Redes ids
Páginas: 44 (10788 palabras)
Publicado: 5 de mayo de 2010
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
CAPITULO 3 IDS
En este tercer capítulo realizaremos un estudio sobre los sistemas de detección de intrusos o IDS (Intrusion Detection System). Diferenciaremos entre los distintos tipos de sistemas existentes y nos centraremos en los sistemas de detección de intrusos para redes de ordenadores o NIDS(Network IDS). Se analizarán los diferentes componentes, arquitecturas y configuraciones que forman los sistemas NIDS. También se comentarán los diferentes protocolos y paradigmas standard que existen en la actualidad para la comunicación entre los distintos componentes de sistemas IDS.
71
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”Describiremos las distintas técnicas de análisis utilizadas sobre datos obtenidos por los distintos componentes del IDS así como los efectos derivados de la detección automática de intrusos en redes de ordenadores. Se introducirán los conceptos de falsos positivos y falsos negativos. También se enumerarán los principales inconvenientes y limitaciones que presenta la utilización de sistemas IDS/NIDSasí como las futuras líneas que pueden ir marcando la evolución de los NIDS, centrándonos en los sistemas de prevención o IPS (Intrusion Prevention System). Finalmente comentaremos un ataque típico y clásico en la bibliografía de los sistemas de detección, el ataque del famoso hacker Kevin Mitnick.
3.1 Firewalls
Durante mucho tiempo el mecanismo de seguridad en redes más extendido ha sidoúnicamente el uso de un firewall. Este sistema nos permite de una manera simple y eficaz aplicar filtros tanto para el tráfico de entrada como para el de salida en nuestra red. Podemos diferenciar entre dos políticas básicas de configuración de firewalls [Nor99]: • Permisividad máxima (allow everything) dónde el uso de filtros es mínimo o inexistente. Esta política permite prácticamente la circulación detodo el tráfico y se utiliza principalmente en Intranets/LAN, campus universitarios y organizaciones dónde la libertad de uso de aplicaciones (o la gran cantidad de ellas) es necesaria para el funcionamiento ordinario del sistema. Es una política que dificulta enormemente el uso de otros sistemas y deja a la red muy vulnerable a prácticamente cualquier tipo de ataque interno o externo.
72 http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
En estos casos se recomienda segmentar la red en dominios y acotar cada uno de estos dominios, ya que raramente todos los ordenadores tienen que acceder a todos los recursos disponibles de la red. • Permisividad mínima (deny everything) aplica la política contraria a la anterior. En este caso se deniegaacceso a todos los servicios de la red y se van permitiendo accesos a estos a medida que se necesiten. De esta forma es bastante improbable que recibamos un ataque a un servicio que desconocíamos que teníamos en la red. Por otro lado, el trabajo de otros sistemas se facilita enormemente ya que pueden configurarse para que detecten fácilmente cualquier comportamiento anómalo en la red (simplementese debe monitorizar los accesos a los servicios y comprobar si esos accesos están permitido expresamente o no). Cabe notar que este tipo de política requiere un gran esfuerzo ya que es poco flexible y en organizaciones con gran cantidad de usuarios con diferentes requerimientos puede llevar a tener que permitir tantos accesos cruzados que deje de ser práctico. Destacar que el simple uso de unfirewall puede crear una falsa sensación de seguridad que de nada sirve si no son configurados y “mantenidos al día” (aplicación de los parches/patches del fabricante, supervisión y adaptación al tráfico de la red...). Muchas organizaciones con cientos de ordenadores y decenas de firewalls no disponen de una sola persona cualificada asignada exclusivamente a su mantenimiento!! Por otro lado, este...
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
CAPITULO 3 IDS
En este tercer capítulo realizaremos un estudio sobre los sistemas de detección de intrusos o IDS (Intrusion Detection System). Diferenciaremos entre los distintos tipos de sistemas existentes y nos centraremos en los sistemas de detección de intrusos para redes de ordenadores o NIDS(Network IDS). Se analizarán los diferentes componentes, arquitecturas y configuraciones que forman los sistemas NIDS. También se comentarán los diferentes protocolos y paradigmas standard que existen en la actualidad para la comunicación entre los distintos componentes de sistemas IDS.
71
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”Describiremos las distintas técnicas de análisis utilizadas sobre datos obtenidos por los distintos componentes del IDS así como los efectos derivados de la detección automática de intrusos en redes de ordenadores. Se introducirán los conceptos de falsos positivos y falsos negativos. También se enumerarán los principales inconvenientes y limitaciones que presenta la utilización de sistemas IDS/NIDSasí como las futuras líneas que pueden ir marcando la evolución de los NIDS, centrándonos en los sistemas de prevención o IPS (Intrusion Prevention System). Finalmente comentaremos un ataque típico y clásico en la bibliografía de los sistemas de detección, el ataque del famoso hacker Kevin Mitnick.
3.1 Firewalls
Durante mucho tiempo el mecanismo de seguridad en redes más extendido ha sidoúnicamente el uso de un firewall. Este sistema nos permite de una manera simple y eficaz aplicar filtros tanto para el tráfico de entrada como para el de salida en nuestra red. Podemos diferenciar entre dos políticas básicas de configuración de firewalls [Nor99]: • Permisividad máxima (allow everything) dónde el uso de filtros es mínimo o inexistente. Esta política permite prácticamente la circulación detodo el tráfico y se utiliza principalmente en Intranets/LAN, campus universitarios y organizaciones dónde la libertad de uso de aplicaciones (o la gran cantidad de ellas) es necesaria para el funcionamiento ordinario del sistema. Es una política que dificulta enormemente el uso de otros sistemas y deja a la red muy vulnerable a prácticamente cualquier tipo de ataque interno o externo.
72 http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
En estos casos se recomienda segmentar la red en dominios y acotar cada uno de estos dominios, ya que raramente todos los ordenadores tienen que acceder a todos los recursos disponibles de la red. • Permisividad mínima (deny everything) aplica la política contraria a la anterior. En este caso se deniegaacceso a todos los servicios de la red y se van permitiendo accesos a estos a medida que se necesiten. De esta forma es bastante improbable que recibamos un ataque a un servicio que desconocíamos que teníamos en la red. Por otro lado, el trabajo de otros sistemas se facilita enormemente ya que pueden configurarse para que detecten fácilmente cualquier comportamiento anómalo en la red (simplementese debe monitorizar los accesos a los servicios y comprobar si esos accesos están permitido expresamente o no). Cabe notar que este tipo de política requiere un gran esfuerzo ya que es poco flexible y en organizaciones con gran cantidad de usuarios con diferentes requerimientos puede llevar a tener que permitir tantos accesos cruzados que deje de ser práctico. Destacar que el simple uso de unfirewall puede crear una falsa sensación de seguridad que de nada sirve si no son configurados y “mantenidos al día” (aplicación de los parches/patches del fabricante, supervisión y adaptación al tráfico de la red...). Muchas organizaciones con cientos de ordenadores y decenas de firewalls no disponen de una sola persona cualificada asignada exclusivamente a su mantenimiento!! Por otro lado, este...
Leer documento completo
Regístrate para leer el documento completo.