Sistemas De Detección De Intrusos
Actualizado 10-05-2011
Sistemas de Detección de Intrusos
Álvaro Alesanco – alesanco@unizar.es
Criptografía y Seguridad en Redes de Comunicaciones
Sistemas de Detección de Intrusos
Índice ! Introducción ! Usos de un IDS ! Tipos de IDS ! Ataques contra un IDS ! Ejemplo: Snort sobre FC6
Sistemas de Detección de Intrusos
Introducción
! ¿Qué tarearealiza un IDS? • Monitorización de un recurso en busca de violaciones de la política de seguridad establecida • ¿Recurso?
• Dentro de una máquina
– ficheros
• Tráfico de una red
– todo tipo de paquetes
Sistemas de Detección de Intrusos
Introducción
! ¿Por qué necesitamos un IDS?
• Los cortafuegos no son infalibles
• Confiar únicamente en un cortafuegos es arriesgado, en elmejor de los casos
• Protegen contra ataques que no detectan los cortafuegos
• USB con troyano ¿qué pasa? • Ataques intranetintranet
• Seguridad en profundidad
• Nos protege frente a fallos de otros sistemas de seguridad (no confiar sólo en un sistema de seguridad)
• Automatización Facilitan la gestión de la seguridad
• Avisar al gestor de alarmas • Posibilidad deactuación programada
Sistemas de Detección de Intrusos
Introducción
! ¿Qué ofrece un IDS? :
• Mejora la seguridad interna
• Cortafuegos protege el perímetro • Gran parte de los ataques se producen desde el interior (consciente o inconscientemente)
• Ofrece información sobre el uso de un sistema
• Sniffer continuo de la red estadísticas de uso
• Permite realizar el seguimientode un ataque en curso
• El ataque mejor pararlo cuanto antes, pero si estamos interesados en seguir las fases del ataque el IDS nos puede ayudar (descubrir al culpable)
Sistemas de Detección de Intrusos
Tipos de IDS ! Arquitectura general de un IDS :
• Recogida de información • Análisis de información • Emisión de respuesta
Sistemas de Detección de Intrusos
Tipos de IDS
! Básicamente, dos tipos de IDS + uno • HIDS ( Host IDS )
• Protegen únicamente el equipo en el que están instalados
• NIDS ( Network IDS )
• Instalación independiente (un solo equipo). Suele ser conveniente equipo dedicado o elemento de construcción de red (swicth), si es posible • Protegen una red o parte de ella (depende del tráfico que pasa por ellos)
• Modelado de comportamiento• Modela un equipo y alerta si el comportamiento no es normal
Sistemas de Detección de Intrusos
HIDS
! Recogida de información
• Logs del Sistema: acceso, errores, etc. • Propia estructura de ficheros del SO: tamaño, fecha de modificación, acceso, etc.
! Análisis de la información
• Búsqueda de patrones extraños • Búsqueda de modificaciones en el SO (un binario con un tamañodiferente, por ejemplo)
• Intrusos intentan cubrir sus huellas • Ej: usuarios no autorizados
! Respuesta
• Emisión de alarmas al administrador • Ejecución de comandos
• Ej: matar procesos
Sistemas de Detección de Intrusos
HIDS ! Ventajas:
• Detectan troyanos y modificaciones del sistema con facilidad: tienen acceso al sistema • Pueden tratar con tráfico cifrado (observanantes del cifrado/después del descifrado)
• Ej: troyano que se comunica con C&C de forma cifrada
• Pueden detectar ataques que no detecta un NIDS
• Ej: accesos locales no autorizados (logs del sistema)
Sistemas de Detección de Intrusos
HIDS ! Desventajas :
• No detectan ataques de red (para eso están los NIDS) • Son vulnerables a ataques a las fuentes de información Logs • El HIDS, al residir en el equipo, puede ser atacado (ej: intruso intenta desactivarlo) • Es necesario poner uno en cada equipo del sistema • Es complicado configurarlo de forma correcta y eficiente
• Depende de tus habilidades … (meter horas)
Sistemas de Detección de Intrusos
HIDS ! Ej: Tripwire
(comercial, pero existe versión de código libre)
• HIDS basado en recogida de...
Regístrate para leer el documento completo.