Ips Ids

Seguridad perimetral
Sistemas de Deteccin y Prevencin de Intrusos (IDPS)
Javier de Pedro Carracedo

Universidad de Alcal
Aplicaciones Telemticas
Curso 2010/11
UAH
Contenidos
Introduccin
Intrusos
Objetivos de la intrusin
Tcnicas de aprendizaje de passwords
Estrategias de seleccin de passwords

Introduccin
Sistemas de Deteccin de Intrusos (IDS)
Topologas de un Sistema de Deteccin de Intrusos (IDS)
Arquitectura de un Sistema de Deteccin de Intrusos
Intrusion Detection and Prevention Systems (IDPS)
UAH
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Intrusos
Intrusin
Actividad emprendida por personas no autorizadas.
Denominacin. Hackers o crackers.

Impostor (masquerader). Usuario no autorizado
(desconocido).
Superar el control de acceso del sistema.
Infractor (misfeasor). Usuario legtimo (empleado).

Obtener acceso no autorizado.
Autorizado, mal uso de los privilegios.
Usuario clandestino (clandestine user). Desconocido o

empleado.
Tomar el control de la administracin.
Suprimir toda informacin de auditora o registro (log).
UAH
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Acceder al sistema.
Ascender en la escala de privilegios de acceso.
Acceso a informacin protegida
Passwords de los usuarios (principalmente).
Proteger el fichero de passwords
Cifrado: simtrico o funciones hash de un solo sentido.
Control de acceso.
UAH
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Probar passwords comunes.

Fuerza bruta en passwords de corta longitud.
Ataque de diccionario (passwords probables).
Direcciones, familia, hijos, mascotas, hobbies, nmeros de
telfono, matrculas de automvil, etc.
Sniffer para capturar passwords transmitidas por la red.

Spyware o troyanos.
UAH
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Muchos usuarios eligen passwords muy sencillas.

Objetivo
Eliminar passwords fcilmente adivinables.
Tcnicas.
Concienciacin del usuario.
Passwords generadas por ordenador.
Chequeo reactivo de passwords.
Chequeo proactivo de passwords.
UAH
Concienciacin del usuario
Directrices en la eleccin de una password.

Concienciar al usuario de la importancia.
Escaso xito.
Muchos usuarios las ignoran.
Muchos usuarios incapaces de valorar la robustez de una
password.
UAH
Passwords generadas por ordenador
Aleatoriedad memorizacin dificultosa, incluso

pronunciable.
Usuarios tienden a escribirlas.
Mnima aceptacin.
Una mejor aproximacin.
Generar passwords a partir de slabas pronunciables.
Generador automtico de passwords definido en FIPS PUB
181.
UAH
Chequeo reactivo de passwords
El sistema peridicamente ejecuta un cracker de passwords.

Revelar passwords dbiles.
Cancelar passwords descubiertas notificar al usuario.
Problemas.
Consumo de recursos.
El atacante dispone de mayor tiempo de CPU (fichero de
passwords).
Passwords vulnerables hasta que se descubra su debilidad.
UAH
Chequeo proactivo de passwords
El usuario puede seleccionar su propia password.

En el momento de seleccin se chequea la password,
verificando si se permite o se rechaza.
Equilibrio del proceso.
Fortaleza de la password.
Aceptacin del usuario.
Aproximaciones al chequeo de passwords.

Reglas fijas: longitud, maysculas, minsculas, caracteres no
alfanumricos y/o numricos, etc.
Mantener lista de passwords invlidas, diccionario.
Algoritmos: modelo de Markov, Bloom filter.
UAH
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Introduccin
Complemento de seguridad de los firewalls.
Los firewalls comprenden un sistema de restricciones y
excepciones.
Si un intruso enmascara el trfico o se comunica directamente
con una aplicacin remota, el firewall no cumple su misin de
primera barrera.
Polticas reactivas
Deteccin de intrusos (IDS). Detectar y alertar sobre
intrusiones en un sistema o en una red.
Polticas proactivas
Prevencin de intrusos (IPS). Establece polticas de
seguridad para proteger a un sistema o a una red de un
ataque.
UAH
Tambin llamado Deteccin y Prevencin de intrusos (IPDS).

