Post on 29-Jun-2015
1
SISTEMAS DE DETECCION
DE INTUSIONES
2
DEFINICIONES
Intrusión
Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso.
Sistema de Detección y Prevención de Intrusiones:
Elemento que detecta, identifica y responde a actividades no autorizadas o anormales
3
IDPS Sistema de Detección/Protección de Intrusos
Funciones básicas:• Monitorear
• Detectar
• Responder ante eventos sospechosos que entran/salen de la red
4
Arquitectura de IDSBásicamente existen dos tipos de detectores de Intrusos:
IDSes basados en redUn IDS basado en red monitorea los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el trafico (como un SWITCH o un enrutador). Este donde este, monitorizara diversas maquinas y no una sola: esta es la principal diferencia con los sistemas de detección de intrusos basados en host.
5
Arquitectura de IDS
IDSes basados en maquinaMientras que los sistemas de detección de intrusos basados en red operan bajo todo un dominio de colisión, los basados en maquina realizan su función protegiendo un único sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en background (o que despierta periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala utilización y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado.
IDS
IDS
6
¿CÓMO FUNCIONA?
IDS
FiltrosDescartan
paquetes de información que
cumplen con ciertos criterios como IP fuente,
protocolo, puerto.
PatronesComparan la
información de los paquetes y los
datos mismos para tomar acciones
correctivas como desconexión, e-
mail, almacenamiento
en logs, etc.
7
Interoperabilidad y correlación
• La interoperabilidad, permite que un sistema IDS pueda compartir u obtener información de otros sistemas como Firewalls, Enrutadores y Switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red.
• La correlación es una característica que añade a los IDS la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.
8
IPDS Vs Firewall Los firewalls están atentos a los intrusos pero no a los
ataques internos en la red.
Los IDPS ven ataques en los propios firewalls gracias a la detección basada en firmas las cuales son pasadas por altos en dichos equipos.
Los IDPS investigan el contenido y los archivos de registros de Firewalls, Routers
El firewall busca intrusos en la red a fin de que un ataque no suceda.
El IDPS evalúa intrusiones sospechosas que han tenido lugar y genera un alerta de ello
Estas herramientas son creadas para utilizarse en conjunto y no para sustituir una por
9
INTEGRACIÓN CON FIREWALL
Normalmente el IDS se integra con un firewall. El detector de intrusos es incapaz de detener los
ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall.
Al integrarles, se obtiene una herramienta muy poderosa que une la inteligencia del IDS y el poder de bloqueo del firewall, el punto por donde forzosamente deben pasar los paquetes y donde pueden ser bloqueados antes de penetrar en la red.
10
Escenarios de monitoreo de Seguridad
Sensor por dentro del FireWall
IDS
FireWall
Internet
11
Escenarios de monitoreo de SeguridadSensor por fuera del FireWall
IDS
FireWall
Internet
12
Escenarios de monitoreo de SeguridadSistemas híbridos
IDS
FireWall
InternetIDS
13
Tendencias y proyección de IDSs
Realidad: Los ataques están incrementando Las herramientas son cada día mas sofisticadas Cyber-Terrorismo Atacantes Internos
Soluciones a futuro: Integración de Antivirus con IDSs y FireWalls Desencripcion del trafico encriptado para análisis de Seguridad Correlación de eventos entre diferentes dispositivos en la red Detección de intrusos a nivel de aplicativo, como por ejemplo software de oficina Personal mas calificado en temas de seguridad informática
14
Políticas y planeación de la
seguridad
15
Los riesgos de seguridad no se pueden eliminar o prevenir completamente.
Una política de seguridad es un importante componente para decidir como el riesgo puede ser manejado.
Los Routers proveen un gran numero de servicios de red que permiten a los usuarios mantener procesos y conectividad de red, alguno de estos servicios pueden ser restringidos o deshabilitados previniendo problemas de seguridad.
16
El ciclo de seguridad
Muchos de los incidentes de seguridad ocurren debido a que los administradores no implementan medidas que contabilicen ataques, o reconozcan riesgos potenciales como hackers o personal interno; en general el problema no solo es uno
Es donde se implementa el ciclo de seguridad, un proceso continuo como primera medida a implementar
Los pasos para la implementación son los siguientes:AsegurarMonitorearProbarMejorar
17
Políticas de seguridad de red
BeneficiosAuditoria con datos actualesProvee una vista general de la redDefine el comportamiento permitido y no permitidoA menudo ayuda a determinar que herramientas son necesitadas por la organizaciónAyuda a comunicar al grupo clave de la organización para la definición de responsabilidadesCreación de procesos en el manejo de incidentesHabilita la implementación de la seguridad globalCrea los parámetros para una acción legal si es necesaria
18
Componentes y tecnologías basadas en la seguridad
En PCs nuevas, cuando un nuevo sistema operativo es instalado en una computadora, las opciones de seguridad están configuradas con opciones inadecuadas
Los nombres de usuario y passwords deben de ser cambiados inmediatamente
Acceso a los recursos del sistema debería de ser restringido a las personas y equipo autorizado
Cualquier servicio o aplicaciones innecesarias deben de ser desinstaladas cuando sea posible
19
Componentes y tecnologías basadas en la seguridad
Firewalls personales
En computadoras personales conectadas al Internet a través de conexiones DialUP, DSL, o cable modems son un punto vulnerable para la seguridad de la red, si este es el caso es necesario activar un Firewall Personal a fin de prevenir ataques.
Este tipo de Firewalls no esta diseñado para asegurar redes internas o servidores, mas bien previenen el acceso no autorizado a información dentro de una computadora personal
Alguno de las marcas: McAfee, Norton, Symantec, Zone Labs
20
Componentes y tecnologías basadas en la seguridad
Software Anti-virusHabrá que instalar un software que proteja a las computadoras personales contra virus o aplicaciones Trojanas
Paquetes de servicio de sistema operativo
La forma mas efectiva de mitigar cualquier problema inusual del sistema operativo es instalar los “parches” o actualizaciones al SO.
21
Mantenimiento de PCs
Es necesario mantener un inventario de cada uno de los equipos en la red, como estaciones de trabajo, servidores y laptops, incluyendo números de serie
Es particularmente importante educar a los empleados sobre el mantenimiento seguro de las laptops
Cuando el software, dispositivos de hardware o componentes de almacenamiento son remplazados debe ser reflejado el cambio en el inventario, para esto deben de existir los procedimientos necesarios
22
Componentes y tecnologías basadas en la red
Appliance Firewall
Server Firewall
IDS
VPN
Identity
23
La red de auto-defensa Esta estrategia permite a las organizaciones usar
su inversión actual de enrutamiento, conmutación, inalámbrico y plataformas de seguridad para crear un sistema que pueda ayudar a identificar, prevenir y adaptarse a los ataques continuos a la empresa
Tres sistemasConectividad seguraDefensaConfiabilidad y Soluciones de Identidad
24
Conectividad Segura
Asegura la privacidad e integridad de toda la información que es vital para la empresa
Las empresas además de proteger las comunicaciones externas, ellos deben de asegurar que la información transportada a través del cableado interno y de la infraestructura inalámbrica permanezca confidencial
SolucionesVPN Site-to-SiteVPNs de acceso remotoSeguridad de VozSeguridad InalámbricaManejo de Soluciones y Monitoreo
25
Manejo de defensa Este sistema ofrece de forma conjunta soluciones de seguridad y
tecnologías de red inteligente a fin de identificar y mitigar todos los riesgos desde dentro y fuera de la organización
ElementosSeguridad en el punto de acceso (Endpoint)
Integración de firewalls
Prevención de intrusos
Servicios de seguridad y de red inteligentes
Manejo y Monitoreo
26
Confiabilidad y soluciones de Identidad
Las organizaciones necesitan de forma eficiente y segura saber quien, que y cuando los accesos a la red ocurren y como es ese acceso, esta solución puede convertir virtualmente cada dispositivo de red en un dispositivo dentro de una parte integral de toda una estrategia de seguridad
FuncionesRe-enforzamiento
Aprovisionamiento
Monitoreo