Instituto Tecnolgico Superior de Calkin en el Estado de
Campeche
23/06/2014 Isc C Libna Kantn
Sistemas IPS e IDS
pg. 1 Sistemas IDS Un Sistema de Deteccin de Intrusos o IDS es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informtico en busca de intentos de intrusin. Definimos intento de intrusin como cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informtico, o de eludir los mecanismos de seguridad de ste. Un IDS tiene varios componentes: Sensors[sensores]: Generan eventos de seguridad. Console [consola]: Monitorea eventos y alertas enviados por los sensores y controla los sensores. Engine [motor]: Graba los eventos registrados por los sensores en una base de datos y utiliza un sistema de reglas para generar alertas en funcin de los eventos de seguridad recibidos. Por qu utilizar un IDS? Prevenir problemas al disuadir a individuos hostiles. Detectar violaciones de seguridad que no pueden ser prevenidas por otros medios. Detectar prembulos de ataques. Documentar el riesgo de la organizacin. Proveer informacin til sobre las intrusiones que ocurren
Clasificacin 1. Segn localizacin: NIDS (Network Intrusion Detection System): Analiza el trfico de toda la red. Examina paquetes en bsqueda de opciones no permitidas y diseadas para no ser detectadas por los cortafuegos. Produce alertas cuando se intenta explorar algn fallo de un programa de un servidor. HIDS (Host Intrusion Detection System): Analiza el trfico sobre un servidor o un PC. Detecta intentos fallidos de acceso. Detecta modificaciones en archivos crticos 2. Segn modelo de deteccin: Deteccin de mal uso: Verificacin sobre tipos ilegales de trfico de red. Se implementa observando cmo explotar los puntos dbiles de los sistemas y describindolos mediante patrones Sistemas IPS e IDS
pg. 2 Deteccin de uso anmalo: Estadsticas sobre trfico tpico en la red.Detecta cambios en los patrones de utilizacin o comportamiento del sistema. Utiliza modelos estadsticos y busca desviaciones estadsticas significantes.
3. Segn naturaleza Pasivos: Detectan la posible violacin de la seguridad, la registran y generan alerta. Reactivos: Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall. Topologia de IDS
Ejemplos de IDS No Comerciales Snort Disponible en UNIX y Windows. Nmero uno en IDSs en este momento. Balanceo de carga complicado (hasta la fecha). www.snort.org
Shadow Idea: construir interfaz rpida para una DMZ caliente. No es en tiempo real no es til para anlisis forense. www.nswc.navy.mil/ISSEC/CID/
Ejemplos de IDS Comerciales RealSecure Sistema comercial ms desplegado. Sistemas IPS e IDS
pg. 3 Dividido en dos partes: directores y sensores. Permite definir normativas que se configuran en el director y se descargan en los sensores. Back-end: Microsoft Access
NetRanger Dispone de equipos R con capacidad de respuesta. Sensores, director y equipos R se comunican por medio de un protocolo patentado. Ventajas: gran integracin con routers Cisco y sensores avanzados. Inconvenientes: coste, bajo rendimiento del director.
Sistemas IPS El Sistema de Prevencin de Intrusos (IPS) es una tecnologa de software ms hardware que ejerce el control de acceso en una red de computadores para protegerla de ataques y abusos. La tecnologa de Prevencin de Intrusos (IPS) es considerada por algunos como una extensin de los Sistemas de Deteccin de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las tecnologas de firewalls; incluso los complementan. Los Sistemas de Deteccin de Intrusos (IPS) tienen como ventaja respecto de los Firewalls tradicionales (Cortafuegos), el que toman decisiones de control de acceso basados en los contenidos del trfico, en lugar dehacerlo basados en direcciones o puertos IP. La diferencia entre un Sistema de Prevencin de Intrusos(IPS) frente a un Sistema de Deteccin de Intrusos (IDS), es que este ltimo es reactivo pues alerta al administrador ante la deteccin de un posible intruso (usuario que activ algn sensor), mientras que un Sistema de Prevencin de Intrusos (IPS) es proactivo, pues establece polticas de seguridad para proteger el equipo o la red de un posible ataque. Los Sistemas de Prevencin de Intrusos (IPS) tienen varias formas de detectar el trfico malicioso: 1. Deteccin Basada en Firmas, como lo hace un antivirus, 2. Deteccin Basada en Polticas: el IPS requiere que se declaren muy especficamente las polticas de seguridad, 3. Deteccin Basada en Anomalas: funciona con el patrn de comportamiento normal de trfico ( el cual se obtiene de mediciones reales de trfico o es predeterminado por el administrador de la red), el cual es comparado permanentemente con el trfico en lnea, enviando una alarma cuando el trfico real vara mucho con respecto del patrn normal, y 4. Deteccin Honey Pot (Jarra de Miel): funciona usando un equipo que se configura para que llame la atencin de los hackers, de forma que estos Sistemas IPS e IDS
pg. 4 ataquen el equipo y dejen evidencia de sus formas de accin, con lo cual posteriormente se pueden implementar polticas de seguridad. Los sistemas de prevencin de intrusiones se pueden clasificar en cuatro tipos diferentes: Basada en la red de prevencin de intrusiones (PIN): los monitores de toda la red para el trfico sospechoso mediante el anlisis de la actividad de protocolo. Sistemas de prevencin de intrusiones inalmbricas (WIPS): los monitores de una red inalmbrica para el trfico sospechoso mediante el anlisis de protocolos de redes inalmbricas. Anlisis de comportamiento de la red (NBA): examina el trfico de red para identificar las amenazas que generan flujos de trfico inusuales, como la denegacin de servicio distribuido (DDoS), ciertas formas de malware, y violacines de poltica. Basada en el host de prevencin de intrusiones (HIPS): un paquete de software que controla un nico host para detectar actividades sospechosas mediante el anlisis de los acontecimientos que ocurren dentro de ese sistema.