Sistemas de Deteccin de Intrusos (IDS)

1.Introduccin..................................................................................................................2
1.1 Tecnologas de deteccin..................................................................................................2 1.2 Cortafuegos vs IDS...........................................................................................................3

2.- Sistemas de Deteccin de Intrusiones (IDS)..............................................................3

2.1 Definiciones.......................................................................................................................3 2.2 Tipos de IDS......................................................................................................................4
Clasificacin por situacin.....................................................................................................................4 Clasificacin segn los modelos de detecciones...................................................................................5 Clasificacin segn su naturaleza..........................................................................................................5

2.3 Topologas de IDS.............................................................................................................5 2.4 Los IDS las polticas de Seguridad................................................................................!

3.- Diferentes Arquitecturas de IDS................................................................................8

3.1 "r#uitecturas $asadas en "gentes "utno%os...............................................................&
Introduccin...........................................................................................................................................8 Componentes de la arquitectura.............................................................................................................

3.2 "r#uitecturas de e'ploracin de datos en Tie%po (eal...............................................1)

Introduccin.........................................................................................................................................!" Componentes de la arquitectura...........................................................................................................!!

4.- Conclusiones.............................................................................................................12 Ane o A - !"em#lo$ Sensor Cisco Secure IDS 423%.....................................................13 Documentacin & otros tra'a"os....................................................................................1(

Sistemas de Deteccin de Intrusos (IDS)

1. Introduccin
Durante estos a#os $emos podido compro%ar que las redes de ordenadores facilitan el tra%a&o' la comunicacin ( la coordinacin de los diferentes departamentos de una empresa' sea cual sea su situacin geogr)fica. *sto' unido a la e+pansin de Internet ( al nmero de clientes potenciales que ofrece Internet' $ace que lo que era una red de ordenadores corta ( de f)cil administracin pase a ser una e+tensa ( comple&a red donde recae la responsa%ilidad de comunicacin ( la necesidad de darse a conocer ofreciendo sus productos u ofertas. ,or este moti-o ( de%ido a la importancia que $an adquirido las redes de ordenadores para el desarrollo empresarial actual' se $ace necesario desarrollar una pol.tica de seguridad de las redes de ordenadores general a toda la estructura empresarial. /odos los d.as aparecen noticias de empresas atacadas por $ac0ers en las cuales toda la informacin de sus clientes $a sido su%stra.da o cu(os ser-idores que proporcionan cone+in con Internet' $a de&ado de funcionar. *s en este conte+to donde surgen nue-os conceptos referentes a la seguridad de las redes de ordenadores' como la -ulnera%ilidad ( los ataques' tanto internos como e+ternos. 1a diferencia entre los dos t2rminos' es que la -ulnera%ilidad es referente a errores soft3are o de configuracin que pueden permitir a un intruso acceder a un sistema mientras que un ataque es un intento de e+plotar una -ulnera%ilidad en ese sistema. 1as -ulnera%ilidades son los caminos para realizar los ataques. ,or lo tanto de%emos estar atentos a las -ulnera%ilidades ( a las actualizaciones que e-itan estas -ulnera%ilidades ( por lo tanto' los posi%les ataques. 1.1 Tecnologas de deteccin Cmo todas las -ulnera%ilidades no son conocidas' as. como tampoco son conocidos los posi%les ataques' estos ltimos a#os se $an desarrollado productos para detectar tanto las posi%les -ulnera%ilidades de los programas instalados en los ordenadores' del sistema operati-o como de ser-icios de red' como los posi%les ataques que se pueden perpetrar. 4an surgido productos detectores de -ulnera%ilidades' que -erifica la pol.tica de seguridad en %squeda de agu&eros en los sistemas' pass3ords d2%iles' pri-ilegios errneos' etc...( que escanean las redes en %usca de agu&eros ( -ulnera%ilidades en los dispositi-os conectadas a estas. /am%i2n $an surgido detectores de ataques' que actan como centinelas' esperando desde cam%ios en los permisos de los fic$eros ( accesos no permitidos en los sistemas' $asta ataques conocidos en el flu&o de datos que circula por las redes.

