PDF de programación - Diseño de Sistemas Distribuidos de Detección de Anomalías de Red

Imágen de pdf Diseño de Sistemas Distribuidos de Detección de Anomalías de Red

Diseño de Sistemas Distribuidos de Detección de Anomalías de Redgráfica de visualizaciones

Publicado el 28 de Enero del 2020
179 visualizaciones desde el 28 de Enero del 2020
2,3 MB
50 paginas
Creado hace 14a (01/06/2006)
Diseño de Sistemas Distribuidos de Detección

de Anomalías de Red

Autor: Luis Campo Giralte

Tutor: Ricardo Jiménez Peris y Marta Patiño Martínez





Índice de Contenidos

Introducción........................................................................................................ 3
Estado del Arte................................................................................................... 5
SmartDefense ............................................................................................. 6
Symantec Network Security 7100 ............................................................... 7
Cisco Secure IDS 4230............................................................................... 9
Problemas Actuales ......................................................................................... 11
Ataques Distribuidos de Denegación de Servicio...................................... 11
Filtrado del acceso............................................................................. 13
Control de Flujo.................................................................................. 15
Ataques de Fragmentación y Timeouts..................................................... 18
NIDS Timeout < Host Victima ............................................................ 19
NIDS Timeout > Host Victima ............................................................ 20
TTL Fragmentación............................................................................ 21
Propagación de Virus................................................................................ 22
Escaneo Secuencial........................................................................... 23
Escaneo Binario................................................................................. 24
Preescaneo........................................................................................ 25
Preescaneo con Preinfección ............................................................ 26
Arquitectura de Diseño..................................................................................... 27
Diseño NIDS ............................................................................................. 27
Análisis de Protocolos........................................................................ 28
Reconocimiento de Patrones ............................................................. 30
Statefull Inspection............................................................................. 31
Motor de Detección de Snort..................................................................... 33
Reglas de Detección.......................................................................... 35
Preprocesadores................................................................................ 36
Diseño Distribuido con Snort..................................................................... 40
Arquitectura........................................................................................ 43
Conclusiones.................................................................................................... 48
Referencias ...................................................................................................... 49





Introducción

Los sistemas de detección de intrusos basados en red(NIDS), en los cuales
nosotros nos vamos a centrar, son aquellos capaces de detectar ataques
contra diferentes sistemas de una misma red, aunque los hay que pueden
detectarlos en diferentes redes. Para lograr su objetivo, al menos uno de los
interfaces de red de esta maquina sensor trabaja en modo promiscuo,
capturando y analizando todas las tramas que pasan por el en busca de
patrones que indiquen se esta produciendo un ataque.

Los NIDS analizan el tráfico de la red completa, examinando los paquetes
individualmente, comprendiendo todas las diferentes opciones que pueden
coexistir dentro de un paquete de red y detectando paquetes armados
maliciosamente y diseñados para no ser detectados por los cortafuegos.
Pueden buscar cual es el programa en particular del servidor de Web al que se
está accediendo y con que opciones y producir alertas cuando un atacante
intenta explotar algún
tienen dos
componentes:


fallo en este programa. Los NIDS

• Un sensor: situado en un segmento de la red, la monitoriza en busca de

tráfico sospechoso.

• Una Consola: recibe las alarmas del sensor o sensores y dependiendo

de la configuración reacciona a las alarmas recibidas.



Las principales ventajas del NIDS son:


• Detectan accesos no deseados a la red.
• No necesitan instalar software adicional en los servidores en producción.
• Fácil instalación y actualización por que se ejecutan en un sistema

dedicado.


Los sistemas NIDS presentan también una serie de desventajas y generan
serios cuestionamientos sobre su efectividad, algunos de ellos son los
siguientes:


• No existen tecnologías nuevas; para la detección de eventos de
seguridad (patrones, funciones estadísticas, algoritmos de inteligencia
artificial, etc.)

• La concentración de elementos de seguridad en un solo punto genera
los llamados “puntos únicos de fallo”, y hay que ir a sistemas
distribuidos.

• El compartir recursos puede traer problemas; cuando se combina un IDS
con un Firewall, un equipo con el doble de capacidad de procesamiento
no es lo mismo que 2 equipos con la mitad de capacidad de
procesamiento (ambos utilizan un mismo procesador, así como las
mismas entradas y salidas de datos; esto genera cuellos de botella si la
carga de trabajo es excesiva). Hoy en día muchos IDS tienen problemas
de rendimiento debido al volumen de datos que tienen que analizar.

• Examinan el tráfico de la red en el segmento en el cual se conecta, pero
no puede detectar un ataque en diferentes segmentos de la red. La
solución más sencilla es colocar diversos sensores.

• Pueden generar tráfico en la red, aunque no deberían y si lo generan

debería ser en otro segmento de la red.

• Ataques con sesiones cifradas son difíciles de detectar, por no decir que

prácticamente imposible.



• Las redes con switchs son uno de los grandes problemas de estos
sistemas. Debido al uso, cada vez más común, de este tipo de redes, los
sensores del NIDS solo pueden analizar el trafico que circula por el
segmento de red en el que están instalados. Por tanto, es necesario
desplegar una red de sensores para cubrir toda la infraestructura a
vigilar.

• Los NIDS actuales tienen problemas para analizar segmentos de red
con mucho tráfico. De media una página Web genera alrededor de 600
bytes por paquete. Esto se traduce en aproximadamente 170,000
paquetes/segundo en una red Ethernet de 100 Mbps. Muchos NIDS
actuales no son capaces de procesar a semejante ritmo y, por tanto, son
propensos a perder paquetes con información relevante.

• Los NIDS deben ser statefull, esto es, deben mantener información
sobre el estado de cada una de las conexiones TCP que tienen abiertas.
Esto consume gran cantidad de memoria y, por tanto, puede suponer un
problema de rendimiento cuando la carga de la red es alta.

• El componente que almacena los registros del IDS puede, bajo una alta
carga, llegar a su lımite físico y, por tanto hacer que el IDS deje de
funcionar, o bien que comience a perder registros significativos por falta
de espacio.


Otro de los grandes problemas que existen es la falta de estandarización sobre
el tema, hay dos grandes corrientes en la formalización de estos sistemas.

CIDF [1] (Common Intrusión Detection Framework), el cual estaba promovido
por DARPA(Defense Advanced Research Proyects Agency) y esta orientado
principalmente a la investigación de detección de intrusiones. Este tuvo muy
poca aceptación comercial aunque sus conceptos si son usados en la
actualidad. Este define un Lenguaje propio de comunicación entre elementos
del Framework y también define un lenguaje para definir los datos, CISL
(Common Intrusión Specification Languaje).

IDEF [2](Intrusión Detection Exchange Format), fue definido por el Intrusión
Detection Working Group del IETF. Este estaba formado por empresas
relacionadas con el mundo de las Intrusiones y en desacuerdo con la CIDF,
define protocolos de comunicación como son el IDXP (Intrusión Detection
Exchange Protocol) y para los datos el protocolo IDMEF (Intrusión Detection
Message Exchange Format). Hay que hacer mención a un Framework de
Detección de intrusos que sigue dicho estándar como es Prelude-IDS [3], que
sigue el estándar de protocolo IDMEF.




Estado del Arte

A continuación vamos a ver las características mas relevantes de los NIDS que
hay actualmente en el mercado, hay que comentar que ninguno de los
fabricantes comentados dan información técnica interesante, solo que sus
motores son en tiempo real, que si inteligencia artificial y características que
quedan muy bien en un lenguaje comercial pero que no nos dan una idea lo
suficientemente aproximada sobre su funcionamiento, de todas formas en la
siguiente dirección, http://www.securitywizardry.com/N_ids.htm, tenemos una
lista con los enlaces a muchos de estos Sistemas.

También hay que tener en cuenta que no por pagar un dineral por uno de estos
sistemas vamos a estar protegidos, de echo los sistemas de seguridad
cerrados la confianza que hay que te
  • Links de descarga
http://lwp-l.com/pdf17193

Comentarios de: Diseño de Sistemas Distribuidos de Detección de Anomalías de Red (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad