Anda di halaman 1dari 35

Sistemas Detectores de Intrusos

IDS

Por qu es importante la seguridad de la


Informacin?
La

importancia de la Informacin como elemento


de ventaja competitiva en las empresas, exige el
desarrollo de prcticas para una administracin
segura de los datos.
La Seguridad de la Informacin comprende a:
Personas, Procesos y Tecnologas.
Es un componente del Riesgo de las Tecnologas
de la Informacin
Arturo de la Torre

Repercusin de las infracciones de seguridad

Prdida de
beneficios

Perjuicio de la
reputacin

Deterioro de la
confianza del
inversor

Prdida o
compromiso
de seguridad
de los datos

Deterioro de la
confianza del
cliente

Interrupcin de
los procesos
empresariales

Consecuencias
legales

Arturo de la Torre

PIRAMIDE DEL RIESGO INFORMATICO EN LOS


DEPARTAMENTOS DE TECNOLOGIAS DE LA INFORMACION

Increased Oversight

Significant
Threats

Vulnerabilities s

Legal
Regulatory

Cybercriminal actions

code red
nimda
slammer
msblast

Arturo de la Torre

Qu son los eventos?


Los

eventos son acciones que se desarrollan en


la red.
Ejemplos
de eventos son: intentos de
conexiones, enlaces cumplidas entre dos
estaciones de trabajo, una autentificacin y login
del sistema, una respuesta exitosa a un URL, o la
respuesta enviada por un servidor a una peticin
realizada por un navegador.
Arturo de la Torre

Qu es el Riesgo Informtico?
Diseamos los sistemas para minimizar el Riesgo
Informtico.
El riesgo es una funcin de la vulnerabilidad de los sistemas
y la exposicin de ellos al entorno como consecuencia de un
evento.

R=VxE
Arturo de la Torre

Qu son los ataques del da cero?

Los ataques del da cero, ocurren cuando se explota una vulnerabilidad


que fue creada con anterioridad, o en el mismo da en que se encontr
la vulnerabilidad del sistema.
Las organizaciones de TI constantemente buscan que sus miembros
tengan sistemas actualizados y parchados, pero la realidad es que
muchos de los parches no han sido verificados con la debida precaucin
y se desconoce las secuencias de relacionarlos con otros paquetes que
pueden encontrarse instalados en los hosts (Dilema de Prometeo).
Este margen de error deja expuestos los sistemas a ataques, en el
intervalo entre que se aplic un parche y el instante en que se detect la
vulnerabilidad. Este espacio de tiempo puede un programador con
medianos conocimientos aprovechar para generar un ataque devastador
contra el sistema.
Arturo de la Torre

Qu son las polticas de los scripts?

Las

polticas en scripts son programas


destinados a detectar eventos. Ellos contienen
las reglas que describen los tipos de
actividades que deben ser desechadas por
razones de administracin.
Ellos analizan los eventos en la red e inician
acciones basadas en este anlisis.
Arturo de la Torre

Pueden utilizarse los scripts para ejecutar


acciones?

S, los scripts generan un nmero significativo de archivos


de salida que manifiestan toda la actividad desarrollada en
la red (incluyendo aquella informacin que no
necesariamente representa un ataque).
Los scripts pueden generar alertas que informan sobre un
evento especfico.
Complementariamente, los scripts pueden ejecutar
programas para terminar las conexiones existentes,
bloquear el trfico desde los hosts considerados peligrosos,
mediante la introduccin de reglas sobre los equipos
maliciosos.
Enviar e-mails de alertas o tambin mensajes a todo el staff
responsable.
Arturo de la Torre

TODOS LOS COMPONENTES DEL SISTEMA PUEDEN


SER OBJETO DE ATAQUE

WEB
Server

Mobile
Users

File/Applications
Server

E-mail
Gateway

Workstatio
ns

Perimetral

Cules son los tipos de ataques ms


comunes y las firmas reconocidas?

Los tipos de ataques ms comunes son : ping sweeps, DNS zone


transfers, e-mail recons, TCP or UDP port scans, y posiblemente
la indexacin de todo un sitio web para buscar vulnerabilidades.
Los intrusos generalmente se aprovecharn de ventanas ocultas
o fallas de programacin para obtener acceso al sistema.
Denial-of-service (DoS) es uno de los mtodos de ataque ms
comun. Donde el intruso intenta violar un servicio en la mquina,
sobrecargando los enlaces de red, sobrecargando el CPU o
superando la capacidad del disco.
El intruso no trata de obtener informacin del sistema, busca es
violar las seguridades del mismo. Por tanto las firmas se basan en
la evidencia que dejan estos tipos de ataques.
Arturo de la Torre

Ejemplo de recoleccin de eventos en


la red.

