detecciÓn de intrusos rodríguez garcía juan carlos 3812
DESCRIPTION
IDS (INTRUSION DETECTION SYSTEM). DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812. INTRUSO. Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia. INTRUSIÓN. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/1.jpg)
DETECCIÓN DE INTRUSOS
RODRÍGUEZ GARCÍA JUAN CARLOS 3812
IDS (INTRUSION DETECTION SYSTEM)
![Page 2: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/2.jpg)
INTRUSO
Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.
![Page 3: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/3.jpg)
INTRUSIÓN
Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.
![Page 4: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/4.jpg)
IDS
Un sistema de detección de intrusos (IDS) es un complemento de seguridad de los firewalls.Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red.El objetivo final de cualquier IDS es el de atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos.
![Page 5: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/5.jpg)
CARACTERISTICAS IDS
Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.
![Page 6: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/6.jpg)
Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.
![Page 7: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/7.jpg)
Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc.
![Page 8: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/8.jpg)
IDS SE CLASIFICAN: Según localización:
1.NIDS (Network Intrusion Detection System).
2.HIDS (Host Intrusion Detection System).
Según modelo de detección:
1.Detección de mal uso2.Detección de uso
anómalo Según naturaleza
1.Pasivos2.Activos
![Page 9: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/9.jpg)
NIDS
Analiza el tráfico de toda la red Examina paquetes en búsqueda de opciones no
permitidas y diseñadas para no ser detectadas por los cortafuegos
Produce alertas cuando se intenta explorar algún fallo de un programa de un servidor
![Page 10: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/10.jpg)
NIDS: Componentes
Sensores (agentes): situado en un segmento de red monitoriza en busca de tráfico sospechoso
Una consola: recibe las alarmas de los sensores y reacciona según el tipo de alarma recibida
![Page 11: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/11.jpg)
NIDS
VENTAJAS: Detectan accesos
no deseados en la red
No necesitan software adicional en los servidores
Fácil instalación y actualización (sistemas dedicados)
DESVENTAJAS:•Número de alto falsos-positivos•Sensores distribuidos en cada segmento de la red•Tráfico adicional en la red•Difícil detección de los ataques de sesiones encriptadas
![Page 12: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/12.jpg)
HIDS
Analiza el tráfico sobre un servidor o un PCDetecta intentos fallidos de accesoDetecta modificaciones en archivos críticos
![Page 13: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/13.jpg)
HIDS
VENTAJAS: Potente: registra
comandos, ficheros abiertos, modificaciones importantes.
Menor número de falsos-positivos que el NIDS
Menor riesgo en las respuestas activas que los NIDS
DESVENTAJAS:• Instalación en máquinas locales•Carga adicional en los sistemas•Tiende a confiar la auditoria y el loggin a la máquina
![Page 14: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/14.jpg)
IDS: modelos de detección
Detección del mal uso: Verificación sobre tipos ilegales de
tráfico de red Se implementa observando cómo
explotar los puntos débiles de los sistemas y describiéndolos mediante patrones
Ej.: combinaciones ‘imposibles’ dentro de un paquete, detección de sniffers.
![Page 15: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/15.jpg)
IDS: modelos de detección
Detección de uso anómalo: Estadísticas sobre tráfico típico en la
red Detecta cambios en los patrones de
utilización o comportamiento del sistema
Utiliza modelos estadísticos y busca desviaciones estadísticas significantes
Ej.: tráfico excesivo en horario fuera de oficina, accesos repetitivos ...
![Page 16: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/16.jpg)
IDS: Según su naturaleza
IDS Pasivo: Detectan la posible violación de la
seguridad, la registran y generan alerta
IDS Activo: Responde ante una actividad ilegal
de forma activa, sacando al usuario del sistema o reprogramando el firewall
![Page 17: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/17.jpg)
DONDE COLOCAR UN IDS
Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en cada host ó en cada tramo de red. Esto último sería un tanto lógico cuando se trata de grandes redes, no es nuestro caso ahora. Lo lógico sería instalar el IDS en un dispositivo por donde pase todo el tráfico de red que nos interese.
![Page 18: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/18.jpg)
POSICION DEL IDS
Si colocamos el IDS antes del cortafuegos capturaremos todo el tráfico de entrada y salida de nuestra red. La posibilidad de falsas alarmas es grande. La colocación delante del cortafuegos monitorizará todo el tráfico que no sea detectado y parado por el firewall o cortafuegos, por lo que será considerado como malicioso en un alto porcentaje de los casos. La posibilidad de falsas alarmas muy inferior. Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás del cortafuegos para obtener información exacta de los tipos de ataques que recibe nuestra red ya que si el cortafuegos está bien configurado puede parar o filtras muchos ataques. En ambientes domésticos, podemos colocar el IDS en la misma máquina que el cortafuegos. En este caso actúan en paralelo, es decir, el firewall detecta los paquetes y el IDS los analizaría.
![Page 19: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/19.jpg)
![Page 20: DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812](https://reader035.vdocuments.pub/reader035/viewer/2022062309/56814907550346895db63f69/html5/thumbnails/20.jpg)
CONCLUSIONES
IDS es un complemento de seguridad de los cortafuegos que apoya a la seguridad de un sistema informático.
Busca soluciones que se adapten a los recursos de la empresa y del sistema.
Se recomienda integrar los IDS en la política de seguridad de la empresa para una mayor seguridad.