Publicado el 14 de Enero del 2017
921 visualizaciones desde el 14 de Enero del 2017
105,6 KB
22 paginas
Creado hace 22a (20/06/2002)
Sistemas de Detección de Intrusos
Índice de materias
• Introducción.
• Clasificación de los IDSes.
• Implementación.
• Ejemplos de IDSes.
• Respuesta automática.
• Conclusiones.
• Referencias.
Mayo, 2002
Antonio Villalón Huerta
Página 1
�Sistemas de Detección de Intrusos
Introducción: definiciones
• Intrusión: Conjunto de acciones que intentan comprometer la
integridad, confidencialidad o disponibilidad de un recurso.
– No sólo penetraciones contra un sistema.
• Sistema de detección de intrusos: mecanismo cuyo objetivo es
detectar, identificar y responder ante una intrusión.
– No tiene por qué ser un programa o producto concreto.
• ¿Por qué un IDS?
Mayo, 2002
Antonio Villalón Huerta
Página 2
�Sistemas de Detección de Intrusos
Introducción: historia
• Primer trabajo sobre IDSes: 1980 (James P. Anderson).
• Década de los 80: diseño del primer sistema (IDES), que
funcionaba en tiempo real (Dorothy Denning, Peter Neumann).
• Auge desde 1995 (crisis de los firewalls).
• Actualmente, uno de los campos con más investigación y
avances.
Mayo, 2002
Antonio Villalón Huerta
Página 3
�Sistemas de Detección de Intrusos
Clasificación de los IDSes
• En función del origen de los datos a analizar:
– IDSes basados en máquina (HIDS, Host–based IDS).
– IDSes basados en red (NIDS, Network–based IDS).
• En función de la técnica de análisis utilizada:
– Detección de anomalías (Anomaly detection).
– Detección de usos indebidos (Misuse detection).
• Otras clasificaciones:
– Tiempo real vs. periódicos.
– Activos vs. pasivos.
– Centralizados vs. distribuidos.
– . . .
Mayo, 2002
Antonio Villalón Huerta
Página 4
�Sistemas de Detección de Intrusos
Clasificación → Origen de datos → HIDS
• Sólo procesa datos asociados a un recurso.
• Tipos:
– Verificadores de integridad del sistema (SIV, System
Integrity Verifiers).
– Monitores de registros (LFM, Log File Monitors).
– Sistemas de decepción (Deception Systems).
Mayo, 2002
Antonio Villalón Huerta
Página 5
�Sistemas de Detección de Intrusos
Clasificación → Origen de datos → NIDS
• Procesa datos asociados a varios recursos.
• No tienen por qué estar ubicados en toda la red (de hecho casi
ningún NIDS lo está).
• En la actualidad, los más utilizados.
Mayo, 2002
Antonio Villalón Huerta
Página 6
�Sistemas de Detección de Intrusos
Clasificación → Técnica de análisis → Anomaly Detection
• IDEA: Una intrusión es una anomalía. Conozco lo que es
‘normal’ en un sistema, para poder detectar lo que no lo es
(anomalías).
• PROBLEMA: La modelización del comportamiento es muy
compleja.
• Sistemas expertos o aprendizaje automático (redes neuronales,
reconocimiento geométrico. . . ).
• Poco utilizados en sistemas reales.
Mayo, 2002
Antonio Villalón Huerta
Página 7
�Sistemas de Detección de Intrusos
Clasificación → Técnica de análisis → Anomaly Detection
[An introduction to intrusion detection. Aurobindo Sundaram, ACM Cross-
roads Student Magazine, 1996]
Mayo, 2002
Antonio Villalón Huerta
Página 8
Audit DataSystem ProfileGenerate new profiles dinamicallyUpdate ProfileAttackStateStatisticDeviant�Sistemas de Detección de Intrusos
Clasificación → Técnica de análisis → Misuse Detection
• IDEA: No conozco lo que es ‘normal’ en un sistema, sino que
directamente conozco lo anormal y lo puedo detectar.
• PROBLEMA: Sólo detecto los ataques que conozco.
• Diferentes aproximaciones. La más habitual: sistemas expertos.
• Pattern Matching: cada intrusión tiene un patrón asociado.
• En la actualidad, los más utilizados en sistemas reales.
Mayo, 2002
Antonio Villalón Huerta
Página 9
�Sistemas de Detección de Intrusos
Clasificación → Técnica de análisis → Misuse Detection
[An introduction to intrusion detection. Aurobindo Sundaram, ACM Cross-
roads Student Magazine, 1996]
Mayo, 2002
Antonio Villalón Huerta
Página 10
Audit DataSystem ProfileAttackStateModify existing rulesAdd new rulesRule matchTiming information�Sistemas de Detección de Intrusos
Clasificación → Otros
• Tiempo real vs. Periódicos:
La monitorización del IDS es permanente.
