Publicado el 22 de Julio del 2018
605 visualizaciones desde el 22 de Julio del 2018
607,2 KB
68 paginas
Creado hace 21a (11/12/2003)
MODULO VI
Detección de Intrusos
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�PROGRAMA
1. Sistemas detectores de intrusos: basados en host y
basados en red
2. Técnicas de detección de intrusiones
3. Verificación de integridad
4. Análisis de tráfico
5. Sistemas actuales de detección de intrusos
6. Detección activa. Honeypots.
7. Respuesta a incidentes
8. Técnicas de informática forense
9. Recursos
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Terminología
Detección de intrusos
– Es el proceso de detectar acceso, o intentos de acceso, no
autorizado a los recursos de cómputo de una organización.
– Es el arte de detectar actividad incorrecta, inapropiada, maliciosa o
anómala en los equipos de cómputo o red de una organización.
– El proceso de detección de intrusos puede ocuparse de la atención
de ataques originados desde el exterior de la organización, o de
ataques generados en el interior de la propia organización (misuse
detection).
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Matriz de IDS
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Capacidades de los IDSs
– Un IDS efectúa una o más de las siguientes actividades para
realizar la detección de intrusos:
Reconocimiento de patrones asociados con ataques
conocidos
Análisis estadístico de patrones anormales de tráfico
Verificación de integridad de archivos específicos
Monitoreo y análisis de actividad del sistema
Monitoreo y análisis de actividad de los usuarios
Análisis de tráfico de red
Análisis de bitácoras de eventos
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Implantación de IDSs
– IDS basado en host (HIDS)
Los datos que serán analizados son generados por los
equipos de la red
Los datos a analizar pueden ser:
– recopilados de las bitácoras de las aplicaciones o las
bitácoras del sistema operativo (Logfile surveillance)
– Obtenidos a partir de la verificación de la integridad de los
archivos (File system integrity checking)
Un sistema basado en host permite rastrear más
fácilmente casos de uso inapropiado de recursos
Permite determinar con mayor facilidad si la intrusión fue
exitosa
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�IDS basado en host
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Implantación de IDSs (cont.)
– IDS basado en red (NIDS)
Se analiza el tráfico que fluye a través de un segmento de
red, por medio de un sensor configurado en modo
promiscuo (sniffing).
Los sensores se instalan en posiciones estratégicas
dentro de la organización. Usualmente se coloca uno en
cada segmento crítico.
Un IDS basado en red no siempre permite determinar con
exactitud si la intrusión fue exitosa
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�IDS basado en red
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Implantación de IDSs (cont.)
– IDS basado en stack
También conocido como NNIDS (Network Node IDS).
Similar a un firewall personal
Una variante de HIDS, que permite protección como la de
un NIDS, en la cual el monitoreo se hace en la pila
TCP/IP, permitiendo analizar los paquetes conforme
fluyen en las diferentes capas.
Esto permite que los paquetes sean analizados por el IDS
antes de que sean procesados por el kernel o por las
aplicaciones
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Implantación de IDSs (cont.)
– IDSs basados en host:
Tripwire (www.tripwire.org)
AIDE (Advanced intrusion detection environment,
http://www.cs.tut.fi/~rammer/aide.html)
– IDSs basados en red:
Dragon (www.enterasys.com)
Snort (www.snort.org)
ISS Real Secure (www.iss.net)
– IDSs basados en stack
Real Secure Desktop/Server (www.iss.net)
Tiny Firewall (www.tinysoftware.com)
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Métodos de Análisis de ID-1
¿Cuándo analizar?
– Análisis basado en intervalos
Los eventos son recolectados y registrados en bitácoras
(particulares o del sistema operativo)
Los datos son analizados en períodos de tiempo determinados
Se privilegia la exactitud de la información recopilada, sobre la
velocidad de respuesta
Al no ser en tiempo real, no existe un gran impacto en el
desempeño de los equipos en que residen los sensores
Los incidentes son detectados tiempo después de que han
ocurrido.
Muy difícil responder a los incidentes
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Métodos de Análisis de ID-2
¿Cuándo analizar? (continuación)
– Análisis en tiempo real
Los datos son analizados conforme son recolectados
El objetivo es que un ataque pueda ser bloqueado antes de sea
completado y la víctima sea comprometida.
– El equipo de seguridad puede atender el incidente mientras
está ocurriendo
– Pueden establecerse respuestas automatizadas para
ataques conocidos
Se requieren recursos adicionales de procesamiento y memoria
La configuración es crucial, ya que una respuesta automática a
un falso-positivo puede resultar costosa
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Métodos de Análisis de ID-3
¿Cómo analizar?
– Análisis de firmas
El proceso de verificar la coincidencia de firmas de ataques
conocidos contra los datos recolectados
Firma
– Un evento o patrón de eventos que corresponde a un
ataque conocido
– Ejemplos: Una inundación de paquetes ICMP, una
secuencia de bytes utilizada por un gusano
Debe existir la firma en el IDS para que un ataque pueda ser
detectado
Al encontrar una coincidencia, se genera una alarma indicando
una intrusión (o actividad maliciosa).
Comunmente implantado en los IDSs comerciales
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Métodos de Análisis de ID-4
¿Cómo analizar? (continuación)
– Análisis de Anomalías
También conocido como behavioral or statistical analysis
El IDS crea perfiles de comportamiento de cada usuario
(horarios de conexión, duración de sesiones en la red, ancho de
banda utilizado, etc.)
El objetivo es encontrar una desviación a un patrón o
comportamiento conocido.
Al encontrar una desviación se genera una alarma indicando una
posible intrusión.
No es incorporado comunmente en los IDSs comerciales
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Verificación de Integridad
La verificación de integridad de sistemas de archivos es una
técnica que permite:
– Determinar si se han modificado, eliminado o añadido
archivos, con referencia en un estado anterior.
– Detectar y reparar fácilmente un sistema modificado
intencional o accidentalmente
Herramientas de verificación de integridad
– Algoritmos de digestión: MD5, SHA1
– Firma digital: PGP, GPG
– Tripwire (Unix, Windows)
– AIDE (UNIX)
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Tripwire for Servers
1. Tomar una foto digital
de los archivos existentes
2. Tomar una segunda
foto, para comparar
3. Las violaciones de
integridad son registradas
S
SL
Reportes
Reportes
Email
Email
Tripwire
Tripwire
Tripwire
Manager
Manager
Manager
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Componentes Tripwire
Política definida por el usuario
– Especifica los objetos en el sistema y los atributos de dichos
objetos que serán verificados
– Es almacenada cifrada y firmada para prevenir cambios no
autorizados (El Gammal, 1024 bits)
Base de datos de estado
– Se construye con base en la política definida por el usuario.
– Se usa como base para determinar si han ocurrido cambios en
el sistema
– Es almacenada cifrada y firmada para prevenir cambios no
autorizados
Llaves criptográficas
– Site key: protege las políticas y archivos de configuración que
pueden utilizarse a lo largo de la organización.
– Local key: protege la base de datos y reportes de una máquina
en particular
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Verificación de Integridad con Tripwire
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Puesta a punto de políticas
Diplomado en Seguridad Informática | Detección de intrusos | © 2003 SekureIT, S.A. de C.V.
10.2003 | Página 1
�Comandos de Tripwire
twadmin
– Crear archivos de configuración y de políticas
– Realizar operaciones criptográficas a los archivos de Tripwire
tripwire
– Crear la base de datos
– Verificar integridad
– Actualizar la base de datos y las políticas
twprint
– P
Crear cuenta
Comentarios de: Modulo VI - Detección de Intrusos (0)
No hay comentarios