Upload File

ids

35
Sistemas Detectores de Intrusos IDS

Upload: williampol

Post on 07-Sep-2015

212 views

Category:

Documents


0 download

Report

DESCRIPTION

ids (sistema de deteccion de intrusos)

TRANSCRIPT

  • Sistemas Detectores de IntrusosIDS

    Arturo de la Torre

  • Arturo de la TorrePor qu es importante la seguridad de la Informacin?La importancia de la Informacin como elemento de ventaja competitiva en las empresas, exige el desarrollo de prcticas para una administracin segura de los datos.La Seguridad de la Informacin comprende a: Personas, Procesos y Tecnologas. Es un componente del Riesgo de las Tecnologas de la Informacin

    Arturo de la Torre

  • Arturo de la TorreRepercusin de las infracciones de seguridadPrdida de beneficiosDeterioro de la confianza del inversorDeterioro de la confianza del clienteConsecuenciaslegalesInterrupcin delos procesosempresarialesPrdida o compromisode seguridadde los datosPerjuicio de la reputacin

    Arturo de la Torre

  • Arturo de la Torre PIRAMIDE DEL RIESGO INFORMATICO EN LOS DEPARTAMENTOS DE TECNOLOGIAS DE LA INFORMACION

    Arturo de la Torre

  • Arturo de la TorreQu son los eventos?Los eventos son acciones que se desarrollan en la red.Ejemplos de eventos son: intentos de conexiones, enlaces cumplidas entre dos estaciones de trabajo, una autentificacin y login del sistema, una respuesta exitosa a un URL, o la respuesta enviada por un servidor a una peticin realizada por un navegador.

    Arturo de la Torre

  • Arturo de la TorreDiseamos los sistemas para minimizar el Riesgo Informtico.

    El riesgo es una funcin de la vulnerabilidad de los sistemas y la exposicin de ellos al entorno como consecuencia de un evento.

    R = V x E

    Qu es el Riesgo Informtico?

    Arturo de la Torre

  • Arturo de la TorreQu son los ataques del da cero? Los ataques del da cero, ocurren cuando se explota una vulnerabilidad que fue creada con anterioridad, o en el mismo da en que se encontr la vulnerabilidad del sistema. Las organizaciones de TI constantemente buscan que sus miembros tengan sistemas actualizados y parchados, pero la realidad es que muchos de los parches no han sido verificados con la debida precaucin y se desconoce las secuencias de relacionarlos con otros paquetes que pueden encontrarse instalados en los hosts (Dilema de Prometeo).Este margen de error deja expuestos los sistemas a ataques, en el intervalo entre que se aplic un parche y el instante en que se detect la vulnerabilidad. Este espacio de tiempo puede un programador con medianos conocimientos aprovechar para generar un ataque devastador contra el sistema.

    Arturo de la Torre

  • Arturo de la TorreQu son las polticas de los scripts?Las polticas en scripts son programas destinados a detectar eventos. Ellos contienen las reglas que describen los tipos de actividades que deben ser desechadas por razones de administracin. Ellos analizan los eventos en la red e inician acciones basadas en este anlisis.

    Arturo de la Torre

  • Arturo de la TorrePueden utilizarse los scripts para ejecutar acciones? S, los scripts generan un nmero significativo de archivos de salida que manifiestan toda la actividad desarrollada en la red (incluyendo aquella informacin que no necesariamente representa un ataque). Los scripts pueden generar alertas que informan sobre un evento especfico. Complementariamente, los scripts pueden ejecutar programas para terminar las conexiones existentes, bloquear el trfico desde los hosts considerados peligrosos, mediante la introduccin de reglas sobre los equipos maliciosos. Enviar e-mails de alertas o tambin mensajes a todo el staff responsable.

