SlideShare ist ein Scribd-Unternehmen logo

IDS (Intrusion Detection System)

Als PPTX, PDF herunterladen
krush kr
krush kr

Breve descripción de los IDS

Geräte & Hardware
1 von 48
IDS (Intrusion Detection System) Por: KTC
Conceptos Básicos Intrusión: Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso. Tipos de intrusos Suplantador Usuario fraudulento Usuario clandestino
Suplantador Conceptos Básicos Individuo que no está autorizado a usar la computadora y penetra hasta los controles de acceso del sistema para obtener provecho de la cuenta de un usuario legítimo. Usuario externo
Usuario fraudulento Conceptos Básicos Usuario legítimo que accede a recursos para los que el acceso no está autorizado o que hace mal uso de sus privilegios. Usuario interno.
Usuario clandestino Conceptos Básicos Individuo que toma el control de supervisión del sistema y lo usa para evadir los controles de auditoría y de acceso o para suprimir información de auditoría. Usuario interno o externo.
Conceptos Básicos Detección de intrusos: Análisis automático de parámetros que modelan la actividad de un entorno con el propósito de detectar e identificar intrusiones.
Conceptos Básicos  Falso positivo: detección de datos o paquetes como una amenaza o intrusión cuando en realidad no se trata de algún intento de ataque sobre alguna red.  Falso negativo: paquetes o datos que son amenazas para una red pero el sistema de seguridad no detecta dichas amenazas.
Definición Herramienta o sistema de seguridad que monitorea el tráfico en una red y los eventos ocurridos en un determinado sistema informático, para identificar los intentos de ataques o amenazas que puedan comprometer la seguridad y el desempeño de dicho sistema.
Definición Su desempeño se basa en la búsqueda y análisis de patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre una red o host.
Nos puede ayudar a conocer la amenaza existente dentro y fuera de la organización, ayuda a redactar la política. En un plan de gestión de la seguridad se deben establecer las posibles amenazas que puede sufrir la red.
Enfoques para la detección de la intrusión Detección estadística de anomalías: recopilar datos del comportamiento de usuarios legítimos. Detección de umbrales: frecuencia de acontecimientos, independiente del usuario. Basado en perfiles: perfil para cada usuario y detectar cambios por usuario.
Enfoques para la detección de la intrusión Detección basada en reglas Detección de anomalías: detectar desviación en modelos anteriores. Identificación de la penetración: sistemas expertos que buscan comportamientos sospechosos.
Registros de Auditoría Registros nativos de auditoría: los SO tiene un SW que recoge información. Registros de auditoría específicos para la detección.
Diagrama General de un IDS
Arquitectura General de un IDS  Fuente de datos: Un log, dispositivo de red, o el propio sistema.  Reglas: Datos y patrones para detectar anomalías de seguridad en el sistema.  Filtros: Comparan los datos de la red o de logs con los patrones almacenados en las reglas.  Detectores de eventos anormales en el tráfico de red.  Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS.
Detección de Anomalías Enfoque Comportamiento regular de usuarios para sacar patrones. Creación de perfiles. Aprendizaje de actividades normales y legítimas.
Detección de Anomalías Desventajas  Falsos positivos  Desarrollo de un modelo preciso de la red tardado.  Depende del proceso de aprendizaje.  Entrenamiento restringido = falsos positivos.  Entrenamiento general = falsos negativos Ventajas  Madurez de la tecnología y más inteligente Enfoque
Detección de usos incorrectos  Se monitorea la actividad y se compara con datos previamente almacenados en una base de datos.  Se detectan tentativas de explotación de vulnerabilidades Dos Componentes principales  Lenguaje o modelo que describa y represente técnicas de los atacantes.  Programas de monitorización. Enfoque
HIDS (IDS basados en host) Origen de Datos  Diseñados para monitorear, detectar y responder a los datos generados por un usuario o un sistema en un host. Recaban información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.
HIDS (IDS basados en host) Ventajas Origen de Datos  Detectan mejor ataques desde dentro del equipo  Asocian usuarios y programas con sus efectos en el sistema  Informan sobre el estado del blanco atacado  Protegen el host donde residen.
HIDS (IDS basados en host) Desventajas Origen de Datos  Lento en comparación con el NIDS  Tardan en actuar (registros de actividad y cambios en el sistema)  Dificultad de implantación (S.O.)  No son seguros si se ha atacado con éxito.  Si cae el host no se genera ninguna alerta.
NIDS (IDS basados en red) Origen de Datos  Analizan el tráfico de la red completa, examinando los paquetes individualmente.  Detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos.  Buscar cual es el programa al que se está accediendo y producir alertas cuando un atacante intenta explotar algún fallo en este programa.
NIDS (IDS basados en red) Origen de Datos Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
NIDS (IDS basados en red) Origen de Datos Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
NIDS (IDS basados en red) Componentes Origen de Datos Sensores (agentes): busca tráfico sospechoso. Consola: recibe las alarmas de los sensores y reacciona dependiendo la alarma.
NIDS (IDS basados en red) Ventajas  Se instala en un segmento de red, detecta ataques en todos los equipos conectados.  Independiente de la plataforma de los equipos.  Capaces de detectar manipulación de cabeceras IP, negación de servicio.  Invisibles a los atacantes. Origen de Datos
NIDS (IDS basados en red) Desventajas Origen de Datos Ineficientes con texto cifrado Malos en redes de alta velocidad Congestión = pérdida de paquetes No determina si un ataque tuvo éxito o no.
Distribuidos (DIDS) Estructura Diferentes formatos de auditoría. Uno o más nodos sirven como puntos de recopilación.
Distribuidos (DIDS) Componentes Estructura Agentes: monitorean actividad. Transceptores: comunicación. Maestro(s): centralizan datos. Consola: interfaz con operador.
Centralizados Estructura Emplean sensores que transmiten información a un sistema central donde se controla todo.
Pasivos Comportamiento Sólo notifican mediante algún mecanismo (alerta, log, etc.) pero no actúa sobre el ataque o atacante.
Activos Comportamiento Genera algún tipo de respuesta sobre el sistema atacante o fuente de ataque como cerrar la conexión o enviar algún tipo de respuesta predefinida.
Colocación de un IDS  Zona Roja: Alto riesgo. Poco sensible, ya que habrá mas falsos positivos.  Zona Verde: Sensibilidad mayor que en la zona roja, menos falsos positivos.  Zona Azul: Zona de confianza, tráfico anómalo debe se considerado como hostil, menos falsos positivos.
Colocación de un IDS
Colocación de un IDS Internet
Colocación de un IDS Internet
Colocación de un IDS Internet
Colocación de un IDS Internet
Internet IDS para cada servicio IDS para detectar ataques hacia afuera Colocación de un IDS
Referencias  http://underc0de.org/foro/seguridad/siste mas-ipsidships/ Fundamentos de Seguridad en Redes Aplicaciones y Estándares. (William Stallings), 2ª Edición.
Referencias  http://catarina.udlap.mx/u_dl_a/tales/docu mentos/mcc/muniz_b_p/capitulo2.pdfhttp:// network-uagrm. blogspot.mx/2013/01/sistemas-ids-parte1. html  http://www.adminso.es/recursos/Proyectos/P FC/PFC_marisa.pdf  http://www.adminso.es/index.php/SDI-I-TIPOS_ DE_IDS
Referencias  http://www.adminso.es/index.php/SDI-I-TIPOS_ DE_IDS  http://slideplayer.es/slide/106589/  http://mural.uv.es/emial/informatica/html/I DS.html  http://www.linux-party.com/index.php/6000- el-sistema-de-deteccion-de-intrusos--snort--- windows-y-linux-

Empfohlen

diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALLisreal
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoSSecpro - Security Professionals
 