Extensin de IDS, con control de acceso ms cercano a las
tecnologas de los cortafuegos.
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Clasificacin
Por su localizacin.
NIDS (Network Intrusion Detection System).
HIDS (Host Intrusion Detection System).
Por su modelo de deteccin.

Deteccin de mal uso.
Deteccin de uso anmalo.
Por su naturaleza.
Pasivos.
Reactivos.
UAH
Network Intrusion Detection System (NIDS)
Analizar trfico en la red.

Examinar paquetes en bsqueda de opciones no permitidas,
diseadas para no ser detectadas por los firewalls.
Reportar alertas cuando se detecta la exploracin de algn

fallo presente en un programa del servidor.
Componentes
Sensores (agentes). En segmentos de red, monitorizan en
busca de trfico sospechoso.
Consola. Recibe las alarmas de los sensores y reaccionan
segn el tipo de alarma.
UAH
Network Intrusion Detection System (NIDS)
Ventajas
Detectan accesos no deseados en la red.
No necesitan software adicional en los servidores.
Fcil instalacin y actualizacin.
Desventajas
Nmero de falsos-positivos.
Sensores distribuidos en cada segmento de red.
Trfico adicional en la red.
Difcil deteccin de ataques en sesiones cifradas.
UAH
Host Intrusion Detection System (HIDS)

Analizar el trfico sobre un servidor o host.
Detectar intentos fallidos de acceso.
Detectar modificaciones de archivos crticos.
Ventajas
Potencia.
Registrar comandos, ficheros abiertos, modificaciones
importantes, etc.
Menor nmero de falsos-positivos.

Menor riesgo en las respuestas activas que NDIS.
Desventajas
Requieren instalacin en mquinas locales.
Carga adicional en los sistemas.
Tendencia a confiar la auditora y el loggin a la mquina.
UAH
Modelos de deteccin
Deteccin de mal uso
Verificacin de patrones de trfico ilegales cursados en la red.
Una vez recabada informacin sobre cmo explotar los
puntos dbiles de un sistema, describirla mediante patrones.
P. ej., combinaciones imposibles en un paquete, deteccin de
sniffers, etc.
Deteccin de uso anmalo
Estadsticas sobre trfico tpico en la red.
Detectar cambios en los patrones de utilizacin o en los
comportamientos del sistema.
Modelos estadsticos buscar desviaciones estadsticas
significativas.
P. ej., trfico excesivo en horarios no laborables, accesos

repetitivos, etc.
UAH
Naturaleza
IDS pasivo
Detectar posibles violaciones de la seguridad, registrarlas y
generar alertas.
IDS reactivo
Reponder ante una violacin de forma activa, expulsando al
usuario del sistema o reconfigurando el firewall.
UAH
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Topologas de un Sistema de Deteccin de Intrusos

Diferentes topologas dentro de una red.
Compromiso entre coste, seguridad y necesidades de la
empresa.
Topologas
Antes del cortafuegos.
Aviso prematuro.
Detectar rastreo (barrido) de puertos.
Nmero de alertas elevado.
En la zona desmilitarizada (DMZ).

Configuracin exclusiva de NDIS frente a ataques dirigidos a
los sistemas de la DMZ.
En la intranet.
Volumen de trfico monitorizado reducido.
NDIS menos potentes.
UAH
Topologas de un Sistema de Deteccin de Intrusos
UAH
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Arquitecturas fundamentales
Evolucin sometida a los avances tecnolgicos (nuevos

mtodos).
Principios bsicos
Agentes autnomos distribuidos y coordinados por una
entidad central.
Exploracin de los datos en tiempo real.
UAH
Agentes autnomos
Un mismo agente autnomo distribuido en cualquier host.