    Arturo de la Torre

  • Perimetral SecurityTODOS LOS COMPONENTES DEL SISTEMA PUEDEN SER OBJETO DE ATAQUE

    Arturo de la Torre

  • Arturo de la TorreCules son los tipos de ataques ms comunes y las firmas reconocidas?Los tipos de ataques ms comunes son : ping sweeps, DNS zone transfers, e-mail recons, TCP or UDP port scans, y posiblemente la indexacin de todo un sitio web para buscar vulnerabilidades.Los intrusos generalmente se aprovecharn de ventanas ocultas o fallas de programacin para obtener acceso al sistema. Denial-of-service (DoS) es uno de los mtodos de ataque ms comun. Donde el intruso intenta violar un servicio en la mquina, sobrecargando los enlaces de red, sobrecargando el CPU o superando la capacidad del disco. El intruso no trata de obtener informacin del sistema, busca es violar las seguridades del mismo. Por tanto las firmas se basan en la evidencia que dejan estos tipos de ataques.

    Arturo de la Torre

  • Arturo de la TorreEjemplo de recoleccin de eventos en la red.

    Arturo de la Torre

  • Arturo de la TorreQu es un falso positivo? La mayora de Sistemas de Seguridad utilizan firmas para comparar los tipos de ataques que puedan presentarse. En ocasiones la actividad normal de la red puede disparar un trigger en el Sistema de Seguridad , es decir se detecta una firma de ataque en el trabajo normal de la red. Los IDS detectan una firma de ataque durante la actividad normal del sistema. Por tanto, parte del mantenimiento del IDS deber ser identificar el tipo de informacin con la cual estamos trabajando, y preparar el IDS para que esta informacin no sea identificada como un falso positivo.

    Arturo de la Torre

  • Arturo de la TorreQu es un falso negativo? La mayora de Sistemas de Seguridad actuales se basan en comparacin de firmas referentes a los ataques. En determinadas ocasiones, la actividad generada por un ataque no es correctamente identificada y consecuentemente no se dispara el trigger del IDS para alertar sobre el problema. Es decir esta sucediendo un ataque real y el Sistema de Seguridad no est informando debidamente sobre este evento.

    Arturo de la Torre

  • Arturo de la TorreCmo se detectan las intrusiones?Reconocimiento de firmasLa mayora de sistemas de este tipo se disean para examinar el trfico, buscando en el mismo huellas de ataques conocidos. Esto significa que para cada tcnica de Hacking, los ingenieros debern codificar algo que identifiquen inequvocamente a esta tcnica. Las opciones aqu conocidas pueden variar desde la simple coincidencia de un rastro dejado en el sistema. Por ejemplo rastrear el destino de cada paquete enviado por la red desde el origen "/cgi-bin/phf?", lo cual puede identificar que alguien esta intentando violar el sistema a travs de una vulnerabilidad bien identificada en el servidor.

    Arturo de la Torre

  • Arturo de la TorreQu es la deteccin de intrusos? La Deteccin de Intrusos es un proceso activo que facilita la documentacin, deteccin de ataques y cdigo malicioso en la red. Esta basado en dos tipos de anlisis que debe realizarse al software: El anlisis del software en los hosts y el anlisis de los paquetes en la red.

    Arturo de la Torre

  • Arturo de la TorrePorqu es importante tener un IDS (Sistema Detector de Intrusos)?Los computadores conectados directamente al Internet son objeto continuo de ataques. Mientras que las medidas de proteccin como: configuraciones seguras, actualizaciones de software y firewalls son todas medidas preventivas difciles de mantener y que no pueden garantizar un blindaje total contra todas las vulnerabilidades. Un IDS proporciona una defensa pro activa, detectando cada conexin y actividad peligrosa. Podemos decir que un IDS funciona como los ojos de un guardia, que persiguen a cualquier intruso, y que nos mantiene informados cuando todas las otras medidas de seguridad han fallado.

    Arturo de la Torre

  • Arturo de la TorreSi un IDS no puede prevenir un ataque, por qu es necesario mantener uno?Un IDS no puede evitar una accin de hacking, y mas bien solo puede alertarnos sobre ciertas actividades peligrosas. Sin embargo, en base a anteriores experiencias conocemos que una accin de hacking y la violacin de un sistema no son cosas que suceden en una noche. Una violacin planificada de un sistema puede tomar varios das, semanas, meses e incluso aos. En estos casos el IDS nos proporciona las alertas necesarias para tomar las medidas correctivas en nuestro sistema.