Sistemas de Deteccin de Intrusos (IDS)

1.2 Cortafuegos vs IDS *s entonces cuando $a%lamos de los Intrusion Detection S(stems o Sistemas de Deteccin de Intrusos (de a$ora en adelante me referir2 a ellos como IDS). 6n IDS es un sistema que intenta detectar ( alertar so%re las intrusiones intentadas en un sistema o en una red' considerando intrusin a toda acti-idad no autorizada o no que no de%er.a ocurrir en ese sistema. Segn esta definicin' muc$os podr.an pensar que ese tra%a&o (a se realiza mediante los cortafuegos o fire3alls. ,ero a$ora -eremos las diferencias entre los dos componentes ( como un IDS es un %uen complemento de los cortafuegos. 1a principal diferencia' es que un cortafuegos es una $erramienta %asada en la aplicacin de un sistema de restricciones ( e+cepciones su&eta a muc$os tipos de ataques' desde los ataques 7tunneling8(saltos de %arrera) a los ataques %asados en las aplicaciones. 1os cortafuegos filtran los paquetes ( permiten su paso o los %loquean por medio de una ta%la de decisiones %asadas en el protocolo de red utilizado. 1as reglas -erifican contra una %ase de datos que determina si est) permitido un protocolo determinado ( permite o no el paso del paquete %as)ndose en atri%utos tales como las direcciones de origen ( de destino' el nmero de puerto' etc... *sto se con-ierte en un pro%lema cuando un atacante enmascara el tr)fico que de%er.a ser analizado por el cortafuegos o utiliza un programa para comunicarse directamente con una aplicacin remota. *stos aspectos se escapan a las funcionalidades pre-istas en el dise#o inicial de los cortafuegos. *s aqu. dnde entran los IDS' (a que estos son capaces de detectar cuando ocurren estos fallos.

2.- Sistemas de Deteccin de Intrusiones (IDS)

2.1 Definiciones Como se $a descrito en el apartado anterior' un IDS es un soft3are que monitorea el tr)fico de una red ( los sistemas de una organizacin en %usca de se#ales de intrusin' acti-idades de usuarios no autorizados ( la ocurrencia de malas pr)cticas' como en el caso de los usuarios autorizados que intentan so%repasar sus l.mites de restriccin de acceso a la informacin. 9lgunas de las caracter.sticas desea%les para un IDS son: - De%en estar continuamente en e&ecucin con un m.nimo de super-isin. - Se de%en recuperar de las posi%les ca.das o pro%lemas con la red. - De%e poderse analizar 2l mismo ( detectar si $a sido modificado por un atacante. - De%e utilizar los m.nimos recursos posi%les. - De%e estar configurado acorde con la pol.tica de seguridad seguida por la organizacin. - De%e de adaptarse a los cam%ios de sistemas ( usuarios ( ser f)cilmente actualiza%le.
;

Sistemas de Deteccin de Intrusos (IDS)

2.2 Tipos de IDS *+isten -arios tipos de IDS' clasificados segn el tipo de situacin f.sica' del tipo de deteccin que posee o de su naturaleza ( reaccin cuando detecta un posi%le ataque. Clasificacin por situacin Segn la funcin del soft3are IDS' estos pueden ser: <IDS (<et3or0 Intrusion Detection S(stem) 4IDS (4ost Intrusion Detection S(stem) 1os <IDS analizan el tr)fico de la red completa' e+aminando los paquetes indi-idualmente' comprendiendo todas las diferentes opciones que pueden coe+istir dentro de un paquete de red ( detectando paquetes armados maliciosamente ( dise#ados para no ser detectados por los cortafuegos. ,ueden %uscar cual es el programa en particular del ser-idor de 3e% al que se est) accediendo ( con que opciones ( producir alertas cuando un atacante intenta e+plotar algn fallo en este programa. 1os <IDS tienen dos componentes: 6n sensor: situado en un segmento de la red' la monitoriza en %usca de tr)fico sospec$oso 6na Consola: reci%e las alarmas del sensor o sensores ( dependiendo de la configuracin reacciona a las alarmas reci%idas. 1as principales -enta&as del <IDS son: - Detectan accesos no deseados a la red. - <o necesitan instalar soft3are adicional en los ser-idores en produccin. - =)cil instalacin ( actualizacin por que se e&ecutan en un sistema dedicado. Como principales des-enta&as se encuentran: - *+aminan el tr)fico de la red en el segmento en el cual se conecta' pero no puede detectar un ataque en diferentes segmentos de la red. 1a solucin m)s sencilla es colocar di-ersos sensores. - ,ueden generar tr)fico en la red. - 9taques con sesiones encriptadas son dif.ciles de detectar. *n cam%io' los 4IDS analizan el tr)fico so%re un ser-idor o un ,C' se preocupan de lo que est) sucediendo en cada $ost ( son capaces de detectar situaciones como los intentos fallidos de acceso o modificaciones en arc$i-os considerados cr.ticos. 1as -enta&as que aporta el 4IDS son: - 4erramienta potente' registra comandos utilizados' fic$eros a%iertos'... - /iende a tener menor nmero de falsos>positi-os que los <IDS' entendiendo falsos>positi-os a los paquetes etiquetados como posi%les ataques cuando no lo son. - ?enor riesgo en las respuestas acti-as que los IDS de red. 1os incon-enientes son: - @equiere instalacin en la m)quina local que se quiere proteger' lo que supone una carga adicional para el sistema.

