IDSs
Páginas: 5 (1109 palabras)
Publicado: 11 de noviembre de 2015
IDS
SISTEMAS DE DETECCIÓN
DE INTRUSOS
Introducción
Importancia de la seguridad en las
organizaciones
Desconocimiento de todas las
vulnerabilidades
Se descubren vulnerabilidades en los
sistemas cada día
3/05/02
Sistemas de Detección
2
Tecnologías de la seguridad
Escáneres de vulnerabilidades
– Sistemas (política de seguridad, usuarios,
configuraciones,...)
– Servicios ofrecidosa los demás ordenadores
Detectores de ataques
– Centinelas en los sistemas
– Análisis del flujo de datos que circulan por la red
3/05/02
Sistemas de Detección
3
Complementos a los cortafuegos
Los cortafuegos se basan en un
sistema de restricciones y excepciones
Problema: cuando un atacante
enmascara el tráfico o se comunica
directamente con una aplicación remota
el cortafuegos nocumple con su misión
de primera barrera
3/05/02
Sistemas de Detección
4
Sistemas Detectores de Intrusos
Complemento de seguridad de los
firewalls
Sistema que intenta detectar y alertar
sobre las intrusiones en un sistema o en
una red
Intrusión: actividad realizada por
personas no autorizadas o actividades
no autorizadas
3/05/02
Sistemas de Detección
5
IDS: Clasificación
Segúnlocalización:
– NIDS (Network Intrusion Detection System)
– HIDS (Host Intrusion Detection System)
Según modelo de detección:
– Detección de mal uso
– Detección de uso anómalo
Según naturaleza
– Pasivos
– Reactivos
3/05/02
Sistemas de Detección
6
NIDS: Introducción
Analiza el tráfico de toda la red
Examina paquetes en búsqueda de
opciones no permitidas y diseñadas para
no serdetectadas por los cortafuegos
Produce alertas cuando se intenta
explorar algún fallo de un programa de
un servidor
3/05/02
Sistemas de Detección
7
NIDS: Componentes
Sensores (agentes): situado en un
segmento de red monitoriza en busca
de tráfico sospechoso
Una consola: recibe las alarmas de los
sensores y reacciona según el tipo de
alarma recibida
3/05/02
Sistemas de Detección
8
NIDS:Ventajas
Detectan accesos no deseados en la
red
No necesitan software adicional en los
servidores
Fácil instalación y actualización
(sistemas dedicados)
3/05/02
Sistemas de Detección
9
NIDS: Desventajas
Número de falsos-positivos
Sensores distribuidos en cada
segmento de la red
Tráfico adicional en la red
Difícil detección de los ataques de
sesiones encriptadas
3/05/02Sistemas de Detección
10
HIDS: Introducción
Analiza el tráfico sobre un servidor o un
PC
Detecta intentos fallidos de acceso
Detecta modificaciones en archivos
críticos
3/05/02
Sistemas de Detección
11
HIDS: Ventajas
Potente: registra comandos, ficheros
abiertos, modificaciones importantes,...
Menor número de falsos-positivos que
el NIDS
Menor riesgo en las respuestasactivas
que los NIDS
3/05/02
Sistemas de Detección
12
HIDS: Inconvenientes
Instalación en máquinas locales
Carga adicional en los sistemas
Tiende a confiar la auditoria y el loggin
a la máquina
3/05/02
Sistemas de Detección
13
IDS: modelos de detección
Detección del mal uso
– Verificación sobre tipos ilegales de tráfico
de red
– Se implementa observando cómo explotar
los puntosdébiles de los sistemas y
describiéndolos mediante patrones
– Ej.: combinaciones ‘imposibles’ dentro de
un paquete, detección de sniffers,...
3/05/02
Sistemas de Detección
14
IDS: modelos de detección
Detección de uso anómalo
– Estadísticas sobre tráfico típico en la red
– Detecta cambios en los patrones de
utilización o comportamiento del sistema
– Utiliza modelos estadísticos y buscadesviaciones estadísticas significantes
– Ej.: tráfico excesivo en horario fuera de
oficina, accesos repetitivos ...
3/05/02
Sistemas de Detección
15
IDS: Según su naturaleza
IDS Pasivo
– Detectan la posible violación de la
seguridad, la registran y generan alerta
IDS Activo
– Responde ante una actividad ilegal de
forma activa, sacando al usuario del
sistema o reprogramando el firewall...