Intrusion prevention system(ips)
Intrusion prevention system(ips)Intrusion prevention system(ips)
Intrusion prevention system(ips)Papun Papun
 
Mpls
MplsMpls
MplsJose Rojas
 
Cisco: MPLS en Castellano
Cisco: MPLS en CastellanoCisco: MPLS en Castellano
Cisco: MPLS en CastellanoFundación Proydesa
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 
IDS and IPS
IDS and IPSIDS and IPS
IDS and IPSSantosh Khadsare
 
Firewall and Types of firewall
Firewall and Types of firewallFirewall and Types of firewall
Firewall and Types of firewallCoder Tech
 

Empfohlen

diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALLisreal
 
Mitigacion de ataques DDoS
Mitigacion de ataques DDoSMitigacion de ataques DDoS
Mitigacion de ataques DDoSSecpro - Security Professionals
 
Intrusion prevention system(ips)
Intrusion prevention system(ips)Intrusion prevention system(ips)
Intrusion prevention system(ips)Papun Papun
 
Mpls
MplsMpls
MplsJose Rojas
 
Cisco: MPLS en Castellano
Cisco: MPLS en CastellanoCisco: MPLS en Castellano
Cisco: MPLS en CastellanoFundación Proydesa
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 
IDS and IPS
IDS and IPSIDS and IPS
IDS and IPSSantosh Khadsare
 
Firewall and Types of firewall
Firewall and Types of firewallFirewall and Types of firewall
Firewall and Types of firewallCoder Tech
 
VLSM y CIDR
VLSM y CIDRVLSM y CIDR
VLSM y CIDRLuis Asencio
 
Firewalls and packet filters
Firewalls and packet filtersFirewalls and packet filters
Firewalls and packet filtersMOHIT AGARWAL
 
WiFi Secuiry: Attack & Defence
WiFi Secuiry: Attack & DefenceWiFi Secuiry: Attack & Defence
WiFi Secuiry: Attack & DefencePrakashchand Suthar
 
Cifrado
CifradoCifrado
Cifradosindiguevarad
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
COMO REALIZAR SUBNETEO DEL TIPO VLSM
COMO REALIZAR SUBNETEO DEL TIPO VLSMCOMO REALIZAR SUBNETEO DEL TIPO VLSM
COMO REALIZAR SUBNETEO DEL TIPO VLSMMario Hernandez Burgos
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Firewall
FirewallFirewall
FirewallSaurabh Chauhan
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Alberto Mayo Vega
 
Conmutación de Etiquetas Mult-Protocolo
Conmutación de Etiquetas Mult-ProtocoloConmutación de Etiquetas Mult-Protocolo
Conmutación de Etiquetas Mult-ProtocoloEng. Fernando Mendioroz, MSc.
 
Firewall and its purpose
Firewall and its purposeFirewall and its purpose
Firewall and its purposeRohit Phulsunge
 
Modelos de enlaces satelitales
Modelos de enlaces satelitalesModelos de enlaces satelitales
Modelos de enlaces satelitalesGessicaAbreu1
 
Eigrp
Eigrp Eigrp
Eigrp Belen Toledo
 
Ipsec
IpsecIpsec
IpsecGabriel Alfredo Martinez Ochoa
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralFrancisco Medina
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de IntrusosFrancisco Medina
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasEDVV
 
Estado enlace
Estado enlaceEstado enlace
Estado enlaceZamuel Ramíreez
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 

Weitere ähnliche Inhalte

Was ist angesagt?

Firewalls and packet filters
Firewalls and packet filtersFirewalls and packet filters
Firewalls and packet filtersMOHIT AGARWAL
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHAbner Torres
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Melvin Jáquez
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Alberto Mayo Vega
 
Firewall and its purpose
Firewall and its purposeFirewall and its purpose
Firewall and its purposeRohit Phulsunge
 
Modelos de enlaces satelitales
Modelos de enlaces satelitalesModelos de enlaces satelitales
Modelos de enlaces satelitalesGessicaAbreu1
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralFrancisco Medina
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de IntrusosFrancisco Medina
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricasEDVV
 

Was ist angesagt? (20)

VLSM y CIDR
VLSM y CIDRVLSM y CIDR
VLSM y CIDR
 
Firewalls and packet filters
Firewalls and packet filtersFirewalls and packet filters
Firewalls and packet filters
 
WiFi Secuiry: Attack & Defence
WiFi Secuiry: Attack & DefenceWiFi Secuiry: Attack & Defence
WiFi Secuiry: Attack & Defence
 
Cifrado
CifradoCifrado
Cifrado
 
Protocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSHProtocolo SSL, TLS Y SSH
Protocolo SSL, TLS Y SSH
 
Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)Seguridad En Profundidad, Defense in Depth (DiD)
Seguridad En Profundidad, Defense in Depth (DiD)
 
COMO REALIZAR SUBNETEO DEL TIPO VLSM
COMO REALIZAR SUBNETEO DEL TIPO VLSMCOMO REALIZAR SUBNETEO DEL TIPO VLSM
COMO REALIZAR SUBNETEO DEL TIPO VLSM
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 
Firewall
FirewallFirewall
Firewall
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
 
Conmutación de Etiquetas Mult-Protocolo
Conmutación de Etiquetas Mult-ProtocoloConmutación de Etiquetas Mult-Protocolo
Conmutación de Etiquetas Mult-Protocolo
 
Firewall and its purpose
Firewall and its purposeFirewall and its purpose
Firewall and its purpose
 
Modelos de enlaces satelitales
Modelos de enlaces satelitalesModelos de enlaces satelitales
Modelos de enlaces satelitales
 
Eigrp
Eigrp Eigrp
Eigrp
 
Ipsec
IpsecIpsec
Ipsec
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad Perimetral
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de acceso
 
Seguridad en redes inalambricas
Seguridad en redes inalambricasSeguridad en redes inalambricas
Seguridad en redes inalambricas
 
Estado enlace
Estado enlaceEstado enlace
Estado enlace
 

Ähnlich wie IDS (Intrusion Detection System)

Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001Inacap
 
Diseño y seguridad de redes
Diseño y seguridad de redesDiseño y seguridad de redes
Diseño y seguridad de redesAndres Romero
 
Evasion ids
Evasion idsEvasion ids
Evasion idsnoc_313
 
Evasion ids
Evasion idsEvasion ids
Evasion idsnoc_313
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INFJuan Rao
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Jhon Jairo Hernandez
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridadJenny Ventura
 
Herramientas de seguridad
Herramientas de seguridadHerramientas de seguridad
Herramientas de seguridadYolanyTuon
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere Seguridad
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 

Ähnlich wie IDS (Intrusion Detection System) (20)

Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusos
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
 
Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.
 
Virus
VirusVirus
Virus
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001
 
Diseño y seguridad de redes
Diseño y seguridad de redesDiseño y seguridad de redes
Diseño y seguridad de redes
 
Honeynet
HoneynetHoneynet
Honeynet
 
Evasion ids
Evasion idsEvasion ids
Evasion ids
 
Evasion ids
Evasion idsEvasion ids
Evasion ids
 
5 unidad reporte de seguridad
5 unidad reporte de seguridad5 unidad reporte de seguridad
5 unidad reporte de seguridad
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INF
 
Clase 18
Clase 18Clase 18
Clase 18
 
Clase 18
Clase 18Clase 18
Clase 18
 
AlienVault
AlienVaultAlienVault
AlienVault
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridad
 
Herramientas de seguridad
Herramientas de seguridadHerramientas de seguridad
Herramientas de seguridad
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadar
 
GLOSARIO
GLOSARIOGLOSARIO
GLOSARIO
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 

Kürzlich hochgeladen

644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pdf
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pdf644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pdf
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pdfRosiClaros
 
