Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Sistemas de detección de intrusos

No description
by

Verónica Estrada Lorenzo

on 9 December 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Sistemas de detección de intrusos

Sistemas de detección de intrusos
*La detención de intrusos es el proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red.

Los sistemas y redes cotidianamente están sujetos a ataques electrónicos, éstos son tan frecuentes que es necesario imponer una gran cantidad de requerimientos de seguridad para la protección de los datos y de los equipos. La vulnerabilidad de los equipos se chequea mediante herramientas del sistema a nivel de red, que permiten la corrección de problemas y errores de configuración potencialmente responsables de
ocasionar fallas en la seguridad de un sistema de información
Arquitectura general de un sistema de detección de intrusiones
Un sistema de detención de intrusos debe cumplir con los siguientes requisitos:

Precisión
Eficiencia
Rendimiento
Escalabilidad
Tolerancia en fallos
CIDF (Common Intrusion Detection Framework)

El “Common Intrusion Detection Framework” (CIDF) fue desarrollado por el CIDF Working Group, el cual comenzó labores en Enero de 1997, conducido por Teresa Lunt de la “Advanced Research Projects Agency” (ARPA), con el fin de cumplir el objetivo de convertir el CIDF en un conjunto de especificaciones, las cuales permitieran tener :

Los elementos necesarios para la construccion de un sistema para la detención de intrusos se pueden agrupar en las siguientes cuatro categorias:

1) Recolectores de información.
2) Procesadores de eventos.
3) Unidades de respuesta.
4) Elementos de almacenamiento.
El "Network System Monitor" (NSM) fue desarrollado en la Universidad de California para trabajar en una estación UNIX de Sun. Fue el primer sistema de detección de intrusiones que monitorizaba el tráfico de red, utilizando los datos del propio tráfico como principal fuente de datos. Los anteriores sistemas utilizaban los eventos de sistema o registraban las pulsaciones de teclado. El funcionamiento del NSM, que muchos sistemas de detección de intrusiones de red utilizan hoy en día, se puede describir en estos pasos:

Ponía el dispositivo de red en modo promiscuo ("promiscuous mode"), de forma que monitorizara todo el tráfico que recibiera, incluido el que no iba dirigido al sistema.
Capturaba los paquetes de red.
Identificaba el protocolo utilizado para poder extraer los datos necesarios (IP, ICMP, etc.).
Utilizaba un enfoque basado en matrices para archivar y analizar las características de los datos, en busca tanto de variaciones estadísticas que revelaran un comportamiento anómalo como de violaciones de reglas ya preestablecidas.
Antecedentes
La detección de intrusiones es el fruto de la aplicación del Procesamiento Electrónico de Datos (EDP) a las auditorías de seguridad, utilizando mecanismos de identificación de patrones y métodos estadísticos. Es una parte imprescindible en las modernas tecnologías de seguridad de redes.

Antes de la detección de intrusiones existían las auditorías de seguridad. La auditoría es el proceso de generar, almacenar y revisar eventos de un sistema cronológicamente.
Durante los comienzos de la detección de intrusiones, la mayoría de los sistemas estaban pensados para monitorizar "hosts" (máquinas). Salvo algunas excepciones como el mencionado NSM, que empezó a utilizar el tráfico de red como objetivo de vigilancia.

A partir de los años 90, el rápido crecimiento de las redes de ordenadores hizo que surgieran nuevos modelos de detección de intrusiones. Los daños provocados por el famoso gusano de Internet en 1988, ayudaron a que unieran esfuerzos las actividades comerciales y académicas en busca de soluciones de seguridad en este campo. El primer paso para la fusión de sistemas de detección basados en máquina y red fue el "Distributed Intrusion Detection System" (DIDS).

El DIDS fue fruto del esfuerzo y la colaboración de grandes entidades como el Centro de Soporte Criptológico de las Fuerzas Aéreas de EEUU, El Laboratorio Nacional de Lawrence Livermore, la Universidad de California y los Laboratorios Haystack. Fue el primer sistema capaz de hacer que un grupo de seguridad pudiera monitorizar las violaciones e intrusiones de seguridad a través de las redes. El principal responsable de este proyecto fue
Steve Smaha
.

