Consideraciones para la
Instalación de un Sistema de
Detección de Intrusiones en
Tiempo Real
Manuel H. Santander P.
Equipo de Seguridad y Contingencia
Informática
Empresas Públicas de Medellín E.S.P.
Agenda
Objetivo.
Introducción.
Generalidades sobre los IDS.
Tipos de ataques que pueden
presentarse y cómo reacciona el IDS
ante ellos.
Conclusión.
Empresas Públicas de Medellín E.S.P.
Objetivo
Dar a conocer a los participantes de la I
Jornada
Nacional
de
Seguridad
Informática
las
herramientas
de
detección de intrusos en tiempo real,
como un elemento que permite reforzar
la seguridad sea en una DMZ (con
salida a Internet) o en la
red
corporativa.
Empresas Públicas de Medellín E.S.P.
Introducción
La detección de intrusos a tiempo de
personal no autorizado a las redes de
computadores es un problema que cada
vez está tomando más fuerza. Aunque
existen medios para realizar este tipo de
protecciones, no son suficientes. Esto
debido a las debilidades inherentes a
dichos controles.
Empresas Públicas de Medellín E.S.P.
Introducción
Empresas Públicas de Medellín E.S.P.
Introducción
Por esto, se hace necesario un
mecanismo que sea capaz de verificar los
sucesos que pasan al interior de las
redes y las máquinas, para así dar aviso
oportuno
a
los
administradores
respectivos en caso de presentarse una
intrusión.
Empresas Públicas de Medellín E.S.P.
Generalidades sobre los IDS
Pueden cumplir dos funciones:
Se instala en una máquina con una o más interfaces de red, la
cual se encargará de revisar todo el tráfico que pasa a través
del segmento de red y de acuerdo con un conjunto de reglas
que tiene programado, toma acciones al respecto.
Se instala en una máquina y en esta se monitorea todas y
cada una de las actividades que ocurran, tales como la
creación de procesos, la modificación, creación y acceso de
archivos especiales, entre otros.
Empresas Públicas de Medellín E.S.P.
Generalidades sobre los IDS
Empresas Públicas de Medellín E.S.P.
Generalidades sobre los IDS
Los IDS instalados para vigilar segmentos de red son capaces
de detectar ataques que vengan contenidos en los paquetes IP
abarcando todos los protocolos de los niveles superiores, tales
como TCP, UDP e ICMP.
Los IDS instalados para vigilar máquinas se encargan de
verificar la mayoría de actividades que realiza el sistema
operativo al interior de la máquina, tales como uso de CPU,
uso de correo electrónico, entre otros.
Empresas Públicas de Medellín E.S.P.
Tipos de ataques y cómo
reacciona el IDS ante ellos
Para los IDS de red tenemos:
Portscan: Este tipo de ataques son sumamente
importantes de detener, pues normalmente es la
primera técnica que aplica un cracker para intentar
realizar una intrusión a una máquina con base en los
servicios que esta tenga abiertos. Tenemos los
siguientes, entre otros:
TCP Connect() scanning: Este se realiza utilizando la
llamada al sistema connect(), la cual realiza una
conexión a un servidor usando los tres pasos
básicos.
Empresas Públicas de Medellín E.S.P.
Tipos de ataques y cómo
reacciona el IDS ante ellos
TCP SYN scanning: Se basa en el envío de
paquetes TCP con el bit de SYN puesto y la espera
de otro con SYN y ACK puesto, indicando que el
puerto está abierto.
TCP FIN scanning: Se basa en el envío de un
paquete TCP con el bit de FIN puesto, esperando
otro con el bit de RST puesto, indicando que el
puerto está abierto.
FTP Bounce attack scanning: Se basa en el uso de
comando PORT del RFC del FTP, el cual hace
portscan tipo TCP SYN scanning al interior de la red.
Empresas Públicas de Medellín E.S.P.
Tipos de ataques y cómo
reacciona el IDS ante ellos
UDP Scanning: Se basa en el envío de un paquete
UDP a un puerto, esperando un paquete
ICMP_PORT_UNREACH, indicando que el puerto
está cerrado.
Ataques a nivel de aplicación: Ya que todos
los
firewalls sólo verifican encabezados IP, se hace
necesario que los IDS sean capaces de verificar el
campo de datos del paquete IP en busca de mensajes
sospechosos que puedan servir para realizar
intrusiones en alguna máquina.
Empresas Públicas de Medellín E.S.P.
Tipos de ataques y cómo
reacciona el IDS ante ellos
Para los IDS de máquina tenemos:
Consumo ilimitado de recursos: Este ataque
consiste en consumir todos los recursos de memoria
y CPU, de tal manera que ninguna tarea se pueda
ejecutar y así causar un DoS. Cuando el IDS detecta
este tipo de conductas, procede a matar el proceso
ofensivo y de esta manera retorna la integridad de
trabajo al sistema de cómputo.
Empresas Públicas de Medellín E.S.P.
Tipos de ataques y cómo
reacciona el IDS ante ellos
Acceso no autorizado a archivos: Si un usuario autorizado
abusa de sus privilegios y trata de ejecutar tareas que no
debería estar ejecutando, el IDS puede proceder a terminar la
sesión
de
trabajo,
bloquear
su
cuenta e
informar
al
administrador del sistema.
Modificación de la estructura del sistema de archivos: Si
por algún motivo un usuario llega a conseguir privilegios de
administrador de manera ilegal e intenta realizar cualquier
modificación al sistema de archivos, el IDS consultará dentro
de sus reglas si está autorizado. Si no lo está, puede proceder
a terminar la sesión de trabajo, bloquear su cuenta e informar al
administrador del sistema.
Empresas Públicas de Medellín E.S.P.
Conclusión
Esta herramienta es valiosa para el
administrador de red, pues le ayuda a
mejorar la gestión de seguridad. Es
importante revisar el conjunto de reglas de
estos, para que puedan detectar el mayor
número de ataques posible y así se
minimice la posibilidad que se realicen
intrusiones.
Empresas Públicas de Medellín E.S.P.
Preguntas?
Empresas Públicas de Medellín E.S.P.
Por su Atención,
¡Muchas Gracias!
Empresas Públicas de Medellín E.S.P.
Descargar

Consideraciones para la instalación de un Sistema de Detección de