Sistemas de Detección de
Intrusos
Alcances y recomendaciones
para selección de una
arquitectura y su despliegue
Por: Xavier Sánchez
<
[email protected]>
© 2005 IBM Corporation
IBM del Perú
AGENDA
Sistemas de Detección de Intrusos (IDS)
Tipos de IDS
Fuente de información
Análisis
Respuesta
Interrelación
Meta
Estrategia de control
Tiempo
Herramientas complementarias
Modelos y estrategias de despliegue
Fortalezas y limitaciones de los IDS
Consejos para la selección de IDS
Productos OpenSource: Snort y BASE
2
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Sistemas de Detección de Intrusos
Conceptos básicos
Hardware o software
Automatización
Monitoreo de eventos (en sistemas o en redes)
Análisis – búsqueda de evidencia de problemas de
seguridad
- Intentos de comprometer
Integridad
Confidencialidad
Disponibilidad
- Pasar por alto mecanismos de seguridad
3
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Sistemas de Detección de Intrusos
Necesidad de su uso
Protección de los sistemas de las amenazas inherentes
a la conectividad y a la confiabilidad de los sistemas
de información
Detección de problemas que no pueden prevenirse
con otras herramientas o medidas de seguridad
Documentación de las amenazas actuales
Control de la calidad del diseño de la seguridad
Provisión de información de las intrusiones para
diagnóstico, recuperación y corrección de las causas
4
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Clasificación en función a la fuente de
información
Basados en Red
- Pueden monitorear una “gran red”, poco impacto, seguros e
incluso pueden ser “invisibles”
- Problemas con redes con alto tráfico, con redes “switchadas”,
tráfico cifrados. No se sabe si los ataques fueron exitosos
Basados en Host
- Detectan ataques que los basados en red no pueden, trabajan
bien con tráfico cifrado y en redes “switchadas”.
- Difícil de administrar, pueden ser atacados y deshabilitados,
requieren gran cantidad de espacio en disco, reducen la
performance
Basados en Aplicación
- Detecta actividad no autorizada de usuarios individuales
5
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Clasificación en función al análisis de los
eventos
Basados en firmas o detección de mal uso
- Efectivos: bajo porcentaje de falsas alarmas
- Solamente detectan aquellos ataques que conocen:
requieren actualización constante de las “firmas”
Detección de anomalías
- Detectan comportamiento inusual: habilidad para
detectar síntomas de ataques no conocidos; la
información obtenida puede servir para definir
nuevas “firmas”
- Producen una gran cantidad de falsas alarmas
6
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Clasificación en función a las opciones de
respuesta
Respuesta activa
- Colección de información adicional
- Cambio del entorno
- Tomar acción en contra del intruso
Respuesta pasiva
- Alarmas y notificaciones
Consideraciones referidas a las respuestas:
- Capacidad de generación y almacenamiento de
reportes
- Consideraciones de alta disponibilidad
7
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Clasificación referida a como los componentes
funcionales se relacionan entre sí
Co-location de Host y Target
- IDS funciona o “corre” en el mismo sistema que proteje.
- Puede ser deshabilitado si el sistema objetivo (Target) es
atacado satisfactoriamente
Separación de Host y Target
- IDS funciona en otro sistema diferente del que se proteje.
- Facilidad para esconder su presencia de los atacantes
8
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Clasificación basada en las estrategias de
control
Centralizada
- Controlada desde una localización central
Parcialmente distribuida
- El monitoreo y la detección es controlada desde un
nodo local con una jerarquía de generación de
reportes a una o más localidades
Completamente distribuida
- Hace uso de un acercamiento basado en agentes,
donde la decisión de la respuesta es hecha en cada
punto de análisis
9
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Control Centralizado
10
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Control parcialmente
distribuido
11
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Control completamente
distribuido
12
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Tipos de IDS
Clasificación basada en el tiempo
Basado en intervalos de tiempo (batch mode)
- El flujo de información entre los puntos de
monitoreo y las herramientas de análisis no es
contínuo
En tiempo real
- Permite al IDS tomar acción
13
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Herramientas complementarias
Análisis de vulnerabilidades
Basados en Host
Basados en Red
Revisión de integridad de archivos
Message Digest u otras técnicas criptográficas
Honey Pots y Honey Nets
Atrae potenciales atacantes a sistemas con
información ficticia aparentando ser verdadera
14
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Modelos y estrategias de despliegue
Consideraciones generales
Desplegando IDS basados en Red
Desplegando IDS basados en Host
Estrategia para la selección de alarmas
15
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
16
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Fortalezas y limitaciones de un IDS
Fortalezas
Monitoreo y análisis de eventos y del comportamiento de los
usuarios.
Prueba del estado de seguridad de la configuración de sistemas
Seguimiento de cambios a la configuración base de seguridad de
los sistemas
Reconocimiento de patrones de eventos que corresponden con
ataques conocidos
Reconocimiento de patrones de actividad que estadísticamente
difieren del comportamiento normal
Alerta al personal apropiado por medios apropiados cuando un
ataque ha sido detectado
Provee políticas de seguridad de la información
17
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Fortalezas y limitaciones de un IDS
Limitaciones
No pueden compensar la falta o la debilidad de mecanismos de
seguridad en la infraestructura:
- firewalls,
- identificación y autenticación,
- cifrado del tráfico en los enlaces,
- mecanismos de control de acceso
- detección y erradicación de viruses.
Respuesta automática cuando hay alta carga
Respuesta efectiva contra ataques lanzados por hackers
sofisticados
Investigar ataques automáticamente
Tratar efectivamente con redes basadas en switches
18
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Consejos para la selección de un IDS
Consideraciones técnicas y políticas
Entorno
Metas y objetivos de seguridad: Plan de Seguridad
Política de seguridad
Requerimientos y limitaciones organizacionales
Requerimientos de fuera de la organización
Limitación de recursos
Características y calidad del producto
Escalable en el entorno en el que se va a desplegar
Probado
Habilidad necesaria en el usuario
Capacidad de evolucionar con el crecimiento de la organización
Soporte técnico del fabricante
19
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Productos OpenSource: Snort
Sistema de prevensión de intrusos en tiempo real
Análisis de protocolos
Búsqueda de contenidos
Detección de ataques y pruebas:
-buffer overflows,
-stealth port scan,
-CGI attacks,
-SMB probes,
-OS fingerprinting,
-Y muchos más
20
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Productos OpenSource: Snort
Lenguaje flexible basado en reglas
Motor de detección de arquitectura modular
Alertas en tiempo real:
Syslog
filesystem
UNIX sockets
Winpopup (usando smbclient)
Tres usos principales:
sniffer,
packet logger
sistema de prevensión de intrusos
21
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
Productos OpenSource: BASE
BASE: Basic Analysis and Security Engine
Basado en el código del proyecto ACID (Analysis
Console por Intrusion Database)
Web front-end para análisis de las alertas
provenientes de una sonda/sensor basado en
Snort
22
IDS – Detección de Intrusos
© 2005 IBM Corporation
IBM del Perú
23
IDS – Detección de Intrusos
© 2005 IBM Corporation
Sistemas de Detección de
Intrusos
Alcances y recomendaciones
para selección de una
arquitectura y su despliegue
Gracias,
Por: Xavier Sánchez <
[email protected]>
© 2005 IBM Corporation
Comentarios de: Sistemas de Detección de Intrusos (0)
No hay comentarios