El objetivo inicial del DIDS era proporcionar medios que permitieran centralizar el control y publicación de resultados en un controlador central..
Ligas
http://www.dgonzalez.net/papers/ids/html/cap01.htm

http://www.govannom.org/seguridad/protect/ids_idp/arkitectura_ids.pdf

http://revista.seguridad.unam.mx/numero-10/evoluci%C3%B3n-de-los-sistemas-de-detecci%C3%B3n-prevenci%C3%B3n-y-an%C3%A1lisis-de-incidentes

http://www.cybsec.com/upload/ESPE_IDS_vs_IPS.pdf
Sistemas de Detección de Intrusos interoperables y con el máximo de información compartida.

Componentes de detección de intrusión fácilmente reutilizables en contextos diferentes a los que fueron diseñados.

El proyecto Instrusion Detection Expert System (IDES), desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros sistemas de detección de intrusos en tiempo real.

El segundo sistema de ataques en tiempo real fue Discovery

Uno de los ultimos sistemas de esa epoca fue MIDAS (Multics Intrusion Detection and Alerting System)

Sistemas basados en Red
NSM
DIDS
DIDS
NSM
Recolectores de información
Un recolector de información, también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.
Tipos de IDS
IDS basados en host
Funciona monitoreando la actividad de un sistema local. Por su esquema de funcionamiento, analiza el tráfico de red que entra y sale de dicho equipo, así como los cambios en el sistema de archivo y actividad del sistema en general.
IDS basados en red
Realizan sniffing en algún punto de la red, en busca de intrusos. Bien ubicados los NIDS en la red, puede ser una alternativa excelente para la prevención de los intrusos y un bajo impacto en la red al abarcar grandes redes.
Ejemplos: SNORT, RealSecure, NFR y el IDS de CISCO.
IDS distribuidos
Es un esquema de varios IDS desplegados a lo largo de una red, los cuales centralizan la información. Este tipo de esquemas puede ser útil en redes de gran tamaño, sin embargo debido a la gran cantidad de información que implica, necesita un monitoreo y mantenimiento constante.
IDS e IPS
Los sistemas de prevención de intrusos o IPS son también mecanismos físicos o lógicos para la detección de tráfico malicioso basándose en firmas o anomalías. La principal diferencia con los IDS es que los IPS son dispositivos activos que tienen la característica de actuar bajo demanda según las alertas detectadas, a esto se le conoce como “inline”. Esto significa que, a partir de que un evento es detectado, el sistema puede aplicar automáticamente una medida de mitigación. lo cual implica que los IPS tengan capacidades de firewall. Por estas características, a este tipo de dispositivos también se les conoce como IDP o sistemas de detección y prevención de intrusos.
Ejemplos: Tripwire, SWATCH, LIDS RealSecure y NetIQ Vigilent.
Algunos IDS
IDS Comerciales

• DRAGON
• Intruder Alert
• NetProwler
• ISS RealSecure
• Cisco NetRanger
• Cyber cop
• OMNIGUARD Intruder Alert
• POLYCENTER Security Intrusion Detector
• G-Server
• Watch Dog
• CMDS (Computer Misuse and Detection System)
• INTOUCH NSA (Network Security Agent)

IDS Gratuitos
• Shadow
• Network Flight Recorder
• Tripwire
• Snort

Elección de sensores
Sensores basados en equipo.
Sensores basados en red.
sensores basados en aplicación.
Procesadores de eventos
Los procesadores de eventos, también conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.
Unidades de respuesta
Las unidades de respuesta de un sistema de detección se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva).
• Unidades de respuesta basadas en equipo. Se encargan de actuar a nivel de sistema operativo (como, por ejemplo, bloqueo de usuarios, finalización de procesos, etc).

• Unidades de respuesta basadas basadas en red. Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas, etc.
Elementos de almacenamiento
En algunas situaciones, el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento. Supongamos, por ejemplo, el caso de que todos los paquetes de una red de alta velocidad deban ser inspeccionados por los analizadores del sistema de detección. En este caso, sera necesario plantearse una jerarquía de almacenamiento que reduzca el
volumen de información sin penalizar las posibilidades de análisis.
Una posibilidad es la clasificación de la información en términos de análisis a corto y largo plazo.
Verónica Es'loo
Full transcript