Sistemas de Deteccin de Intrusos (IDS)

/ienden a confiar en las capacidades de auditoria ( logging de la m)quina en s..

Clasificacin seg*n los %odelos de detecciones 1os dos tipos de detecciones que pueden realizar los IDS son: Deteccin del mal uso. Deteccin del uso anmalo. 1a deteccin del mal uso in-olucra la -erificacin so%re tipos ilegales de tr)fico de red' por e&emplo' com%inaciones dentro de un paquete que no se podr.an dar leg.timamente. *ste tipo de deteccin puede incluir los intentos de un usuario por e&ecutar programas sin permiso (por e&emplo' 7sniffers8). 1os modelos de deteccin %asado en el mal uso se implementan o%ser-ando como se pueden e+plotar los puntos d2%iles de los sistemas' descri%i2ndolos mediante unos patrones o una secuencia de e-entos o datos (7firma8) que ser)n interpretados por el IDS. 1a deteccin de acti-idades anmalas se apo(a en estad.sticas tras comprender cual es el tr)fico 7normal8 en la red del que no lo es. 6n claro e&emplo de acti-idad anmala ser.a la deteccin de tr)fico fuera de $orario de oficina o el acceso repetiti-o desde una m)quina remota (rastreo de puertos). *ste modelo de deteccin se realiza detectando cam%ios en los patrones de utilizacin o comportamiento del sistema. *sto se consigue realizando un modelo estad.stico que contenga una m2trica definida ( compararlo con los datos reales analizados en %usca de des-iaciones estad.sticas significantes. Clasificacin seg*n su naturale+a 6n tercer ( ltimo tipo %)sico de clasificacin ser.a respecto a la reaccin del IDS frente a un posi%le ataque: ,asi-os. @eacti-os. 1os IDS pasi-os detectan una posi%le -iolacin de la seguridad' registran la informacin ( genera una alerta. 1os IDS reacti-os est)n dise#ados para responder ante una acti-idad ilegal' por e&emplo' sacando al usuario del sistema o mediante la reprogramacin del cortafuegos para impedir el tr)fico desde una fuente $ostil. 2.3 Topologas de IDS *+isten muc$as formas de a#adir las $erramientas IDS a nuestra red' cada una de ellas tiene su -enta&a ( su des-enta&a. 1a me&or opcin de%er.a ser un compendio entre coste econmico ( propiedades deseadas' manteniendo un alto ni-el de -enta&as ( un nmero controlado de des-enta&as' todo ello de acuerdo con las necesidades de la organizacin.

Sistemas de Deteccin de Intrusos (IDS)

,or este moti-o' las posiciones de los IDS dentro de una red son -arias ( aportan diferentes caracter.sticas. 9 continuacin -amos a -er diferentes posi%ilidades en una misma red. Imaginemos que tenemos una red dnde un cortafuegos nos di-ide la Internet de la zona desmilitarizada (D?A B Demilitarized Aone)' ( otro que di-ide la D?A de la intranet de la organizacin como se muestra en el di%u&o !. ,or zona desmilitarizada entendemos la zona que de%emos mostrar al e+terior' la zona desde la cual mostramos nuestros ser-icios o productos:

Di%u&o !: @ed con IDS simple

Si situamos un IDS antes del cortafuegos e+terior permitir.a detectar el rastreo de puertos de reconocimiento que se#ala el comienzo de una acti-idad $ac0ing' ( o%tendr.amos como -enta&a un a-iso prematuro. Sin em%argo' si los rastreos no son seguidos por un ataque real' se generar) un numeroso nmero de alertas innecesarias con el peligro de comenzar a ignorarlas. Si optamos por colocar el IDS en la zona desmilitarizada (D?A) tendr.amos como -enta&a la posi%ilidad de adecuar la %ase de datos de atacantes del <IDS para considerar aquellos ataques dirigidos a los sistemas que est)n en la D?A (ser-idor 3e% ( ser-idor de correo) ( configurar el cortafuegos para %loquear ese tr)fico. 9s. mismo' un <IDS dentro de la red' por e&emplo' de @ecursos 4umanos podr.a monitorear todo el tr)fico para fuera ( dentro de esa red. *ste <IDS no de%er.a ser tan poderoso como los comentados anteriormente' puesto que el -olumen ( el tipo de tr)fico es m)s reducido. *l resultado lo podemos -isualizar el segundo di%u&o:

Sistemas de Deteccin de Intrusos (IDS)

Di%u&o 5: @ed completa con IDS

*l IDS! se encargar.a de a-isar del rastreo de puertos' ( si es reacti-o podr.a en-iar un 7a-iso8 tanto al que esta rastreando (por e&emplo un ping a la direccin que emite el paquete) como al encargado de la seguridad de la organizacin. *l IDS5 se encargar.a de -igilar la zona desmilitarizada ( analizar el tr)fico que reci%en tanto el ser-idor 3e% como el ser-idor de correo. 1os otros dos IDS se encargar.an de la red interna' el IDS; de la totalidad de la red' ( el IDS4 de una su%red' en este caso la de @@44. *stos dos <IDS internos (el IDS; ( el IDS4) podr.an ser sensores que recogiesen la informacin ( lo en-iasen a una consola dnde se realizar.an los c)lculos. 2.4 Los IDS y las polticas de Seguridad 1os IDS de%en ser tratados como un elemento complementario en las pol.ticas de seguridad de las organizaciones' pero antes de implementar o instalar un sistema de deteccin de intrusiones se recomienda analizar la pol.tica de seguridad ( -er cmo enca&ar.a el IDS en ella: - Se recomienda una pol.tica de seguridad %ien definida ( a alto ni-el' que cu%ra lo que est) ( lo que no est) permitido en nuestro sistema ( nuestras redes. - ,rocedimientos documentados para que proceda el personal si se detecta un incidente de seguridad. - 9uditor.as regulares que confirmen que nuestras pol.ticas est)n en -igencia ( nuestras defensas son adecuadas. - ,ersonal capacitado o soporte e+terno cualificado.

Sistemas de Deteccin de Intrusos (IDS)

3.- Diferentes Arquitecturas de IDS

1as arquitecturas que implementan sistemas de deteccin de intrusos $an ido modific)ndose ( me&orando con el paso del tiempo ( con la e+periencia. 1os primeros IDS eran $erramientas soft3are r.gidos' dise#ados ( realizados %a&o la super-isin de un e+perto en seguridad de redes ( %as)ndose en la e+periencia personal. *ran -erdaderos sistemas r.gidos' dnde la actualizacin ante nue-os tipos de ataques requer.a -erdaderos esfuerzos de an)lisis ( programacin' adem)s de contar con un solo programa que realiza%a todo el tra%a&o' sin pensar en sistemas distri%uidos. 9ctualmente' las arquitecturas empleadas para el desarrollo de $erramientas IDS' se %asan fundamentalmente en dos principios %)sicos' la utilizacin de 9gentes autnomos que recogen informacin por separado' para luego analizar una parte de esta informacin ellos ( la otra una entidad central coordinadora' ( las arquitecturas %asadas en la e+ploracin de los datos en tiempo real. E como ocurre en el mundo de la inform)tica' se dan arquitecturas $.%ridas en %usca de la me&or solucin posi%le. 3.1 r!uitecturas "asadas en Introduccin Fasa su desarrollo en las carencias ( limitaciones que presentan los IDS e+istentes. 1a principal carencia de los -ie&os (( primeros) IDS es que los datos son recogidos por un solo $ost' adem)s' algunos de los que intentan solucionar esta des-enta&a utilizan una coleccin de datos distri%uida' pero analizada por una consola central. 1os principales pro%lemas de utilizar estas arquitecturas son: - 1a consola central es un solo punto de fallo' la red entera esta sin proteccin si esta falla. - 1a escala%ilidad esta limitada. ,rocesar toda la informacin en un $ost implica un l.mite en el tama#o de la red que puede monitorizar. - Dificultad en reconfigurar o a#adir capacidades al IDS. - *l an)lisis de los datos de la red puede ser defectuoso. Fas)ndose en estas limitaciones' se $a introducido el t2rmino de 9gente 9utnomo definido como una entidad soft3are capaz de analizar acti-idades de una manera fle+i%le e inteligente' capaz de funcionar continuamente ( de aprender por su e+periencia ( la de otros agentes' adem)s de comunicarse ( cooperar con ellos. 1os agentes son autnomos porque son entidades que se e&ecutan independientemente ( no necesitan informacin de otros agentes para realizar su tra%a&o. gentes utno#os

Sistemas de Deteccin de Intrusos (IDS)

1as principales -enta&as que puede aportar una arquitectura %asada en 9gentes 9utnomos residen en que si un agente para de tra%a&ar por cualquier moti-o' solamente sus resultados se pierden' sin afectar a otros agentes autnomos. 9dem)s' la posi%le organizacin de los agentes en estructuras &er)rquicas con diferentes capas $ace un sistema escala%le. ,or estos moti-os' un agente autnomo puede cruzar la %arrera de los 4IDS ( los <IDS ( realizar am%as funciones' as. como estar implementado en el lengua&e que me&or le con-enga para cada caso. Co%ponentes de la ar#uitectura 1a arquitectura %asada en 9gentes 9utnomos se %asa en tres componentes esenciales: agentes' transcei-ers ( monitores. 6n agente autnomo puede ser distri%uido so%re cualquier nmero de $osts en una red. Cada $ost puede contener un nmero de agentes que monitoriza una cierta caracter.stica (cada uno). /odos los agentes de un $ost en-.an sus resultados a un transcei-er ( estos en-.a sus resultados glo%ales del $ost a uno o m)s monitores. 6na posi%le topolog.a de esta red ser.a la descrita a continuacin:
Leyenda /ranscei-er ?onitor 9gente =lu&o de Control =lu&o de Datos Di%u&o ;: 9rquitectura de un sistema autnomo

6n agente se encarga de monitorizar un aspecto del sistema total' por e&emplo' un agente puede estar destinado a monitorizar ( -igilar las cone+iones telnet de un $ost protegido. *ste agente genera un informe ( lo en-.a a su respecti-o transcei-er. *l agente no puede generar una alarma por s. mismo' solo informa. 6n transcei-er es la interfaz e+terna de comunicacin de cada $ost. /iene -arios agentes a su ser-icio de los que reci%e informes ( constru(e un mapa de estado del $ost al que pertenece. /iene dos funciones principales' una de control ( otra de procesamiento de datos. Como funciones de control' de%e inicializar o parar los agentes de su $ost ( e&ecutar los comando que le en-.a el monitor al que pertenece. Como funciones de procesamiento' reci%e informes de los agentes de su $ost' los procesa ( la informacin o%tenida la en-.a al monitor o lo reparte con los agentes. *l monitor es la entidad de m)s alto ni-el. /iene funciones parecidas a las del transcei-er' la principal diferencia es que un monitor puede controlar entidades que est)n e&ecut)ndose en diferentes $osts' adem)s' la informacin que reci%e de los transcei-ers es limitada ( solamente un monitor es capaz de o%tener conclusiones m)s refinadas de esta informacin. Gtras entidades opcionales que se pueden implementar en las arquitecturas %asadas en 9gentes 9utnomos son los agentes S<?, o los auditores de routers.

Sistemas de Deteccin de Intrusos (IDS)