Tema 2 Arquitectura del computador - Ing David Ribera.ppt
Tema 2 Arquitectura del computador - Ing David Ribera.pptTema 2 Arquitectura del computador - Ing David Ribera.ppt
Tema 2 Arquitectura del computador - Ing David Ribera.pptKerryElSistemaInvher
 
La Electricidad y la Electrónica gabriela (1).pdf
La Electricidad y la Electrónica gabriela (1).pdfLa Electricidad y la Electrónica gabriela (1).pdf
La Electricidad y la Electrónica gabriela (1).pdfelabarbosa396
 
La Displasia Ectodérmica en Bolivia .pptx
La Displasia Ectodérmica en Bolivia .pptxLa Displasia Ectodérmica en Bolivia .pptx
La Displasia Ectodérmica en Bolivia .pptxcruzjavi733
 
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pptx
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pptx644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pptx
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pptxRosiClaros
 
Fundamentos de Ensamblaje de Sistemas informáticos.pptx
Fundamentos de Ensamblaje de Sistemas informáticos.pptxFundamentos de Ensamblaje de Sistemas informáticos.pptx
Fundamentos de Ensamblaje de Sistemas informáticos.pptxJulian Flores
 
El uso de las T I C en la vida cotidiana.
El uso de las T I C en la vida cotidiana.El uso de las T I C en la vida cotidiana.
El uso de las T I C en la vida cotidiana.SEAT
 
Home Assistant - Un Hub para controlarlos a todos
Home Assistant - Un Hub para controlarlos a todosHome Assistant - Un Hub para controlarlos a todos
Home Assistant - Un Hub para controlarlos a todosDebora Gomez Bertoli
 
Patrones Funcionales de Marjory Gordon.pptx
Patrones Funcionales de Marjory Gordon.pptxPatrones Funcionales de Marjory Gordon.pptx
Patrones Funcionales de Marjory Gordon.pptxErandiCamperoBojorge
 
137489674-Regimenes-Tributarios-MYPES-ppt.ppt
137489674-Regimenes-Tributarios-MYPES-ppt.ppt137489674-Regimenes-Tributarios-MYPES-ppt.ppt
137489674-Regimenes-Tributarios-MYPES-ppt.pptALEJANDRAKATHERINESA
 
EXPOSICION_REGLAMENO_DE_EVALUACIÓN_RM._190.pdf
EXPOSICION_REGLAMENO_DE_EVALUACIÓN_RM._190.pdfEXPOSICION_REGLAMENO_DE_EVALUACIÓN_RM._190.pdf
EXPOSICION_REGLAMENO_DE_EVALUACIÓN_RM._190.pdfRosiClaros
 
TEORIA CONTINGENCIAL Precursores y Aportes a la Administración
TEORIA CONTINGENCIAL Precursores y Aportes a la AdministraciónTEORIA CONTINGENCIAL Precursores y Aportes a la Administración
TEORIA CONTINGENCIAL Precursores y Aportes a la AdministraciónCUSICANQUIRAMREZLADY
 

Kürzlich hochgeladen (12)

644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pdf
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pdf644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pdf
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pdf
 
Tema 2 Arquitectura del computador - Ing David Ribera.ppt
Tema 2 Arquitectura del computador - Ing David Ribera.pptTema 2 Arquitectura del computador - Ing David Ribera.ppt
Tema 2 Arquitectura del computador - Ing David Ribera.ppt
 
La Electricidad y la Electrónica gabriela (1).pdf
La Electricidad y la Electrónica gabriela (1).pdfLa Electricidad y la Electrónica gabriela (1).pdf
La Electricidad y la Electrónica gabriela (1).pdf
 
La Displasia Ectodérmica en Bolivia .pptx
La Displasia Ectodérmica en Bolivia .pptxLa Displasia Ectodérmica en Bolivia .pptx
La Displasia Ectodérmica en Bolivia .pptx
 
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pptx
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pptx644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pptx
644400074-LA-CONSOLIDACION-DE-LA-REPUBLICA-OLIGARQUICA-pdf.pptx
 
Fundamentos de Ensamblaje de Sistemas informáticos.pptx
Fundamentos de Ensamblaje de Sistemas informáticos.pptxFundamentos de Ensamblaje de Sistemas informáticos.pptx
Fundamentos de Ensamblaje de Sistemas informáticos.pptx
 
El uso de las T I C en la vida cotidiana.
El uso de las T I C en la vida cotidiana.El uso de las T I C en la vida cotidiana.
El uso de las T I C en la vida cotidiana.
 
