Sistemas de Detección de Intrusos -...

© 2005 IBM Corporation

Sistemas de Detección de Intrusos

Alcances y recomendaciones para selección de una arquitectura y su despliegue

Por: Xavier Sánchez <[email protected]>

2

IBM del Perú

IDS – Detección de Intrusos © 2005 IBM Corporation

AGENDA� Sistemas de Detección de Intrusos (IDS)� Tipos de IDS

� Fuente de información

� Análisis

� Respuesta

� Interrelación

� Meta

� Estrategia de control

� Tiempo

� Herramientas complementarias� Modelos y estrategias de despliegue� Fortalezas y limitaciones de los IDS� Consejos para la selección de IDS� Productos OpenSource: Snort y BASE

3

IBM del Perú


Sistemas de Detección de Intrusos�Conceptos básicos

�Hardware o software

�Automatización

�Monitoreo de eventos (en sistemas o en redes)

�Análisis – búsqueda de evidencia de problemas de seguridad

- Intentos de comprometer

Integridad

Confidencialidad

Disponibilidad

- Pasar por alto mecanismos de seguridad

4

IBM del Perú


Sistemas de Detección de Intrusos�Necesidad de su uso

�Protección de los sistemas de las amenazas inherentes a la conectividad y a la confiabilidad de los sistemas de información

�Detección de problemas que no pueden prevenirse con otras herramientas o medidas de seguridad

�Documentación de las amenazas actuales

�Control de la calidad del diseño de la seguridad

�Provisión de información de las intrusiones para diagnóstico, recuperación y corrección de las causas

5

IBM del Perú


Tipos de IDS�Clasificación en función a la fuente de información� Basados en Red

- Pueden monitorear una “gran red”, poco impacto, seguros e incluso pueden ser “invisibles”

- Problemas con redes con alto tráfico, con redes “switchadas”, tráfico cifrados. No se sabe si los ataques fueron exitosos

� Basados en Host

- Detectan ataques que los basados en red no pueden, trabajan bien con tráfico cifrado y en redes “switchadas”.

- Difícil de administrar, pueden ser atacados y deshabilitados, requieren gran cantidad de espacio en disco, reducen la performance

� Basados en Aplicación

- Detecta actividad no autorizada de usuarios individuales

6

IBM del Perú


Tipos de IDS�Clasificación en función al análisis de los eventos�Basados en firmas o detección de mal uso

- Efectivos: bajo porcentaje de falsas alarmas

- Solamente detectan aquellos ataques que conocen: requieren actualización constante de las “firmas”

�Detección de anomalías

- Detectan comportamiento inusual: habilidad para detectar síntomas de ataques no conocidos; la información obtenida puede servir para definir nuevas “firmas”

- Producen una gran cantidad de falsas alarmas

7

IBM del Perú


Tipos de IDS�Clasificación en función a las opciones de respuesta�Respuesta activa

- Colección de información adicional

- Cambio del entorno

- Tomar acción en contra del intruso

�Respuesta pasiva

- Alarmas y notificaciones

�Consideraciones referidas a las respuestas:

- Capacidad de generación y almacenamiento de reportes

- Consideraciones de alta disponibilidad

8

IBM del Perú


Tipos de IDS�Clasificación referida a como los componentes funcionales se relacionan entre sí� Co-location de Host y Target

- IDS funciona o “corre” en el mismo sistema que proteje.

- Puede ser deshabilitado si el sistema objetivo (Target) es atacado satisfactoriamente

� Separación de Host y Target

- IDS funciona en otro sistema diferente del que se proteje.

