Sistemas de Detección y Prevención
de Intrusos – Estado del Arte
Charles Ware
[email protected]
Agosto 2011
Agenda
– Concientización y estate del arte
– Historia
– Detección de Intrusos
– Prevención de Intrusos
– IDPS Vs Firewall
– Degustación de opciones
– Mejores Practicas de implementación
– Resumen
– Preguntas
2
© 2011 IBM Corporation
3
© 2011 IBM Corporation
Concientización y Estado del Arte
Aumento de la amenaza interna
Amenazas Externas
Creciente número de regulaciones
Usuarios privilegiados causan un 87%
de los incidentes de seguridad
3 de las10 principales amenazas a la
3 de las10 principales amenazas a la
seguridad de la empresa están
relacionadas con información
privilegiada
70% de todas las
vulnerabilidades
conocidas no poseen un
conocidas no poseen un
parche
parche
El incumplimiento da lugar a
sanciones económicas y la
pérdida de reputación
corporativa
corporativa
Perdida de la visión total de la empresa
Demasiados datos, formatos,
dispositivos, posibles agujeros no
visibles por la magnitud
Falta de un punto central de
administración de seguridad
Difícil control y administración de distintos
tipos de dispositivos de seguridad
4
© 2011 IBM Corporation
Historia
(cid:1) 1970 – Reporte de dos volúmenes a la fuerza aérea de los Estados Unidos por J. P.
Anderson
(cid:1) 1980 – Teoría sobre los Sistemas de Detección de Intrusos por J. P. Anderson
(cid:1) 1987 – Descripción de los Sistemas de Detección de Intrusos en tiempo real por
Denning
(cid:1) 1988 – Desarrollo de IDES por Havitz y
Valdez
(cid:1) 1990 – En la universidad de California el
primer IDS llamado NSM (Network Security
Monitor
5
© 2011 IBM Corporation
Seguridad de la información
(cid:1) La Seguridad de la Información se define como la preservación de la
confidencialidad, integridad y disponibilidad.
Confidencialidad
• Confidencialidad: aseguramiento de que la información es accesible solo
para aquellos autorizados a tener acceso.
• Disponibilidad: aseguramiento de que los usuarios autorizados tienen
acceso cuando lo requieran a la información y sus activos asociados.
• Integridad: garantía de la exactitud y completitud de la información y los
métodos de su procesamiento.
Integridad
Disponibilidad
6
© 2011 IBM Corporation
Sistema de Detección y Prevención de Intrusos - Definiciones
(cid:1) Intrusión:
- Conjunto de acciones que intentan comprometer la integridad,
confidencialidad o disponibilidad de un recurso (Anderson)
(cid:1) Sistema de Detección y Prevención de Intrusiones:
-
Elemento que detecta, identifica y responde a actividades no autorizadas o
anormales (Denning)
7
© 2011 IBM Corporation
IDPS
Sistemas de Detección de Intrusos
Sistemas de Prevención de Intrusos
8
© 2011 IBM Corporation
Sistemas de Detección de Intrusos
•
IDS es un sistema para detectar el uso indebido de los
recursos de red o el ordenador
• Tres funciones básicas:
- Monitorear
- Detectar
- Responder ante eventos sospechosos que puedan entrar
o salir de la compañía
o salir de la compañía
• Componente critico en cualquier infraestructura de seguridad
• Los IDS monitorean tanto la red como los equipos en varios
puntos proporcionando una visibilidad en la postura de
seguridad
9
© 2011 IBM Corporation
Sistemas de Prevención de Intrusos
•
IPS adopta un enfoque preventivo para la seguridad que
se utiliza para identificar las posibles amenazas y responder
a ellas rápidamente.
• Un IPS realiza un monitoreo y análisis mas complejo y
eficaz, tales como ver y responder tanto a patrones de
trafico como paquetes individuales.
• Monitorea el trafico e interviene activamente en caso de
• Monitorea el trafico e interviene activamente en caso de
ver paquetes malignos. Examinado robusto de sesiones
sospechosas o tomando acciones para una respuesta
inmediata ante un posible ataque.
• Resumiendo un IPS:
- Detiene ataques en si mismo
- Cambios en el entorno de seguridad
- Cambios en el contenido del ataque
10
© 2011 IBM Corporation
IDPS Vs Firewall
(cid:1) Los firewalls están atento a los intrusos pero no a los ataques internos en la red
(cid:1) Los IDPS ven ataques en los propios firewalls gracias a la detección basada en firmas
las cuales son pasadas por altos en dichos equipos.
(cid:1) Los IDPS investigan el contenido y los archivos de registros de Firewalls, Routers,
etc.
(cid:1) El firewall busca intrusos en la red a fin de que un ataque no suceda.
(cid:1) El IDPS evalúa intrusiones sospechosas que han tenido lugar y genera un alerta de
ello
(cid:1) Estas herramientas son creadas para utilizarse en conjunto y no para sustituir una por
otra
11
© 2011 IBM Corporation
IDPS Vs Firewall – Claro ejemplo
12
© 2011 IBM Corporation
Degustación de Opciones – Como funcionan estos Sistemas
Separemos las modalidades en que estos equipos o programas pueden detectar a
los “malos”.
(cid:1) Detección basado en firmas, las firmas detectan paquetes maliciosos en
base a datos que no deberían estar presentes en los mismos. Las mismas
deberían ser actualizadas para tener cada día menos falsos positivos.
