PDF de programación - Sistemas de Detección y Prevención de Intrusos

Sistemas de Detección y Prevención
de Intrusos – Estado del Arte

Charles Ware
[email protected]
Agosto 2011

Agenda

– Concientización y estate del arte

– Historia

– Detección de Intrusos

– Prevención de Intrusos

– IDPS Vs Firewall

– Degustación de opciones

– Mejores Practicas de implementación

– Resumen

– Preguntas

2

© 2011 IBM Corporation

3

© 2011 IBM Corporation

Concientización y Estado del Arte

Aumento de la amenaza interna

Amenazas Externas

Creciente número de regulaciones

Usuarios privilegiados causan un 87%
de los incidentes de seguridad
3 de las10 principales amenazas a la
3 de las10 principales amenazas a la
seguridad de la empresa están
relacionadas con información
privilegiada

70% de todas las
vulnerabilidades
conocidas no poseen un
conocidas no poseen un
parche
parche

El incumplimiento da lugar a
sanciones económicas y la
pérdida de reputación
corporativa
corporativa

Perdida de la visión total de la empresa

Demasiados datos, formatos,
dispositivos, posibles agujeros no
visibles por la magnitud

Falta de un punto central de
administración de seguridad

Difícil control y administración de distintos
tipos de dispositivos de seguridad

4

© 2011 IBM Corporation

Historia

(cid:1) 1970 – Reporte de dos volúmenes a la fuerza aérea de los Estados Unidos por J. P.
Anderson

(cid:1) 1980 – Teoría sobre los Sistemas de Detección de Intrusos por J. P. Anderson

(cid:1) 1987 – Descripción de los Sistemas de Detección de Intrusos en tiempo real por
Denning
(cid:1) 1988 – Desarrollo de IDES por Havitz y
Valdez

(cid:1) 1990 – En la universidad de California el
primer IDS llamado NSM (Network Security
Monitor

5

© 2011 IBM Corporation

Seguridad de la información

(cid:1) La Seguridad de la Información se define como la preservación de la

confidencialidad, integridad y disponibilidad.

Confidencialidad

• Confidencialidad: aseguramiento de que la información es accesible solo
para aquellos autorizados a tener acceso.

• Disponibilidad: aseguramiento de que los usuarios autorizados tienen
acceso cuando lo requieran a la información y sus activos asociados.

• Integridad: garantía de la exactitud y completitud de la información y los
métodos de su procesamiento.

Integridad

Disponibilidad

6

© 2011 IBM Corporation

Sistema de Detección y Prevención de Intrusos - Definiciones

(cid:1) Intrusión:

- Conjunto de acciones que intentan comprometer la integridad,

confidencialidad o disponibilidad de un recurso (Anderson)

(cid:1) Sistema de Detección y Prevención de Intrusiones:

-

Elemento que detecta, identifica y responde a actividades no autorizadas o
anormales (Denning)

7

© 2011 IBM Corporation

IDPS

Sistemas de Detección de Intrusos

Sistemas de Prevención de Intrusos

8

© 2011 IBM Corporation

Sistemas de Detección de Intrusos

•

IDS es un sistema para detectar el uso indebido de los
recursos de red o el ordenador

• Tres funciones básicas:

- Monitorear
- Detectar
- Responder ante eventos sospechosos que puedan entrar

o salir de la compañía
o salir de la compañía

• Componente critico en cualquier infraestructura de seguridad

• Los IDS monitorean tanto la red como los equipos en varios

puntos proporcionando una visibilidad en la postura de
seguridad

9

© 2011 IBM Corporation

Sistemas de Prevención de Intrusos

•

IPS adopta un enfoque preventivo para la seguridad que
se utiliza para identificar las posibles amenazas y responder
a ellas rápidamente.

• Un IPS realiza un monitoreo y análisis mas complejo y
eficaz, tales como ver y responder tanto a patrones de
trafico como paquetes individuales.

• Monitorea el trafico e interviene activamente en caso de
• Monitorea el trafico e interviene activamente en caso de

ver paquetes malignos. Examinado robusto de sesiones
sospechosas o tomando acciones para una respuesta
inmediata ante un posible ataque.

• Resumiendo un IPS:

- Detiene ataques en si mismo

- Cambios en el entorno de seguridad

- Cambios en el contenido del ataque

10

© 2011 IBM Corporation

IDPS Vs Firewall

(cid:1) Los firewalls están atento a los intrusos pero no a los ataques internos en la red

(cid:1) Los IDPS ven ataques en los propios firewalls gracias a la detección basada en firmas

las cuales son pasadas por altos en dichos equipos.

(cid:1) Los IDPS investigan el contenido y los archivos de registros de Firewalls, Routers,

etc.

(cid:1) El firewall busca intrusos en la red a fin de que un ataque no suceda.

(cid:1) El IDPS evalúa intrusiones sospechosas que han tenido lugar y genera un alerta de

ello

(cid:1) Estas herramientas son creadas para utilizarse en conjunto y no para sustituir una por

otra

11

© 2011 IBM Corporation

IDPS Vs Firewall – Claro ejemplo

12

© 2011 IBM Corporation

Degustación de Opciones – Como funcionan estos Sistemas

Separemos las modalidades en que estos equipos o programas pueden detectar a

los “malos”.

(cid:1) Detección basado en firmas, las firmas detectan paquetes maliciosos en
base a datos que no deberían estar presentes en los mismos. Las mismas
deberían ser actualizadas para tener cada día menos falsos positivos.

