PDF de programación - Seguridad en Sistemas Informáticos - Detección de intrusión

Imágen de pdf Seguridad en Sistemas Informáticos - Detección de intrusión

Seguridad en Sistemas Informáticos - Detección de intrusióngráfica de visualizaciones

Publicado el 30 de Enero del 2020
433 visualizaciones desde el 30 de Enero del 2020
376,2 KB
39 paginas
Seguridad en Sistemas Informáticos

Detección de intrusión



Área de Ingeniería Telemática
Dpto. Automática y Computación
http://www.tlm.unavarra.es/

Hasta ahora...
‣ Tipos de ataques al host y a la red
‣ La cadena de seguridad: host, red local, perimetral...
‣ Seguridad perimetral
‣ Herramientas: firewalls, proxies, redes y hosts expuestos y

bastion hosts

‣ Hoy:
‣ Sistemas de detección de intrusión

Detección de intrusos

2

/39

Introducción
‣ Cortafuegos

Permiten elegir que dejamos pasar a nuestra red (o nuestro host)

‣ Algunos principios básicos de seguridad

‣ Eslabon mas debil (weakest link)
‣ Mínimos privilegios (least privilege)

Un objeto (usuario, programa, systema...) debe tener los minimos
privilegios necesarios para cumplir su función asignada pero ninguno
más

‣ Cuello de botella (choke point)

Forzar a los atacantes a seguir un canal estrecho que pueda ser
controlado y vigilado

‣ Seguridad en profundidad (security in depth)

Varios niveles de medidas de seguridad (no tengo que suponer que
son infranqueables). ¿Para que poner una camara detrás de una
puerta que se supone que no puede abrirse?

Detección de intrusos

3

/39

Introducción
‣ Sistemas de Detección de Intrusión

monitoriza de un modo automático todos los eventos que
ocurren en una red, un host, en una aplicación...
en busca de señales que puedan indicar la existencia de problemas
de seguridad.

‣ Problema típico con un firewall:

He sufrido un ataque en uno de mis servidores, el atacante ha conseguido
ser root.
Intento reconstruir lo que ha pasado. Examino los logs del firewall en busca
de pistas de lo que ha pasado
Los logs del firewall contienen los paquetes que han filtrado... eso son los
ataques que no han conseguido pasar

Detección de intrusos

4

/39

Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ según el modo de análisis empleado.
‣ según la respuesta proporcionada.
‣ según la arquitectura utilizada.

Detección de intrusos

5

/39

Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ Network IDS
‣ Host IDS
‣ Application/protocol IDS
‣ según el modo de análisis empleado.
‣ según la respuesta proporcionada.
‣ según la arquitectura utilizada.

Detección de intrusos

6

/39

NIDS (Network IDS)
‣ Sistemas de Detección de Intrusión basados en red
‣ Los más comunes (sistemas comerciales suelen ser de estos)
‣ Capturan y analizan tráfico que pasa por un segmento de red (por ejemplo
‣ Pueden ser distribuidos

la DMZ) y observan si se producen ataques

‣ varias sondas en diversos puntos que capturan trafico y lo analizan
‣ una consola central que procesa las alarmas

Internet

‣ Ejemplo de NIDS: Snort

NIDS

Detección de intrusos

7

/39

NIDS (Network IDS)
‣ Sistemas de Detección de Intrusión basados en red
‣ Ventajas
‣ Un IDS protege varias máquinas (y es independiente del SO)
‣ Con varios distribuidos pueden monitorizar redes muy grandes
‣ Puesta en marcha sin interrumpir servicios (son pasivos)
‣ Son difíciles de detectar por los atacantes (sensores sin IP)
‣ Son muy efectivos detectando y deteniendo ataques que se basan en
manipulaciones de las cabeceras IP (por ejemplo LAND o Teardrop).
‣ Rendimiento limitado (pocos pueden analizar un segmento cargado)
‣ En redes conmutadas necesitan port mirroring (que un switch saque todo
el trafico por un puerto para el IDS) eso convierte el puerto en cargado
‣ Es capaz de ver muchos ataques pero no de saber si han tenido éxito
‣ No se pueden utilizar si el trafico va cifrado (cuando veamos VPNs...)

Alarma y que decida el administrador/encargado de seguridad

‣ Desventajas

Detección de intrusos

8

/39

HIDS (Host IDS)
‣ Sistemas de Detección de Intrusión basados en host
‣ Software
‣ Monitorizan la actividad del host

‣ Intercepción de llamadas al sistema y otros parámetros del kernel
‣ Ficheros de log del sistema operativo o diversas aplicaciones
‣ Fechas de modificación de ficheros críticos
‣ Combinados con sistemas de detección de integridad (algo ha sido

modificado??)
‣ Ejemplo de HIDS:

que no debieran

‣ Tripwire: Open source, basado sobre todo en detectar si se modifican ficheros
‣ Los antivirus serian HIDS ?
‣ El TPM sería un HIDS ?

Normalmente hablamos de sistemas más configurables que dejen elegir lo que
quiero proteger...