- Facilidad para esconder su presencia de los atacantes

9

IBM del Perú


Tipos de IDS�Clasificación basada en las estrategias de control�Centralizada

- Controlada desde una localización central

�Parcialmente distribuida

- El monitoreo y la detección es controlada desde un nodo local con una jerarquía de generación de reportes a una o más localidades

�Completamente distribuida

- Hace uso de un acercamiento basado en agentes, donde la decisión de la respuesta es hecha en cada punto de análisis

10

IBM del Perú


Tipos de IDSControl Centralizado

11

IBM del Perú


Tipos de IDSControl parcialmentedistribuido

12

IBM del Perú


Tipos de IDSControl completamente distribuido

13

IBM del Perú


Tipos de IDS�Clasificación basada en el tiempo

�Basado en intervalos de tiempo (batch mode)

- El flujo de información entre los puntos de monitoreo y las herramientas de análisis no es contínuo

�En tiempo real

- Permite al IDS tomar acción

14

IBM del Perú


Herramientas complementarias�Análisis de vulnerabilidades

�Basados en Host

�Basados en Red

�Revisión de integridad de archivos

�Message Digest u otras técnicas criptográficas

�Honey Pots y Honey Nets

�Atrae potenciales atacantes a sistemas con información ficticia aparentando ser verdadera

15

IBM del Perú


Modelos y estrategias de despliegue�Consideraciones generales

�Desplegando IDS basados en Red

�Desplegando IDS basados en Host

�Estrategia para la selección de alarmas

16

IBM del Perú


17

IBM del Perú


Fortalezas y limitaciones de un IDS� Fortalezas

� Monitoreo y análisis de eventos y del comportamiento de los usuarios.

� Prueba del estado de seguridad de la configuración de sistemas

� Seguimiento de cambios a la configuración base de seguridad de los sistemas

� Reconocimiento de patrones de eventos que corresponden con ataques conocidos

� Reconocimiento de patrones de actividad que estadísticamente difieren del comportamiento normal

� Alerta al personal apropiado por medios apropiados cuando un ataque ha sido detectado

� Provee políticas de seguridad de la información

18

IBM del Perú


Fortalezas y limitaciones de un IDS� Limitaciones

� No pueden compensar la falta o la debilidad de mecanismos de seguridad en la infraestructura:

- firewalls,

- identificación y autenticación,

- cifrado del tráfico en los enlaces,

- mecanismos de control de acceso

- detección y erradicación de viruses.

� Respuesta automática cuando hay alta carga

� Respuesta efectiva contra ataques lanzados por hackers sofisticados

� Investigar ataques automáticamente

� Tratar efectivamente con redes basadas en switches

19

IBM del Perú


Consejos para la selección de un IDS� Consideraciones técnicas y políticas

� Entorno

� Metas y objetivos de seguridad: Plan de Seguridad

� Política de seguridad

� Requerimientos y limitaciones organizacionales� Requerimientos de fuera de la organización

� Limitación de recursos

� Características y calidad del producto� Escalable en el entorno en el que se va a desplegar

� Probado

� Habilidad necesaria en el usuario

� Capacidad de evolucionar con el crecimiento de la organización

� Soporte técnico del fabricante

20

IBM del Perú


Productos OpenSource: Snort

� Sistema de prevensión de intrusos en tiempo real

�Análisis de protocolos

�Búsqueda de contenidos

�Detección de ataques y pruebas:

-buffer overflows,

-stealth port scan,

-CGI attacks,

-SMB probes,

-OS fingerprinting,

-Y muchos más

21

IBM del Perú


Productos OpenSource: Snort

� Lenguaje flexible basado en reglas� Motor de detección de arquitectura modular� Alertas en tiempo real:

�Syslog

�filesystem

�UNIX sockets

�Winpopup (usando smbclient)

� Tres usos principales: �sniffer,

�packet logger

�sistema de prevensión de intrusos

22

IBM del Perú


Productos OpenSource: BASE

� BASE: Basic Analysis and Security Engine

� Basado en el código del proyecto ACID (Analysis Console por Intrusion Database)

� Web front-end para análisis de las alertas provenientes de una sonda/sensor basado en Snort

23

IBM del Perú


© 2005 IBM Corporation

Sistemas de Detección de Intrusos

Alcances y recomendaciones para selección de una arquitectura y su despliegue

Por: Xavier Sánchez <[email protected]>

Gracias,

Sistemas de Detección de Intrusos -...

Documents

Transcript of Sistemas de Detección de Intrusos -...