Sistemas de detección de intrusos
Antonio Villalón Huerta
[email protected]
Mayo, 2005
Sistemas de Detección de Intrusos
Índice de materias
• Introducción
• Técnicas de análisis
• IDSes basados en máquina
• IDSes basados en red
• IDSes distribuidos
• Respuesta automática
• Estándares de detección de intrusos
• Para acabar. . .
Antonio Villalón
Sistemas de detección de intrusos
Página 2
Introducción
Introducción
• Conceptos básicos
• Historia
• Clasificación
• Arquitectura
Antonio Villalón
Sistemas de detección de intrusos
Página 3
Introducción: Conceptos básicos
La seguridad de la información se define como la preservación
de. . .
• . . . su confidencialidad: sólo quienes estén autorizados
pueden acceder a la información.
• . . . su integridad: la información y sus métodos de proceso son
exactos y completos.
• . . . su disponibilidad: los usuarios autorizados tienen acceso a
la información y los sistemas que la tratan siempre que lo
requieran
Antonio Villalón
Sistemas de detección de intrusos
Página 4
Introducción: Conceptos básicos
• Debemos considerar la información y los sistemas que la tratan
como activos de una organización: elementos que dan valor a
la misma, y que por tanto hay que salvaguardar.
• Los activos presentan vulnerabilidades (debilidades de
cualquier tipo que comprometen su seguridad).
• Por definición existen amenazas (escenarios en los que un
evento o acción, deliberada o no, compromete la seguridad de
un activo).
• Si un sistema presenta una vulnerabilidad y existe una
amenaza, aparece un riesgo asociado (probabilidad de que el
evento se materialice).
• Cuando el riesgo se materializa, la medida del daño causado se
denomina impacto.
Antonio Villalón
Sistemas de detección de intrusos
Página 5
Introducción: Conceptos básicos
¿Qué queremos proteger?
Antonio Villalón
Sistemas de detección de intrusos
Página 6
PrimergyPrimergyPrimergyWANHubEthernet HubEthernet HubEthernet HubEthernet Introducción: Conceptos básicos
¿Cómo protegerlo?
A las medidas que eliminen la vulnerabilidad o la amenaza, o
disminuyan el riesgo o impacto asociados, se les denomina
defensas, salvaguardas, controles. . .
• Políticas, normativas, procedimientos. . .
• Formación.
• . . .
• Controles técnicos:
– Cortafuegos.
– Antivirus.
– Analizadores de vulnerabilidades.
– . . .
– Sistemas de detección de intrusos.
Antonio Villalón
Sistemas de detección de intrusos
Página 7
Introducción: Conceptos básicos
Algunas definiciones
• Intrusión: Conjunto de acciones que intentan comprometer la
integridad, confidencialidad o disponibilidad de un recurso.
– No sólo penetraciones contra un sistema.
• Detección de intrusos: Análisis automático de parámetros
que modelan la actividad de un entorno con el propósito de
detectar e identificar intrusiones.
• Sistema de detección de intrusos (IDS): Mecanismo de
seguridad que lleva a cabo la detección de intrusos.
– No tiene por qué ser un programa o producto concreto.
Antonio Villalón
Sistemas de detección de intrusos
Página 8
Introducción: Conceptos básicos
¿Por qué un IDS?
• La prevención no siempre es suficiente.
– Los sistemas cortafuegos no son mágicos.
• Proporcionan conocimiento del entorno.
• Detección rápida de actividades sospechosas. . .
• . . . ¡y respuesta ante ellas!
• Registro adicional de incidentes (¿Pruebas judiciales?).
• . . .
NOTA: Ningún mecanismo de seguridad sustituye a, sino que
trabaja junto a.
Antonio Villalón
Sistemas de detección de intrusos
Página 9
Introducción: Historia
Década de los ochenta
• Primer trabajo sobre IDSes: 1980 (James P. Anderson).
• 1984–1986: diseño del primer sistema (IDES, Intrusion
Detection Expert System), que funcionaba en tiempo real
(Dorothy Denning, Peter Neumann).
• Detección orientada al host.
⇒ Excepción: NSM, Network System Monitor,
Universidad de California.
• Fuerte implicación militar en todos los proyectos.
Antonio Villalón
Sistemas de detección de intrusos
Página 10
Introducción: Historia
Década de los noventa
• Crecimiento exponencial de las redes de ordenadores: se orienta
el trabajo hacia la detección en red.
• Aparecen los primeros productos comerciales (1990).
• Auge desde 1995 (crisis de los firewalls).
Antonio Villalón
Sistemas de detección de intrusos
Página 11
Introducción: Historia
Actualmente. . .
• Uno de los campos con más investigación y avances:
– Correlación de eventos.
– Aprendizaje automático.
– Minería de datos.
– . . .
• Multitud de productos comerciales.
• Entornos complejos:
– Orientación hacia sistemas distribuidos.
– Intentos por facilitar la gestión.
– . . .
Antonio Villalón
Sistemas de detección de intrusos
Página 12
Introducción: Clasificación
Clasificación de los IDSes
• En función del origen de los datos a analizar:
– IDSes basados en máquina (HIDS, Host–based IDS).
– IDSes basados en red (NIDS, Network–based IDS).
• En función de la técnica de análisis utilizada:
– Detección de anomalías (Anomaly detection).
– Detección de usos indebidos (Misuse detection).
