1

SISTEMAS DE DETECCION

DE INTUSIONES

2

DEFINICIONES

Intrusión

Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso.

Sistema de Detección y Prevención de Intrusiones:

Elemento que detecta, identifica y responde a actividades no autorizadas o anormales

3

IDPS Sistema de Detección/Protección de Intrusos

Funciones básicas:• Monitorear

• Detectar

• Responder ante eventos sospechosos que entran/salen de la red

4

Arquitectura de IDSBásicamente existen dos tipos de detectores de Intrusos:

IDSes basados en redUn IDS basado en red monitorea los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el trafico (como un SWITCH o un enrutador). Este donde este, monitorizara diversas maquinas y no una sola: esta es la principal diferencia con los sistemas de detección de intrusos basados en host.

5

Arquitectura de IDS

IDSes basados en maquinaMientras que los sistemas de detección de intrusos basados en red operan bajo todo un dominio de colisión, los basados en maquina realizan su función protegiendo un único sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en background (o que despierta periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala utilización y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado.

IDS

IDS

6

¿CÓMO FUNCIONA?

IDS

FiltrosDescartan

paquetes de información que

cumplen con ciertos criterios como IP fuente,

protocolo, puerto.

PatronesComparan la

información de los paquetes y los

datos mismos para tomar acciones

correctivas como desconexión, e-

mail, almacenamiento

en logs, etc.

7

Interoperabilidad y correlación

• La interoperabilidad, permite que un sistema IDS pueda compartir u obtener información de otros sistemas como Firewalls, Enrutadores y Switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red.

• La correlación es una característica que añade a los IDS la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.

8

IPDS Vs Firewall Los firewalls están atentos a los intrusos pero no a los

ataques internos en la red.

Los IDPS ven ataques en los propios firewalls gracias a la detección basada en firmas las cuales son pasadas por altos en dichos equipos.

Los IDPS investigan el contenido y los archivos de registros de Firewalls, Routers

El firewall busca intrusos en la red a fin de que un ataque no suceda.

El IDPS evalúa intrusiones sospechosas que han tenido lugar y genera un alerta de ello

Estas herramientas son creadas para utilizarse en conjunto y no para sustituir una por

9

INTEGRACIÓN CON FIREWALL

Normalmente el IDS se integra con un firewall. El detector de intrusos es incapaz de detener los

ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall.

Al integrarles, se obtiene una herramienta muy poderosa que une la inteligencia del IDS y el poder de bloqueo del firewall, el punto por donde forzosamente deben pasar los paquetes y donde pueden ser bloqueados antes de penetrar en la red.

10

Escenarios de monitoreo de Seguridad

Sensor por dentro del FireWall

IDS

FireWall

Internet

11

Escenarios de monitoreo de SeguridadSensor por fuera del FireWall

IDS

FireWall

Internet

12

Escenarios de monitoreo de SeguridadSistemas híbridos

IDS

FireWall

InternetIDS

13

Tendencias y proyección de IDSs

Realidad: Los ataques están incrementando Las herramientas son cada día mas sofisticadas Cyber-Terrorismo Atacantes Internos

Soluciones a futuro: Integración de Antivirus con IDSs y FireWalls Desencripcion del trafico encriptado para análisis de Seguridad Correlación de eventos entre diferentes dispositivos en la red Detección de intrusos a nivel de aplicativo, como por ejemplo software de oficina Personal mas calificado en temas de seguridad informática

14

Políticas y planeación de la

seguridad

15

Los riesgos de seguridad no se pueden eliminar o prevenir completamente.

Una política de seguridad es un importante componente para decidir como el riesgo puede ser manejado.

Los Routers proveen un gran numero de servicios de red que permiten a los usuarios mantener procesos y conectividad de red, alguno de estos servicios pueden ser restringidos o deshabilitados previniendo problemas de seguridad.

16

El ciclo de seguridad

Muchos de los incidentes de seguridad ocurren debido a que los administradores no implementan medidas que contabilicen ataques, o reconozcan riesgos potenciales como hackers o personal interno; en general el problema no solo es uno

Es donde se implementa el ciclo de seguridad, un proceso continuo como primera medida a implementar

Los pasos para la implementación son los siguientes:AsegurarMonitorearProbarMejorar

17

Políticas de seguridad de red

BeneficiosAuditoria con datos actualesProvee una vista general de la redDefine el comportamiento permitido y no permitidoA menudo ayuda a determinar que herramientas son necesitadas por la organizaciónAyuda a comunicar al grupo clave de la organización para la definición de responsabilidadesCreación de procesos en el manejo de incidentesHabilita la implementación de la seguridad globalCrea los parámetros para una acción legal si es necesaria

18

Componentes y tecnologías basadas en la seguridad

En PCs nuevas, cuando un nuevo sistema operativo es instalado en una computadora, las opciones de seguridad están configuradas con opciones inadecuadas

Los nombres de usuario y passwords deben de ser cambiados inmediatamente

Acceso a los recursos del sistema debería de ser restringido a las personas y equipo autorizado

Cualquier servicio o aplicaciones innecesarias deben de ser desinstaladas cuando sea posible

19

Componentes y tecnologías basadas en la seguridad

Firewalls personales

En computadoras personales conectadas al Internet a través de conexiones DialUP, DSL, o cable modems son un punto vulnerable para la seguridad de la red, si este es el caso es necesario activar un Firewall Personal a fin de prevenir ataques.

Este tipo de Firewalls no esta diseñado para asegurar redes internas o servidores, mas bien previenen el acceso no autorizado a información dentro de una computadora personal

Alguno de las marcas: McAfee, Norton, Symantec, Zone Labs

20

Componentes y tecnologías basadas en la seguridad

Software Anti-virusHabrá que instalar un software que proteja a las computadoras personales contra virus o aplicaciones Trojanas

Paquetes de servicio de sistema operativo

La forma mas efectiva de mitigar cualquier problema inusual del sistema operativo es instalar los “parches” o actualizaciones al SO.

21

Mantenimiento de PCs

Es necesario mantener un inventario de cada uno de los equipos en la red, como estaciones de trabajo, servidores y laptops, incluyendo números de serie

Es particularmente importante educar a los empleados sobre el mantenimiento seguro de las laptops

Cuando el software, dispositivos de hardware o componentes de almacenamiento son remplazados debe ser reflejado el cambio en el inventario, para esto deben de existir los procedimientos necesarios

22

Componentes y tecnologías basadas en la red

Appliance Firewall

Server Firewall

IDS

VPN

Identity

23

La red de auto-defensa Esta estrategia permite a las organizaciones usar

su inversión actual de enrutamiento, conmutación, inalámbrico y plataformas de seguridad para crear un sistema que pueda ayudar a identificar, prevenir y adaptarse a los ataques continuos a la empresa

Tres sistemasConectividad seguraDefensaConfiabilidad y Soluciones de Identidad

24

Conectividad Segura

Asegura la privacidad e integridad de toda la información que es vital para la empresa

Las empresas además de proteger las comunicaciones externas, ellos deben de asegurar que la información transportada a través del cableado interno y de la infraestructura inalámbrica permanezca confidencial

SolucionesVPN Site-to-SiteVPNs de acceso remotoSeguridad de VozSeguridad InalámbricaManejo de Soluciones y Monitoreo

25

Manejo de defensa Este sistema ofrece de forma conjunta soluciones de seguridad y

tecnologías de red inteligente a fin de identificar y mitigar todos los riesgos desde dentro y fuera de la organización

ElementosSeguridad en el punto de acceso (Endpoint)

Integración de firewalls

Prevención de intrusos

Servicios de seguridad y de red inteligentes

Manejo y Monitoreo

26

Confiabilidad y soluciones de Identidad

Las organizaciones necesitan de forma eficiente y segura saber quien, que y cuando los accesos a la red ocurren y como es ese acceso, esta solución puede convertir virtualmente cada dispositivo de red en un dispositivo dentro de una parte integral de toda una estrategia de seguridad

FuncionesRe-enforzamiento

Aprovisionamiento

Monitoreo