(cid:1) Detección basado en anomalías, mediante procesos que comparan que
(cid:1) Detección basado en anomalías, mediante procesos que comparan que

actividades son normales y cuales no para evitarlas. La ventaja fundamental
es detectar infecciones nuevas por causa de anomalías tanto en la red, host o
aplicaciones. Para este tenemos:

• Perfiles dinámicos

• Perfiles estáticos

• Perfiles definidos

(cid:1) Análisis de estado de protocolos, con un desarrollo en perfiles universales,

verifican como determinados protocolos pueden ser usados o no.

13

© 2011 IBM Corporation

Degustación de Opciones – Cuales son los diferentes tipos de

equipos o programas que tenemos para estas soluciones?

Separemos en cuatro grandes grupos y hablemos de ellos:

(cid:1) NIDPS

(cid:1) HIDPS

(cid:1) WIDPS

(cid:1) IDPS en Ambientes Virtuales

14

© 2011 IBM Corporation

Network IDPS

15

© 2011 IBM Corporation

NIDPS – Network Intrusion Detection and Prevention System

(cid:1) Los NIDPS monitorean trafico particular en los segmentos o equipos de red,

y analizan protocolos de red, aplicación y transporte en búsqueda de
actividades sospechosas.

(cid:1) Se venden como Appliance o Software.

(cid:1) Capacidad de recolectar información.

(cid:1) Modos en los que se pueden instalar:
(cid:1) Modos en los que se pueden instalar:

En línea

Pasivo en tres modalidades:

- Spanning port

- Network Tap

- IDS Load Balancer

-

-

16

© 2011 IBM Corporation

NIDPS – Esquema practico

17

© 2011 IBM Corporation

Mejores practicas de Implementación para los NIDPS

(cid:1) Tener una red separada para el trafico entre los NIDPS y el

servidor de administración

(cid:1) La ubicación de los sensores debe ser en las fronteras entre

redes.

(cid:1) Para el caso de los sensores en línea es recomendado ponerlo

detrás de un firewall y lo mas cerca posible de la parte mas
segura de la red, de este modo el procesamiento será mucho
menor.

(cid:1) Los dispositivos en línea también pueden estar cerca de las
fronteras para disminuir el trafico interno por ejemplo de los
Firewalls.

18

© 2011 IBM Corporation

Host IDPS

19

© 2011 IBM Corporation

HIDPS – Sistemas de Detección y Prevención de Intrusos en
equipos finales

En el caso de los HIDPS

(cid:1) Los host combaten intrusiones que la red ve

una vez que el equipo ya se encuentra en
peligro y quiere salir a la misma

(cid:1) Un sistema de detección y prevención de
intrusos complementario a el sistema de
antivirus hoy en día es necesario para
antivirus hoy en día es necesario para
combatir la realidad de la inseguridad
informática

(cid:1) Los antivirus no son capaces de detectar

todas las amenazas que hoy día acechan a
los equipos de los usuarios finales

(cid:1) Los portables son los principales

“proveedores” de intrusos en la empresa.

20

© 2011 IBM Corporation

HIDPS – Sistemas de Detección y Prevención de Intrusos en equipos
finales

(cid:1) Los podemos ver de tres formas diferentes:

en servidores, equipos de usuarios, o
aplicaciones especificas

(cid:1) El host IDPS monitorea, trafico inalámbrico y

de red del equipo, logs del sistema,
procesos corriendo, accesos a los archivos,
procesos corriendo, accesos a los archivos,
cambios de configuración tanto de sistemas
como aplicaciones, chequeo de integridad.

(cid:1) El IDPS nos ayuda a prevenir virus, spam,
spyware, worms, trojan horse, keyloggers,
bots, buffer overflows, rootkits, etc.

(cid:1) IDPS sobre Host ve el trafico encriptado que

no puede ver en NIDPS.

21

© 2011 IBM Corporation

IDPS en Ambientes Virtuales

22

© 2011 IBM Corporation

IDPS en Ambientes Virtuales - Problemática

Amenazas tradicionales aplican
a los ambientes virtuales

Vuln

Admin clients

Vuln

vCenter servers

Vuln

Service Console

Vuln

Vuln

Virtual
Devices

Privileged
Access

Vuln

MÁS COMPONENTES = MÁS EXPUESTOS

23

23

© 2011 IBM Corporation

IDPS en Ambientes Virtuales – Solución Actual

24

© 2011 IBM Corporation

Mejores practicas de Implementación

En el caso de los IDPS en Ambientes Virtuales

(cid:1) Nuevos escenarios:

- Ambientes virtuales

- Cloud Computing

(cid:1) Los ambientes virtuales están por fuera de las
(cid:1) Los ambientes virtuales están por fuera de las

estructuras físicas de seguridad. Muchas
vulnerabilidades si ser protegidas.

(cid:1) Virtualizacion para fomentar el ahorro de energía.

(cid:1) Bajar costo en equipamiento y mantenimiento

obteniendo mayor capacidad de procesamiento y
reduciendo el espacio físico.

25

© 2011 IBM Corporation

Wireless IDPS

26

© 2011 IBM Corporation

WIDPS – Detección y Prevención de Intrusos en las redes Wireless

(cid:1) Los IDPS en las Wireless LAN analizan los

protocolos inalámbricos en busca de
actividades sospechosas

(cid:1) Funcionan del