PDF de programación - Tecnologías de Detección de Intrusos

Imágen de pdf Tecnologías de Detección de Intrusos

Tecnologías de Detección de Intrusosgráfica de visualizaciones

Publicado el 26 de Mayo del 2018
282 visualizaciones desde el 26 de Mayo del 2018
536,6 KB
29 paginas
Creado hace 13a (12/07/2006)
Tecnologías de

Detección de Intrusos

Carlos Fragoso Mariscal

Director Técnico

carlos@jessland.net

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --11

11

http://www.jessland.net

Agenda

• Introducción
• HIDS: nivel de host
• NIDS: nivel de red
• Respuesta activa y prevención de intrusiones
• Gestión de eventos de seguridad
• Máquinas y redes trampa
• Conclusiones
• Referencias

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --22

22

http://www.jessland.net

Introducción (I)

• ¿ Por qué pueden interesarse en mi ?

– Ataques oportunistas
– Ataques dirigidos
– Ataques internos

• NO es una cuestión de ‘SI’ sino de ‘CUANDO’
• Tipos de ataques:

– Nivel de enlace
– Nivel de red
– Nivel de aplicación web !!!

• Detección de Intrusiones vs Detección de Ataques

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --33

33

http://www.jessland.net

Introducción (II)

“La prevención es idonea pero
“La prevención es idonea pero
la detección es imprescindible”
la detección es imprescindible”

• … pero ... ¡¡¡ si ya tengo un cortafuegos !!!
– Los cortafuegos se preocupan de tus perímetros
– ¿ Qué ocurre si se logra penetrar en el perímetro ?
• Adjuntos maliciosos de correo, páginas web maliciosas,

VPN’s, redes inalámbricas, etc.

• Función de auditoría:

– Nos dicen que ocurre en nuestras redes

• Valor “forense”:

– Clave para una recuperación efectiva

• ¿ Que hicieron en el sistema ?
• ¿ Cómo consiguieron entrar ?
• ¿ Que debo parchear o fortificar ?

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --44

44

http://www.jessland.net

Perfiles de intruso informático

• Las motivaciones de los intrusos informáticos son muy variadas:
diversión, egocentrismo, económicas, políticas, ideológicas, etc

• Según sus conocimientos:

– Hacker de élite ~ Elite hacker
– Ciberpiltrafillas ~ Script kiddies

• Considerando sus intenciones:

– Blackhat, Grayhat, Whitehat

• Desde que el negocio está en la red las motivaciones

económicas han llevado a la delincuencia a la red:
– Spammers, extorsiones por revelación de secretos, hacking entre gobiernos, etc.

section of the population avail themselves

more readily and speedily of the latest

triumphs of science than the criminal class“

“It is a well-known fact that no other

- Inspector John Bonfield, Chicago police (1888)

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --55

55

http://www.jessland.net

¡¡¡ Conoce a tu enemigo !!!

“Know Your Enemy and know yourself; in a
hundred battles, you will never be defeated.
When you are ignorant of the enemy but know

yourself, your chances of winning or losing are equal.

If ignorant both of your enemy and of yourself,

you are sure to be defeated in every battle”

- Sun Tzu (The Art of War)

“Si no puedes con tus enemigos,

aprende de ellos” ☺
- Carlesun Fragotzu

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --66

66

http://www.jessland.net

Ciclo de vida de una intrusión

Limpieza

Reconocimiento

Intrusión

Abuso

Ocultación

y

conservación

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --77

77

http://www.jessland.net

Respuesta a incidentes

Notificación

Preparación y
prevención

Detección y

análisis
preliminar

Análisis

Contención

Erradicación

recuperación

y

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --88

88

Lecciones
aprendidas

http://www.jessland.net

Tecnologías IDS

• Ámbito de actuación:

– A nivel de sistema (HIDS)
– A nivel de red (NIDS)
– Máquinas y redes trampa

• Detección basada en:

– Uso indebido

• Patrones / firmas

– Anomalías
• Estadístico

– Otros:

• Políticas
• Sistemas trampa

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --99

99

http://www.jessland.net

Agenda

• Introducción
• HIDS: nivel de host
• NIDS: nivel de red
• Respuesta activa y prevención de intrusiones
• Gestión de eventos de seguridad
• Máquinas y redes trampa
• Conclusiones
• Referencias