    Arturo de la Torre

  • Arturo de la TorreCules son los tipos de IDS ms comunes?Los dispositivos IDS se clasifican en:

    Basados en firmas Basados en el anlisis de acciones.

    Arturo de la Torre

  • Arturo de la TorreQu es un sistema IDS de red?

    Un IDS es un sistema diseado para detectar y reportar intentos no autorizados de acceso al sistema o utilizar recursos que no estn autorizados.Un sistema IDS de red, colecciona, filtra y analiza todo el trfico que pasa a travs de un punto de red especfico.

    Arturo de la Torre

  • Arturo de la TorreOtros tipos de IDS, adems de los basados en el anlisis del trfico en la red.

    Existen IDS basados en el anlisis del software existente en cada computador (o host). En estos sistemas cada equipo tiene instalado un IDS cliente, el cual reporta en forma local a una estacin de monitoreo de la red. La ventaja de estos sistemas, radica en que las operaciones y configuraciones internas del sistema, pueden ser monitoreadas en forma individual.

    Arturo de la Torre

  • Arturo de la TorreCul es la diferencia entre los IDS basados en el anlisis de los HOSTS y los IDS basados en el anlisis del flujo en la red. HIDS es un software que informa sobre el estado en que una mquina se encuentra. Esto lo realiza a travs del anlisis de los archivos en la mquina que indican si la mquina ha sido violada, comprometida o permanece segura. Algunos ejemplos de software basados en el concepto de HIDS son aquellos que manejan la integridad del sistema, por ejemplo (TripWire), Anti-virus software kaspersky y su tecnologa iStream, Server Logs (syslog), y los sistemas de backup que permiten detectar cambios en el sistema. NIDS es un software que monitores los paquetes en la red y los examina en comparacin con firmas existentes y reglas definidas. Cuando las reglas son violadas la accin puede ser registrada y el administrador informado sobre el estado. Ejemplos de estos sistemas son SNORT, ISS Real Secure, Junipher

    Arturo de la Torre

  • Arturo de la TorreCules son las condiciones requeridas para una ptima explotacin de los HIDS? Los HIDS son sistemas que se utilizan para un monitoreo ms puntual, en servidores especficos o mquinas importantes para la Institucin. Los HIDS detectan cualquier anomala en estos importantes servidores o hosts. Utilizamos HIDS cuando no podemos comprometer el buen funcionamiento de un servidor o grupo de equipos especficos. Los servidores deben ser muy importantes y de misin critica para que en ellos se instalen un IDS. Este monitoreo se realiza a travs de un agente que se instala en el sistema, el agente monitorea el sistema y proporciona la informacin necesaria a la estacin de monitoreo.

    Arturo de la Torre

  • Arturo de la TorreCules son las condiciones requeridas para una ptima explotacin de los HIDS?Las firmas dejadas por un hacker son evidencias de una violacin al sistema. Cuando un ataque malicioso es lanzado contra un sistema, el atacante necesariamente deja evidencias de sus acciones en los logs del sistema. Cada intento de violacin deja huellas de accesos no autorizados (e.g., unauthorized software executions, failed logins, misuse of administrative privileges, file and directory access). Basados en esta evidencia el administrador puede documentar el ataque y prevenir la violacin del sistema en el futuro. Adems puede tener un registro de firmas propio complementario que le ayude a proteger el sistema en forma pro activa, determinado que ataque fue perpetrado, en qu forma y bajo qu condiciones.