• Otras clasificaciones:
– Tiempo real vs. periódicos.
– Activos vs. pasivos.
– Centralizados vs. distribuidos.
– . . .
Antonio Villalón
Sistemas de detección de intrusos
Página 13
Introducción: Clasificación
Clasificación → Origen de datos → HIDS
• Sólo procesa datos asociados a un recurso.
• Tipos:
– Verificadores de integridad del sistema (SIV, System
Integrity Verifiers).
– Monitores de registros (LFM, Log File Monitors).
– Sistemas de decepción (Deception Systems).
Antonio Villalón
Sistemas de detección de intrusos
Página 14
Introducción: Clasificación
Clasificación → Origen de datos → NIDS
• Procesa datos asociados a varios recursos.
• No tienen por qué estar ubicados en toda la red (de hecho casi
ningún NIDS lo está).
• En la actualidad, los más utilizados.
Antonio Villalón
Sistemas de detección de intrusos
Página 15
Introducción: Clasificación
Clasificación → Técnica de análisis → Anomaly Detection
• IDEA: Una intrusión es una anomalía. Conozco lo que es
‘normal’ en un sistema, para poder detectar lo que no lo es
(anomalías).
• PROBLEMA: La modelización del comportamiento es muy
compleja.
• Sistemas expertos o aprendizaje automático (redes neuronales,
reconocimiento geométrico. . . ).
• Poco utilizados en sistemas reales.
Antonio Villalón
Sistemas de detección de intrusos
Página 16
Introducción: Clasificación
Clasificación → Técnica de análisis → Misuse Detection
• IDEA: No conozco lo que es ‘normal’ en un sistema, sino que
directamente conozco lo anormal y lo puedo detectar.
• PROBLEMA: Sólo detecto los ataques que conozco.
• Diferentes aproximaciones. La más habitual: pattern matching
(cada intrusión tiene un patrón asociado).
• En la actualidad, los más utilizados en sistemas reales.
Antonio Villalón
Sistemas de detección de intrusos
Página 17
Introducción: Clasificación
Clasificación → Otros
• Tiempo real vs. Periódicos:
⇒ El IDS trabaja permanentemente o a intervalos.
• Activos vs. Pasivos:
⇒ El IDS es capaz de iniciar una respuesta automática o
simplemente informa.
• Centralizados vs. Distribuidos:
⇒ El IDS y la lógica asociada al mismo se implementan
en un único sistema o se distribuyen en una red.
Antonio Villalón
Sistemas de detección de intrusos
Página 18
Introducción: Arquitectura
Premisa: Las actividades de un entorno informático pueden ser
modelizadas y monitorizadas.
Tres elementos clave en un IDS:
• Fuente de datos que genere eventos significativos del entorno
(sensor).
• Motor de análisis de los datos registrados (árbitro).
• Procesador de los resultados del análisis (actor).
Antonio Villalón
Sistemas de detección de intrusos
Página 19
Introducción: Arquitectura
Gráficamente. . .
Antonio Villalón
Sistemas de detección de intrusos
Página 20
REGISTROPROCESORespuestaBB.DD.Almacenamiento...DATOSDATOSDATOSANÁLISIS Introducción: Arquitectura
¿Dónde detectar?
Antonio Villalón
Sistemas de detección de intrusos
Página 21
FirewallLANHostHubEthernet Introducción: Arquitectura
Diseño: propiedades cuantitativas
• Tasa de falso positivo (FPR, False Positive Rate).
⇒ Frecuencia con la que el IDS informa de actividades
maliciosas que en realidad no lo son.
• Tasa de falso negativo (FNR, False Negative Rate).
⇒ Frecuencia con la que el IDS no informa de
actividades maliciosas reales.
• Tasa de error cruzado (CER, Crossover Error Rate).
⇒ Frecuencia en la que FPR=FNR.
⇒ Medida común para evaluar IDSes.
Antonio Villalón
Sistemas de detección de intrusos
Página 22
Introducción: Arquitectura
Diseño: propiedades cualitativas
• Mecanismos automatizados: no requieren supervisión en su
funcionamiento habitual.
• Aceptabilidad por parte de usuarios y administradores.
• Adaptabilidad ante nuevas situaciones.
⇒ ¡Escalabilidad!
• Tolerancia a fallos.
• . . .
Antonio Villalón
Sistemas de detección de intrusos
Página 23
Técnicas de análisis
Técnicas de análisis
• Introducción
• Detección de anomalías
• Detección de usos indebidos
Antonio Villalón
Sistemas de detección de intrusos
Página 24
Análisis: Introducción
Introducción
• El primer paso para detectar una intrusión es el análisis de
ciertos datos. . . ¿Cuáles?
– Patrones de tráfico sospechosos.
– Actividades no habituales de un usuario.
– Consumo excesivo de ancho de banda.
– Degradación en el rendimiento de un sistema.
– . . .
• Dos grandes técnicas de análisis:
– Detección de anomalías (Anomaly Detection).
– Detección de usos indebidos (Misuse Detection).
Antonio Villalón
Sistemas de detección de intrusos
Página 25
Análisis: Detección de anomalías
• Toda intrusión se puede considerar una anomalía (uso o
comportamiento anormal de un entorno).
⇒ Si puedo detectar anoma
Crear cuenta
Comentarios de: Sistemas de detección de intrusos (0)
No hay comentarios