Detección de Intrusos

Documentos relacionados
ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

Seguridad Informática: Mecanismos de defensa

Seguridad Perimetral. Juan Manuel Espinoza Marquez CFT San Agustín Linares -2012

NIDS(Network Intrusion Detection System)

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

Lección 5: Seguridad Perimetral

AUDITORÍA DE SISTEMAS. Líneas de Profundización III

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

Revisión práctica de IDS. por Sacha Fuentes

IDS. Curso: Sistemas Operativos II Plataforma: Linux

Luis Villalta Márquez

VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL. AUTOR: Alejandro Ramos Fraile

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

APLICACIONES DE MONITORIZACIÓN. Servicio de Informática

Firewalls, IPtables y Netfilter

Realizar LAN en packet tracer

Seguridad Perimetral

DETECCION DE INTRUSOS.

Tema 2 Redes e Internet

la Seguridad Perimetral

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

Intrusion Detection/Prevention Systems SNORT.

Elementos básicos de la seguridad perimetral

Existe una solicitud disponible a tal efecto en la url:

Punto 1 Cortafuegos. Juan Luis Cano

Su uso esta muy extendido en Internet, siendo la nomenclatura mas utilizada la de servidor web. Hay muchos servidores en Internet y muchos tipos de

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

Semana 3: Con Con r t o r l de Acceso

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

REDES DE ÁREA LOCAL (LAN, LOCAL AREA NETWORK)... 2 PLANIFICACIÓN Y DISEÑO DE LA RED...

INSTALANDO UN SISTEMA DE DETECCIÓN DE INTRUSOS INALÁMBRICO (WIDS) EN RASPBIAN - I

Ing. Leonardo Uzcátegui WALC 2010 Santa Cruz de la Sierra /Bolivia

CURSO ADMINISTRACIÓN WEB SEMANA 6 SEGURIDAD EN REDES

TEMARIO Y CRONOGRAMA DE CLASES. Introducción a Linux. Entornos gráficos. Instalación. Uso de consola. Manejo de archivos.

1. Abre la consola o línea de comandos y realiza un ping a la puerta de enlace. Captura la pantalla y pégala en este documento.

INTRODUCCIÓN...15 TEORÍA...17

Proyecto del diseño de los Sistemas de Seguridad Avanzada de la Subsecretaría del Ministerio de Hacienda.

Aplica para todas las sedes de la Universidad de Santander.

GUIA DE LABORATORIO #12 Nombre de la Practica: EasyIDS Laboratorio de Redes Tiempo Estimado: 2 Horas y 30 Minutos

PROTOCOLO FTP PROTOCOLO DE TRANSFERENCIA DE ARCHIVOS ING. RAUL BAREÑO GUTIERREZ RAUL BAREÑO GUTIERREZ 1

Políticas de defensa en profundidad

Práctica de Seguridad en Redes

Una dirección IP es una secuencia de unos y ceros de 32 bits. La Figura muestra un número de 32 bits de muestra.

BALANCE DE CARGA CON PFSENSE 2.3

SISTEMAS DE DETECCIÓN DE INTRUSOS EN LA PLATAFORMA NETFPGA USANDO RECONOCIMIENTO DE EXPRESIONES REGULARES.

Protocolos de Internet

Seguridad en Redes: Network Hacking

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN


ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 ESTE DOCUMENTO CONTIENE LA SEMANA 9

IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET

TEMA 7: SERVIDOR PROXY-CACHÉ

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos

2.0 Práctica 1.- CONFIGURACION DE RUTAS ESTATICAS

Seguridad en Redes: Network Hacking

Práctica de laboratorio Reto de la configuración del VTP

Seguridad en las Redes

Firewall. Ahora vamos a inicial con la instalación en nuestro sistema operativo Debian GNU/Linux.

Práctica de laboratorio: Configuración del Firewall en Windows 7 y Vista

Tipos de Cortafuegos Un cortafuego o firewall es un sistema que previene el uso y el acceso desautorizados a tu ordenador.