    Arturo de la Torre

  • Arturo de la TorreCul es la diferencia entre un firewall y un Sistema Detector de Intrusos? Un firewall es un sistema que normalmente se coloca para la proteccin perimetral de la red, define los accesos permitidos a los sistemas internos desde Internet. En el firewall cada accin que no esta explcitamente permitida tiene el acceso denegado a travs de las reglas. Un Sistema Detector de Intrusos es un dispositivo de software o hardware conectado a la red, que permite monitorear y detectar todas las actividades sospechosas en el sistema. En trminos simples se puede decir que el firewall representa una puerta o ventana de acceso, mientras que el IDS es una cmara que registra todos los eventos en el sistema. Un firewall puede bloquear una conexin, mientras que un IDS puede alertar sobre cualquier actividad sospechosa al interior de la red. Por otra parte existen los denominados IPS (Intrusion Prevention System) que son dispositivos que pueden bloquear en forma pro activa todas las conexiones sospechosas que puedan presentarse en el sistema.

    Arturo de la Torre

  • Arturo de la TorreCmo puedo verificar el buen funcionamiento de mi IDS?Coloquen el IDS en una red de prueba con un hub y un servidor de prueba. Ejecuten una herramienta como nmap contra el servidor. Cuando nmap haya terminado de atacar, el IDS deber haber identificado el tipo de ataque. Si el IDS no detecto ningn ataque, significa que el sistema tienen unas firmas muy antiguas, y consecuentemente puede utilizar esta informacin para crear sus propias nuevas reglas. Finalmente escriba unos cuantos paquetes que utilicen las reglas escritas y verifiquen el buen funcionamiento.

    Arturo de la Torre

  • Arturo de la TorreEjemplos de algunos IDS personales? Algunos IDS estn diseados para ser aplicados en computadores personales. Estos paquetes proporcionan funciones de firewalls e IDS para computadores especficos o usuarios, ejemplos:

    Antihacker Kaspersky ZoneAlarm

    Arturo de la Torre

  • Arturo de la TorreQu herramientas pueden utilizarse para generar paquetes de verificacin?Estas son algunas de las herramientas ms utilizadas para esta actividad:

    kltpsHpingTrinux

    Arturo de la Torre

  • Arturo de la TorreQu es un sistema de prevencin de red IPS? Intrusion Prevention Systems (IPS), son sistemas que automticamente detectan y bloquean el trfico malicioso en la red. Permitiendo validar el trfico en forma automtica y en caso de ser necesario bloquear los eventos maliciosos antes de que lleguen a su destino final. Un IPS debe operar en tiempo real con el menor impacto para el sistema, en lo referente a latencia y debe ser escalable para cubrir toda la demanda de un sistema multigigabit.

    Arturo de la Torre

  • INFECTEDPrevencin contra intrusos

    Arturo de la Torre

  • Arturo de la TorrePorqu necesito un IPS, si en la actualidad yo tengo un firewall y un IDS?Los firewalls comnmente se encuentran en el permetro de la red, y muchos ataques pueden fcilmente violar esta seguridad. Muchos de estos ataques pueden ser inadvertidos para la organizacin. Ejemplos:

    Un empleado que utiliza su notebook en casa y en el trabajo.Un usuario que descarga malware en forma inadvertida desde Internet.Un usuario remoto que se conecta a travs de una VPN, y se encuentra en un ambiente de alto riesgo.Usuarios disgustados o desadaptados, que sabotean intencionalmente los sistemas.

    Arturo de la Torre

  • Arturo de la TorrePorqu necesito un IPS, si en la actualidad yo tengo un firewall y un IDS?Un IDS puede ser efectivo al detectar actividades sospechosas dentro del sistema, pero no proporciona proteccin contra los ataques por ejemplo de gusanos. Como por ejemplo: Slammer y Blaster, los que se reproducen tan rpidamente que para el momento en que se generan las alertas el dao ya fue causado. Para que una prevencin sea efectiva, debe desarrollarse en lnea y ser capaz de detectar automticamente las acciones maliciosas. Adicionalmente, deber bloquear los paquetes maliciosos en el trfico normal de la red, antes de que pueda ocasionar daos. La prevencin debe presentarse an cuando las condiciones de trfico son extremas y consecuentemente importantes. El trfico positivo nunca deber bloquearse an durante un ataque de red. Finalmente un IPS deber tener una latencia similar a la de un switch.

