sospechosos.Intentan definir el comportamiento correcto12Registros de Auditora Registros nativos de auditora: los SO tiene un SW que recoge informacin.Registros de auditora especficos para la deteccin.Diagrama General de un IDS

Arquitectura General de un IDSFuente de datos: Un log, dispositivo de red, o el propio sistema.Reglas: Datos y patrones para detectar anomalas de seguridad en el sistema.Filtros: Comparan los datos de la red o de logs con los patrones almacenados en las reglas.Detectores de eventos anormales en el trfico de red.Dispositivo generador de informes y alarmas. En algunos casos con la sofisticacin suficiente como para enviar alertas va mail, o SMS.

Deteccin de AnomalasComportamiento regular de usuarios para sacar patrones.Creacin de perfiles.Aprendizaje de actividades normales y legtimas.

EnfoqueAnomala: desviacin en modelos anteriores18DesventajasFalsos positivosDesarrollo de un modelo preciso de la red tardado.Depende del proceso de aprendizaje.Entrenamiento restringido = falsos positivos.Entrenamiento general = falsos negativosVentajasMadurez de la tecnologa y ms inteligente

Deteccin de AnomalasEnfoqueSpade (Statical Packet Anomaly Detection Engine) mdulo gratuito para NIDS Snort.Wisdom and Sense (W&S) Laboratorio Nacional de Los lamos, sobre UNIXTcnicas* Sistemas basados en conocimiento: reglas y se va adquiriendo conocimientoSistemas basados en mtodos estadsticos: modelos en base a mtricasSistemas basados en aprendizaje automtico: minera de datos19Deteccin de usos incorrectosSe monitorea la actividad y se compara con datos previamente almacenados en una base de datos.Se detectan tentativas de explotacin de vulnerabilidadesDos Componentes principalesLenguaje o modelo que describa y represente tcnicas de los atacantes.Programas de monitorizacin.

EnfoqueTcnicasSistemas Expertos: motor de inferenciaDeteccin de firmas, busca de similitudes en observar la ocurrencia de patrones en la base de datos (desventaja ingresar una cada vez sea nueva)Anlisis de transicin de estados: mquina de estados finitos20HIDS (IDS basados en host)Diseados para monitorear, detectar y responder a los datos generados por un usuario o un sistema en un host.Recaban informacin del sistema como ficheros, logs, recursos, etc., para su posterior anlisis en busca de posibles incidencias.

Origen de DatosTripwire21HIDS (IDS basados en host)VentajasDetectan mejor ataques desde dentro del equipoAsocian usuarios y programas con sus efectos en el sistemaInforman sobre el estado del blanco atacadoProtegen el host donde residen.Origen de DatosHIDS (IDS basados en host)DesventajasLento en comparacin con el NIDSTardan en actuar (registros de actividad y cambios en el sistema)Dificultad de implantacin (S.O.)No son seguros si se ha atacado con xito.Si cae el host no se genera ninguna alerta.Origen de Datos

NIDS (IDS basados en red)Analizan el trfico de la red completa, examinando los paquetes individualmente.Detectando paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos. Buscar cual es el programa al que se est accediendo y producir alertas cuando un atacante intenta explotar algn fallo en este programa. Origen de DatosNIDS (IDS basados en red)Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No slo trabajan a nivel TCP/IP, tambin lo pueden hacer a nivel de aplicacin.Origen de DatosNIDS (IDS basados en red)Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No slo trabajan a nivel TCP/IP, tambin lo pueden hacer a nivel de aplicacin.Origen de DatosNIDS (IDS basados en red)ComponentesSensores (agentes): busca trfico sospechoso.Consola: recibe las alarmas de los sensores y reacciona dependiendo la alarma.

Origen de DatosNIDS (IDS basados en red)VentajasSe instala en un segmento de red, detecta ataques en todos los equipos conectados.Independiente de la plataforma de los equipos.Capaces de detectar manipulacin de cabeceras IP, negacin de servicio.Invisibles a los atacantes.Origen de DatosLos HIDS dejan huella en el sistema instalado29NIDS (IDS basados en red)DesventajasIneficientes con texto cifradoMalos en redes de alta velocidadCongestin = prdida de paquetesNo determina si un ataque tuvo xito o no.Origen de Datos30

Distribuidos (DIDS)Diferentes formatos de auditora.Uno o ms nodos sirven como puntos de recopilacin.EstructuraHay que asegurar la integridad de los datos y la confidencialidad32Distribuidos (DIDS)ComponentesAgentes: monitorean actividad.Transceptores: comunicacin.Maestro(s): centralizan datos.Consola: interfaz con operador.Estructura33

34CentralizadosEmplean sensores que transmiten informacin a un sistema central donde se controla todo.Estructura35

PasivosSlo notifican mediante algn mecanismo (alerta, log, etc.) pero no acta sobre el ataque o atacante.Comportamiento37ActivosGenera algn tipo de respuesta sobre el sistema atacante o fuente de ataque como cerrar la conexin o enviar algn tipo de respuesta predefinida.Comportamiento38Colocacin de un IDSZona Roja: Alto riesgo. Poco sensible, ya que habr mas falsos positivos.Zona Verde: Sensibilidad mayor que en la zona roja, menos falsos positivos.Zona Azul: Zona de confianza, trfico anmalo debe se considerado como hostil, menos falsos positivos.Snort 2.9.7.039

Colocacin de un IDSSNORT es una fuente abierta de prevencin y deteccin de intrusos de red ysistema, utiliza una norma impulsada por el idioma, que combina los beneficios de lafirma, protocolo y anomala basada en mtodos de inspeccin. Con millones dedescargas hasta la fecha, Snort es la herramienta de deteccin y prevencin deintrusiones, se ha convertido en el estndar de facto para la industria.Caractersticas: Ms de 700 firmas. Ligero. Distribucin Gratuita. Anlisis de trfico en Tiempo Real. Uso de Filtros Deteccin de Strings o Host Arbitrarios.40

InternetColocacin de un IDS41

InternetColocacin de un IDS42

Internet

Colocacin de un IDS43

Internet

Colocacin de un IDS44

InternetIDS para cada servicioIDS para detectar ataques hacia afueraColocacin de un IDS45Referenciashttp://underc0de.org/foro/seguridad/sistemas-ipsidships/Fundamentos de Seguridad en Redes Aplicaciones y Estndares. (William Stallings), 2 Edicin.Referenciashttp://catarina.udlap.mx/u_dl_a/tales/documentos/mcc/muniz_b_p/capitulo2.pdfhttp://network-uagrm.blogspot.mx/2013/01/sistemas-ids-parte1.htmlhttp://www.adminso.es/recursos/Proyectos/PFC/PFC_marisa.pdfhttp://www.adminso.es/index.php/SDI-I-TIPOS_DE_IDS

Referenciashttp://www.adminso.es/index.php/SDI-I-TIPOS_DE_IDShttp://slideplayer.es/slide/106589/http://mural.uv.es/emial/informatica/html/IDS.htmlhttp://www.linux-party.com/index.php/6000-el-sistema-de-deteccion-de-intrusos--snort---windows-y-linux-