Arquitectura de protocolos en LANs

El Modelo. Aplicación. Presentación. Sesión. Transporte. Red. Enlace. Físico

1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...

IPCONFIG NSLOOKUP TRACERT TELNET

Introducción de conceptos de diseño de red

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

Univ. de Concepción del Uruguay Facultad de Ciencias Agrarias Ingeniería Agrónoma

Postgrado en Redes Locales: Instalación y Monitorización

INTERNET. Duración en horas: Introducción a Internet. 1.1 La Red de Redes. 1.2 Origen. 1.3 Internet hoy

PONTIFICIA UNIVERSIDAD JAVERIANA Módulo Seguridad Firewall, Proxy

CAR - Clave de Acceso a la Red Red de datos de la UAM Azcapotzalco Coordinación de Servicios de Cómputo PREGUNTAS FRECUENTES

Denegación de Servicio (DoS)

Programa Administración Linux

Práctica A.S.O: Logmein

2. Cuál de los siguientes protocolos es usado en la Telnet: a). FTP b).tcp/ip c). NFS d). LAPB

6. RIESGOS POTENCIALES EN LOS SERVICIOS DE RED:

1. Descripción de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust.

Práctica de laboratorio c Funciones de múltiples listas de acceso (Desafío)

Arquitectura de protocolos en LANs

We Care For Your Business Security

Modulo 6: Al usar difusiones, el servidor DHCP y el cliente deben estar en el mismo segmento de red (mismo switch).

TIC [TEMA 3:SISTEMAS OPERATIVOS Y REDES]

Transcripción:

ASI - Detección de Intrusos,1 Detección de Intrusos Curso 2013/14 Grado Asignatura Gestión Informática Empresarial Auditoría y Seguridad Informática Profesores Alfredo Cuesta Infante alfredo.cuesta@ajz.ucm.es Alberto Herrán González aherran@ajz.ucm.es

ASI - Detección de Intrusos,2 Contenidos Seguridad perimetral Ataques por intrusión Tipos de intrusos Patrones de comportamiento Técnicas de detección Clasificación, requerimientos y componentes Detección basada en hosts Ejemplos Detección basada en redes Honeypots

ASI - Detección de Intrusos,3 Seguridad perimetral Cortafuegos Separar servicios web de una empresa de la red interna (intranet). Los hosts que dan dichos servicios web se agrupan en la zona desmilitarizada (DMZ) mediante cortafuegos. El tráfico de la intranet y la DMZ hacia internet está permitido, pero el cortafuegos bloquea las peticiones hacia la intranet y sólo aceptará el tráfico hacia la DMZ. El servidor de bases de datos se queda en la intranet! Zona Desmilitarizada (DMZ) Intranet Servicios Web Permitido DMZ <> Internet Intranet > Internet Prohibido Internet > Intranet 4 tipos según sus características y la capa OSI en la que funcionan: 1. de pasarela: telnet, ftp 2. de capa de red: ip, puerto de origen/destino 3. de aplicación: http, 4. personales: sobre el equipo de escritorio

ASI - Detección de Intrusos,4 Ataques por intrusión Tipos de intrusos Impostor Masquerader Individuo no autorizado para usar el computador que atraviesa los controles de acceso para hacer uso de la cuenta de un usuario legítimo. Abuso de autoridad Misfeasor Usuario legítimo que accede a ciertos a/i a los que no está autorizado o que hace mal uso de sus privilegios. Usuario clandestino Clandestine user Individuo que logra privilegios de administrador y lo utiliza para eludir herramientas de auditoría y rastreo. Patrones de comportamiento Hackers. Comunidad meritocrática interesada en investigar el funcionamiento de los sistemas y comparten conocimientos. - El status depende de la habilidad - Aprovechan las oportunidades sin objetivo concreto. Criminales. Tienen objetivos más especificos y actuan rápido. - Ej.: Ficheros de tarjetas de crédito en comercio electrónico. Ataques desde dentro. Generalmente motivados por venganza o despecho. - Los más difíciles de detectar ya que actuan como usuarios legítimos.