Home Assistant - Un Hub para controlarlos a todos
Home Assistant - Un Hub para controlarlos a todosHome Assistant - Un Hub para controlarlos a todos
Home Assistant - Un Hub para controlarlos a todos
 
Patrones Funcionales de Marjory Gordon.pptx
Patrones Funcionales de Marjory Gordon.pptxPatrones Funcionales de Marjory Gordon.pptx
Patrones Funcionales de Marjory Gordon.pptx
 
137489674-Regimenes-Tributarios-MYPES-ppt.ppt
137489674-Regimenes-Tributarios-MYPES-ppt.ppt137489674-Regimenes-Tributarios-MYPES-ppt.ppt
137489674-Regimenes-Tributarios-MYPES-ppt.ppt
 
EXPOSICION_REGLAMENO_DE_EVALUACIÓN_RM._190.pdf
EXPOSICION_REGLAMENO_DE_EVALUACIÓN_RM._190.pdfEXPOSICION_REGLAMENO_DE_EVALUACIÓN_RM._190.pdf
EXPOSICION_REGLAMENO_DE_EVALUACIÓN_RM._190.pdf
 
TEORIA CONTINGENCIAL Precursores y Aportes a la Administración
TEORIA CONTINGENCIAL Precursores y Aportes a la AdministraciónTEORIA CONTINGENCIAL Precursores y Aportes a la Administración
TEORIA CONTINGENCIAL Precursores y Aportes a la Administración
 

IDS (Intrusion Detection System)

