Tecnologías de
Detección de Intrusos
Carlos Fragoso Mariscal
Director Técnico
[email protected]
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --11
11
http://www.jessland.net
Agenda
• Introducción
• HIDS: nivel de host
• NIDS: nivel de red
• Respuesta activa y prevención de intrusiones
• Gestión de eventos de seguridad
• Máquinas y redes trampa
• Conclusiones
• Referencias
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --22
22
http://www.jessland.net
Introducción (I)
• ¿ Por qué pueden interesarse en mi ?
– Ataques oportunistas
– Ataques dirigidos
– Ataques internos
• NO es una cuestión de ‘SI’ sino de ‘CUANDO’
• Tipos de ataques:
– Nivel de enlace
– Nivel de red
– Nivel de aplicación web !!!
• Detección de Intrusiones vs Detección de Ataques
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --33
33
http://www.jessland.net
Introducción (II)
“La prevención es idonea pero
“La prevención es idonea pero
la detección es imprescindible”
la detección es imprescindible”
• … pero ... ¡¡¡ si ya tengo un cortafuegos !!!
– Los cortafuegos se preocupan de tus perímetros
– ¿ Qué ocurre si se logra penetrar en el perímetro ?
• Adjuntos maliciosos de correo, páginas web maliciosas,
VPN’s, redes inalámbricas, etc.
• Función de auditoría:
– Nos dicen que ocurre en nuestras redes
• Valor “forense”:
– Clave para una recuperación efectiva
• ¿ Que hicieron en el sistema ?
• ¿ Cómo consiguieron entrar ?
• ¿ Que debo parchear o fortificar ?
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --44
44
http://www.jessland.net
Perfiles de intruso informático
• Las motivaciones de los intrusos informáticos son muy variadas:
diversión, egocentrismo, económicas, políticas, ideológicas, etc
• Según sus conocimientos:
– Hacker de élite ~ Elite hacker
– Ciberpiltrafillas ~ Script kiddies
• Considerando sus intenciones:
– Blackhat, Grayhat, Whitehat
• Desde que el negocio está en la red las motivaciones
económicas han llevado a la delincuencia a la red:
– Spammers, extorsiones por revelación de secretos, hacking entre gobiernos, etc.
section of the population avail themselves
more readily and speedily of the latest
triumphs of science than the criminal class“
“It is a well-known fact that no other
- Inspector John Bonfield, Chicago police (1888)
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --55
55
http://www.jessland.net
¡¡¡ Conoce a tu enemigo !!!
“Know Your Enemy and know yourself; in a
hundred battles, you will never be defeated.
When you are ignorant of the enemy but know
yourself, your chances of winning or losing are equal.
If ignorant both of your enemy and of yourself,
you are sure to be defeated in every battle”
- Sun Tzu (The Art of War)
“Si no puedes con tus enemigos,
aprende de ellos” ☺
- Carlesun Fragotzu
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --66
66
http://www.jessland.net
Ciclo de vida de una intrusión
Limpieza
Reconocimiento
Intrusión
Abuso
Ocultación
y
conservación
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --77
77
http://www.jessland.net
Respuesta a incidentes
Notificación
Preparación y
prevención
Detección y
análisis
preliminar
Análisis
Contención
Erradicación
recuperación
y
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --88
88
Lecciones
aprendidas
http://www.jessland.net
Tecnologías IDS
• Ámbito de actuación:
– A nivel de sistema (HIDS)
– A nivel de red (NIDS)
– Máquinas y redes trampa
• Detección basada en:
– Uso indebido
• Patrones / firmas
– Anomalías
• Estadístico
– Otros:
• Políticas
• Sistemas trampa
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --99
99
http://www.jessland.net
Agenda
• Introducción
• HIDS: nivel de host
• NIDS: nivel de red
• Respuesta activa y prevención de intrusiones
• Gestión de eventos de seguridad
• Máquinas y redes trampa
• Conclusiones
• Referencias
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1010
1010
http://www.jessland.net
HIDS: nivel de host
• Motivaciones:
• Tecnologías:
– Ataques contra NIDS
– Ataques desde el interior (perimeter bypass)
– Control de integridad de ficheros
– Monitorización de trazas de sistema / aplicación
– Monitorización y perfilado de procesos
– Monitorización y perfilado de red
– Monitorización de eventos del núcleo (kernel)
– Auditoria de configuración
– Verificadores de integridad del sistema (rootkits)
– Cortafuegos a nivel de sistema
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1111
1111
http://www.jessland.net
Estaciones de
trabajo
Servidores
Servicios externos
Red ID
IDS
Gestión
y Análisis
Servidor Logs
/ SEM
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1212
1212
http://www.jessland.net
HIDS: ventajas y limitaciones
• Ventajas:
– Funcionalidades HIDS nativas en los SO recientes,
fácil activación en el momento de instalación
– Punto de vista de los ataques desde el sistema
– Ubicuidad
– Inútil (incluso desorientador) después de un
• Limitaciones:
compromiso
• Uso de rootkits
– Gestión compleja para un gran número de sistemas
– Carga en el sistema (disco, CPU, etc.)
– Alto coste en despliegues corporativos al utilizar
herramientas comerciales
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1313
1313
http://www.jessland.net
Agenda
• Introducción
• HIDS: nivel de host
• NIDS: nivel de red
• Respuesta activa y prevención de intrusiones
• Gestión de eventos de seguridad
• Máquinas y redes trampa
• Conclusiones
• Referencias
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1414
1414
http://www.jessland.net
NIDS: nivel de red
• Tipos:
– Sensor de red [+ consola remota]
– Sensor de nodo
– Sistema en línea (IPS)
• Formato:
– Software
– Appliances
• Técnicas de captura de tráfico (sniffing):
– TAP’s de red
– Concentradores (hub) [+ cables de sólo lectura]
– Conmutadores (switch) con puertos en modo “Span”
– Balanceadores
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1515
1515
http://www.jessland.net
Servicios externos
Estaciones de
trabajo
Servidores
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1616
1616
http://www.jessland.net
NIDS: ventajas y limitaciones
• Ventajas
– Faciles de desplegar
– Efectivos:
– Buena escalabilidad
• Limitaciones
– Falsos positivos:
• Reglas demasiado genéricas o ataques de inserción
– Falsos negativos:
• Nuevos ataques, evasión o perdida de paquetes
– Alarmas sin contexto (non-textuals):
– Gran volumen de datos
– Cifrado
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1717
1717
http://www.jessland.net
Agenda
• Introducción
• HIDS: nivel de host
• NIDS: nivel de red
• Respuesta activa y prevención de intrusiones
• Gestión de eventos de seguridad
• Máquinas y redes trampa
• Conclusiones
• Referencias
http://www.microsoft.es/technet/
Tecnologíías de Detecci
Tecnolog
as de Deteccióón de Intrusos
n de Intrusos ©© 2006 Jessland Security Services
2006 Jessland Security Services --1818
1818
http://www.jessland.net
Respuesta Activa y Prevención de Intrusiones
• Tipos de respuesta:
– Respuesta Pasiva: verificación de la intrusión
• Escaneo de vulnerabilidades, recogida de tráfico, etc.
– Respuesta Activa: bloqueo del ataque
• Reglas en cortafuegos (shunning), ruptura de conexiones TCP, etc.
• Prevención de Intrusiones:
– Capacidad de bloquear un ataque o tráfico malicioso en la red,
evitando su impacto en los sistemas
– Híbrido entre tecnologías IDS y cortafuegos
– Niveles de eficacia muy altos frente a niveles de bloqueo bajos
depurando al máximo la probabilidad de falsos positivos
• Son extremadamente útiles para dar un paso adelante en la
lucha automatizada contra las intrusiones
• No son ninguna “bala de plata” que permita eliminar el
Comentarios de: Tecnologías de Detección de Intrusos (0)
No hay comentarios