SISTEMAS DE DETECCIÓN
DE INTRUSOS
Introducción
Importancia de la seguridad en las
organizaciones
Desconocimiento de todas las
vulnerabilidades
Se descubren vulnerabilidades en los
sistemas cada día
3/05/02
Sistemas de Detección
2
Tecnologías de la seguridad
Escáneres de vulnerabilidades
– Sistemas (política de seguridad, usuarios,
configuraciones,...)
– Servicios ofrecidosa los demás ordenadores
Detectores de ataques
– Centinelas en los sistemas
– Análisis del flujo de datos que circulan por la red
3/05/02
Sistemas de Detección
3
Complementos a los cortafuegos
Los cortafuegos se basan en un
sistema de restricciones y excepciones
Problema: cuando un atacante
enmascara el tráfico o se comunica
directamente con una aplicación remota
el cortafuegos nocumple con su misión
de primera barrera
3/05/02
Sistemas de Detección
4
Sistemas Detectores de Intrusos
Complemento de seguridad de los
firewalls
Sistema que intenta detectar y alertar
sobre las intrusiones en un sistema o en
una red
Intrusión: actividad realizada por
personas no autorizadas o actividades
no autorizadas
3/05/02
Sistemas de Detección
5
IDS: Clasificación
Segúnlocalización:
– NIDS (Network Intrusion Detection System)
– HIDS (Host Intrusion Detection System)
Según modelo de detección:
– Detección de mal uso
– Detección de uso anómalo
Según naturaleza
– Pasivos
– Reactivos
3/05/02
Sistemas de Detección
6
NIDS: Introducción
Analiza el tráfico de toda la red
Examina paquetes en búsqueda de
opciones no permitidas y diseñadas para
no serdetectadas por los cortafuegos
Produce alertas cuando se intenta
explorar algún fallo de un programa de
un servidor
3/05/02
Sistemas de Detección
7
NIDS: Componentes
Sensores (agentes): situado en un
segmento de red monitoriza en busca
de tráfico sospechoso
Una consola: recibe las alarmas de los
sensores y reacciona según el tipo de
alarma recibida
3/05/02
Sistemas de Detección
8
NIDS:Ventajas
Detectan accesos no deseados en la
red
No necesitan software adicional en los
servidores
Fácil instalación y actualización
(sistemas dedicados)
3/05/02
Sistemas de Detección
9
NIDS: Desventajas
Número de falsos-positivos
Sensores distribuidos en cada
segmento de la red
Tráfico adicional en la red
Difícil detección de los ataques de
sesiones encriptadas
3/05/02Sistemas de Detección
10
HIDS: Introducción
Analiza el tráfico sobre un servidor o un
PC
Detecta intentos fallidos de acceso
Detecta modificaciones en archivos
críticos
3/05/02
Sistemas de Detección
11
HIDS: Ventajas
Potente: registra comandos, ficheros
abiertos, modificaciones importantes,...
Menor número de falsos-positivos que
el NIDS
Menor riesgo en las respuestasactivas
que los NIDS
3/05/02
Sistemas de Detección
12
HIDS: Inconvenientes
Instalación en máquinas locales
Carga adicional en los sistemas
Tiende a confiar la auditoria y el loggin
a la máquina
3/05/02
Sistemas de Detección
13
IDS: modelos de detección
Detección del mal uso
– Verificación sobre tipos ilegales de tráfico
de red
– Se implementa observando cómo explotar
los puntosdébiles de los sistemas y
describiéndolos mediante patrones
– Ej.: combinaciones ‘imposibles’ dentro de
un paquete, detección de sniffers,...
3/05/02
Sistemas de Detección
14
IDS: modelos de detección
Detección de uso anómalo
– Estadísticas sobre tráfico típico en la red
– Detecta cambios en los patrones de
utilización o comportamiento del sistema
– Utiliza modelos estadísticos y buscadesviaciones estadísticas significantes
– Ej.: tráfico excesivo en horario fuera de
oficina, accesos repetitivos ...
3/05/02
Sistemas de Detección
15
IDS: Según su naturaleza
IDS Pasivo
– Detectan la posible violación de la
seguridad, la registran y generan alerta
IDS Activo
– Responde ante una actividad ilegal de
forma activa, sacando al usuario del
sistema o reprogramando el firewall...
Leer documento completo
Regístrate para leer el documento completo.