PDF de programación - Sistemas de Detección de Intrusos

Sistemas de Detección de
Intrusos

Alcances y recomendaciones
para selección de una
arquitectura y su despliegue

Por: Xavier Sánchez

<[email protected]>

© 2005 IBM Corporation

IBM del Perú

AGENDA
 Sistemas de Detección de Intrusos (IDS)
 Tipos de IDS

Fuente de información
Análisis
Respuesta
Interrelación
Meta
Estrategia de control
Tiempo

 Herramientas complementarias
 Modelos y estrategias de despliegue
 Fortalezas y limitaciones de los IDS
 Consejos para la selección de IDS
 Productos OpenSource: Snort y BASE

2

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Sistemas de Detección de Intrusos
Conceptos básicos
Hardware o software

Automatización

Monitoreo de eventos (en sistemas o en redes)

Análisis – búsqueda de evidencia de problemas de

seguridad
- Intentos de comprometer

Integridad
Confidencialidad
Disponibilidad

- Pasar por alto mecanismos de seguridad

3

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Sistemas de Detección de Intrusos
Necesidad de su uso

Protección de los sistemas de las amenazas inherentes

a la conectividad y a la confiabilidad de los sistemas
de información

Detección de problemas que no pueden prevenirse

con otras herramientas o medidas de seguridad

Documentación de las amenazas actuales

Control de la calidad del diseño de la seguridad

Provisión de información de las intrusiones para

diagnóstico, recuperación y corrección de las causas

4

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
Clasificación en función a la fuente de

información
Basados en Red

- Pueden monitorear una “gran red”, poco impacto, seguros e

incluso pueden ser “invisibles”

- Problemas con redes con alto tráfico, con redes “switchadas”,

tráfico cifrados. No se sabe si los ataques fueron exitosos

Basados en Host

- Detectan ataques que los basados en red no pueden, trabajan

bien con tráfico cifrado y en redes “switchadas”.

- Difícil de administrar, pueden ser atacados y deshabilitados,

requieren gran cantidad de espacio en disco, reducen la
performance

Basados en Aplicación

- Detecta actividad no autorizada de usuarios individuales

5

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
Clasificación en función al análisis de los

eventos

Basados en firmas o detección de mal uso

- Efectivos: bajo porcentaje de falsas alarmas
- Solamente detectan aquellos ataques que conocen:

requieren actualización constante de las “firmas”

Detección de anomalías

- Detectan comportamiento inusual: habilidad para

detectar síntomas de ataques no conocidos; la
información obtenida puede servir para definir
nuevas “firmas”

- Producen una gran cantidad de falsas alarmas

6

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
Clasificación en función a las opciones de

respuesta

Respuesta activa

- Colección de información adicional
- Cambio del entorno
- Tomar acción en contra del intruso

Respuesta pasiva

- Alarmas y notificaciones

Consideraciones referidas a las respuestas:

- Capacidad de generación y almacenamiento de

reportes

- Consideraciones de alta disponibilidad

7

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
 Clasificación referida a como los componentes

funcionales se relacionan entre sí

Co-location de Host y Target

- IDS funciona o “corre” en el mismo sistema que proteje.
- Puede ser deshabilitado si el sistema objetivo (Target) es

atacado satisfactoriamente

Separación de Host y Target

- IDS funciona en otro sistema diferente del que se proteje.
- Facilidad para esconder su presencia de los atacantes

8

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
Clasificación basada en las estrategias de

control

Centralizada

- Controlada desde una localización central

Parcialmente distribuida

- El monitoreo y la detección es controlada desde un

nodo local con una jerarquía de generación de
reportes a una o más localidades

Completamente distribuida

- Hace uso de un acercamiento basado en agentes,

donde la decisión de la respuesta es hecha en cada
punto de análisis

9

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
Control Centralizado

10

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
Control parcialmente
distribuido

11

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
Control completamente
distribuido

12

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Tipos de IDS
Clasificación basada en el tiempo

Basado en intervalos de tiempo (batch mode)
- El flujo de información entre los puntos de

monitoreo y las herramientas de análisis no es
contínuo

En tiempo real

- Permite al IDS tomar acción

13

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Herramientas complementarias
 Análisis de vulnerabilidades

Basados en Host

Basados en Red

 Revisión de integridad de archivos

Message Digest u otras técnicas criptográficas

 Honey Pots y Honey Nets

Atrae potenciales atacantes a sistemas con

información ficticia aparentando ser verdadera

14

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Modelos y estrategias de despliegue
 Consideraciones generales

 Desplegando IDS basados en Red

 Desplegando IDS basados en Host

 Estrategia para la selección de alarmas

15

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

16

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Fortalezas y limitaciones de un IDS
 Fortalezas

Monitoreo y análisis de eventos y del comportamiento de los

usuarios.

Prueba del estado de seguridad de la configuración de sistemas

Seguimiento de cambios a la configuración base de seguridad de

los sistemas

Reconocimiento de patrones de eventos que corresponden con

ataques conocidos

Reconocimiento de patrones de actividad que estadísticamente

difieren del comportamiento normal

Alerta al personal apropiado por medios apropiados cuando un

ataque ha sido detectado

Provee políticas de seguridad de la información

17

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Fortalezas y limitaciones de un IDS
 Limitaciones

No pueden compensar la falta o la debilidad de mecanismos de

seguridad en la infraestructura:

- firewalls,
- identificación y autenticación,
- cifrado del tráfico en los enlaces,
- mecanismos de control de acceso
- detección y erradicación de viruses.

Respuesta automática cuando hay alta carga

Respuesta efectiva contra ataques lanzados por hackers

sofisticados

Investigar ataques automáticamente

Tratar efectivamente con redes basadas en switches

18

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Consejos para la selección de un IDS
 Consideraciones técnicas y políticas

Entorno

Metas y objetivos de seguridad: Plan de Seguridad

Política de seguridad

 Requerimientos y limitaciones organizacionales

Requerimientos de fuera de la organización

Limitación de recursos

 Características y calidad del producto

Escalable en el entorno en el que se va a desplegar

Probado

Habilidad necesaria en el usuario

Capacidad de evolucionar con el crecimiento de la organización

Soporte técnico del fabricante

19

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Productos OpenSource: Snort

 Sistema de prevensión de intrusos en tiempo real

Análisis de protocolos

Búsqueda de contenidos

Detección de ataques y pruebas:

-buffer overflows,
-stealth port scan,
-CGI attacks,
-SMB probes,
-OS fingerprinting,
-Y muchos más

20

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Productos OpenSource: Snort

 Lenguaje flexible basado en reglas
 Motor de detección de arquitectura modular
 Alertas en tiempo real:

Syslog

filesystem

UNIX sockets

Winpopup (usando smbclient)

 Tres usos principales:

sniffer,

packet logger

sistema de prevensión de intrusos

21

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

Productos OpenSource: BASE

 BASE: Basic Analysis and Security Engine

 Basado en el código del proyecto ACID (Analysis

Console por Intrusion Database)

 Web front-end para análisis de las alertas

provenientes de una sonda/sensor basado en
Snort

22

IDS – Detección de Intrusos

© 2005 IBM Corporation

IBM del Perú

23

IDS – Detección de Intrusos

© 2005 IBM Corporation

Sistemas de Detección de
Intrusos

Alcances y recomendaciones
para selección de una
arquitectura y su despliegue

Gracias,

Por: Xavier Sánchez <[email protected]>

© 2005 IBM Corporation