1a principal des-enta&a de esta arquitectura es que si un monitor detiene su e&ecucin' todos los transcei-ers que controla paran de producir informacin. 3.2 r!uitecturas de e$ploracin de datos en Tie#po %eal Introduccin *l principal punto negati-o de estas arquitecturas es que necesitan un gran paquete de datos de entrenamiento m)s complicados que los utilizados en los sistemas tradicionales. 1as principales caracter.sticas que intentan aportar las arquitecturas %asadas en an)lisis de datos en tiempo real son la e+actitud o -eracidad' la eficiencia (en cuanto a coste computacional) ( la facilidad de uso: -eracidad: medido segn el ratio de deteccin (ataques que puede detectar el sistema) ( el ratio de falsos positi-os (porcenta&e de datos normales que el sistema determina como intruso cuando no lo es). *n la pr)ctica' solo un ratio falso>positi-o %a&o puede tolerarse. *ficiencia: un IDS en tiempo real de%e detectar las intrusiones lo m)s pronto posi%le. 9nte grandes flu&os de datos a analizar' el tiempo tomado en procesar cada registro ( calcular las estad.sticas de sus caracter.sticas es demasiado ele-ado. *ste HretrasoI en el c)lculo puede propiciar un ataque que tardar.a en detectarse. 1a principal caracter.stica de la eficiencia es el coste computacional' di-idido en 4 ni-eles: - <i-el !: caracter.sticas que pueden ser computados con el primer paquete reci%ido - <i-el 5: caracter.sticas que pueden ser analizadas en cualquier momento de la cone+in. - <i-el ;: caracter.sticas analizadas al final de la cone+in. - <i-el 4: estad.sticas computadas al final de la cone+in. 6sa%ilidad: entendido como facilidad de crear el paquete de entrenamiento ( de actualizar los patrones utilizados por el IDS. ,ara detectar los intrusos' de%emos tener un paquete de caracter.sticas cu(os -alores en los campos de los paquetes analizados difieran de los -alores de los campos de los paquetes intrusos. ,ara poder lle-a a ca%o esta tarea' el flu&o de datos (en %inario) es analizado ( procesado en registros que contienen un nmero %)sico de caracter.sticas para m)s tarde ser analizados por programas especializados que comparan estos registros con los patrones de la %ase de datos en %squeda de -ariaciones o com%inaciones peligrosas. *stos patrones pueden ser entrenados para compro%ar su correcto funcionamiento generando anomal.as de forma artificial' utilizando una $eur.stica para cam%iar el -alor de un campo de&ando los dem)s como esta%an. ,ara a continuacin introducir este flu&o de datos en una cone+in normal. *l IDS e&ecuta un con&unto de reglas' con coste computacional creciente o con com%inaciones de los ni-eles coste computacional para o%tener una %uena

!"

Sistemas de Deteccin de Intrusos (IDS)

eficiencia ( e+actitud en tiempo real acorde con las caracter.sticas deseadas. Cada modelo e&ecuta un con&unto de reglas. Co%ponentes de la ar#uitectura 1a arquitectura de IDS %asada en tiempo real consiste en sensores' detectores' almac2n de datos ( modelos de generacin de caracter.sticas. *l sistema esta dise#ado para ser independiente del formato de datos de los sensores ( del modelo utilizado. *ste modelo puede estar representado como una red neuronal' un con&unto de reglas o un modelo pro%a%il.stico. 1a codificacin J?1 permitir.a intercam%iar datos entre los diferentes modelos. Si todos los componentes residen en la misma )rea local' la carga de tra%a&o puede distri%uirse so%re todos los componentes' si est)n distri%uidos por diferentes redes' pueden cola%orar con otros IDS en Internet' intercam%iando informacin de nue-os ataques. *sta es el dise#o de una arquitectura %asada en tiempo real:

Di%u&o 4: 9rquitectura de un IDS %asado en tiempo real.

1os sensores o%ser-an los %its en un sistema monitorizado ( analiza sus caracter.sticas para utilizarlas en el modelo. 1os detectores procesan los datos de los sensores ( utilizan un modelo de deteccin para e-aluar los datos ( determinar si es un ataque. 9dem)s' en-.a el resultado a un almac2n de datos (t.picamente una %ase de datos) para otro posterior an)lisis ( para generar informes. ,ueden coe+istir detectores monitorizando el mismo sistema (en paralelo). 1os detectores H%ac0>endI emplear.an modelos con coste computacional comple&o mientras que los detectores Hfront>endI realizar.an una deteccin de intrusin sencilla ( r)pida.

!!

Sistemas de Deteccin de Intrusos (IDS)

,or ltimo' la centralizacin del almacenamiento de los datos ( de los modelos aportar.a -arias -enta&as: - *ficiencia: -arios componentes podr.an mane&ar el mismo tipo de datos. - Gperati-ilidad: los datos de los sensores podr.an ser consultados con una simple SK1. - @endimiento: la deteccin de complicados ataques ( ataques a gran escala podr.a ser posi%le mediante el conocimiento ( el mane&o de los datos por todos los detectores.

4.- Conclusiones
*+isten muc$os IDS en el mercado' desde soft3are con un alto coste econmico a ofertas totalmente gratuitas ( capaces. 1o que $a( que tener en cuenta es qui2n se encargar) del soporte del IDS ( si esta lo suficientemente capacitado para actualizar la %ase de datos del IDS ( conocer todos los tipos de ataques ( sus -ariaciones. /am%i2n se de%e tener en cuenta que el costo total es el gasto inicial $asta finalizada la instalacin ( a -eces la inclusin de $ard3are especializado' adem)s de los recursos $umanos requeridos. 9unque todo esto implique complicaciones' la utilizacin de IDS en las organizaciones de%er.a estar integrado en la pol.tica de seguridad de las mismas' en completa coordinacin con los dem)s recursos como los cortafuegos. *n caso de ale&arse demasiado del presupuesto inicial' siempre e+isten alternati-as econmicas ( algunas gratuitas como el S<G@/ (333.snort.org)' un <IDS para 6ni+L</ capaz de realizar an)lisis en tiempo real ( logs de paquete en redes I, si no est)n mu( saturadas.

!5

Sistemas de Deteccin de Intrusos (IDS)

Anexo A - !em"lo# Sensor Cisco Secure IDS 423)

,l sensor Cisco Secure IDS 423) es un %ie%$ro de la fa%ilia de productos Cisco Secure IDS- lder del %ercado. *l sensor Cisco Secure IDS 45;" es un Mdispositi-oM de seguridad de red que detecta la acti-idad no autorizada que la atra-iesa' como por e&emplo ataques por parte de $ac0ers' mediante el an)lisis del tr)fico en tiempo real' ( permite a los usuarios responder con rapidez a las amenazas de seguridad. Cuando se detecta una acti-idad no autorizada' el sensor puede en-iar alarmas a la consola de administracin con detalles de la acti-idad ( puede controlar otros sistemas' como los routers' para terminar las sesiones no autorizadas.

"plicacin
*l sensor Cisco Secure IDS 45;" se $a optimizado para el control de los entornos de !"" ?%ps ( resulta ideal para el control del tr)fico de puertos S,9< (S3itc$ed ,ort 9nal(zer) ( segmentos =ast *t$ernet. /am%i2n se recomienda para el control de mltiples entornos /;. 1os sensores pueden colocarse en lugares en los que otros dispositi-os de seguridad no son tiles' por e&emplo: Segmentos internos de red Delante de un fire3all Detr)s de un fire3all Detr)s de un ser-idor de modems para acceso telefnico *n cone+iones e+tranet 1os sensores pueden colocarse en casi todos los segmentos de la red de la empresa donde se requiera -isi%ilidad de la seguridad.

Caractersticas

venta.as principales

Forma parte del modelo SAFE para el comercio electrnico: el sensor es un componente necesario para una estrategia de defensa en profundidad ( eficaz' ( para complementar otros mecanismos de seguridad implantados (por e&emplo' fire3alls' cifrado ( autenticacin). Como componente din)mico de seguridad de la l.nea de productos de seguridad de Cisco' el IDS puede funcionar en entornos Internet e intranet para proteger toda la red de la empresa. Deteccin y respuesta a las intrusiones en tiempo real: el sensor proporciona control ( deteccin del mal uso de la red en tiempo real' utilizando para ello a la propia red como fuente de datos (esto es' capturando paquetes directamente de la red). @esponde de forma acti-a a la acti-idad no autorizada' %loqueando el acceso a la red o terminando las sesiones da#inas. Completa cobertura de reconocimiento de ataques/firmas: el sensor detecta una amplia -ariedad de ataques. /am%i2n inclu(e un sofisticado reensam%la&e de fragmentacin I, ( capacidades de deteccin anti>IDS MN$is0erM. Rendimiento de alta velocidad: el sensor es especialmente recomenda%le para el control de entornos de !"" ?%ps. Dispositivo integrado de seguridad DS: el sensor conforma una solucin completa Mlla-e en manoM ( Mplug>and>pla(M. /odo el paquete $ard3are ( soft3are se fa%rica' prue%a ( mantiene por un solo fa%ricante. !a"o costo de propiedad: el sensor es sencillo de instalar' configurar ( mantener. Sencilla instalacin: la instalacin del sensor es r)pida ( sencilla' (a que requiere slo siete par)metros de direccionamiento ( no es necesaria una formacin especial. Cuando el sensor se encuentra (a instalado' como un dispositi-o autnomo con una potente configuracin predeterminada' empieza a realizar su tarea de control inmediatamente. Funcionamiento transparente: el sensor no est) dise#ado para afectar al rendimiento de la red ( es totalmente transparente al usuario final. Se incorpora a la red ( es completamente in-isi%le a

!;

Sistemas de Deteccin de Intrusos (IDS)

los usuarios finales' lo que incrementa el ni-el de seguridad sin afectar al rendimiento o la funcionalidad.