Detección de intrusos

9

/39

HIDS (Host IDS)
‣ Sistemas de Detección de Intrusión basados en host
‣ Ventajas

positivos)

‣ Son capaces de detectar si el ataque ha tenido éxito (menos falsos
‣ No necesitan hardware adicional
‣ Un sistema en cada host, no tan sensible a la carga de la red
‣ No importa que el trafico de red sea encriptado

‣ Inconvenientes

‣ Configuración más compleja
‣ Un sistema en cada host, afecta al rendimiento del servidor que
protejamos (ademas de requerir parar el servidor para instalarlo)
‣ Ataques de denegación de servicio contra el HIDS
‣ Protegen a un solo host

Detección de intrusos

10

/39

IDS de aplicación
‣ IDSs basados en aplicación / protocolo

Tipo de HIDS especializados

concretos

‣ Diseñados especificamente para aplicaciones o protocolos
‣ Interceptan la comunicación de aplicaciones especificas y observan
ataques
‣ Ejemplos:

‣ Analizadores de HTTP/HTTPS

‣ Peticiones que llegan a un servidor web
‣ Peticiones que llegan a un servidor web con SSL

‣ Analizadores de peticiones que llegan a una base de datos desde
‣ ...

el servidor web

Detección de intrusos

11

/39

Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ según el modo de análisis empleado.
‣ IDS detector de malos usos
‣ IDS detector de anomalías
‣ según la respuesta proporcionada.
‣ según la arquitectura utilizada.

Detección de intrusos

12

/39

Detección de malos usos
‣ Aproximación más común
‣ El IDS busca patrones conocidos de ataques

‣ Un NIDS busca paquetes con contenidos conocidos o que
van puertos peligrosos (reglas y alarmas como los firewalls)
‣ Un HIDS modificaciones en ficheros concretos o ataques a

llamadas al sistema concretas

‣ Aplicación del principio: enumerate-badness

Detección de intrusos

13

/39

Detección de malos usos
‣ Ventajas

‣ muy efectivos y generan pocos falsos positivos
‣ detectan los ataques de un modo muy preciso
‣ Generalmente conocen además de los patrones de ataques,

información sobre las consecuencias, como detectar el ataque, cómo
responder, etc lo cual resulta de gran utilidad (sistema experto)
‣ Hay algunos capaces de detectar variaciones sobre los ataques

conocidos pero no son aun muy comunes

‣ Desventajas

‣ No son capaces de detectar ataques que no conocen

Ataques de día cero (zero-day exploits)
Ataque que se detecta al mismo tiempo que se hace publica la
vulnerabilidad

Detección de intrusos

14

/39

Detección de anomalías
‣ Intentan aprender el comportamiento/tráfico “normal” de usuarios y aplicaciones y

avisan cuando se producen anomalías
‣ Diferentes técnicas: estadísticas, detección de umbrales, inteligencia artificial...

Son aun campo de investigación

‣ Ventajas

‣ Puede detectar ataques que no conoce
‣ Pueden generar información de patrones que debe buscar un detector de malos

usos

‣ Desventajas

‣ La detección es poco precisa

Alarma: “Ha pasado algo raro” pero el administrador deba averiguar que ha
ocurrido

‣ Gran número de falsos positivos
‣ Su utilización requiere gran trabajo de parametrización y en general mayores

conocimientos que los IDSs de detección de malos usos

‣ Los sistemas comerciales más avanzados utilizan una combinación de las dos técnicas

Detección de intrusos

15

/39

Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ según el modo de análisis empleado.
‣ según la respuesta proporcionada.
‣ De respuesta pasiva
‣ De respuesta activa / Inline
‣ según la arquitectura utilizada.

Detección de intrusos

16

/39

IDS de respuesta pasiva
‣ Recopilan información
‣ Generan alarmas que se guardan o se envían a
sistemas de gestión
‣ Las alarmas pueden disparar mensajes al
administrador por correo electrónico o SMS.
‣ El administrador debe reaccionar

Detección de intrusos

17

/39

IDS de respuesta activa
‣ responden de un modo automático ante la detección de un ataque.
‣ Recolección de información adicional, modificando el

número de eventos almacenados.
‣ para analizar y hacer frente al ataque
‣ como soporte para emprender acciones legales contra el agresor.
‣ Modificación del entorno.

‣ interactúa con otros dispositivos como routers (modificación de ACLs) o

firewalls (modificación de reglas) para detener el ataque (por ejemplo
bloqueando una dirección IP determinada, etc).
‣ resetear la conexión TCP del atacante inyectando RSTs con IP spoofed
‣ bloquear todo el tráfico proveniente del atacante

‣ Contrataque. No es una opción muy apropiada
‣ implicaciones legales que pudiera tener y posibilidad de spoofing
‣ hay sistemas que hacen traceroutes y escaneos a la dirección de que viene el ataque

Detección de intrusos

18

/39

IDS de respuesta activa
‣ Si impiden ataques se suelen llamar también IPS (intrusion

prevention systems)
Pero es más bien un nombre de marketing y el nombre IPS está
bastante desprestigiado entre los expertos
‣ Normalmente se llaman IDS-inline si el IDS esta en el camino del
ataque (firewall inteligente) y puede decidir no reenviar paquetes y
IDS de respuesta activa si es un sistema aparte que envia RSTs o da
ordenes a los firewalls

IDS de respuesta activa

IDS en línea

Internet

IDS

Internet

IDS

Detección de intrusos

19

/39

Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ según el modo de análisis empleado.
‣ según la respuesta proporcionada.
‣ según la arquitectura utilizada
‣ Un host
‣ Distribuidos

Detección de intrusos

20

/39

Arquitecturas de IDS
‣ IDS de un host

‣ El IDS es una máquina que observa un punto de la red y analiza el

tráfico generando alarmas o respuestas activas.
Se basa en el trafico en un único punto. ¿En qué punto conviene
vigilar?

En
  • Links de descarga
http://lwp-l.com/pdf17199

Comentarios de: Seguridad en Sistemas Informáticos - Detección de intrusión (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad