Área de Ingeniería Telemática
Dpto. Automática y Computación
http://www.tlm.unavarra.es/
Hasta ahora...
‣ Tipos de ataques al host y a la red
‣ La cadena de seguridad: host, red local, perimetral...
‣ Seguridad perimetral
‣ Herramientas: firewalls, proxies, redes y hosts expuestos y
bastion hosts
‣ Hoy:
‣ Sistemas de detección de intrusión
Detección de intrusos
2
/39
Introducción
‣ Cortafuegos
Permiten elegir que dejamos pasar a nuestra red (o nuestro host)
Un objeto (usuario, programa, systema...) debe tener los minimos
privilegios necesarios para cumplir su función asignada pero ninguno
más
‣ Cuello de botella (choke point)
Forzar a los atacantes a seguir un canal estrecho que pueda ser
controlado y vigilado
‣ Seguridad en profundidad (security in depth)
Varios niveles de medidas de seguridad (no tengo que suponer que
son infranqueables). ¿Para que poner una camara detrás de una
puerta que se supone que no puede abrirse?
Detección de intrusos
3
/39
Introducción
‣ Sistemas de Detección de Intrusión
monitoriza de un modo automático todos los eventos que
ocurren en una red, un host, en una aplicación...
en busca de señales que puedan indicar la existencia de problemas
de seguridad.
‣ Problema típico con un firewall:
He sufrido un ataque en uno de mis servidores, el atacante ha conseguido
ser root.
Intento reconstruir lo que ha pasado. Examino los logs del firewall en busca
de pistas de lo que ha pasado
Los logs del firewall contienen los paquetes que han filtrado... eso son los
ataques que no han conseguido pasar
Detección de intrusos
4
/39
Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ según el modo de análisis empleado.
‣ según la respuesta proporcionada.
‣ según la arquitectura utilizada.
Detección de intrusos
5
/39
Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ Network IDS
‣ Host IDS
‣ Application/protocol IDS
‣ según el modo de análisis empleado.
‣ según la respuesta proporcionada.
‣ según la arquitectura utilizada.
Detección de intrusos
6
/39
NIDS (Network IDS)
‣ Sistemas de Detección de Intrusión basados en red
‣ Los más comunes (sistemas comerciales suelen ser de estos)
‣ Capturan y analizan tráfico que pasa por un segmento de red (por ejemplo
‣ Pueden ser distribuidos
la DMZ) y observan si se producen ataques
‣ varias sondas en diversos puntos que capturan trafico y lo analizan
‣ una consola central que procesa las alarmas
Internet
‣ Ejemplo de NIDS: Snort
NIDS
Detección de intrusos
7
/39
NIDS (Network IDS)
‣ Sistemas de Detección de Intrusión basados en red
‣ Ventajas
‣ Un IDS protege varias máquinas (y es independiente del SO)
‣ Con varios distribuidos pueden monitorizar redes muy grandes
‣ Puesta en marcha sin interrumpir servicios (son pasivos)
‣ Son difíciles de detectar por los atacantes (sensores sin IP)
‣ Son muy efectivos detectando y deteniendo ataques que se basan en
manipulaciones de las cabeceras IP (por ejemplo LAND o Teardrop).
‣ Rendimiento limitado (pocos pueden analizar un segmento cargado)
‣ En redes conmutadas necesitan port mirroring (que un switch saque todo
el trafico por un puerto para el IDS) eso convierte el puerto en cargado
‣ Es capaz de ver muchos ataques pero no de saber si han tenido éxito
‣ No se pueden utilizar si el trafico va cifrado (cuando veamos VPNs...)
Alarma y que decida el administrador/encargado de seguridad
‣ Desventajas
Detección de intrusos
8
/39
HIDS (Host IDS)
‣ Sistemas de Detección de Intrusión basados en host
‣ Software
‣ Monitorizan la actividad del host
‣ Intercepción de llamadas al sistema y otros parámetros del kernel
‣ Ficheros de log del sistema operativo o diversas aplicaciones
‣ Fechas de modificación de ficheros críticos
‣ Combinados con sistemas de detección de integridad (algo ha sido
modificado??)
‣ Ejemplo de HIDS:
que no debieran
‣ Tripwire: Open source, basado sobre todo en detectar si se modifican ficheros
‣ Los antivirus serian HIDS ?
‣ El TPM sería un HIDS ?
Normalmente hablamos de sistemas más configurables que dejen elegir lo que
quiero proteger...
Detección de intrusos
9
/39
HIDS (Host IDS)
‣ Sistemas de Detección de Intrusión basados en host
‣ Ventajas
positivos)
‣ Son capaces de detectar si el ataque ha tenido éxito (menos falsos
‣ No necesitan hardware adicional
‣ Un sistema en cada host, no tan sensible a la carga de la red
‣ No importa que el trafico de red sea encriptado
‣ Inconvenientes
‣ Configuración más compleja
‣ Un sistema en cada host, afecta al rendimiento del servidor que
protejamos (ademas de requerir parar el servidor para instalarlo)
‣ Ataques de denegación de servicio contra el HIDS
‣ Protegen a un solo host
Detección de intrusos
10
/39
IDS de aplicación
‣ IDSs basados en aplicación / protocolo
Tipo de HIDS especializados
concretos
‣ Diseñados especificamente para aplicaciones o protocolos
‣ Interceptan la comunicación de aplicaciones especificas y observan
ataques
‣ Ejemplos:
‣ Analizadores de HTTP/HTTPS
‣ Peticiones que llegan a un servidor web
‣ Peticiones que llegan a un servidor web con SSL
‣ Analizadores de peticiones que llegan a una base de datos desde
‣ ...
el servidor web
Detección de intrusos
11
/39
Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ según el modo de análisis empleado.
‣ IDS detector de malos usos
‣ IDS detector de anomalías
‣ según la respuesta proporcionada.
‣ según la arquitectura utilizada.
Detección de intrusos
12
/39
Detección de malos usos
‣ Aproximación más común
‣ El IDS busca patrones conocidos de ataques
‣ Un NIDS busca paquetes con contenidos conocidos o que
van puertos peligrosos (reglas y alarmas como los firewalls)
‣ Un HIDS modificaciones en ficheros concretos o ataques a
llamadas al sistema concretas
‣ Aplicación del principio: enumerate-badness
Detección de intrusos
13
/39
Detección de malos usos
‣ Ventajas
‣ muy efectivos y generan pocos falsos positivos
‣ detectan los ataques de un modo muy preciso
‣ Generalmente conocen además de los patrones de ataques,
información sobre las consecuencias, como detectar el ataque, cómo
responder, etc lo cual resulta de gran utilidad (sistema experto)
‣ Hay algunos capaces de detectar variaciones sobre los ataques
conocidos pero no son aun muy comunes
‣ Desventajas
‣ No son capaces de detectar ataques que no conocen
Ataques de día cero (zero-day exploits)
Ataque que se detecta al mismo tiempo que se hace publica la
vulnerabilidad
Detección de intrusos
14
/39
Detección de anomalías
‣ Intentan aprender el comportamiento/tráfico “normal” de usuarios y aplicaciones y
avisan cuando se producen anomalías
‣ Diferentes técnicas: estadísticas, detección de umbrales, inteligencia artificial...
Son aun campo de investigación
‣ Ventajas
‣ Puede detectar ataques que no conoce
‣ Pueden generar información de patrones que debe buscar un detector de malos
usos
‣ Desventajas
‣ La detección es poco precisa
Alarma: “Ha pasado algo raro” pero el administrador deba averiguar que ha
ocurrido
‣ Gran número de falsos positivos
‣ Su utilización requiere gran trabajo de parametrización y en general mayores
conocimientos que los IDSs de detección de malos usos
‣ Los sistemas comerciales más avanzados utilizan una combinación de las dos técnicas
Detección de intrusos
15
/39
Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ según el modo de análisis empleado.
‣ según la respuesta proporcionada.
‣ De respuesta pasiva
‣ De respuesta activa / Inline
‣ según la arquitectura utilizada.
Detección de intrusos
16
/39
IDS de respuesta pasiva
‣ Recopilan información
‣ Generan alarmas que se guardan o se envían a
sistemas de gestión
‣ Las alarmas pueden disparar mensajes al
administrador por correo electrónico o SMS.
‣ El administrador debe reaccionar
Detección de intrusos
17
/39
IDS de respuesta activa
‣ responden de un modo automático ante la detección de un ataque.
‣ Recolección de información adicional, modificando el
número de eventos almacenados.
‣ para analizar y hacer frente al ataque
‣ como soporte para emprender acciones legales contra el agresor.
‣ Modificación del entorno.
‣ interactúa con otros dispositivos como routers (modificación de ACLs) o
firewalls (modificación de reglas) para detener el ataque (por ejemplo
bloqueando una dirección IP determinada, etc).
‣ resetear la conexión TCP del atacante inyectando RSTs con IP spoofed
‣ bloquear todo el tráfico proveniente del atacante
‣ Contrataque. No es una opción muy apropiada
‣ implicaciones legales que pudiera tener y posibilidad de spoofing
‣ hay sistemas que hacen traceroutes y escaneos a la dirección de que viene el ataque
Detección de intrusos
18
/39
IDS de respuesta activa
‣ Si impiden ataques se suelen llamar también IPS (intrusion
prevention systems)
Pero es más bien un nombre de marketing y el nombre IPS está
bastante desprestigiado entre los expertos
‣ Normalmente se llaman IDS-inline si el IDS esta en el camino del
ataque (firewall inteligente) y puede decidir no reenviar paquetes y
IDS de respuesta activa si es un sistema aparte que envia RSTs o da
ordenes a los firewalls
IDS de respuesta activa
IDS en línea
Internet
IDS
Internet
IDS
Detección de intrusos
19
/39
Tipos de IDS
‣ Clasificaciones
‣ según la fuente de información utilizada.
‣ según el modo de análisis empleado.
‣ según la respuesta proporcionada.
‣ según la arquitectura utilizada
‣ Un host
‣ Distribuidos
Detección de intrusos
20
/39
Arquitecturas de IDS
‣ IDS de un host
‣ El IDS es una máquina que observa un punto de la red y analiza el
tráfico generando alarmas o respuestas activas.
Se basa en el trafico en un único punto. ¿En qué punto conviene
vigilar?
En
Links de descarga
http://lwp-l.com/pdf17199
Comentarios de: Seguridad en Sistemas Informáticos - Detección de intrusión (0)
Crear cuenta
Comentarios de: Seguridad en Sistemas Informáticos - Detección de intrusión (0)
No hay comentarios