IDS (INTRUSION DETECTION SYSTEM)
DETECCIÓN DE INTRUSOS
RODRÍGUEZ GARCÍA JUAN CARLOS
3812
INTRUSO
Un intruso es cualquiera que intente irrumpir o
hacer mal uso de un sistema, se asume que para
cada caso la palabra intruso tiene diferentes
niveles de importancia.
INTRUSIÓN
Es un conjunto de acciones que intenten
comprometer la integridad, confidencialidad o
disponibilidad de algún recurso. Todas las
intrusiones se definen o clasifican a partir de una
política de seguridad.
IDS
Un sistema de detección de
intrusos
(IDS)
es
un
complemento de seguridad
de los firewalls.
Sistema que intenta detectar
y alertar sobre las intrusiones
en un sistema o en una red.
El objetivo final de cualquier
IDS es el de atrapar a los
perpetradores en el acto
antes de que hagan algún
daño a sus recursos.
CARACTERISTICAS IDS
 Los
IDS buscan patrones previamente
definidos que impliquen cualquier tipo de
actividad sospechosa o maliciosa sobre
nuestra red o host.
 Los IDS aportan a nuestra seguridad una
capacidad de prevención y de alerta anticipada
ante cualquier actividad sospechosa. No están
diseñados para detener un ataque, aunque sí
pueden generar ciertos tipos de respuesta ante
éstos.
 Los IDS: aumentan la seguridad de nuestro
sistema, vigilan el tráfico de nuestra red,
examinan los paquetes analizándolos en busca
de datos sospechosos y detectan las primeras
fases de cualquier ataque como pueden ser el
análisis de nuestra red, barrido de puertos, etc.
IDS SE CLASIFICAN:
 Según localización:
1. NIDS (Network
Intrusion Detection
System).
2. HIDS (Host Intrusion
Detection System).
 Según modelo de detección:
1. Detección de mal uso
2. Detección de uso
anómalo
 Según naturaleza
1. Pasivos
2. Activos
NIDS
Analiza el tráfico de toda la red
 Examina paquetes en búsqueda de opciones no
permitidas y diseñadas para no ser detectadas por
los cortafuegos
 Produce alertas cuando se intenta explorar algún
fallo de un programa de un servidor
NIDS: Componentes
 Sensores (agentes): situado en un
segmento de red monitoriza en busca
de tráfico sospechoso
 Una consola: recibe las alarmas de los
sensores y reacciona según el tipo de
alarma recibida
NIDS
VENTAJAS:
 Detectan accesos
no deseados en la
red
 No necesitan
software adicional
en los servidores
 Fácil instalación y
actualización
(sistemas
dedicados)
DESVENTAJAS:
•Número de alto
falsos-positivos
•Sensores distribuidos
en cada segmento de
la red
•Tráfico adicional en la
red
•Difícil detección de
los ataques de
sesiones encriptadas
HIDS
Analiza el tráfico sobre un servidor o un PC
Detecta intentos fallidos de acceso
Detecta modificaciones en archivos críticos
HIDS
VENTAJAS:
 Potente: registra
comandos, ficheros
abiertos,
modificaciones
importantes.
 Menor número de
falsos-positivos que
el NIDS
 Menor riesgo en las
respuestas activas
que los NIDS
DESVENTAJAS:
• Instalación en
máquinas locales
• Carga adicional en los
sistemas
• Tiende a confiar la
auditoria y el loggin a
la máquina
IDS: modelos de detección
Detección del mal uso:
 Verificación sobre tipos ilegales de tráfico de
red
 Se implementa observando cómo explotar
los puntos débiles de los sistemas y
describiéndolos mediante patrones
 Ej.: combinaciones ‘imposibles’ dentro de un
paquete, detección de sniffers.
IDS: modelos de detección
Detección de uso anómalo:
 Estadísticas sobre tráfico típico en la red
 Detecta cambios en los patrones de
utilización o comportamiento del sistema
 Utiliza modelos estadísticos y busca
desviaciones estadísticas significantes
 Ej.: tráfico excesivo en horario fuera de
oficina, accesos repetitivos ...
IDS: Según su naturaleza
IDS Pasivo:
 Detectan la posible violación de la seguridad,
la registran y generan alerta
IDS Activo:
 Responde ante una actividad ilegal de forma
activa, sacando al usuario del sistema o
reprogramando el firewall
DONDE COLOCAR UN IDS
Una actitud paranoica por nuestra parte nos podría
llevar a instalar un IDS en cada host ó en cada
tramo de red. Esto último sería un tanto lógico
cuando se trata de grandes redes, no es nuestro
caso ahora. Lo lógico sería instalar el IDS en un
dispositivo por donde pase todo el tráfico de red
que nos interese.
POSICION DEL IDS
Si colocamos el IDS antes del cortafuegos capturaremos todo el
tráfico de entrada y salida de nuestra red. La posibilidad de falsas
alarmas es grande.
La colocación delante del cortafuegos monitorizará todo el tráfico
que no sea detectado y parado por el firewall o cortafuegos, por lo
que será considerado como malicioso en un alto porcentaje de los
casos. La posibilidad de falsas alarmas muy inferior.
Algunos administradores de sistemas colocan dos IDS, uno delante
y otro detrás del cortafuegos para obtener información exacta de los
tipos de ataques que recibe nuestra red ya que si el cortafuegos está
bien configurado puede parar o filtras muchos ataques.
En ambientes domésticos, podemos colocar el IDS en la misma
máquina que el cortafuegos. En este caso actúan en paralelo, es
decir, el firewall detecta los paquetes y el IDS los analizaría.
CONCLUSIONES
 IDS es un complemento de seguridad de los
cortafuegos que apoya a la seguridad de un
sistema informático.
 Busca soluciones que se adapten a los
recursos de la empresa y del sistema.
 Se recomienda integrar los IDS en la política
de seguridad de la empresa para una mayor
seguridad.
Descargar

Diapositiva 1