ASI - Detección de Intrusos,5 Técnicas de detección IDS = Intrusion Detection Systems Clasificación IDS Basado en hosts: Monitoriza la actividad y los eventos que ocurren en un host. Basado en redes: Monitoriza el tráfico de red, transporte, protocolos de aplicación, etc de un segmento de la misma. Requerimientos Un IDS debe: 1. funcionar continuamente, con mínima supervisión humana, y sin sobrecargar al sistema; 2. ser capaz de recuperarse de caidas y reinicializaciones; 3. monitorizarse a si mismo y detectar si ha sido modificado; 4. ser configurable para adaptarse a las poĺıticas de seguridad del sistema y sin necesidad de reiniciarse (reconfiguración dinámica); 5. ser escalable, para monitorizar un gran numero de hosts; 6. si alguno de sus componentes deja de funcionar, el impacto en los demás debe ser el menor posible. Componentes lógicos 1. Sensores: Recopilación de datos. 2. Analizadores: Reciben información de uno o más sensores y determinan si ha ocurrido un ataque por intrusión. También puede guiar sobre los procedimientos a seguir. 3. Interfaz de usuario: Necesario para la comunicación al exterior.

ASI - Detección de Intrusos,6 Detección basada en hosts HIDS = Host based IDS Proposito principal: Detectar intrusiones externas e internas, reportar eventos sospechosos y emitir alertas. Beneficio principal: Los IDS basados en red no detectan intrusiones internas. Hay dos tendencias... 1. Detección de anomaĺıas. Almacenar datos sobre el comportamiento de usuarios legítimos y aplicar técnicas estadísticas o IA para rechazar comportamientos de usuarios no legítimos. Basada en perfiles de actividad de cada usuario. Basada en umbrales, independientemente de los usuarios. 2. Detección de firmas. Por firma se entiende un patrón de comportamiento específico de un ataque o un atacante. Basada en reglas creadas a partir de la observación del comportamiento. La diferencia entre IA y reglas es la ausencia de conocimiento previo en el primero....y una herramienta común Los registros o grabaciones para posteriores auditorías. Nativos en el SO. Todos los SO tienen comandos para registrar las actividades de los usuarios. Específicos para la IDS. Necesarios cuando hay que registrar información específica.

ASI - Detección de Intrusos,7 Ejemplos de HIDS Algunas medidas Medida Qué detectan Frecuencia de conexiones por día y hora o desde diferentes localizaciones Intrusos conectando fuera de hora o desde lugares poco frecuentes Tiempo transcurrido por sesión Grandes desviaciones de la media pueden indicar impostores Utilización de recursos por sesión Niveles de entrada/salida del procesador inusuales Fallos de la contraseña al conectar Intentos de adivinar la contraseña Fallos de conexión desde terminales concretos Intentos de abuso de autoridad Frecuencia de ejecución o de su negación El intento o el éxito de haber penetrado a través de un usuario legítimo o de querer obtener mayores privilegios Frecuencia de lectura, escritura, borrado o creación de ficheros Puede indicar la presencia de un impostor navegando por las carpetas Algunas reglas heurísticas 1. Los usuarios no deberían leer ficheros de los directorios personales ajenos. 2. Los usuarios no deben escribir en los ficheros ajenos. 3. Los usuarios que se conectan fuera de horas de oficina suelen acceder a los ficheros que usaron antes. 4. Los usuarios no suelen conectarse al sistema más de una vez al mismo tiempo. 5. Los usuarios no hacen copias de los archivos del sistema.