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1010

1010

http://www.jessland.net

HIDS: nivel de host

• Motivaciones:

• Tecnologías:

– Ataques contra NIDS
– Ataques desde el interior (perimeter bypass)

– Control de integridad de ficheros
– Monitorización de trazas de sistema / aplicación
– Monitorización y perfilado de procesos
– Monitorización y perfilado de red
– Monitorización de eventos del núcleo (kernel)
– Auditoria de configuración
– Verificadores de integridad del sistema (rootkits)
– Cortafuegos a nivel de sistema

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1111

1111

http://www.jessland.net

Estaciones de

trabajo

Servidores

Servicios externos

Red ID

IDS

Gestión
y Análisis

Servidor Logs

/ SEM

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1212

1212

http://www.jessland.net

HIDS: ventajas y limitaciones
• Ventajas:

– Funcionalidades HIDS nativas en los SO recientes,

fácil activación en el momento de instalación

– Punto de vista de los ataques desde el sistema
– Ubicuidad

– Inútil (incluso desorientador) después de un

• Limitaciones:

compromiso
• Uso de rootkits

– Gestión compleja para un gran número de sistemas
– Carga en el sistema (disco, CPU, etc.)
– Alto coste en despliegues corporativos al utilizar

herramientas comerciales

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1313

1313

http://www.jessland.net

Agenda

• Introducción
• HIDS: nivel de host
• NIDS: nivel de red
• Respuesta activa y prevención de intrusiones
• Gestión de eventos de seguridad
• Máquinas y redes trampa
• Conclusiones
• Referencias

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1414

1414

http://www.jessland.net

NIDS: nivel de red

• Tipos:

– Sensor de red [+ consola remota]
– Sensor de nodo
– Sistema en línea (IPS)

• Formato:
– Software
– Appliances

• Técnicas de captura de tráfico (sniffing):

– TAP’s de red
– Concentradores (hub) [+ cables de sólo lectura]
– Conmutadores (switch) con puertos en modo “Span”
– Balanceadores

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1515

1515

http://www.jessland.net

Servicios externos

Estaciones de

trabajo

Servidores

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1616

1616

http://www.jessland.net

NIDS: ventajas y limitaciones
• Ventajas

– Faciles de desplegar
– Efectivos:
– Buena escalabilidad

• Limitaciones

– Falsos positivos:

• Reglas demasiado genéricas o ataques de inserción

– Falsos negativos:

• Nuevos ataques, evasión o perdida de paquetes

– Alarmas sin contexto (non-textuals):
– Gran volumen de datos
– Cifrado

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1717

1717

http://www.jessland.net

Agenda

• Introducción
• HIDS: nivel de host
• NIDS: nivel de red
• Respuesta activa y prevención de intrusiones
• Gestión de eventos de seguridad
• Máquinas y redes trampa
• Conclusiones
• Referencias

http://www.microsoft.es/technet/

Tecnologíías de Detecci
Tecnolog

as de Deteccióón de Intrusos

n de Intrusos ©© 2006 Jessland Security Services

2006 Jessland Security Services --1818

1818

http://www.jessland.net

Respuesta Activa y Prevención de Intrusiones

• Tipos de respuesta:

– Respuesta Pasiva: verificación de la intrusión

• Escaneo de vulnerabilidades, recogida de tráfico, etc.

– Respuesta Activa: bloqueo del ataque

• Reglas en cortafuegos (shunning), ruptura de conexiones TCP, etc.

• Prevención de Intrusiones:

– Capacidad de bloquear un ataque o tráfico malicioso en la red,

evitando su impacto en los sistemas

– Híbrido entre tecnologías IDS y cortafuegos
– Niveles de eficacia muy altos frente a niveles de bloqueo bajos

depurando al máximo la probabilidad de falsos positivos

• Son extremadamente útiles para dar un paso adelante en la

lucha automatizada contra las intrusiones

• No son ninguna “bala de plata” que permita eliminar el
  • Links de descarga
http://lwp-l.com/pdf11338

Comentarios de: Tecnologías de Detección de Intrusos (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad