Semana 3: Con Con r t o r l de Acceso

Transcripción

1 Semana 3: Control de Acceso Intrusiones

2 Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque

3 Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste. Las intrusiones se pueden producir de varias formas: Atacantes que acceden a los sistemas desde Internet.

4 Qué es una INTRUSIÓN? Usuarios autorizados dl del sistema que intentan ganar privilegios adicionales para los cuales no estánautorizados. t Usuarios autorizados que hacen un mal uso de los privilegios o recursos que se les ha sido asignados. Para diferenciar de forma clara lo que es intrusión de lo que no lo es, una organización debería establecer una política de seguridad, donde se deje claro qué está permitido y qué no.

5 Qué es un IDS? Un SISTEMA DE DETECCIÓN DE INTRUSOS o IDS (Intrusion Detection System) ) es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático en busca de intentos de intrusión.

6 IDS En términos de funcionamiento, los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

7 IDS Los IDS permiten aportar a la seguridad del sistema una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. Los IDS usualmente NO están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.

8 IDS Los IDS permiten: aumentar la seguridad de nuestro sistema, vigilar el tráfico de nuestra red, examinar los paquetes analizándolos en busca de datos sospechosos y detectar las primeras fases de cualquier ataque, como pueden ser el análisis de nuestra red (sniffing), barrido de puertos (port scanning), etc.

9 Tipos de IDS HIDS (Host IDS) Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como archivos, logs, recursos, etc, para su posterior análisis en busca de posibles incidencias.

10 Tipos de IDS Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en desarrollar por la industria de la seguridad informática. NIDS (Net IDS) Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque.

11 Tipos de IDS Los NIDS, bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser pequeño. Atú Actúan mediante la utilización ió deun dispositivo de red configurado en modo promiscuo (analizan, ven todos los paquetes que circulan por un segmento de red aunque estos nos vayan dirigidos a un determinado equipo). Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.

12 Tipos de IDS

13 Tipos de IDS Por el tipo de respuesta los IDS se pueden clasificar en: Pasivos: Son aquellos IDS que notifican a la autoridad competente o administrador de la red mediante el sistema que sea, alerta, etc. Pero no actúa sobre el ataque o atacante. Las respuestas pasivas envían informes a humanos para que sean éstos los encargados de tomar acciones al respecto.

14 Tipos de IDS Activos: Generan algún tipo de respuesta sobreelsistemaatacanteofuentedeataque como cerrar la conexión o enviar algún tipo de respuesta predefinida en nuestra configuración. Las respuestas activas permiten lanzar automáticamente respuestas a dichos ataques.

15 Arquitectura de un IDS Normalmente la arquitectura t de un IDS, a grandes rasgos, está formada: La fuente de recogida de datos Estas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS basados en host, el propio sistema. Reglas que contienen los datos y patrones para detectar anomalías de seguridad en el sistema. Filtros que comparan los datos snifeados de la redodelogsconlospatronesalmacenadosen las reglas.

16 Arquitectura de un IDS Detectores de eventos anormales en el tráfico de red. Dispositivo generador de informes y alarmas En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS. Esto es a modo general. Cada IDS implementa la arquitectura de manera diferente.

17 Arquitectura de un IDS Existen varias propuestas sobre la arquitectura de los IDS, pero ninguna de ellas se usa mayoritariamente. Esto provoca que los productos de los fabricantes que trabajan con distinta arquitectura puedan difícilmente interoperar entresí.

18 Introducción a SNORT SNORT es un IDS o Sistema de detección de intrusiones basado en red (NIDS).

19 Introducción a SNORT SNORT Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc conocidos. Todo lo anterior en tiempo real.

20 Introducción a SNORT SNORT ( está disponibleibl bj bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Es uno de los IDS más utilizados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.

21 Introducción a SNORT SNORT implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación SNORT nos provee de cientos de filtros o reglas para backdoors, ddos, finger, ftp, ataques web, CGI, escaneos NMAP, etc.

22 Introducción a SNORT La siguiente es la sintaxis de uso básica de SNORT: # snort vde Con la opción v iniciamos SNORT en modo sniffer visualizando en pantalla las cabeceras de los paquetes TCP/IP, es decir, mostrará las cabeceras IP, TCP, UDP y ICMP.

23 Introducción a SNORT La opción d, le permite a SNORT visualizar los campos de datos que pasan por la interface de red. Por último, la opción e, le permitirá a SNORT mostrar información más detallada del tráfico, en la que se incluiran las cabeceras a nivel de enlace.

24 Introducción a SNORT # snort vde l./log La opción l, le indicaasnort que debe guardar los logsenun directorioi determinado. d # snort vde l./log h /24 # snort vde l./log b

25 Introducción a SNORT Podemos indicarle a SNORT la IP de la red a registrar, con la opción h, y que el formato de los logs sea en modo binario, con la opción b, es decir, el modo que entiende TCPDump o Windump. El modo detección de intrusos de red de SNORT se activa añadiendo a la línea de comandos la opción c snort.conf.

26 Introducción a SNORT En este archivo, snort.conf, seguardatodala configuración de las reglas, preprocesadores p y otras configuraciones necesarias para el funcionamiento de SNORT en modo NIDS. # t d l /l h /24 # snort vde l./log h /24 c../etc/snort.conf

27 Introducción a SNORT SNORT puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS).

28 Ataques a la Seguridad Los tres elementos principales a proteger en cualquier sistema informático son el software, el hardware y los datos. Habitualmente los datos constituyen el principal elemento de los tres a proteger, ya que es el más amenazado y seguramente el más difícilil de recuperar.

29 Ataques a la Seguridad Contra cualquiera de los tres elementos descritos anteriormente, pero principalmente sobre los datos, se pueden realizar multitud de ataques o, dicho de otra forma, están expuestos a diferentes amenazas. Usualmente, la clasificación más elemental de estas amenazas las divideid encuatro grandes grupos: INTERRUPCIÓN, INTERCEPCIÓN, MODIFICACIÓN y FABRICACIÓN.

30 Ataques a la Seguridad Un ataque se clasifica como INTERRUPCIÓN si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. Este es un ataque contra la DISPONIBILIDAD. Ejemplos de este tipo de ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o deshabilitar el sistema de gestión de archivos.

31 Ataques a la Seguridad Un ataque se clasifica como INTERCEPCIÓN si un elemento no autorizado consigue un acceso a un determinado objeto del sistema. Este es un ataque contra la CONFIDENCIALIDAD. Ejemplos de este tipo de ataque son pinchar una línea para hacerse con dt datos que circulen por la red y la copia ilícita de archivos o programas (intercepción de datos).

32 Ataques a la Seguridad Un ataque se clasifica como MODIFICACIÓN si además de conseguir el acceso consigue modificar el objeto. Este es un ataque contra la INTEGRIDAD. Ejemplos de este tipo de ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente, modificar el contenido de mensajes que están siendo transferidos por la red, etc.

33 Ataques a la Seguridad Por último, se dice que un ataque es una FABRICACIÓN si se trata de una modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil distinguir entreel el objeto original y el fabricado. Este es un ataque contra la AUTENTICIDAD. Ejemplos l de este tipo de ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo.

34 Ataques a la Seguridad

35 Resumen Un IDS o SISTEMA DE DETECCIÓN DE INTRUSIONES es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema. SNORT es un IDS o SISTEMA DE DETECCIÓN DE INTRUSIONES basado en red (NIDS).

36 Resumen SNORT implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos t de aprovechar alguna vulnerabilidad, análisis de protocolos, etc.