IDSes pasivos ≡ analizadores de vulnerabilidades. ¿Se pueden
considerar realmente IDSes?
• Activos vs. Pasivos:
El IDS es capaz de iniciar una respuesta automática.
• Centralizados vs. Distribuidos:
El IDS y la lógica asociada al mismo se implementan en un
único sistema.
Mayo, 2002
Antonio Villalón Huerta
Página 11
�Sistemas de Detección de Intrusos
Implementación: IDS en el cortafuegos
• ¿Qué información maneja mejor un cortafuegos?
• Ataques más fáciles de detectar:
– Escaneos de puertos.
– Ciertos troyanos.
– Patrones de tráfico sospechoso (por ejemplo, campos de la
cabecera IP con un determinado valor).
Mayo, 2002
Antonio Villalón Huerta
Página 12
�Sistemas de Detección de Intrusos
Implementación: IDS en la red
• ¿Por qué?
• Cuestiones de diseño:
– Número de sensores.
– Ubicación de los sensores: ¿qué hacer en una arquitectura
basada en switches?
Mayo, 2002
Antonio Villalón Huerta
Página 13
�Sistemas de Detección de Intrusos
Implementación: IDS en el host
• ¿Por qué?
• Análisis de logs.
• Verificadores de integridad.
• Problemas del esquema: ¿qué sucede si un pirata controla
totalmente la máquina?
Mayo, 2002
Antonio Villalón Huerta
Página 14
�Sistemas de Detección de Intrusos
Implementación: Sistemas de decepción
• ¿Por qué ‘decepcionar’? Negative knowledge.
• Peligros de la decepción.
• Ejemplos simples de sistemas de decepción.
Mayo, 2002
Antonio Villalón Huerta
Página 15
�Sistemas de Detección de Intrusos
Implementación: DIDS
• Problema genérico de nuestro esquema: ¿Cómo integrar
elementos?
• Sistemas distribuidos de detección de intrusos.
• Centralización: master/slaves.
• Comunicación entre elementos: CIDF, IDMEF, IDXP. . .
• Correlación de ataques: respuesta única, estadísticas,
forensics. . .
Mayo, 2002
Antonio Villalón Huerta
Página 16
�Sistemas de Detección de Intrusos
Ejemplos de IDSes: snort
• http://www.snort.org/
• NIDS, misuse detection (sistema experto), tiempo real. . .
• Sistema abierto: muchas herramientas de terceros.
• ¡Gratuito!
Mayo, 2002
Antonio Villalón Huerta
Página 17
�Sistemas de Detección de Intrusos
Ejemplos de IDSes: RealSecure
• Internet Security Systems, Inc. (http://www.iss.net/).
• NIDS, misuse detection (sistema experto), tiempo real. . .
Mayo, 2002
Antonio Villalón Huerta
Página 18
�Sistemas de Detección de Intrusos
Ejemplos de IDSes: Tripwire
• Tripwire, Inc. (http://www.tripwire.com/).
• HIDS (verificador de integridad).
Mayo, 2002
Antonio Villalón Huerta
Página 19
�Sistemas de Detección de Intrusos
Respuesta automática
• Ventajas de un esquema de AR.
• Tipos de respuesta automática: defensa, ataque, recuperación y
decepción.
• Precauciones obligatorias en un esquema de AR:
– Ponderación de ataques (probabilidad ser falso positivo).
– Direcciones protegidas.
– Número de respuestas por unidad de tiempo.
Mayo, 2002
Antonio Villalón Huerta
Página 20
�Sistemas de Detección de Intrusos
Conclusiones
• Importancia de la detección.
• Sistemas actuales: débiles (no detección de ataques nuevos)
pero necesarios.
• IDS como mecanismo, no como producto concreto: DIDS.
• El futuro:
– Sistemas distribuidos.
– Detección de nuevos tipos de ataques (novel attacks).
– Refinamiento de la respuesta automática.
Mayo, 2002
Antonio Villalón Huerta
Página 21
�Sistemas de Detección de Intrusos
Algunas referencias. . .
• Intrusion Detection: Network Security beyond the Firewall.
Terry Escamilla. John Wiley & Sons, 1998.
• Network Intrusion Detection: An Analyst´s Handbook.
Stephen Northcutt, Donald McLachlan, Judy Novak. New
Riders Publishing, 2000 (2nd Edition).
• Intrusion Detection: Generics and State of the Art. NATO
Research & Technology Organisation. Technical Report
RTO–TR–049. NATO, 2002.
• COAST IDS pages:
http://www.cerias.purdue.edu/coast/intrusion-detection/welcome.html
• Intrusion Detection Working Group:
http://www.ietf.org/html.charters/idwg-charter.html
Mayo, 2002
Antonio Villalón Huerta
Página 22
Crear cuenta
Comentarios de: Sistemas de Detección de Intrusos (0)
No hay comentarios