  • 1. IDS (Intrusion Detection System) Por: KTC
  • 2. Conceptos Básicos Intrusión: Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso. Tipos de intrusos Suplantador Usuario fraudulento Usuario clandestino
  • 3. Suplantador Conceptos Básicos Individuo que no está autorizado a usar la computadora y penetra hasta los controles de acceso del sistema para obtener provecho de la cuenta de un usuario legítimo. Usuario externo
  • 4. Usuario fraudulento Conceptos Básicos Usuario legítimo que accede a recursos para los que el acceso no está autorizado o que hace mal uso de sus privilegios. Usuario interno.
  • 5. Usuario clandestino Conceptos Básicos Individuo que toma el control de supervisión del sistema y lo usa para evadir los controles de auditoría y de acceso o para suprimir información de auditoría. Usuario interno o externo.
  • 6. Conceptos Básicos Detección de intrusos: Análisis automático de parámetros que modelan la actividad de un entorno con el propósito de detectar e identificar intrusiones.
  • 7. Conceptos Básicos  Falso positivo: detección de datos o paquetes como una amenaza o intrusión cuando en realidad no se trata de algún intento de ataque sobre alguna red.  Falso negativo: paquetes o datos que son amenazas para una red pero el sistema de seguridad no detecta dichas amenazas.
  • 8. Definición Herramienta o sistema de seguridad que monitorea el tráfico en una red y los eventos ocurridos en un determinado sistema informático, para identificar los intentos de ataques o amenazas que puedan comprometer la seguridad y el desempeño de dicho sistema.
  • 9. Definición Su desempeño se basa en la búsqueda y análisis de patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre una red o host.
  • 10. Nos puede ayudar a conocer la amenaza existente dentro y fuera de la organización, ayuda a redactar la política. En un plan de gestión de la seguridad se deben establecer las posibles amenazas que puede sufrir la red.
  • 11. Enfoques para la detección de la intrusión Detección estadística de anomalías: recopilar datos del comportamiento de usuarios legítimos. Detección de umbrales: frecuencia de acontecimientos, independiente del usuario. Basado en perfiles: perfil para cada usuario y detectar cambios por usuario.
  • 12. Enfoques para la detección de la intrusión Detección basada en reglas Detección de anomalías: detectar desviación en modelos anteriores. Identificación de la penetración: sistemas expertos que buscan comportamientos sospechosos.
  • 13. Registros de Auditoría Registros nativos de auditoría: los SO tiene un SW que recoge información. Registros de auditoría específicos para la detección.
  • 15. Arquitectura General de un IDS  Fuente de datos: Un log, dispositivo de red, o el propio sistema.  Reglas: Datos y patrones para detectar anomalías de seguridad en el sistema.  Filtros: Comparan los datos de la red o de logs con los patrones almacenados en las reglas.  Detectores de eventos anormales en el tráfico de red.  Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS.
  • 16.
  • 17.
  • 18. Detección de Anomalías Enfoque Comportamiento regular de usuarios para sacar patrones. Creación de perfiles. Aprendizaje de actividades normales y legítimas.
  • 19. Detección de Anomalías Desventajas  Falsos positivos  Desarrollo de un modelo preciso de la red tardado.  Depende del proceso de aprendizaje.  Entrenamiento restringido = falsos positivos.  Entrenamiento general = falsos negativos Ventajas  Madurez de la tecnología y más inteligente Enfoque
  • 20. Detección de usos incorrectos  Se monitorea la actividad y se compara con datos previamente almacenados en una base de datos.  Se detectan tentativas de explotación de vulnerabilidades Dos Componentes principales  Lenguaje o modelo que describa y represente técnicas de los atacantes.  Programas de monitorización. Enfoque