Detección basada en redes (1/3) NIDS = Network based IDS HIDS-distribuido: Evita instalar un HIDS en cada host. NIDS: Monitoriza el tráfico de paquetes en una red o un conjunto de redes interconectadas, en diferentes niveles (aplicación, transporte, red) y en tiempo (casi-)real. Por tanto cubre un objetivo diferente del HIDS, más centrado en examinar el comportamiento del usuario y del SW. Cuestiones importantes: - Selección de arquitectura: Centralizada: 1 punto de recogida y análisis de datos. Descentralizada: Más de un punto, pero necesita coordinación para el intercambio de información y el desarrollo de las tareas. - Ser capaz de trabajar con registros de auditoria de diferentes formatos - Los sensores transmiten los datos recogidos a otros hosts de la red Requerimientos adicionales en la integridad y confidencialidad de estos datos. Componentes Agente 1. Agente: Módulo en el host encargado de la recogida de datos relacionados con eventos de seguridad. Los envía al gestor central. Opera como proceso en 2 o plano. 2. Monitor LAN: Igual que el agente pero encargado de monitorizar la red. 3. Gestor central: Recibe y analiza los datos. Alfredo Cuesta @ 2014 Monitor LAN Gestor central Host LAN LAN Host Internet LAN ASI - Detección de Intrusos,8

Detección basada en redes (2/3) Tipos de sensores Los agentes y los monitores LAN son módulos añadidos a hosts de una LAN. Los sensores son elementos desplegados en la red para medir el tráfico en los niveles de red, transporte y aplicación, especialmente aquel dirigido hacia puntos potencialmente vulnerables. Los sensores pueden ser: Pasivos. Más comunes. Se limitan a escuchar y copiar el tráfico en modo promiscuo con su propia tarjeta de red. Desde el punto de vista del tráfico de red no añade retardos pero no pueden bloquear un ataque. En ĺınea. Se inserta en el segmento que se quiere monitorizar. De este modo el tráfico debe atravesarle para llegar al destino. Añade retardo pero defiende el segmento. Lanzamiento ping masivo Sensor pasivo Recoge información y notifica, PERO no corta el ataque IP IP Lanzamiento ping masivo Sensor inline Corta el ataque PERO un fallo hace vulnerable toda la subred IP IP Alfredo Cuesta @ 2014 El sensor suele tener 2 tarjetas, una con IP para poder acceder a él por una vía segura, y otra sin IP para hacerlo invisible, que es la que se conecta a la red. ASI - Detección de Intrusos,9

ASI - Detección de Intrusos,10 Detección basada en redes (3/3) Posicionamiento de los sensores Servidores internos, Recursos Terminales, Redes 3 4 Servidor DNS, Web, Mail,... Internet 2 1 1. Se monitoriza todo el tráf Por ello documenta en nu originados desde interne Por contra conlleva gran 2. Ve aquellos ataques que las defensas perimetrale Ve ataques dirigidos a se Muestra fallos en politica Puede reconocer trafico d de un servidor atacado 3. Detecta abusos de autori 4. Detecta ataques a sistem 1. Monitoriza todo el tráfico sin filtrado. Documenta el número y tipo de ataques originados desde internet. Conlleva una gran carga computacional. 2. Documenta los ataques que atraviesan las defensas perimetrales. Protege de ataques contra servicios web. Puede reconocer el tráfico de salida resultante de un servidor atacado. 3. Detecta abusos de autoridad (misfeasor) ya que se producen desde dentro. 4. Detecta ataques a sistemas y recursos críticos.

Honeypots Honeypot = Tarro de miel Los honeypots son señuelos para desviar al atacante de los sistema críticos a la vez que se recoje información de su actividad. Mientras está engañado permanece más tiempo, dando ventaja a los administradores. Son recursos que no tienen valor pero se les dota de todas las medidas de seguridad para que parezcan reales. Inicialmente consistían en hosts conectados a un IP, pero ya se construyen redes enteras simulando el tráfico de la empresa. Servidores internos, Recursos 4 3 Terminales, Redes Servidor DNS, Web, Mail,... 2 Internet 1 Alfredo Cuesta @ 2014 1. Atrae ataques exteriores descargando las defensas interiores de trabajo, pero no defiende frente a abusos de autoridad. 2. Aquí sus efectos son limitados debido al firewall exterior. 3. Atrapa ataques internos, detecta defensas mal configuradas. Puede suponer un problema si a través del honeypot se ataca a otros sistemas internos. Al igual que 2, los firewall limitan sus efectos. 4. Igual que 3. ASI - Detección de Intrusos,11

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback