Clase de Muestra 001

w w w . i n a c a p . c l

Agenda

Conceptos de IDS e IPS


Agenda

• Conceptos de IDS e IPS– ¿Qué es un IDS?– ¿Qué es un IPS?– ¿Porqué se requieren?– Diferencias entre IDS e IPS– Tipos de IDS e IPS

• Firmas vs Anomalías• NIDS/NIPS• HIDS/HIPS• Dispositivos/software integrados


¿Qué es un IDS?• IDS (Sistema de Detección de Intrusos)• Monitoreo pasivo con el fin de detectar indicios de actividad inapropiada, incorrecta o

anómala.• Categorías de sistemas de detección de intrusos• “Intrusion Detection" & "Misuse”



¿Qué es un IDS?

• Un sistema de detección de intrusos (o IDS) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos Hackers, o de Script Kiddies que usan herramientas automáticas.

• El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.


Funcionamiento del IDS

• El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc.

• Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

• Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.


Tipos de IDS

• HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.

• NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.


Implementación

• Es posible su implementación a nivel de hardware o software

• En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.


Ventajas y desventajas

• Ventajas: Transparente ante fallas No añade latencia (NIDS) Puede monitorear tráfico entre estaciones Requiere menos recursos. Bajo costo incluso gratis

• Desventajas. Bajo nivel de protección monitoreo pasivo


¿Qué es un IPS?

• IPS (Sistema de Prevención de Intrusos)• Controla el acceso en una red informática• Extensión de los IDS• Mas cercano a las tecnologías de firewalls• IPS bloquea trafico• Tiene nueva tecnologías PROACTIVA• Protege de ataques externos como internos• Protege de amenazas conocidas como desconocidas• Monitoreo activo (IN-LINE) con el fin de detectar y detener actividades inapropiadas, incorrecta o anómala.



Funcionamiento

• Toman decisiones de control de acceso en base a contenidos del trafico• No es muy necesario parcharlos• Estos sistemas son un mecanismo PROACTIVO designado para detectar

paquetes maliciosos dentro del trafico normal de la red. Detiene intrusiones bloqueando el trafico antes que este provoque un daño lo que es mas efectivo que enviar un alerta una vez que el trafico a sido liberado

• IPS actúa a nivel de equipo (HW)

UN BUEN IPS• Bloqueo automatico de ataques• Proteccion de sistemas no parchados• Debe ser muy confiable• No debe afectar negativamente el funcionamiento• No debe bloquear trafico legitimo• Mejora el rendimiento de las redes


Funcionamiento IPS

Proactivamente: IPS


IPS

TCP/UDP/ICMP/etc


Tipos de IPS

• HIPS (HostIPS): Tal como los sistemas de HIDS, el HIPS requiere de un agente instalado en el sistema que esta siendo protegido. Esto esta ligado al Kernel del sistema Operativo y servicios, monitoreando e interceptando llamadas al sistema para el Kernel o las APIs para prevenir ataques tan bien como analizando los Log

• NIPS (NetworkIPS): Los NIPS combinan características de los IDS convencionales, de IPS y Firewall. Son conocidos como dispositivos IN-LINE. Como un típico firewall los NIPS poseen dos interfaces de red designadas como interna y externa. Los paquetes pasan en ambas interfaces por un motor de detección.


Implementación

• Los NIPS, tal como su nombre los indica, se instalan en línea con el trafico, esto quiere decir que el trafico externo o untrusted se conecta a un interfaz del IPS (este corresponde al trafico proveniente del router de Internet), la otra interfaz se conecta al Firewall.


Funcionamiento IPS

Proactivamente: IPS


IPS

TCP/UDP/ICMP/etc


Ventajas y desventajas

• Ventajas: Alto nivel de protección

• Desventajas. Pudiera ser punto único de falla Añade latencia (NIPS) Sólo monitorea tráfico del uplink o enlace


¿Porqué se requieren?– Firewalls y plataformas antivirus ya no son suficientes.

– Es Necesario un nivel adicional de protección …



¿Porqué se requieren?– Diversificación de plataformas tecnológicas

– Conocimiento avanzado de atacantes y facilidad de lanzar ataques

– Gran cantidad de vulnerabilidades en los sistemas


1988

1989

1990

1991

1992

1993

1994

1995

1996

1997

1998

1999

2000

2001

2002

2003

0

20000

40000

60000

80000

100000

120000

140000

CERT - Incidentes reportados

1995

1996

1997

1998

1999

2000

2001

2002

2003

2004

1Q-2

Q,2

005

0

1000

2000

3000

4000

5000

CERT - Vulnerabilidades reportadas


Diferencias entre IDS e IPS Topológicamente:


IDS

IPS

Pasivo

In-Line


Diferencias entre IDS e IPS Reactivamente: IDS


IDS

UDP, ICMP, etc




IDS

TCP




IDS

TCP RST

TCP RST


Diferencias entre IDS e IPS Proactivamente: IPS


IPS

TCP/UDP/ICMP/etc


Tipos de IDS e IPS


Firmas (Signature recognition)• Examinan el tráfico y/o comportamiento

en busca de patrones de ataques previamente conocidos o violaciones al uso habitual del stack de algún protocolo

• Enfoque en vulnerabilidad vs ataque• Ejemplo (tráfico):

• ../winnt/system32/cmd.exe?/c+dir• Ejemplo (comportamiento):

• Múltiples Logins fallidos• Seguidos de un Login exitoso

• Ejemplo (stack TCP/IP):• Fragmentos en sobre-posición

Anomalías (Anomaly detection) • Detecta anomalías estadísticas (según

una línea base previamente determinada), sin necesidad de ‘entender’ la causa subyacente

• Algunas estadísticas: • Tráfico sobre un puerto no utilizado

comúnmente• Utilización de CPU, RAM, discos,

archivos• Logins

• Ejemplo: Múltiples ‘logins’ a servidores y ejecución de múltiples tareas a las 2 am


Tipos de IDS e IPS


NIDS/NIPS

• NIDS: Network Intrusion Detection System• NIPS (IPS): Network Intrusion Prevention System• Versiones de appliance (servidor con SO ‘seguro’ y/o

ASICs ) y software (sobre un servidor de propósito general)

• Permite ‘proteger’ varios dispositivos (incluso una red completa) con un único sistema de detección/prevención

• NIDS actúa en modo pasivo• NIPS actúa en modo activo (en línea)


Tipos de IDS e IPS


HIDS/HIPS• HIDS (SIDS): Host (Server) Intrusion Detection System• HIPS (SIPS): Host (Server) Intrusion Prevention System• Software que se instala sobre la plataforma a proteger (usualmente

Servidores, también estaciones).• Utiliza recursos del Host (CPU, RAM, HD)• Es intrusivo, puede provocar conflictos con parches o software ya

instalado• No sólo protegen de ataques en la red, también en forma local• Usualmente tienen visibilidad de tráfico cifrado• HIDS copia paquetes del stack de protocolos• HIPS intercepta los paquetes del stack de protocolos (preventivo,

pero añade latencia)


Tipos de IDS e IPS


Dispositivos/software integrados• Utilizan el concepto de ‘todo en uno’

• IPS• Antivirus• Firewall• ‘Application Compliance’• AntiSpam• Filtro de Contenidos• Etc

• Ventajas• Reducen el tiempo empleado en analizar los paquetes• Usualmente menor costo que comprar cada uno de los

componentes por separado


Tipos de IDS e IPS



Tipos de IDS e IPS


Dispositivos/software integrados (cont)• Desventajas:

• Usualmente son punto único de fallas• Usualmente se obtienen mejores resultados usando el mejor producto

para cada necesidad (Best Of Breed, Gartner)

FirewallManagem

ent

Anti-VirusManagement

Content/SPAM

Management

ID/PSManagement

Firewalls

Network Security Vendors

Anti-Virus ID/PS Content Filtering/SPAM


La implementación de sistemas IDS o IPS no reemplazan a un Firewall o a una plataforma Antivirus. Plataformas IDS e IPS deben considerarse como herramientas complementarias, que en conjunto con sus productos de seguridad

standard, aumenten su seguridad perimetral.

+ +=

Inet

Tipos de IDS e IPS


• A la hora de tomar una decisión …

Definir el tipo de tecnología a utilizar. IDS no es igual que IPS, ninguno de los dos reemplazan a un Firewall,

ni a una solución Antivirus. Madurez de la tecnología o solución. Performance / Latencia De la Red. Investigación, Updates Background Técnico Del Fabricante. Precio. Administración y Capacidad de Generar Reportes Relevantes. Analizar Factores diferenciadores entre tecnologías

Tipos de IDS e IPS


Protected

Tipos de IDS e IPS

Clase de Muestra 001

Education

Transcript of Clase de Muestra 001