Trabajo de Ampliación de Redes : Sistemas de Detección de Intrusos.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
description
Transcript of DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
DETECCIÓN DE INTRUSOS
RODRÍGUEZ GARCÍA JUAN CARLOS 3812
IDS (INTRUSION DETECTION SYSTEM)
INTRUSO
Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.
INTRUSIÓN
Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.
IDS
Un sistema de detección de intrusos (IDS) es un complemento de seguridad de los firewalls.Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red.El objetivo final de cualquier IDS es el de atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos.
CARACTERISTICAS IDS
Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.
Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.
Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc.
IDS SE CLASIFICAN: Según localización:
1.NIDS (Network Intrusion Detection System).
2.HIDS (Host Intrusion Detection System).
Según modelo de detección:
1.Detección de mal uso2.Detección de uso
anómalo Según naturaleza
1.Pasivos2.Activos
NIDS
Analiza el tráfico de toda la red Examina paquetes en búsqueda de opciones no
permitidas y diseñadas para no ser detectadas por los cortafuegos
Produce alertas cuando se intenta explorar algún fallo de un programa de un servidor
NIDS: Componentes
Sensores (agentes): situado en un segmento de red monitoriza en busca de tráfico sospechoso
Una consola: recibe las alarmas de los sensores y reacciona según el tipo de alarma recibida
NIDS
VENTAJAS: Detectan accesos
no deseados en la red
No necesitan software adicional en los servidores
Fácil instalación y actualización (sistemas dedicados)
DESVENTAJAS:•Número de alto falsos-positivos•Sensores distribuidos en cada segmento de la red•Tráfico adicional en la red•Difícil detección de los ataques de sesiones encriptadas
HIDS
Analiza el tráfico sobre un servidor o un PCDetecta intentos fallidos de accesoDetecta modificaciones en archivos críticos
HIDS
VENTAJAS: Potente: registra
comandos, ficheros abiertos, modificaciones importantes.
Menor número de falsos-positivos que el NIDS
Menor riesgo en las respuestas activas que los NIDS
DESVENTAJAS:• Instalación en máquinas locales•Carga adicional en los sistemas•Tiende a confiar la auditoria y el loggin a la máquina
IDS: modelos de detección
Detección del mal uso: Verificación sobre tipos ilegales de
tráfico de red Se implementa observando cómo
explotar los puntos débiles de los sistemas y describiéndolos mediante patrones
Ej.: combinaciones ‘imposibles’ dentro de un paquete, detección de sniffers.
IDS: modelos de detección
Detección de uso anómalo: Estadísticas sobre tráfico típico en la
red Detecta cambios en los patrones de
utilización o comportamiento del sistema
Utiliza modelos estadísticos y busca desviaciones estadísticas significantes
Ej.: tráfico excesivo en horario fuera de oficina, accesos repetitivos ...
IDS: Según su naturaleza
IDS Pasivo: Detectan la posible violación de la
seguridad, la registran y generan alerta
IDS Activo: Responde ante una actividad ilegal
de forma activa, sacando al usuario del sistema o reprogramando el firewall
DONDE COLOCAR UN IDS
Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en cada host ó en cada tramo de red. Esto último sería un tanto lógico cuando se trata de grandes redes, no es nuestro caso ahora. Lo lógico sería instalar el IDS en un dispositivo por donde pase todo el tráfico de red que nos interese.
POSICION DEL IDS
Si colocamos el IDS antes del cortafuegos capturaremos todo el tráfico de entrada y salida de nuestra red. La posibilidad de falsas alarmas es grande. La colocación delante del cortafuegos monitorizará todo el tráfico que no sea detectado y parado por el firewall o cortafuegos, por lo que será considerado como malicioso en un alto porcentaje de los casos. La posibilidad de falsas alarmas muy inferior. Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás del cortafuegos para obtener información exacta de los tipos de ataques que recibe nuestra red ya que si el cortafuegos está bien configurado puede parar o filtras muchos ataques. En ambientes domésticos, podemos colocar el IDS en la misma máquina que el cortafuegos. En este caso actúan en paralelo, es decir, el firewall detecta los paquetes y el IDS los analizaría.
CONCLUSIONES
IDS es un complemento de seguridad de los cortafuegos que apoya a la seguridad de un sistema informático.
Busca soluciones que se adapten a los recursos de la empresa y del sistema.
Se recomienda integrar los IDS en la política de seguridad de la empresa para una mayor seguridad.