Este documento presenta una introducción a los sistemas de detección de intrusos. Explica conceptos clave como intrusión, sistemas de detección de intrusos e introduce sus componentes principales: fuente de datos, motor de análisis y respuestas. También describe características deseables en los sistemas de detección de intrusos y luego se enfoca en los sistemas de detección de intrusos en red, discutiendo su definición, fuentes de datos, desventajas y mencionando algunos ejemplos como Snort, N
Prueba libre de Geografía para obtención título Bachillerato - 2024
Tema 4. Detección de Intrusos
1. Tema 4. Detecci´on de Instrusos
Tema 4. Detecci´on de Instrusos
Seguridad en Inform´atica 2
Francisco Medina L´opez
Facultad de Contadur´ıa y Administraci´on
Universidad Nacional Aut´onoma de M´exico
2014-2
2. Tema 4. Detecci´on de Instrusos
Agenda
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
3. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
1 Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
Componentes
Caracter´ısticas
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
4. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
1 Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
Componentes
Caracter´ısticas
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
5. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
¿Qu´e es una intrusi´on?
Definici´on
Secuencia de eventos relacionados que deliberadamente tratan de
causar da˜no, como hacer un sistema indisponible, acceder a
informaci´on no autorizada o manipular dicha informaci´on.
Esta definici´on aplica tanto para intentos fallidos, como para los
exitosos
6. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
¿Qu´e son los Sistemas de Detecci´on de Intrusos?
Detecci´on de Intrusos
Proceso de vigilar y analizar eventos que ocurren en un sistema
de c´omputo o red para buscar signos que indiquen problemas de
seguridad (violaciones a pol´ıticas).
Sistema de Detecci´on de Intrusos
Herramientas, m´etodos y recursos que ayudan a detectar,
identificar y reportar actividad no autorizada en un servidor o una
red.
Los sistemas:
Ejecutan funciones de centinela
Alertan y activan alarmas a partes
responsables cuando ocurren actos
de inter´es
Los IDS’s realmente no detectan
intrusos, detectan tr´afico en la red
que puede o no, ser una intrusi´on
7. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
Funciones de un IDS
Registrar indicadores de actividad de intrusos .
Activar las alertas correspondientes.
Puede buscar ataques provenientes de fuera de la red.
Monitorear las actividades desde la red interna .
Algunos IDS’s tambi´en buscan actividades an´omalas.
Requiere configuraci´on adaptada a peculiaridades de la red que
se busca defender.
El IDS puede tomar acciones autom´aticas cuando ocurren
ciertas condiciones.
Ejemplo: enviar mensaje de radio al administrador del sistema.
Muchos IDS’s pueden configurarse para atacar
autom´aticamente a los sospechosos.
Otros se optimizan para recoger informaci´on para an´alisis
forense en tiempo real.
8. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
Proceso b´asico de detecci´on de intrusos
Intrusion Detection & Prevention, Carl Endorf, Eugene.
9. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
1 Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
Componentes
Caracter´ısticas
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
10. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
http://wiki.hill.com/wiki/index.php?title=
Intrusion_detection_system
Fuente de Datos
Proporciona el flujo de registros de
eventos
Motor de An´alisis
Encuentra indicadores de intrusi´on
Componente de Respuestas
Genera reacciones basadas en el
resultado arrojado por el motor de
an´alisis
11. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
Fuente de Datos del IDS
Cuatro tipos
Host
Red
Aplicaci´on
Objetivo
El “monitor” o sensor:
Recolecta informaci´on de una fuente de datos y la pasa al
motor de an´alisis
12. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
Fuente de Datos del IDS (2)
Monitores basados en host
Recogen datos de fuentes internas a una computadora (usual:
nivel de S.O.)
Estas fuentes pueden incluir registros de auditor´ıa del S.O. y
bit´acoras del mismo
Monitores basados en red
Recogen paquetes que pasan por la red
Frecuente: uso de dispositivos de red configurados en modo
promiscuo
13. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
Fuente de Datos del IDS (3)
Monitores basados en aplicaciones
Obtienen informaci´on de aplicaciones en ejecuci´on
Las fuentes son bit´acoras de aplicaciones y otros registros
internos de ellas
Monitores basados en objetivo
Generan sus propios datos
Usan criptograf´ıa de hash para detectar alteraciones a objetos
del sistema
Comparan alteraciones con una pol´ıtica
14. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
Motor de An´alisis
Definidas las fuentes de informaci´on, se debe determinar el
“motor de b´usqueda”
Este toma informaci´on de las fuentes y la examina para
detectar s´ıntomas de ataques o violaciones a la pol´ıtica de
seguridad.