  • 21. HIDS (IDS basados en host) Origen de Datos  Diseñados para monitorear, detectar y responder a los datos generados por un usuario o un sistema en un host. Recaban información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.
  • 22. HIDS (IDS basados en host) Ventajas Origen de Datos  Detectan mejor ataques desde dentro del equipo  Asocian usuarios y programas con sus efectos en el sistema  Informan sobre el estado del blanco atacado  Protegen el host donde residen.
  • 23. HIDS (IDS basados en host) Desventajas Origen de Datos  Lento en comparación con el NIDS  Tardan en actuar (registros de actividad y cambios en el sistema)  Dificultad de implantación (S.O.)  No son seguros si se ha atacado con éxito.  Si cae el host no se genera ninguna alerta.
  • 24.
  • 25. NIDS (IDS basados en red) Origen de Datos  Analizan el tráfico de la red completa, examinando los paquetes individualmente.  Detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos.  Buscar cual es el programa al que se está accediendo y producir alertas cuando un atacante intenta explotar algún fallo en este programa.
  • 26. NIDS (IDS basados en red) Origen de Datos Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
  • 27. NIDS (IDS basados en red) Origen de Datos Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
  • 28. NIDS (IDS basados en red) Componentes Origen de Datos Sensores (agentes): busca tráfico sospechoso. Consola: recibe las alarmas de los sensores y reacciona dependiendo la alarma.
  • 29. NIDS (IDS basados en red) Ventajas  Se instala en un segmento de red, detecta ataques en todos los equipos conectados.  Independiente de la plataforma de los equipos.  Capaces de detectar manipulación de cabeceras IP, negación de servicio.  Invisibles a los atacantes. Origen de Datos
  • 30. NIDS (IDS basados en red) Desventajas Origen de Datos Ineficientes con texto cifrado Malos en redes de alta velocidad Congestión = pérdida de paquetes No determina si un ataque tuvo éxito o no.
  • 31.
  • 32. Distribuidos (DIDS) Estructura Diferentes formatos de auditoría. Uno o más nodos sirven como puntos de recopilación.
  • 33. Distribuidos (DIDS) Componentes Estructura Agentes: monitorean actividad. Transceptores: comunicación. Maestro(s): centralizan datos. Consola: interfaz con operador.
  • 34.
  • 35. Centralizados Estructura Emplean sensores que transmiten información a un sistema central donde se controla todo.
  • 36.
  • 37. Pasivos Comportamiento Sólo notifican mediante algún mecanismo (alerta, log, etc.) pero no actúa sobre el ataque o atacante.
  • 38. Activos Comportamiento Genera algún tipo de respuesta sobre el sistema atacante o fuente de ataque como cerrar la conexión o enviar algún tipo de respuesta predefinida.
  • 39. Colocación de un IDS  Zona Roja: Alto riesgo. Poco sensible, ya que habrá mas falsos positivos.  Zona Verde: Sensibilidad mayor que en la zona roja, menos falsos positivos.  Zona Azul: Zona de confianza, tráfico anómalo debe se considerado como hostil, menos falsos positivos.
  • 41. Colocación de un IDS Internet
  • 42. Colocación de un IDS Internet
  • 43. Colocación de un IDS Internet
  • 44. Colocación de un IDS Internet
  • 45. Internet IDS para cada servicio IDS para detectar ataques hacia afuera Colocación de un IDS
  • 46. Referencias  http://underc0de.org/foro/seguridad/siste mas-ipsidships/ Fundamentos de Seguridad en Redes Aplicaciones y Estándares. (William Stallings), 2ª Edición.
  • 47. Referencias  http://catarina.udlap.mx/u_dl_a/tales/docu mentos/mcc/muniz_b_p/capitulo2.pdfhttp:// network-uagrm. blogspot.mx/2013/01/sistemas-ids-parte1. html  http://www.adminso.es/recursos/Proyectos/P FC/PFC_marisa.pdf  http://www.adminso.es/index.php/SDI-I-TIPOS_ DE_IDS
  • 48. Referencias  http://www.adminso.es/index.php/SDI-I-TIPOS_ DE_IDS  http://slideplayer.es/slide/106589/  http://mural.uv.es/emial/informatica/html/I DS.html  http://www.linux-party.com/index.php/6000- el-sistema-de-deteccion-de-intrusos--snort--- windows-y-linux-

Hinweis der Redaktion

  1. La detección de la intrusión se basa en que el comportamiento del intruso difiere del comportamiento del usuario legitimo Anderson[ANDE80]
  2. Intenta definir el comportamiento normal o esperado
  3. Intentan definir el comportamiento correcto
  4. Anomalía: desviación en modelos anteriores
  5. Spade (Statical Packet Anomaly Detection Engine) módulo gratuito para NIDS Snort. Wisdom and Sense (W&S)  Laboratorio Nacional de Los Álamos, sobre UNIX Técnicas * Sistemas basados en conocimiento: reglas y se va adquiriendo conocimiento Sistemas basados en métodos estadísticos: modelos en base a métricas Sistemas basados en aprendizaje automático: minería de datos
  6. Técnicas Sistemas Expertos: motor de inferencia Detección de firmas, busca de similitudes en observar la ocurrencia de patrones en la base de datos (desventaja ingresar una cada vez sea nueva) Análisis de transición de estados: máquina de estados finitos
  7. Tripwire
  8. Los HIDS dejan huella en el sistema instalado
  9. Hay que asegurar la integridad de los datos y la confidencialidad
  10. Snort 2.9.7.0
  11. SNORT es una fuente abierta de prevención y detección de intrusos de red y sistema, utiliza una norma impulsada por el idioma, que combina los beneficios de la firma, protocolo y anomalía basada en métodos de inspección. Con millones de descargas hasta la fecha, Snort es la herramienta de detección y prevención de intrusiones, se ha convertido en el estándar de facto para la industria. Características: • Más de 700 firmas. • Ligero. • Distribución Gratuita. • Análisis de tráfico en Tiempo Real. • Uso de Filtros • Detección de Strings o Host Arbitrarios.