clase de muestra 001
Post on 26-May-2015
1.536 Views
Preview:
DESCRIPTION
TRANSCRIPT
w w w . i n a c a p . c l
Agenda
Conceptos de IDS e IPS
w w w . i n a c a p . c l
Agenda
• Conceptos de IDS e IPS– ¿Qué es un IDS?– ¿Qué es un IPS?– ¿Porqué se requieren?– Diferencias entre IDS e IPS– Tipos de IDS e IPS
• Firmas vs Anomalías• NIDS/NIPS• HIDS/HIPS• Dispositivos/software integrados
w w w . i n a c a p . c l
¿Qué es un IDS?• IDS (Sistema de Detección de Intrusos)• Monitoreo pasivo con el fin de detectar indicios de actividad inapropiada, incorrecta o
anómala.• Categorías de sistemas de detección de intrusos• “Intrusion Detection" & "Misuse”
Conceptos de IDS e IPS
w w w . i n a c a p . c l
¿Qué es un IDS?
• Un sistema de detección de intrusos (o IDS) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos Hackers, o de Script Kiddies que usan herramientas automáticas.
• El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
w w w . i n a c a p . c l
Funcionamiento del IDS
• El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc.
• Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
• Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
w w w . i n a c a p . c l
Tipos de IDS
• HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.
• NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
w w w . i n a c a p . c l
Implementación
• Es posible su implementación a nivel de hardware o software
• En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.
w w w . i n a c a p . c l
Ventajas y desventajas
• Ventajas: Transparente ante fallas No añade latencia (NIDS) Puede monitorear tráfico entre estaciones Requiere menos recursos. Bajo costo incluso gratis
• Desventajas. Bajo nivel de protección monitoreo pasivo
w w w . i n a c a p . c l
¿Qué es un IPS?
• IPS (Sistema de Prevención de Intrusos)• Controla el acceso en una red informática• Extensión de los IDS• Mas cercano a las tecnologías de firewalls• IPS bloquea trafico• Tiene nueva tecnologías PROACTIVA• Protege de ataques externos como internos• Protege de amenazas conocidas como desconocidas• Monitoreo activo (IN-LINE) con el fin de detectar y detener actividades inapropiadas, incorrecta o anómala.
Conceptos de IDS e IPS
w w w . i n a c a p . c l
Funcionamiento
• Toman decisiones de control de acceso en base a contenidos del trafico• No es muy necesario parcharlos• Estos sistemas son un mecanismo PROACTIVO designado para detectar
paquetes maliciosos dentro del trafico normal de la red. Detiene intrusiones bloqueando el trafico antes que este provoque un daño lo que es mas efectivo que enviar un alerta una vez que el trafico a sido liberado
• IPS actúa a nivel de equipo (HW)
UN BUEN IPS• Bloqueo automatico de ataques• Proteccion de sistemas no parchados• Debe ser muy confiable• No debe afectar negativamente el funcionamiento• No debe bloquear trafico legitimo• Mejora el rendimiento de las redes
w w w . i n a c a p . c l
Funcionamiento IPS
Proactivamente: IPS
Conceptos de IDS e IPS
IPS
TCP/UDP/ICMP/etc
w w w . i n a c a p . c l
Tipos de IPS
• HIPS (HostIPS): Tal como los sistemas de HIDS, el HIPS requiere de un agente instalado en el sistema que esta siendo protegido. Esto esta ligado al Kernel del sistema Operativo y servicios, monitoreando e interceptando llamadas al sistema para el Kernel o las APIs para prevenir ataques tan bien como analizando los Log
• NIPS (NetworkIPS): Los NIPS combinan características de los IDS convencionales, de IPS y Firewall. Son conocidos como dispositivos IN-LINE. Como un típico firewall los NIPS poseen dos interfaces de red designadas como interna y externa. Los paquetes pasan en ambas interfaces por un motor de detección.
w w w . i n a c a p . c l
Implementación
• Los NIPS, tal como su nombre los indica, se instalan en línea con el trafico, esto quiere decir que el trafico externo o untrusted se conecta a un interfaz del IPS (este corresponde al trafico proveniente del router de Internet), la otra interfaz se conecta al Firewall.
w w w . i n a c a p . c l
Funcionamiento IPS
Proactivamente: IPS
Conceptos de IDS e IPS
IPS
TCP/UDP/ICMP/etc
w w w . i n a c a p . c l
Ventajas y desventajas
• Ventajas: Alto nivel de protección
• Desventajas. Pudiera ser punto único de falla Añade latencia (NIPS) Sólo monitorea tráfico del uplink o enlace
w w w . i n a c a p . c l
¿Porqué se requieren?– Firewalls y plataformas antivirus ya no son suficientes.
– Es Necesario un nivel adicional de protección …
Conceptos de IDS e IPS
w w w . i n a c a p . c l
¿Porqué se requieren?– Diversificación de plataformas tecnológicas
– Conocimiento avanzado de atacantes y facilidad de lanzar ataques
– Gran cantidad de vulnerabilidades en los sistemas
Conceptos de IDS e IPS
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
0
20000
40000
60000
80000
100000
120000
140000
CERT - Incidentes reportados
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
1Q-2
Q,2
005
0
1000
2000
3000
4000
5000
CERT - Vulnerabilidades reportadas
w w w . i n a c a p . c l
Diferencias entre IDS e IPS Topológicamente:
Conceptos de IDS e IPS
IDS
IPS
Pasivo
In-Line
w w w . i n a c a p . c l
Diferencias entre IDS e IPS Reactivamente: IDS
Conceptos de IDS e IPS
IDS
UDP, ICMP, etc
w w w . i n a c a p . c l
Diferencias entre IDS e IPS Reactivamente: IDS
Conceptos de IDS e IPS
IDS
TCP
w w w . i n a c a p . c l
Diferencias entre IDS e IPS Reactivamente: IDS
Conceptos de IDS e IPS
IDS
TCP RST
TCP RST
w w w . i n a c a p . c l
Diferencias entre IDS e IPS Proactivamente: IPS
Conceptos de IDS e IPS
IPS
TCP/UDP/ICMP/etc
w w w . i n a c a p . c l
Tipos de IDS e IPS
Conceptos de IDS e IPS
Firmas (Signature recognition)• Examinan el tráfico y/o comportamiento
en busca de patrones de ataques previamente conocidos o violaciones al uso habitual del stack de algún protocolo
• Enfoque en vulnerabilidad vs ataque• Ejemplo (tráfico):
• ../winnt/system32/cmd.exe?/c+dir• Ejemplo (comportamiento):
• Múltiples Logins fallidos• Seguidos de un Login exitoso
• Ejemplo (stack TCP/IP):• Fragmentos en sobre-posición
Anomalías (Anomaly detection) • Detecta anomalías estadísticas (según
una línea base previamente determinada), sin necesidad de ‘entender’ la causa subyacente
• Algunas estadísticas: • Tráfico sobre un puerto no utilizado
comúnmente• Utilización de CPU, RAM, discos,
archivos• Logins
• Ejemplo: Múltiples ‘logins’ a servidores y ejecución de múltiples tareas a las 2 am
w w w . i n a c a p . c l
Tipos de IDS e IPS
Conceptos de IDS e IPS
NIDS/NIPS
• NIDS: Network Intrusion Detection System• NIPS (IPS): Network Intrusion Prevention System• Versiones de appliance (servidor con SO ‘seguro’ y/o
ASICs ) y software (sobre un servidor de propósito general)
• Permite ‘proteger’ varios dispositivos (incluso una red completa) con un único sistema de detección/prevención
• NIDS actúa en modo pasivo• NIPS actúa en modo activo (en línea)
w w w . i n a c a p . c l
Tipos de IDS e IPS
Conceptos de IDS e IPS
HIDS/HIPS• HIDS (SIDS): Host (Server) Intrusion Detection System• HIPS (SIPS): Host (Server) Intrusion Prevention System• Software que se instala sobre la plataforma a proteger (usualmente
Servidores, también estaciones).• Utiliza recursos del Host (CPU, RAM, HD)• Es intrusivo, puede provocar conflictos con parches o software ya
instalado• No sólo protegen de ataques en la red, también en forma local• Usualmente tienen visibilidad de tráfico cifrado• HIDS copia paquetes del stack de protocolos• HIPS intercepta los paquetes del stack de protocolos (preventivo,
pero añade latencia)
w w w . i n a c a p . c l
Tipos de IDS e IPS
Conceptos de IDS e IPS
Dispositivos/software integrados• Utilizan el concepto de ‘todo en uno’
• IPS• Antivirus• Firewall• ‘Application Compliance’• AntiSpam• Filtro de Contenidos• Etc
• Ventajas• Reducen el tiempo empleado en analizar los paquetes• Usualmente menor costo que comprar cada uno de los
componentes por separado
w w w . i n a c a p . c l
Tipos de IDS e IPS
Conceptos de IDS e IPS
w w w . i n a c a p . c l
Tipos de IDS e IPS
Conceptos de IDS e IPS
Dispositivos/software integrados (cont)• Desventajas:
• Usualmente son punto único de fallas• Usualmente se obtienen mejores resultados usando el mejor producto
para cada necesidad (Best Of Breed, Gartner)
FirewallManagem
ent
Anti-VirusManagement
Content/SPAM
Management
ID/PSManagement
Firewalls
Network Security Vendors
Anti-Virus ID/PS Content Filtering/SPAM
w w w . i n a c a p . c l
La implementación de sistemas IDS o IPS no reemplazan a un Firewall o a una plataforma Antivirus. Plataformas IDS e IPS deben considerarse como herramientas complementarias, que en conjunto con sus productos de seguridad
standard, aumenten su seguridad perimetral.
+ +=
Inet
Tipos de IDS e IPS
w w w . i n a c a p . c l
• A la hora de tomar una decisión …
Definir el tipo de tecnología a utilizar. IDS no es igual que IPS, ninguno de los dos reemplazan a un Firewall,
ni a una solución Antivirus. Madurez de la tecnología o solución. Performance / Latencia De la Red. Investigación, Updates Background Técnico Del Fabricante. Precio. Administración y Capacidad de Generar Reportes Relevantes. Analizar Factores diferenciadores entre tecnologías
Tipos de IDS e IPS
w w w . i n a c a p . c l
Protected
Tipos de IDS e IPS
top related