Arturo de la Torre

Qu es un falso positivo?

La mayora de Sistemas de Seguridad utilizan firmas para


comparar los tipos de ataques que puedan presentarse.
En ocasiones la actividad normal de la red puede disparar un
trigger en el Sistema de Seguridad , es decir se detecta una
firma de ataque en el trabajo normal de la red.
Los IDS detectan una firma de ataque durante la actividad
normal del sistema.
Por tanto, parte del mantenimiento del IDS deber ser
identificar el tipo de informacin con la cual estamos
trabajando, y preparar el IDS para que esta informacin no
sea identificada como un falso positivo.
Arturo de la Torre

Qu es un falso negativo?

La mayora de Sistemas de Seguridad actuales se basan


en comparacin de firmas referentes a los ataques.
En determinadas ocasiones, la actividad generada por un
ataque
no
es
correctamente
identificada
y
consecuentemente no se dispara el trigger del IDS para
alertar sobre el problema.
Es decir esta sucediendo un ataque real y el Sistema de
Seguridad no est informando debidamente sobre este
evento.
Arturo de la Torre

Cmo se detectan las intrusiones?

Reconocimiento de firmas
La mayora de sistemas de este tipo se disean para
examinar el trfico, buscando en el mismo huellas de
ataques conocidos. Esto significa que para cada tcnica de
Hacking, los ingenieros debern codificar algo que
identifiquen inequvocamente a esta tcnica.
Las opciones aqu conocidas pueden variar desde la simple
coincidencia de un rastro dejado en el sistema. Por ejemplo
rastrear el destino de cada paquete enviado por la red
desde el origen "/cgi-bin/phf?", lo cual puede identificar que
alguien esta intentando violar el sistema a travs de una
vulnerabilidad bien identificada en el servidor.
Arturo de la Torre

Qu es la deteccin de intrusos?

La Deteccin de Intrusos es un proceso activo


que facilita la documentacin, deteccin de
ataques y cdigo malicioso en la red.
Esta basado en dos tipos de anlisis que debe
realizarse al software: El anlisis del software
en los hosts y el anlisis de los paquetes en la
red.
Arturo de la Torre

Porqu es importante tener un IDS


(Sistema Detector de Intrusos)?

Los computadores conectados directamente al Internet son


objeto continuo de ataques. Mientras que las medidas de
proteccin como: configuraciones seguras, actualizaciones
de software y firewalls son todas medidas preventivas
difciles de mantener y que no pueden garantizar un blindaje
total contra todas las vulnerabilidades.
Un IDS proporciona una defensa pro activa, detectando
cada conexin y actividad peligrosa. Podemos decir que un
IDS funciona como los ojos de un guardia, que persiguen a
cualquier intruso, y que nos mantiene informados cuando
todas las otras medidas de seguridad han fallado.
Arturo de la Torre

Si un IDS no puede prevenir un ataque,


por qu es necesario mantener uno?

Un IDS no puede evitar una accin de hacking, y mas bien


solo puede alertarnos sobre ciertas actividades peligrosas.
Sin embargo, en base a anteriores experiencias conocemos
que una accin de hacking y la violacin de un sistema no
son cosas que suceden en una noche.
Una violacin planificada de un sistema puede tomar varios
das, semanas, meses e incluso aos. En estos casos el
IDS nos proporciona las alertas necesarias para tomar las
medidas correctivas en nuestro sistema.
Arturo de la Torre

Cules son los tipos de IDS ms


comunes?

Los

dispositivos IDS se clasifican en:

Basados en firmas
Basados en el anlisis de acciones.

Arturo de la Torre

Qu es un sistema IDS de red?


Un

IDS es un sistema diseado para detectar y


reportar intentos no autorizados de acceso al
sistema o utilizar recursos que no estn
autorizados.
Un sistema IDS de red, colecciona, filtra y analiza
todo el trfico que pasa a travs de un punto de
red especfico.
Arturo de la Torre

Otros tipos de IDS, adems de los basados en el


anlisis del trfico en la red.

Existen IDS basados en el anlisis del software


existente en cada computador (o host).
En estos sistemas cada equipo tiene instalado un
IDS cliente, el cual reporta en forma local a una
estacin de monitoreo de la red.
La ventaja de estos sistemas, radica en que las
operaciones y configuraciones internas del
sistema, pueden ser monitoreadas en forma
individual.
Arturo de la Torre

Cul es la diferencia entre los IDS basados en el anlisis de


los HOSTS y los IDS basados en el anlisis del flujo en la red.

HIDS es un software que informa sobre el estado en que una


mquina se encuentra. Esto lo realiza a travs del anlisis de los
archivos en la mquina que indican si la mquina ha sido violada,
comprometida o permanece segura.
Algunos ejemplos de software basados en el concepto de HIDS
son aquellos que manejan la integridad del sistema, por ejemplo
(TripWire), Anti-virus software kaspersky y su tecnologa iStream,
Server Logs (syslog), y los sistemas de backup que permiten
detectar cambios en el sistema.
NIDS es un software que monitores los paquetes en la red y los
examina en comparacin con firmas existentes y reglas
definidas. Cuando las reglas son violadas la accin puede ser
registrada y el administrador informado sobre el estado. Ejemplos
de estos sistemas son SNORT, ISS Real Secure, Junipher
Arturo de la Torre

Cules son las condiciones requeridas para una


ptima explotacin de los HIDS?

Los HIDS son sistemas que se utilizan para un monitoreo


ms puntual, en servidores especficos o mquinas
importantes para la Institucin.
Los HIDS detectan cualquier anomala en estos importantes
servidores o hosts.
Utilizamos HIDS cuando no podemos comprometer el buen
funcionamiento de un servidor o grupo de equipos
especficos.
Los servidores deben ser muy importantes y de misin critica
para que en ellos se instalen un IDS.
Este monitoreo se realiza a travs de un agente que se
instala en el sistema, el agente monitorea el sistema y
proporciona la informacin necesaria a la estacin de
Arturo de la Torre
monitoreo.

Cules son las condiciones requeridas para


una ptima explotacin de los HIDS?

Las firmas dejadas por un hacker son evidencias de una violacin al sistema.
Cuando un ataque malicioso es lanzado contra un sistema, el atacante
necesariamente deja evidencias de sus acciones en los logs del sistema.
Cada intento de violacin deja huellas de accesos no autorizados (e.g.,
unauthorized software executions, failed logins, misuse of administrative
privileges, file and directory access).
Basados en esta evidencia el administrador puede documentar el ataque y
prevenir la violacin del sistema en el futuro.
Adems puede tener un registro de firmas propio complementario que le ayude a
proteger el sistema en forma pro activa, determinado que ataque fue perpetrado,
en qu forma y bajo qu condiciones.

Arturo de la Torre

Cul es la diferencia entre un firewall y


un Sistema Detector de Intrusos?

Un firewall es un sistema que normalmente se coloca para la proteccin


perimetral de la red, define los accesos permitidos a los sistemas internos
desde Internet. En el firewall cada accin que no esta explcitamente
permitida tiene el acceso denegado a travs de las reglas.
Un Sistema Detector de Intrusos es un dispositivo de software o hardware
conectado a la red, que permite monitorear y detectar todas las actividades
sospechosas en el sistema. En trminos simples se puede decir que el
firewall representa una puerta o ventana de acceso, mientras que el IDS es
una cmara que registra todos los eventos en el sistema.
Un firewall puede bloquear una conexin, mientras que un IDS puede alertar
sobre cualquier actividad sospechosa al interior de la red. Por otra parte
existen los denominados IPS (Intrusion Prevention System) que son
dispositivos que pueden bloquear en forma pro activa todas las conexiones
sospechosas que puedan presentarse en el sistema.
Arturo de la Torre

Cmo puedo verificar el buen


funcionamiento de mi IDS?

Coloquen el IDS en una red de prueba con un hub y un


servidor de prueba.
Ejecuten una herramienta como nmap contra el servidor.
Cuando nmap haya terminado de atacar, el IDS deber
haber identificado el tipo de ataque.
Si el IDS no detecto ningn ataque, significa que el
sistema tienen unas firmas muy antiguas, y
consecuentemente puede utilizar esta informacin para
crear sus propias nuevas reglas.
Finalmente escriba unos cuantos paquetes que utilicen las
reglas escritas y verifiquen el buen funcionamiento.
Arturo de la Torre

Ejemplos de algunos IDS personales?


Algunos

IDS estn diseados para ser aplicados


en computadores personales. Estos paquetes
proporcionan funciones de firewalls e IDS para
computadores especficos o usuarios, ejemplos:
Antihacker Kaspersky
ZoneAlarm
Arturo de la Torre

Qu herramientas pueden utilizarse para


generar paquetes de verificacin?

Estas

son algunas de las herramientas ms


utilizadas para esta actividad:
kltps
Hping
Trinux

Arturo de la Torre

Qu es un sistema de prevencin de
red IPS?

Intrusion Prevention Systems (IPS), son sistemas que


automticamente detectan y bloquean el trfico malicioso
en la red. Permitiendo validar el trfico en forma
automtica y en caso de ser necesario bloquear los
eventos maliciosos antes de que lleguen a su destino
final.
Un IPS debe operar en tiempo real con el menor impacto
para el sistema, en lo referente a latencia y debe ser
escalable para cubrir toda la demanda de un sistema
multigigabit.
Arturo de la Torre

Prevencin contra intrusos

INFECTED

Porqu necesito un IPS, si en la actualidad


yo tengo un firewall y un IDS?

Los firewalls comnmente se encuentran en el permetro de la red, y


muchos ataques pueden fcilmente violar esta seguridad. Muchos de
estos ataques pueden ser inadvertidos para la organizacin. Ejemplos:
1.
2.
3.
4.

Un empleado que utiliza su notebook en casa y en el trabajo.


Un usuario que descarga malware en forma inadvertida desde Internet.
Un usuario remoto que se conecta a travs de una VPN, y se
encuentra en un ambiente de alto riesgo.
Usuarios disgustados o desadaptados, que sabotean
intencionalmente los sistemas.
Arturo de la Torre

Porqu necesito un IPS, si en la actualidad


yo tengo un firewall y un IDS?
Un IDS puede ser efectivo al detectar actividades sospechosas dentro del
sistema, pero no proporciona proteccin contra los ataques por ejemplo de
gusanos. Como por ejemplo: Slammer y Blaster, los que se reproducen tan
rpidamente que para el momento en que se generan las alertas el dao ya
fue
causado.

Para que una prevencin sea efectiva, debe desarrollarse en lnea y ser
capaz de detectar automticamente las acciones maliciosas. Adicionalmente,
deber bloquear los paquetes maliciosos en el trfico normal de la red, antes
de que pueda ocasionar daos.
La prevencin debe presentarse an cuando las condiciones de trfico son
extremas y consecuentemente importantes.
El trfico positivo nunca deber bloquearse an durante un ataque de red.
Finalmente un IPS deber tener una latencia similar a la de un switch.
Arturo de la Torre

Porqu necesito un IPS, si en la actualidad


yo tengo un firewall y un IDS?

Una vez aceptados estos parmetros para la efectiva prevencin contra


intrusos, es fcil determinar que agregando unos cuantos dispositivos
para bloquear el trfico no deseado se puede considerablemente
incrementar el rendimiento del sistema.
El concepto de bloquear el trfico malicioso en la red, antes de que
alcance los Hosts es el ms simple y adecuado.
Sin embargo dada la rpida evolucin de los sistemas y la sofisticacin de
los ataques de fuerza bruta, los administradores de seguridad requieren
de IPS y otros dispositivos complementarios como IDS y Firewalls para
garantizar la seguridad.
Arturo de la Torre

Cules son las principales caractersticas de


un IPS?

1.
2.

3.
4.

5.

Las principales caractersticas de un buen IPS son:


Bloquear los ataques conocidos y desconocidos, incluso los de da
cero.
No bloquear jams el trfico positivo an bajo un ataque masivo..
En virtud que debe trabajar en lnea debe ser una solucin de
hardware, para no convertirse en un punto de fallo.
No depender de las firmas conocidas como su primera lnea de
identificacin, sino mas bien tener otras formas ms sofisticadas.
No introducir latencia en la comunicacin an bajo un fuerte ataque o
carga extrema, en virtud que esto generara un impacto negativo para el
negocio.
Una rpida configuracin para una proteccin inmediata con
requerimientos mnimos de mantenimiento.
Arturo de la Torre

Cules son las principales caractersticas de


un IPS?

Acceso desde una consola central a todas las estaciones, que permiten
mantener datos para auditoria.
Capacidad de crecimiento proporcional a los nuevos requerimientos de
la red.
Actualizaciones que cubran los nuevos requerimientos que pueda
presentar nuestra red a futuro (firmas, parches, configuraciones).
Presentacin de informacin en forma comprensible para los
administradores, sobre los tipos de ataques maliciosos realizados contra
el sistema, y recomendaciones para reprogramar los firewalls, email
gateways, web services.
Una combinacin de anlisis de trafico en la red y comportamiento de los
sistemas operativos, a fin de determinar posibles amenazas.
Arturo de la Torre

Anda mungkin juga menyukai