2. Conceptos Básicos
Intrusión: Conjunto de acciones que
intentan comprometer la integridad,
confidencialidad o disponibilidad de un
recurso.
Tipos de intrusos
Suplantador
Usuario fraudulento
Usuario clandestino
3. Suplantador
Conceptos Básicos
Individuo que no está autorizado a
usar la computadora y penetra
hasta los controles de acceso del
sistema para obtener provecho de
la cuenta de un usuario legítimo.
Usuario externo
4. Usuario fraudulento
Conceptos Básicos
Usuario legítimo que accede a
recursos para los que el acceso no
está autorizado o que hace mal uso
de sus privilegios. Usuario interno.
5. Usuario clandestino
Conceptos Básicos
Individuo que toma el control de
supervisión del sistema y lo usa
para evadir los controles de
auditoría y de acceso o para
suprimir información de auditoría.
Usuario interno o externo.
6. Conceptos Básicos
Detección de intrusos: Análisis
automático de parámetros que
modelan la actividad de un
entorno con el propósito de
detectar e identificar intrusiones.
7. Conceptos Básicos
Falso positivo: detección de datos o
paquetes como una amenaza o intrusión
cuando en realidad no se trata de algún
intento de ataque sobre alguna red.
Falso negativo: paquetes o datos que son
amenazas para una red pero el sistema de
seguridad no detecta dichas amenazas.
8. Definición
Herramienta o sistema de seguridad
que monitorea el tráfico en una red y
los eventos ocurridos en un
determinado sistema informático,
para identificar los intentos de
ataques o amenazas que puedan
comprometer la seguridad y el
desempeño de dicho sistema.
9. Definición
Su desempeño se basa en la
búsqueda y análisis de patrones
previamente definidos que
impliquen cualquier tipo de
actividad sospechosa o maliciosa
sobre una red o host.
10. Nos puede ayudar a conocer la
amenaza existente dentro y fuera de
la organización, ayuda a redactar la
política.
En un plan de gestión de la seguridad
se deben establecer las posibles
amenazas que puede sufrir la red.
11. Enfoques para la detección de la
intrusión
Detección estadística de anomalías:
recopilar datos del comportamiento
de usuarios legítimos.
Detección de umbrales: frecuencia de
acontecimientos, independiente del
usuario.
Basado en perfiles: perfil para cada
usuario y detectar cambios por usuario.
12. Enfoques para la detección de la
intrusión
Detección basada en reglas
Detección de anomalías: detectar
desviación en modelos anteriores.
Identificación de la penetración:
sistemas expertos que buscan
comportamientos sospechosos.
13. Registros de Auditoría
Registros nativos de auditoría: los
SO tiene un SW que recoge
información.
Registros de auditoría específicos
para la detección.
15. Arquitectura General de un IDS
Fuente de datos: Un log, dispositivo de red, o el propio sistema.
Reglas: Datos y patrones para detectar anomalías de seguridad
en el sistema.
Filtros: Comparan los datos de la red o de logs con los patrones
almacenados en las reglas.
Detectores de eventos anormales en el tráfico de red.
Dispositivo generador de informes y alarmas. En algunos casos
con la sofisticación suficiente como para enviar alertas vía
mail, o SMS.
16.
17.
18. Detección de Anomalías
Enfoque
Comportamiento regular de usuarios
para sacar patrones.
Creación de perfiles.
Aprendizaje de actividades normales y
legítimas.
19. Detección de Anomalías
Desventajas
Falsos positivos
Desarrollo de un modelo preciso de la red tardado.
Depende del proceso de aprendizaje.
Entrenamiento restringido = falsos positivos.
Entrenamiento general = falsos negativos
Ventajas
Madurez de la tecnología y más inteligente
Enfoque
20. Detección de usos incorrectos
Se monitorea la actividad y se compara con datos
previamente almacenados en una base de datos.
Se detectan tentativas de explotación de
vulnerabilidades
Dos Componentes principales
Lenguaje o modelo que describa y represente
técnicas de los atacantes.
Programas de monitorización.
Enfoque
21. HIDS (IDS basados en host)
Origen de Datos
Diseñados para monitorear, detectar y
responder a los datos generados por un
usuario o un sistema en un host.
Recaban información del sistema como
ficheros, logs, recursos, etc., para su
posterior análisis en busca de posibles
incidencias.
22. HIDS (IDS basados en host)
Ventajas
Origen de Datos
Detectan mejor ataques desde dentro del
equipo
Asocian usuarios y programas con sus efectos
en el sistema
Informan sobre el estado del blanco atacado
Protegen el host donde residen.