    Arturo de la Torre

  • Arturo de la TorrePorqu necesito un IPS, si en la actualidad yo tengo un firewall y un IDS?Una vez aceptados estos parmetros para la efectiva prevencin contra intrusos, es fcil determinar que agregando unos cuantos dispositivos para bloquear el trfico no deseado se puede considerablemente incrementar el rendimiento del sistema.El concepto de bloquear el trfico malicioso en la red, antes de que alcance los Hosts es el ms simple y adecuado. Sin embargo dada la rpida evolucin de los sistemas y la sofisticacin de los ataques de fuerza bruta, los administradores de seguridad requieren de IPS y otros dispositivos complementarios como IDS y Firewalls para garantizar la seguridad.

    Arturo de la Torre

  • Arturo de la TorreCules son las principales caractersticas de un IPS?Las principales caractersticas de un buen IPS son: Bloquear los ataques conocidos y desconocidos, incluso los de da cero. No bloquear jams el trfico positivo an bajo un ataque masivo.. En virtud que debe trabajar en lnea debe ser una solucin de hardware, para no convertirse en un punto de fallo. No depender de las firmas conocidas como su primera lnea de identificacin, sino mas bien tener otras formas ms sofisticadas. No introducir latencia en la comunicacin an bajo un fuerte ataque o carga extrema, en virtud que esto generara un impacto negativo para el negocio. Una rpida configuracin para una proteccin inmediata con requerimientos mnimos de mantenimiento.

    Arturo de la Torre

  • Arturo de la TorreCules son las principales caractersticas de un IPS?Acceso desde una consola central a todas las estaciones, que permiten mantener datos para auditoria.Capacidad de crecimiento proporcional a los nuevos requerimientos de la red.Actualizaciones que cubran los nuevos requerimientos que pueda presentar nuestra red a futuro (firmas, parches, configuraciones). Presentacin de informacin en forma comprensible para los administradores, sobre los tipos de ataques maliciosos realizados contra el sistema, y recomendaciones para reprogramar los firewalls, email gateways, web services.Una combinacin de anlisis de trafico en la red y comportamiento de los sistemas operativos, a fin de determinar posibles amenazas.

    Arturo de la Torre

    ******************************


ids c l di ai - CMP

Ids ips detection

Presentación estadística marzo 2015 ids - dm-2

mo Sexual o IDS

Sistemas de Detección de Intrusos (IDS)

Método de autoevaluación para las MA-IDS

1 Instalar IDS

IDS presentations

Despliegue de un IDS/IPS y gestión centralizada de alertas. - … · Despliegue de un IDS/IPS y gestión centralizada de alertas. - CERTSI |

IPS IDS Seguridad de la información

Capítulo 4 EL IDS EN LA GESTIÓN DE PROYECTOS …

Código de Ética y Conducta - IDS

Curso práctico teorico de dibujo ids tema 18

SISTEMA DE MONITORIZACIÓN DEL IDS SNORT

Codigo Internacional de Dispositivos de Salvamento (IDS)

Los IDS y los IPS

2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01

9 IDS Sistemas Detección Intrusos

Sistema de Deteccion de Intruso-ids

Presentación IDS

Residuos Sólidos y Especiales. IDS Norte de Santander

Bdcdsb Cweui Ids Hfeh

Tecnicas avanzadas de penetracion a sistemas con ids

Alianzas 4.0 ids industrial-oportunidad en los procesos

CÓDIGO IDS

Ids Norte De Santander. Enfermedades Transmitidas Por Vectores

Presentacion ids

Lab 02 IDS (Sistema de Detección de Intrusos).docx

Snort Ids/Ips en Appliance Pfsense

Caprico - Ids - Suport Curs

IDS Norte de Santander. Control de Vectores. Leishmaniasis

Evasion ids

Curso práctico teorico de dibujo ids tema 17

Capítulo 8 Seguridad en Redes WEP, FW, IDS

IDS 440 indicador de peso Manual Español