(cid:1) Detección basado en anomalías, mediante procesos que comparan que
(cid:1) Detección basado en anomalías, mediante procesos que comparan que
actividades son normales y cuales no para evitarlas. La ventaja fundamental
es detectar infecciones nuevas por causa de anomalías tanto en la red, host o
aplicaciones. Para este tenemos:
• Perfiles dinámicos
• Perfiles estáticos
• Perfiles definidos
(cid:1) Análisis de estado de protocolos, con un desarrollo en perfiles universales,
verifican como determinados protocolos pueden ser usados o no.
13
© 2011 IBM Corporation
Degustación de Opciones – Cuales son los diferentes tipos de
equipos o programas que tenemos para estas soluciones?
Separemos en cuatro grandes grupos y hablemos de ellos:
(cid:1) NIDPS
(cid:1) HIDPS
(cid:1) WIDPS
(cid:1) IDPS en Ambientes Virtuales
14
© 2011 IBM Corporation
Network IDPS
15
© 2011 IBM Corporation
NIDPS – Network Intrusion Detection and Prevention System
(cid:1) Los NIDPS monitorean trafico particular en los segmentos o equipos de red,
y analizan protocolos de red, aplicación y transporte en búsqueda de
actividades sospechosas.
(cid:1) Se venden como Appliance o Software.
(cid:1) Capacidad de recolectar información.
(cid:1) Modos en los que se pueden instalar:
(cid:1) Modos en los que se pueden instalar:
En línea
Pasivo en tres modalidades:
- Spanning port
- Network Tap
- IDS Load Balancer
-
-
16
© 2011 IBM Corporation
NIDPS – Esquema practico
17
© 2011 IBM Corporation
Mejores practicas de Implementación para los NIDPS
(cid:1) Tener una red separada para el trafico entre los NIDPS y el
servidor de administración
(cid:1) La ubicación de los sensores debe ser en las fronteras entre
redes.
(cid:1) Para el caso de los sensores en línea es recomendado ponerlo
detrás de un firewall y lo mas cerca posible de la parte mas
segura de la red, de este modo el procesamiento será mucho
menor.
(cid:1) Los dispositivos en línea también pueden estar cerca de las
fronteras para disminuir el trafico interno por ejemplo de los
Firewalls.
18
© 2011 IBM Corporation
Host IDPS
19
© 2011 IBM Corporation
HIDPS – Sistemas de Detección y Prevención de Intrusos en
equipos finales
En el caso de los HIDPS
(cid:1) Los host combaten intrusiones que la red ve
una vez que el equipo ya se encuentra en
peligro y quiere salir a la misma
(cid:1) Un sistema de detección y prevención de
intrusos complementario a el sistema de
antivirus hoy en día es necesario para
antivirus hoy en día es necesario para
combatir la realidad de la inseguridad
informática
(cid:1) Los antivirus no son capaces de detectar
todas las amenazas que hoy día acechan a
los equipos de los usuarios finales
(cid:1) Los portables son los principales
“proveedores” de intrusos en la empresa.
20
© 2011 IBM Corporation
HIDPS – Sistemas de Detección y Prevención de Intrusos en equipos
finales
(cid:1) Los podemos ver de tres formas diferentes:
en servidores, equipos de usuarios, o
aplicaciones especificas
(cid:1) El host IDPS monitorea, trafico inalámbrico y
de red del equipo, logs del sistema,
procesos corriendo, accesos a los archivos,
procesos corriendo, accesos a los archivos,
cambios de configuración tanto de sistemas
como aplicaciones, chequeo de integridad.
(cid:1) El IDPS nos ayuda a prevenir virus, spam,
spyware, worms, trojan horse, keyloggers,
bots, buffer overflows, rootkits, etc.
(cid:1) IDPS sobre Host ve el trafico encriptado que
no puede ver en NIDPS.
21
© 2011 IBM Corporation
IDPS en Ambientes Virtuales
22
© 2011 IBM Corporation
IDPS en Ambientes Virtuales - Problemática
Amenazas tradicionales aplican
a los ambientes virtuales
Vuln
Admin clients
Vuln
vCenter servers
Vuln
Service Console
Vuln
Vuln
Virtual
Devices
Privileged
Access
Vuln
MÁS COMPONENTES = MÁS EXPUESTOS
23
23
© 2011 IBM Corporation
IDPS en Ambientes Virtuales – Solución Actual
24
© 2011 IBM Corporation
Mejores practicas de Implementación
En el caso de los IDPS en Ambientes Virtuales
(cid:1) Nuevos escenarios:
- Ambientes virtuales
- Cloud Computing
(cid:1) Los ambientes virtuales están por fuera de las
(cid:1) Los ambientes virtuales están por fuera de las
estructuras físicas de seguridad. Muchas
vulnerabilidades si ser protegidas.
(cid:1) Virtualizacion para fomentar el ahorro de energía.
(cid:1) Bajar costo en equipamiento y mantenimiento
obteniendo mayor capacidad de procesamiento y
reduciendo el espacio físico.
25
© 2011 IBM Corporation
Wireless IDPS
26
© 2011 IBM Corporation
WIDPS – Detección y Prevención de Intrusos en las redes Wireless
(cid:1) Los IDPS en las Wireless LAN analizan los
protocolos inalámbricos en busca de
actividades sospechosas
(cid:1) Funcionan del
Comentarios de: Sistemas de Detección y Prevención de Intrusos (1)