DEA Es 3IDS
Páginas: 43 (10579 palabras)
Publicado: 15 de mayo de 2015
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
CAPITULO 3
IDS
En este tercer capítulo realizaremos un estudio sobre los sistemas de detección de
intrusos o IDS (Intrusion Detection System). Diferenciaremos entre los distintos tipos de
sistemas existentes y nos centraremos en los sistemas de detección de intrusos para
redes de ordenadores o NIDS(Network IDS).
Se analizarán los diferentes componentes, arquitecturas y configuraciones que forman
los sistemas NIDS. También se comentarán los diferentes protocolos y paradigmas
standard que existen en la actualidad para la comunicación entre los distintos
componentes de sistemas IDS.
71
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
Describiremos lasdistintas técnicas de análisis utilizadas sobre datos obtenidos por los
distintos componentes del IDS así como los efectos derivados de la detección
automática de intrusos en redes de ordenadores. Se introducirán los conceptos de falsos
positivos y falsos negativos.
También se enumerarán los principales inconvenientes y limitaciones que presenta la
utilización de sistemas IDS/NIDS así como lasfuturas líneas que pueden ir marcando la
evolución de los NIDS, centrándonos en los sistemas de prevención o IPS (Intrusion
Prevention System).
Finalmente comentaremos un ataque típico y clásico en la bibliografía de los sistemas
de detección, el ataque del famoso hacker Kevin Mitnick.
3.1 Firewalls
Durante mucho tiempo el mecanismo de seguridad en redes más extendido ha sido
únicamente el uso de unfirewall. Este sistema nos permite de una manera simple y
eficaz aplicar filtros tanto para el tráfico de entrada como para el de salida en nuestra
red.
Podemos diferenciar entre dos políticas básicas de configuración de firewalls [Nor99]:
•
Permisividad máxima (allow everything) dónde el uso de filtros es mínimo o
inexistente. Esta política permite prácticamente la circulación de todo eltráfico y
se
utiliza
principalmente
en
Intranets/LAN,
campus
universitarios
y
organizaciones dónde la libertad de uso de aplicaciones (o la gran cantidad de
ellas) es necesaria para el funcionamiento ordinario del sistema.
Es una política que dificulta enormemente el uso de otros sistemas y deja a la red
muy vulnerable a prácticamente cualquier tipo de ataque interno o externo.
72 http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
En estos casos se recomienda segmentar la red en dominios y acotar cada uno de
estos dominios, ya que raramente todos los ordenadores tienen que acceder a
todos los recursos disponibles de la red.
•
Permisividad mínima (deny everything) aplica la política contraria a la anterior.
En este caso se deniega acceso atodos los servicios de la red y se van
permitiendo accesos a estos a medida que se necesiten.
De esta forma es bastante improbable que recibamos un ataque a un servicio que
desconocíamos que teníamos en la red. Por otro lado, el trabajo de otros sistemas
se facilita enormemente ya que pueden configurarse para que detecten
fácilmente cualquier comportamiento anómalo en la red (simplemente se debemonitorizar los accesos a los servicios y comprobar si esos accesos están
permitido expresamente o no).
Cabe notar que este tipo de política requiere un gran esfuerzo ya que es poco
flexible y en organizaciones con gran cantidad de usuarios con diferentes
requerimientos puede llevar a tener que permitir tantos accesos cruzados que
deje de ser práctico.
Destacar que el simple uso de un firewall puedecrear una falsa sensación de seguridad
que de nada sirve si no son configurados y “mantenidos al día” (aplicación de los
parches/patches del fabricante, supervisión y adaptación al tráfico de la red...).
Muchas organizaciones con cientos de ordenadores y decenas de firewalls no disponen
de una sola persona cualificada asignada exclusivamente a su mantenimiento!!
Por otro lado, este tipo de...
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
CAPITULO 3
IDS
En este tercer capítulo realizaremos un estudio sobre los sistemas de detección de
intrusos o IDS (Intrusion Detection System). Diferenciaremos entre los distintos tipos de
sistemas existentes y nos centraremos en los sistemas de detección de intrusos para
redes de ordenadores o NIDS(Network IDS).
Se analizarán los diferentes componentes, arquitecturas y configuraciones que forman
los sistemas NIDS. También se comentarán los diferentes protocolos y paradigmas
standard que existen en la actualidad para la comunicación entre los distintos
componentes de sistemas IDS.
71
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
Describiremos lasdistintas técnicas de análisis utilizadas sobre datos obtenidos por los
distintos componentes del IDS así como los efectos derivados de la detección
automática de intrusos en redes de ordenadores. Se introducirán los conceptos de falsos
positivos y falsos negativos.
También se enumerarán los principales inconvenientes y limitaciones que presenta la
utilización de sistemas IDS/NIDS así como lasfuturas líneas que pueden ir marcando la
evolución de los NIDS, centrándonos en los sistemas de prevención o IPS (Intrusion
Prevention System).
Finalmente comentaremos un ataque típico y clásico en la bibliografía de los sistemas
de detección, el ataque del famoso hacker Kevin Mitnick.
3.1 Firewalls
Durante mucho tiempo el mecanismo de seguridad en redes más extendido ha sido
únicamente el uso de unfirewall. Este sistema nos permite de una manera simple y
eficaz aplicar filtros tanto para el tráfico de entrada como para el de salida en nuestra
red.
Podemos diferenciar entre dos políticas básicas de configuración de firewalls [Nor99]:
•
Permisividad máxima (allow everything) dónde el uso de filtros es mínimo o
inexistente. Esta política permite prácticamente la circulación de todo eltráfico y
se
utiliza
principalmente
en
Intranets/LAN,
campus
universitarios
y
organizaciones dónde la libertad de uso de aplicaciones (o la gran cantidad de
ellas) es necesaria para el funcionamiento ordinario del sistema.
Es una política que dificulta enormemente el uso de otros sistemas y deja a la red
muy vulnerable a prácticamente cualquier tipo de ataque interno o externo.
72 http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 3: SEGURIDAD EN REDES IP: IDS”
En estos casos se recomienda segmentar la red en dominios y acotar cada uno de
estos dominios, ya que raramente todos los ordenadores tienen que acceder a
todos los recursos disponibles de la red.
•
Permisividad mínima (deny everything) aplica la política contraria a la anterior.
En este caso se deniega acceso atodos los servicios de la red y se van
permitiendo accesos a estos a medida que se necesiten.
De esta forma es bastante improbable que recibamos un ataque a un servicio que
desconocíamos que teníamos en la red. Por otro lado, el trabajo de otros sistemas
se facilita enormemente ya que pueden configurarse para que detecten
fácilmente cualquier comportamiento anómalo en la red (simplemente se debemonitorizar los accesos a los servicios y comprobar si esos accesos están
permitido expresamente o no).
Cabe notar que este tipo de política requiere un gran esfuerzo ya que es poco
flexible y en organizaciones con gran cantidad de usuarios con diferentes
requerimientos puede llevar a tener que permitir tantos accesos cruzados que
deje de ser práctico.
Destacar que el simple uso de un firewall puedecrear una falsa sensación de seguridad
que de nada sirve si no son configurados y “mantenidos al día” (aplicación de los
parches/patches del fabricante, supervisión y adaptación al tráfico de la red...).
Muchas organizaciones con cientos de ordenadores y decenas de firewalls no disponen
de una sola persona cualificada asignada exclusivamente a su mantenimiento!!
Por otro lado, este tipo de...
Leer documento completo
Regístrate para leer el documento completo.