Cada agente monitoriza una caracterstica.
El agente genera un informe y lo remite al transceiver al que
pertenece.
Cada transceiver procesa todos los informes recibidos y se
los enva al monitor.
El monitor recopila la informacin y extrae conclusiones.
UAH
Agentes autnomos
UAH
Agentes autnomos
Ventajas
La cada o fallo de un agente no repercute en el sistema.
Los agentes pueden actuar como NIDS o HIDS.
Pueden coexistir agentes SNMP o auditores de routers.
Desventajas
Consola central elemento crtico.
El tamao de la red monitorizada es limitado.
Se incrementa el trfico en la red.
UAH
Exploracin en tiempo real
El IDS ejecuta un conjunto de reglas con coste computacional

creciente.
El flujo de datos es analizado en binario por programas
especializados, comparndose con los patrones
almacenados en la base de datos.
Componentes
Sensores. Analizan y formatean los bits.
Detectores. Procesan los datos con objeto de determinar la
presencia de ataques. Se envan los resultados a la base de
datos.
UAH
UAH

Ventajas
Veracidad: pocos falsos-positivos.
Eficiencia: cuatro niveles de exploracin.
Nivel 1. Caractersticas computadas cuando se recibe un
paquete.
Nivel 2. Caractersticas de la conexin.
Nivel 3. Caractersticas analizadas despus de la conexin.
Nivel 4. Estadsticas computadas cuando finaliza la conexin.
Facilidad en la actualizacin de patrones.

Todos los datos recogidos por los detectores son conocidos.
Desventajas
Nmero de datos de entrenamiento elevado.
Personal altamente cualificado.
UAH
Esbozo
Introduccin
Intrusos

Introduccin
UAH
Sistemas de Prevencin de Intrusos (IPS)
Identificar posibles incidencias.

Registrar (log) la informacin sobre incidencias.
Intentar contrarrestar las incidencias.
Reportar informes a los administradores del sistema.
UAH
Registros de auditora
Registro de las actividades en curso de los usuarios del

sistema.
Registros de auditora nativos.
Logs del propio sistema (p. ej. visor de eventos de Windows).
Informacin de auditora entremezclada (bsqueda tediosa).
Registros de auditora especficos.

Generar registros de auditora vlidos para el sistema de
deteccin de intrusos.
UAH
Usos del IDPS
Identificar problemas en la poltica de seguridad.

Trfico que debera haber sido bloqueado por el firewall.
Documentar amenazas existentes en la organizacin.

Comprender frecuencia y naturaleza de los ataques.
Educar a los administradores del sistema acerca de las
amenazas a las que tiene que hacer frente la organizacin.
Disuadir a los usuarios que violan las polticas de seguridad.

Deben conocer que sus acciones son monitorizadas.
Reducir propensin a cometer violaciones.
UAH
Funciones clave del IDPS
Registrar eventos relacionados con el trfico cursado.

Servidores de logs locales o centralizados.
Notificacin a los administradores de seguridad.

Alertas acerca de eventos inusuales.
Email, SMS, SNMP, syslog, etc.
Reportes.
Compendiar eventos monitorizados.
Informacin detallada sobre eventos particulares.
UAH
Tipos de respuesta del IDPS

Neutralizar el ataque.
Finalizar conexin de red.
Bloquear acceso a la cuenta de usuario o direccin IP desde
la que se ha perpetrado el ataque.
Bloquear todos los accesos al host, servicio o aplicacin
comprometidos.
Modificar el escenario de seguridad.

Alterar configuracin para interrumpir el ataque.
Reconfigurar la red para bloquear el ataque.
Reconfigurar las reglas del firewall.
Alterar el contenido del ataque.

Eliminar porciones maliciosas del ataque.
Eliminar ficheros infectados del correo electrnico.
Operar como un proxy, actualizando las peticiones entrantes.
UAH
Mtodos de deteccin
Deteccin basada en firmas.

Deteccin basada en anomalas.
Deteccin basada en polticas.
Perfiles acordes a la poltica de seguridad.
Deteccin Honey Pot (Jarra de Miel).

Distractor. Atractivo para los atacantes.
Procedimiento de ataque poltica de seguridad.
UAH
Deteccin basada en firmas
Comparar eventos observados con firmas.

Firma. Patrn de una amenaza conocida.
P. ej., email con asunto Free pictures.
Mtodo muy simple.

Efectivo en la deteccin de amenazas conocidas.
Ineficiente con amenazas desconocidas.
UAH
Deteccin basada en anomalas
Comparar actividad normal con desviaciones significativas.

IDPS dispone de perfiles estticos o dinmicos, basados en
atributos, que representan un comportamiento normal.
Nmero de emails enviados por un usuario.
Uso del procesador.
Nmero de intentos fallidos en login.
Los perfiles se desprenden de la monitorizacin de la

actividad sobre un perodo de tiempo representativo.
P. ej., 25 % del ancho de banda es consumido por trfico web.
Un incremento significativo sugiere una anomala.
Detectar amenazas previamente identificadas.

Inyectar actividad maliciosa en un perfil supone un problema.
UAH
Lecturas recomendadas
Ross Anderson.
Security engineering: a guide to building dependable
distributed systems.
Second edition, Wiley, 2008.
Karen Scarfone, Peter Mell.
Guide to Intrusion Detection and Prevention Systems (IDPS).
National Institute of Standards and Technology (NIST), 2007.
Karen Kent Frederick.
Network Intrusion Detection Signatures, Part Five.
Symantec, 2002.
UAH

Ips Ids

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Ips Ids

Hochgeladen von

Copyright:

Verfügbare Formate

Seguridad perimetral

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Javier de Pedro Carracedo

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Denominacin. Hackers o crackers.

Infractor (misfeasor). Usuario legtimo (empleado).

Usuario clandestino (clandestine user). Desconocido o

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Tcnicas de aprendizaje de passwords

Probar passwords comunes.

Sniffer para capturar passwords transmitidas por la red.

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Estrategias de seleccin de passwords

Muchos usuarios eligen passwords muy sencillas.

Concienciacin del usuario

Directrices en la eleccin de una password.

Passwords generadas por ordenador

Aleatoriedad memorizacin dificultosa, incluso

Chequeo reactivo de passwords

El sistema peridicamente ejecuta un cracker de passwords.

Chequeo proactivo de passwords

El usuario puede seleccionar su propia password.

Aproximaciones al chequeo de passwords.

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Tambin llamado Deteccin y Prevencin de intrusos (IPDS).

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Por su modelo de deteccin.

Network Intrusion Detection System (NIDS)

Analizar trfico en la red.

Reportar alertas cuando se detecta la exploracin de algn

Network Intrusion Detection System (NIDS)

Host Intrusion Detection System (HIDS)

Menor nmero de falsos-positivos.

P. ej., trfico excesivo en horarios no laborables, accesos

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Topologas de un Sistema de Deteccin de Intrusos

En la zona desmilitarizada (DMZ).

Topologas de un Sistema de Deteccin de Intrusos

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Evolucin sometida a los avances tecnolgicos (nuevos

Un mismo agente autnomo distribuido en cualquier host.

Exploracin en tiempo real

El IDS ejecuta un conjunto de reglas con coste computacional

Exploracin en tiempo real

Exploracin en tiempo real

Facilidad en la actualizacin de patrones.

Sistemas de Deteccin y Prevencin de Intrusos (IDPS)

Sistemas de Prevencin de Intrusos (IPS)

Identificar posibles incidencias.

Registro de las actividades en curso de los usuarios del

Registros de auditora especficos.

Usos del IDPS

Identificar problemas en la poltica de seguridad.

Documentar amenazas existentes en la organizacin.

Disuadir a los usuarios que violan las polticas de seguridad.

Funciones clave del IDPS

Registrar eventos relacionados con el trfico cursado.

Notificacin a los administradores de seguridad.

Tipos de respuesta del IDPS

Modificar el escenario de seguridad.

Alterar el contenido del ataque.