23. HIDS (IDS basados en host)
Desventajas
Origen de Datos
Lento en comparación con el NIDS
Tardan en actuar (registros de actividad y cambios
en el sistema)
Dificultad de implantación (S.O.)
No son seguros si se ha atacado con éxito.
Si cae el host no se genera ninguna alerta.
24.
25. NIDS (IDS basados en red)
Origen de Datos
Analizan el tráfico de la red completa,
examinando los paquetes individualmente.
Detectando paquetes armados maliciosamente y
diseñados para no ser detectados por los
cortafuegos.
Buscar cual es el programa al que se está
accediendo y producir alertas cuando un atacante
intenta explotar algún fallo en este programa.
26. NIDS (IDS basados en red)
Origen de Datos
Un dispositivo de red configurado en
modo promiscuo. Analizan el trafico de
red, normalmente, en tiempo real. No
sólo trabajan a nivel TCP/IP, también
lo pueden hacer a nivel de aplicación.
27. NIDS (IDS basados en red)
Origen de Datos
Un dispositivo de red configurado en
modo promiscuo. Analizan el trafico de
red, normalmente, en tiempo real. No
sólo trabajan a nivel TCP/IP, también
lo pueden hacer a nivel de aplicación.
28. NIDS (IDS basados en red)
Componentes
Origen de Datos
Sensores (agentes): busca tráfico
sospechoso.
Consola: recibe las alarmas de los
sensores y reacciona dependiendo la
alarma.
29. NIDS (IDS basados en red)
Ventajas
Se instala en un segmento de red, detecta
ataques en todos los equipos conectados.
Independiente de la plataforma de los
equipos.
Capaces de detectar manipulación de
cabeceras IP, negación de servicio.
Invisibles a los atacantes.
Origen de Datos
30. NIDS (IDS basados en red)
Desventajas
Origen de Datos
Ineficientes con texto cifrado
Malos en redes de alta velocidad
Congestión = pérdida de paquetes
No determina si un ataque tuvo éxito o
no.
37. Pasivos
Comportamiento
Sólo notifican mediante algún
mecanismo (alerta, log, etc.)
pero no actúa sobre el ataque o
atacante.
38. Activos
Comportamiento
Genera algún tipo de respuesta
sobre el sistema atacante o
fuente de ataque como cerrar
la conexión o enviar algún tipo
de respuesta predefinida.
39. Colocación de un IDS
Zona Roja: Alto riesgo. Poco sensible, ya que
habrá mas falsos positivos.
Zona Verde: Sensibilidad mayor que en la zona
roja, menos falsos positivos.
Zona Azul: Zona de confianza, tráfico anómalo
debe se considerado como hostil, menos falsos
positivos.
La detección de la intrusión se basa en que el comportamiento del intruso difiere del comportamiento del usuario legitimo
Anderson[ANDE80]
Intenta definir el comportamiento normal o esperado
Intentan definir el comportamiento correcto
Anomalía: desviación en modelos anteriores
Spade (Statical Packet Anomaly Detection Engine) módulo gratuito para NIDS Snort.
Wisdom and Sense (W&S) Laboratorio Nacional de Los Álamos, sobre UNIX
Técnicas
* Sistemas basados en conocimiento: reglas y se va adquiriendo conocimiento
Sistemas basados en métodos estadísticos: modelos en base a métricas
Sistemas basados en aprendizaje automático: minería de datos
Técnicas
Sistemas Expertos: motor de inferencia
Detección de firmas, busca de similitudes en observar la ocurrencia de patrones en la base de datos (desventaja ingresar una cada vez sea nueva)
Análisis de transición de estados: máquina de estados finitos
Tripwire
Los HIDS dejan huella en el sistema instalado
Hay que asegurar la integridad de los datos y la confidencialidad
Snort 2.9.7.0
SNORT es una fuente abierta de prevención y detección de intrusos de red y
sistema, utiliza una norma impulsada por el idioma, que combina los beneficios de la
firma, protocolo y anomalía basada en métodos de inspección. Con millones de
descargas hasta la fecha, Snort es la herramienta de detección y prevención de
intrusiones, se ha convertido en el estándar de facto para la industria.
Características:
• Más de 700 firmas.
• Ligero.
• Distribución Gratuita.
• Análisis de tráfico en Tiempo Real.
• Uso de Filtros
• Detección de Strings o Host Arbitrarios.