,specificaciones
(esu%en del rendi%iento
*l sensor Cisco Secure IDS 45;" tiene capacidad para controlar $asta !"" ?%ps de tr)fico. Cisco Secure ,olic( ?anager (CS,?) -5.5 ( superior' o Cisco Secure Intrusion Detection Director ,rocesador: ,III dual a C"" ?4z @9?: 5!5 ?F Interfaz de control: *t$ernet !"L!""Fase/ (@O>45) con deteccin autom)tica Interfaz de instrucciones ( control: *t$ernet !"L!""Fase/ (@O>45) con deteccin autom)tica 9ltura: D pulgadasL!D8 mm (4 @6) 9nc$ura: !C'8C pulgadasL458 mm (cuerpo) ! pulgadasL48; mm (placa) ,rofundidad: 55'D5 pulgadasL5D8 mm ,eso: 9pro+imadamente 45 li%rasL5"'4 0g 9utoconmutacin: !"">54" PC9 =recuencia: 5">C" 4z 9limentacin en acti-idad: de 4'" 9 a !!5 PQ ( de 5'" 9 a 55" PQ /emperatura de acti-idad: de !"R a S4"R C (de 5"R a !"4R =) /emperatura de inacti-idad: de >;"R a SC"R C (de >55R a !4"R =) 4umedad relati-a en acti-idad: de 5"T a 8"T a 4"R C (sin condensacin) 4umedad relati-a en inacti-idad: de 5T a "T a 4"R C (sin condensacin) *misiones: 4DC=@!5 clase F' CIS,@55 clase F' *<55"55 clase F' 9SL<AS ;548 clase F' IC*S""; clase F' PCCI clase F (<ota: Se requiere el uso de ca%les %lindados para la conformidad con los l.mites de clase F de =CC parte !5) Seguridad: 61' C61 ( marcas C* de acuerdo con 61 ! 5"' CS9 55.5 <o. 5"' *< C" 5" ( I*C C" 5"

/latafor%as de ad%inistracin 0re#uerida1 ,specificaciones t2cnicas

Di%ensiones fsicas

(e#uisitos de ali%entacin

,ntorno de actividad

3o%ologaciones

Infor%acin para pedidos Cisco Secure IDS 423)

4*%ero de producto IDS>45;">=* CG<>S</>IDS>=* CG<>S</*>IDS>=* CG<>S</,>IDS>=* CG<>GS>IDS>=* CG<>GS*>IDS>=* CG<>GS,>IDS>=* Descripcin del producto Sensor Cisco Secure IDS =ast *t$ernet Ser-icio S?9@/net 8+5+<FD Ser-icio S?9@/net 8+5+4 me&orado Ser-icio S?9@/net 54+D+4 premium Ser-icio S?9@/net 8+5+<FD est)ndar en la instalacin Ser-icio S?9@/net 8+5+4 me&orado en la instalacin Ser-icio S?9@/net 54+D+4 premium en la instalacin

Consideraciones para la e'portacin

*l IDS 4;5" est) su&eto a controles de e+portacin. Consulte el sitio Ne% so%re normati-a de e+portacin en $ttp:LL333.cisco.comL33lLe+portLcr(ptoL para o%tener asistencia. ,ara preguntas espec.ficas so%re la e+portacin' pnganse en contacto con e+portUcisco.com .

!4

Sistemas de Deteccin de Intrusos (IDS)

Infor%acin adicional
Cisco Secure Intrusion Detection S(stem: $ttp:LL333.cisco.comLgoLidsL Cisco Secure ,olic( ?anager: $ttp:LL333.cisco.comLgoLpolic(managerL 9ll contents cop(rig$t V ! 5>>5""" Cisco S(stems' Inc. Important <otices and ,ri-ac( Statement.

Documentacin $ otros tra%a!os

W!X 9pplication Intrusion Detection @o%ert S. Siel0en ?aster of Computer Science Degree > 6ni-ersit( of Pirginia. @eal /ime Data ?ining>%ased Intrusion Detection N. 1ee' ,. C$an' *. *s0in ( ?. ?iller. Colum%ia 6ni-ersit(. 9n 9rc$itecture for Intrusion Detection using 9utonomous 9gents O. Sundar' O. Gmar' D. Isacoff' *. Spafford ( D. Aam%oni. ,urdue 6ni-ersit(. <et3or0 Intrusion Detection: 9n 9nal(stIs $and%oo0 S. <ort$cutt' D. ?c1ac$lan ( O. <o-a0 <e3 @iders ,u%lis$ing' septiem%re 5""". *n Internet: $ttp:LL333>rn0s.informati0.tu>cott%us.deLQso%ire(Lids.$tml

W5X

W;X

W4X

W5X

!5