Post on 15-Dec-2018
© 2005 IBM Corporation
Sistemas de Detección de Intrusos
Alcances y recomendaciones para selección de una arquitectura y su despliegue
Por: Xavier Sánchez <xsanchez@pe.ibm.com>
2
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
AGENDA� Sistemas de Detección de Intrusos (IDS)� Tipos de IDS
� Fuente de información
� Análisis
� Respuesta
� Interrelación
� Meta
� Estrategia de control
� Tiempo
� Herramientas complementarias� Modelos y estrategias de despliegue� Fortalezas y limitaciones de los IDS� Consejos para la selección de IDS� Productos OpenSource: Snort y BASE
3
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Sistemas de Detección de Intrusos�Conceptos básicos
�Hardware o software
�Automatización
�Monitoreo de eventos (en sistemas o en redes)
�Análisis – búsqueda de evidencia de problemas de seguridad
- Intentos de comprometer
Integridad
Confidencialidad
Disponibilidad
- Pasar por alto mecanismos de seguridad
4
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Sistemas de Detección de Intrusos�Necesidad de su uso
�Protección de los sistemas de las amenazas inherentes a la conectividad y a la confiabilidad de los sistemas de información
�Detección de problemas que no pueden prevenirse con otras herramientas o medidas de seguridad
�Documentación de las amenazas actuales
�Control de la calidad del diseño de la seguridad
�Provisión de información de las intrusiones para diagnóstico, recuperación y corrección de las causas
5
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Tipos de IDS�Clasificación en función a la fuente de información� Basados en Red
- Pueden monitorear una “gran red”, poco impacto, seguros e incluso pueden ser “invisibles”
- Problemas con redes con alto tráfico, con redes “switchadas”, tráfico cifrados. No se sabe si los ataques fueron exitosos
� Basados en Host
- Detectan ataques que los basados en red no pueden, trabajan bien con tráfico cifrado y en redes “switchadas”.
- Difícil de administrar, pueden ser atacados y deshabilitados, requieren gran cantidad de espacio en disco, reducen la performance
� Basados en Aplicación
- Detecta actividad no autorizada de usuarios individuales
6
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Tipos de IDS�Clasificación en función al análisis de los eventos�Basados en firmas o detección de mal uso
- Efectivos: bajo porcentaje de falsas alarmas
- Solamente detectan aquellos ataques que conocen: requieren actualización constante de las “firmas”
�Detección de anomalías
- Detectan comportamiento inusual: habilidad para detectar síntomas de ataques no conocidos; la información obtenida puede servir para definir nuevas “firmas”
- Producen una gran cantidad de falsas alarmas
7
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Tipos de IDS�Clasificación en función a las opciones de respuesta�Respuesta activa
- Colección de información adicional
- Cambio del entorno
- Tomar acción en contra del intruso
�Respuesta pasiva
- Alarmas y notificaciones
�Consideraciones referidas a las respuestas:
- Capacidad de generación y almacenamiento de reportes
- Consideraciones de alta disponibilidad
8
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Tipos de IDS�Clasificación referida a como los componentes funcionales se relacionan entre sí� Co-location de Host y Target
- IDS funciona o “corre” en el mismo sistema que proteje.
- Puede ser deshabilitado si el sistema objetivo (Target) es atacado satisfactoriamente
� Separación de Host y Target
- IDS funciona en otro sistema diferente del que se proteje.
- Facilidad para esconder su presencia de los atacantes
9
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Tipos de IDS�Clasificación basada en las estrategias de control�Centralizada
- Controlada desde una localización central
�Parcialmente distribuida
- El monitoreo y la detección es controlada desde un nodo local con una jerarquía de generación de reportes a una o más localidades
�Completamente distribuida
- Hace uso de un acercamiento basado en agentes, donde la decisión de la respuesta es hecha en cada punto de análisis
11
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Tipos de IDSControl parcialmentedistribuido
12
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Tipos de IDSControl completamente distribuido
13
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Tipos de IDS�Clasificación basada en el tiempo
�Basado en intervalos de tiempo (batch mode)
- El flujo de información entre los puntos de monitoreo y las herramientas de análisis no es contínuo
�En tiempo real
- Permite al IDS tomar acción
14
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Herramientas complementarias�Análisis de vulnerabilidades
�Basados en Host
�Basados en Red
�Revisión de integridad de archivos
�Message Digest u otras técnicas criptográficas
�Honey Pots y Honey Nets
�Atrae potenciales atacantes a sistemas con información ficticia aparentando ser verdadera
15
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Modelos y estrategias de despliegue�Consideraciones generales
�Desplegando IDS basados en Red
�Desplegando IDS basados en Host
�Estrategia para la selección de alarmas
17
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Fortalezas y limitaciones de un IDS� Fortalezas
� Monitoreo y análisis de eventos y del comportamiento de los usuarios.
� Prueba del estado de seguridad de la configuración de sistemas
� Seguimiento de cambios a la configuración base de seguridad de los sistemas
� Reconocimiento de patrones de eventos que corresponden con ataques conocidos
� Reconocimiento de patrones de actividad que estadísticamente difieren del comportamiento normal
� Alerta al personal apropiado por medios apropiados cuando un ataque ha sido detectado
� Provee políticas de seguridad de la información
18
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Fortalezas y limitaciones de un IDS� Limitaciones
� No pueden compensar la falta o la debilidad de mecanismos de seguridad en la infraestructura:
- firewalls,
- identificación y autenticación,
- cifrado del tráfico en los enlaces,
- mecanismos de control de acceso
- detección y erradicación de viruses.
� Respuesta automática cuando hay alta carga
� Respuesta efectiva contra ataques lanzados por hackers sofisticados
� Investigar ataques automáticamente
� Tratar efectivamente con redes basadas en switches
19
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Consejos para la selección de un IDS� Consideraciones técnicas y políticas
� Entorno
� Metas y objetivos de seguridad: Plan de Seguridad
� Política de seguridad
� Requerimientos y limitaciones organizacionales� Requerimientos de fuera de la organización
� Limitación de recursos
� Características y calidad del producto� Escalable en el entorno en el que se va a desplegar
� Probado
� Habilidad necesaria en el usuario
� Capacidad de evolucionar con el crecimiento de la organización
� Soporte técnico del fabricante
20
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Productos OpenSource: Snort
� Sistema de prevensión de intrusos en tiempo real
�Análisis de protocolos
�Búsqueda de contenidos
�Detección de ataques y pruebas:
-buffer overflows,
-stealth port scan,
-CGI attacks,
-SMB probes,
-OS fingerprinting,
-Y muchos más
21
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Productos OpenSource: Snort
� Lenguaje flexible basado en reglas� Motor de detección de arquitectura modular� Alertas en tiempo real:
�Syslog
�filesystem
�UNIX sockets
�Winpopup (usando smbclient)
� Tres usos principales: �sniffer,
�packet logger
�sistema de prevensión de intrusos
22
IBM del Perú
IDS – Detección de Intrusos © 2005 IBM Corporation
Productos OpenSource: BASE
� BASE: Basic Analysis and Security Engine
� Basado en el código del proyecto ACID (Analysis Console por Intrusion Database)
� Web front-end para análisis de las alertas provenientes de una sonda/sensor basado en Snort