Sistemas de Detección de Intrusos
05/10/06 2
¿Qué es un IDS?
Un Sistema de Detección de Intrusos o IDS es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión.
Se Define intento de intrusión a cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste.
05/10/06 3
¿Por qué utilizar un IDS?
Detectar violaciones de seguridad que no pueden ser prevenidas por otros medios.
Detectar preámbulos de ataques.
Documentar el riesgo de la organización.
Proveer información útil sobre las intrusiones que ocurren.
05/10/06 4
Clasificación según fuentes de información NIDS
IDSs basados en red (NIDS)
Monitorizan el tráfico de red que afecta a múltiples hosts.
Ventajas:
Un IDS bien localizado puede monitorizar una red grande.
Tiene un impacto pequeño en la red.
Inconvenientes:
Problemas en redes con tráfico elevado (soluciones hardware).
No analizan información encriptada.
No saben si el ataque ha tenido éxito o no.
Problemas con paquetes fragmentados.
05/10/06 5
Clasificación según fuentes de información. HIDS
IDS basados en host (HIDS)Operan sobre los logs del sistema.Ventajas: Detectan ataques que no pueden ser vistos por un NIDS. Pueden operar en entornos con tráfico encriptado.Inconvenientes: Más costosos de administrar que los NIDS. Puede ser deshabilitado si el ataque logra tener éxito
(penetración o DoS). Disminuyen el rendimiento del sistema monitorizado.
05/10/06 6
Tipo de análisis efectuado por un IDS
Detección de abusos o firmasBuscan eventos que coincidan con un patrón
predefinido o firma que describe un ataque conocido.Ventajas:Son efectivos sin generar muchas falsas alarmas.Diagnostica rápidamente el uso de un ataque
específico.Inconvenientes:Deben de ser actualizados continuamente.
05/10/06 7
Detección de anomalías.
Se centra en identificar comportamientos inusuales en un host en una red.
Ventajas:Capacidad de detectar ataques para los cuales no
tiene conocimiento específico. La información que producen puede ser utilizada
para definir firmas en la detección de abusos.Inconvenientes:Gran número de falsas alarmas.Requieren conjuntos de entrenamiento muy grandes.
05/10/06 8
Tipos de Respuesta de un IDS
Activa
Al detectar un ataque se toman acciones de forma automática:
Recogida de información adicional.
Cambio del entorno
Pasiva
El IDS avisa al analista, al administrador del sistema atacado.
05/10/06 9
Localización de un IDS dentro de una organización
IDS
ZONA ROJA
IDS
ZONA AZULRed
Privada
Internet
IDS
ZONA VERDEFirewall
05/10/06 10
Ejemplos de IDSNo comerciales
Snort Disponible en UNIX y Windows. Número uno en IDSs en este momento. www.snort.org
05/10/06 11
Ejemplos de IDSComerciales
RealSecure
Serie Cisco 4200
IDS incorporados en Firewalls
05/10/06 12
Técnicas de evasión para Network IDS
Denegación de Servicio. (DoS)
Generación de gran numero de alarmas.
Evitar que el IDS vea el ataque.
El IDS ve el ataque pero no sabe que lo es.
05/10/06 13
Técnicas de evasión para Network IDS
Denegación de Servicio
Objetivo: Dejar inservible el IDS.
El IDS deja de actuar durante un lapso de tiempo.
Durante ese tiempo no se registran alarmas.
05/10/06 14
Técnicas de evasión para Network IDS
Denegación de Servicio
Objetivo: Dejar inservible el IDS.El IDS deja de actuar durante un lapso de tiempo.
Durante ese tiempo no se registran alarmas.
Flood de sesiones TCP.Flood de eventos.DoS especifico de S.O. o de IDS
05/10/06 15
Técnicas de evasión para Network IDS
Generación de gran numero de alarmas
Objetivo: Conseguir que el administrador no perciba el ataque. (DoS al administrador)
Generación de un gran numero de eventos en el IDS con el fin de ocultar el verdadero ataque, entre miles de ataques falsos.
05/10/06 16
Técnicas de evasión para Network IDS
Evitar que el IDS vea el ataque
Objetivo: Conseguir que el IDS no sea capaz de analizar la información correctamente.
Confundir al IDS para que no sea capaz de visualizar la acción maliciosa.
05/10/06 17
Soluciones para Técnicas de Evasión de IDS
Activar solo las firmas para detección de patrones que sean de interés
Usar herramientas de correlación de eventos
Utilizar un esquema distribuido de Sensores
05/10/06 18
Correlación de Eventos
Es la capacidad de agrupar eventos provenientes de varias fuentes, con el objetivo final de facilitar la labor de análisis, especificando lo máximo posible los detalles del mismo (impacto real, sistemas implicados, etc.).
El proceso de correlación se realiza en el momentodel registro de eventos en los sistemas dedetección
05/10/06 19
Correlación de Eventos
Una vez generado el evento y previo a su almacenamiento, se compara éste con los datos que el sistema conoce y que se puedan relacionar con el evento en cuestión. En función de qué tipo de datos se usen para el análisis del evento se distinguen varios tipos de correlación:
Correlación entre varios puntos de la infraestructura Correlación con otros eventos relacionados Correlación con otros datos conocidos del sistema objetivo
05/10/06 20
Correlación de Eventos
Correlación entre varios puntos de la infraestructura
Este tipo de correlación permite hacer un seguimiento de los puntos exactos en los que se ha detectado el comportamiento anómalo que genera el evento, evitando así la duplicidad de eventos.
05/10/06 21
Correlación de Eventos
Correlación con otros eventos relacionados
Son eventos que por sí solos no tengan especial significado, pero junto con otros eventos pueden dar lugar a la identificación de un ataque específico
05/10/06 22
Correlación de Eventos
Correlación con otros datos conocidos del sistema objetivo
El evento que se genera se compara con información de vulnerabilidades registradas del sistema o sistemas objetivos, y se ajusta el nivel de criticidad en función de si el ataque puede o no tener éxito.
05/10/06 23
FIN!
Sistemas de Detección de Intrusos