Mayor´ıa de casos: se recurre a tres tipos de an´alisis:
Detecci´on basada en Firmas
Detecci´on basada en Anomal´ıas
Mezcla de los dos
15. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
Motor de An´alisis (2)
Detecci´on de Abusos:
Se busca ocurrencia de algo definido como “malo”
Para ello, se filtran eventos buscando patrones de actividad
coincidentes con ataques o violaci´on a pol´ıtica de seguridad
Usa t´ecnicas de coincidencia de patrones
General: sistemas comerciales usan esta t´ecnica
Detecci´on de Anomal´ıas:
Se busca algo raro o inusual
Se analizan eventos del sistema usando t´ecnicas estad´ısticas
Para hallar patrones de actividad aparentemente anormales
Mixto
Detecci´on de anomal´ıas permite identificar ataques nuevos o
desconocidos
Detecci´on de abusos protege contra ataques conocidos
16. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
Motor de An´alisis (3)
17. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Componentes
Respuestas
Identificada la ocurrencia, el IDS debe determinar la acci´on a
ejecutar
No limitada a acci´on contra sospechoso: disparar alarmas de
diferentes tipos
Se pueden incluir mensajes a consola del administrador de la
red
Env´ıo de mensaje al localizador del administrador
Otra respuesta es modificar el IDS o el sistema vigilado
Modificaci´on en IDS puede incluir cambio en el tipo de an´alisis
que se hace
En el caso de los sistemas vigilados:
Cambios en configuraci´on
Modificaciones a privilegios de acceso
Respuesta com´un:
Registrar resultados del an´alisis en bit´acora usada para generar
reportes
18. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Caracter´ısticas
1 Introducci´on a la Detecci´on de Intrusos
Definiciones y Conceptos
Componentes
Caracter´ısticas
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
19. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Caracter´ısticas
Caracter´ısticas deseables en IDS’s
Efectividad:
Requerimiento m´as importante: IDS’s deben detectar de forma
exacta y consistente los ataques, o patrones definidos
Facilidad de uso:
Expertos en seguridad dif´ıciles y caros
Necesario manejo por no expertos en seguridad
Adaptabilidad:
IDS debe adaptarse a diferentes plataformas, ambientes y
pol´ıticas
Mayor´ıa de ambientes no son homog´eneos
IDS capaz de entender entradas de otros sistemas
20. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Caracter´ısticas
Caracter´ısticas deseables en IDS’s (2)
Robustez:
IDS suficientemente confiable
Tener mecanismos redundantes y caracter´ısticas que permitan
operar en caso de fallas
Rapidez:
Ser capaz de ejecutar vigilancia
Reportar eventos en momento de ocurrencia
Eficiencia:
Uso ´optimo de recursos de c´omputo, almacenamiento, y ancho
de banda
Afectaci´on m´ınima al desempe˜no del sistema vigilado
21. Tema 4. Detecci´on de Instrusos
Introducci´on a la Detecci´on de Intrusos
Caracter´ısticas
Caracter´ısticas deseables en IDS’s (3)
Seguridad:
Contar con caracter´ısticas que eviten utilizaci´on por personal
no autorizado
Escalabilidad:
Componentes con interfaces est´andar bien documentadas
Estas interfases deben soportar los mecanismos de
autenticaci´on apropiados.
Equilibrio:
Permitir a usuarios mantener balance entre necesidades de
administraci´on y de seguridad
22. Tema 4. Detecci´on de Instrusos
Sistemas de Detecci´on de Intrusos en Red
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
Introducci´on
Problem´atica
Ejemplos
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
23. Tema 4. Detecci´on de Instrusos
Sistemas de Detecci´on de Intrusos en Red
Introducci´on
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
Introducci´on
Problem´atica
Ejemplos
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
24. Tema 4. Detecci´on de Instrusos
Sistemas de Detecci´on de Intrusos en Red
Introducci´on
Definici´on
NIDS
Network Intrusion Detecction
System, son un conjunto de
herramientas, m´etodos y
recursos que ayudan a
detectar, identificar y reportar
actividad no autorizada en una
red.
25. Tema 4. Detecci´on de Instrusos
Sistemas de Detecci´on de Intrusos en Red
Introducci´on
Fuente de Datos
Port mirroring (spanning): Copias de los paquetes de entrada
y salida son enviados a un puerto especial donde pueden ser
analizados.
Network taps: Dispositivos que son colocados en el medio
f´ısico por donde pasa el tr´afico.
26. Tema 4. Detecci´on de Instrusos
Sistemas de Detecci´on de Intrusos en Red
Problem´atica
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
Introducci´on
Problem´atica
Ejemplos
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
27. Tema 4. Detecci´on de Instrusos
Sistemas de Detecci´on de Intrusos en Red
Problem´atica
Desventajas con IDS’s en basados en red
Velocidad del canal
No pueden hacer frente a todo el volumen de datos que fluye
en la red
En ambientes con switches: IDS debe colocarse de tal modo
que la carga pase por un puerto de escucha
Cifrado
Ning´un IDS puede revisar paquetes cifrados, porque no tiene
las llaves. Esto permite perpetrar ataques ocultos en
conexiones cifradas
28. Tema 4. Detecci´on de Instrusos
Sistemas de Detecci´on de Intrusos en Red
Ejemplos
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
Introducci´on
Problem´atica
Ejemplos
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
29. Tema 4. Detecci´on de Instrusos
Sistemas de Detecci´on de Intrusos en Red
Ejemplos
Algunos IDS’s basados en red
Snort
NIKSUN NetDetector
Sax2
IBM Proventia Network
Intrusion Prevention System
(IPS)
Bro
Cisco Secure IDS (NetRanger)
Cyclops
Shoki
SecureNet IDS/IPS
SecurityMetrics
Enterasys Intrusion Prevention
System
Juniper Networks ISG Series
Integrated Security Gateway
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html
30. Tema 4. Detecci´on de Instrusos
Sistemas de Prevenci´on de Intrusiones
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
Introducci´on
Ejemplos
4 Snort como IDS/IPS
31. Tema 4. Detecci´on de Instrusos
Sistemas de Prevenci´on de Intrusiones
Introducci´on
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
Introducci´on
Ejemplos
4 Snort como IDS/IPS
32. Tema 4. Detecci´on de Instrusos
Sistemas de Prevenci´on de Intrusiones
Introducci´on
Definici´on
IPS
Intrusion Prevention System, son un conjunto de herramientas,
m´etodos y recursos que ayudan a monitorear la actividad de una
red esperando la ocurrencia de alg´un evento y ejecutando una
acci´on basada en reglas predefinidas cuando este sucede.
Se consideran la evoluci´on de los IDS’s
33. Tema 4. Detecci´on de Instrusos
Sistemas de Prevenci´on de Intrusiones
Ejemplos
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
Introducci´on
Ejemplos
4 Snort como IDS/IPS
34. Tema 4. Detecci´on de Instrusos
Sistemas de Prevenci´on de Intrusiones
Ejemplos
Algunos IDS’s basados en red
McAfee Network Security Manager
APSolute Immunity
IPS-1
Strata Guard
Juniper NetScreen
SecureNet IDS/IPS
Enterasys Intrusion Prevention System
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html
35. Tema 4. Detecci´on de Instrusos
Sistemas de Prevenci´on de Intrusiones
Ejemplos
Magic Quadrant for Intrusion Prevention Systems
Gartner, S.A.. es un proyecto
de investigaci´on de tecnolog´ıa
de la informaci´on y de firma
consultiva con sede en
Stamford, Connecticut,
Estados Unidos. Se conoc´ıan
como el Grupo Gartner hasta
2001.a
a
http://www.gartner.com/
36. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
Introducci´on
Instalaci´on y Configuraci´on de Snort
37. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Introducci´on
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
Introducci´on
Instalaci´on y Configuraci´on de Snort
38. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Introducci´on
Definici´on
Snort
Es un IDS / IPS liberado bajo la licencia de GPL desarrollado por
la empresa Sourcefire. Uiliza tanto la detecci´on basada en firmas
como anomal´ıas.
39. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Introducci´on
Caracter´ısticas
Disponible bajo licencia GPL.
Funciona bajo plataformas Windows, GNU/Linux y Mac OS.
Muestra
40. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Introducci´on
Historia
Snort fue desarrollado en 1998 bajo el nombre de APE por
Marty Roesch.
Empez´o a distribuirse a trav´es del sitio
http://packetstormsecurity.com/
En Diciembre de 1999 se libera la versi´on 1.5 con una nueva
arquitectura basada en plug-ins
41. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Introducci´on
Arquitectura de Snort
1 M´odulo de captura del tr´afico.
2 Decodificador.
3 Preprocesadores
4 Motor de Detecci´on.
5 Archivo de Reglas.
6 Plugins de detecci´on.
7 Plugins de salida.
42. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Introducci´on
Categor´ıas de reglas Snort
1 Reglas de Protocolo: Son dependientes del protocolo que se
est´a analizando, por ejemplo en el protocolo http est´a la
palabra reservada uricontent.
2 Reglas de Contenido Gen´ericas: Permiten especificar
patrones para buscar en el campo de datos del paquete, los
patrones de b´usqueda pueden ser binarios o en modo ASCII,
esto es muy ´util para buscar exploits los cuales suelen terminar
en cadenas de tipo “/bin/sh”.
43. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Introducci´on
Categor´ıas de reglas Snort (2)
3 Reglas de Paquetes Malformados: Especifican
caracter´ısticas sobre los paquetes, concretamente sobre sus
cabeceras las cuales indican que se est´a produciendo alg´un
tipo de anomal´ıa, este tipo de reglas no miran en el contenido
ya que primero se comprueban las cabeceras en busca de
incoherencias u otro tipo de anomal´ıa.
4 Reglas IP: Se aplican directamente sobre la capa IP, y son
comprobadas para cada datagrama IP, si el datagrama luego
es Tcp, Udp o Icmp se realizar´a un an´alisis del datagrama con
su correspondiente capa de protocolo, este tipo de reglas
analiza con contenido y sin ´el.
44. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Introducci´on
Evaluaci´on de reglas en Snort
A5 – Detecci´on de ataques en red con Snort, Joaqu´ın Garc´ıa Alfaro, P.10
45. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Instalaci´on y Configuraci´on de Snort
1 Introducci´on a la Detecci´on de Intrusos
2 Sistemas de Detecci´on de Intrusos en Red
3 Sistemas de Prevenci´on de Intrusiones
4 Snort como IDS/IPS
Introducci´on
Instalaci´on y Configuraci´on de Snort
46. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Instalaci´on y Configuraci´on de Snort
Instalaci´on de Snort en Kali Linux
Para realizar la instalaci´on de snort sobre Kali Linux ejecutar el
siguiente comando:
apt-get -y install snort
47. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Instalaci´on y Configuraci´on de Snort
Configuraci´on de Snort en Kali Linux
El primer paso en la configuraci´on de Snort, es establecer la
interfaz de red que vamos a utilizar como sensor.
48. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Instalaci´on y Configuraci´on de Snort
Configuraci´on de Snort en Kali Linux (2)
Indicar la direcci´on IP del equipo o el bloque de red a analizar.
49. Tema 4. Detecci´on de Instrusos
Snort como IDS/IPS
Instalaci´on y Configuraci´on de Snort
Inicio de Snort
Para iniciar Snort en modo consola usar el comando:
snort -q -A console -i eth1 -c
/etc/snort/snort.conf
Para iniciar Snort como daemon usar el comando:
service snort start
Utilizar el comando tail para monitorear los resultados en
tiempo real
tail -f /var/log/snort/alert.log
50. Tema 4. Detecci´on de Instrusos
Conclusiones
Conclusiones
Un IPS protege al equipo proactivamente y un IDS lo protege
reactivamente.
IDS es solo una parte de las herramientas de seguridad, no
debe considerarse como una contramedida por si solo.
51. Tema 4. Detecci´on de Instrusos
Referencias bibliogr´aficas
Referencias bibliogr´aficas I
Andrew Williams.
Snort Intrusion Detection and Prevention Toolkit(2007)
Carl Endorf, Eugene Schultz y Jim Mellander
Intrusion Detection & Prevention (2004)