SISTEMAS DE DETECCIÓN DE INTRUSOS EN LA
Anuncio
Título del trabajo de grado: SISTEMAS DE DETECCIÓN DE INTRUSOS EN LA PLATAFORMA NETFPGA USANDO RECONOCIMIENTO DE EXPRESIONES REGULARES. Estudiante de Maestría: Antonio Lobo Director del Proyecto: Prof. Jorge Ramón - UIS Co-director del Proyecto: Prof. Cesar Guerrero - UNAB PROBLEMA A RESOLVER O NECESIDAD A SATISFACER CON EL TRABAJO DE GRADO PROBLEMA A RESOLVER O NECESIDAD A SATISFACER CON EL TRABAJO DE GRADO OBJETIVO GENERAL Implementar un sistema de detección de intrusos basado en reconocimiento de expresiones regulares utilizando la plataforma NetFPGA. OBJETIVOS ESPECIFICOS Analizar métodos de reconocimiento de patrones dinámicos para el análisis de tráfico de red y la detección de intrusos. Desarrollar un módulo, en el lenguaje de descripción de hardware VERILOG, que implemente un método de detección de intrusos. Integrar el modulo desarrollado en un diseño de referencia de la NetFPGA. Evaluar, en una red controlada, el sistema de detección de intrusos desarrollado comparándolo con un sistema basado en software. Crear un portal web donde se registren los resultados del proyecto. Algunos Conceptos: Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema. Existen varios tipos de sistema de detección de intrusos: Sistema de Detección de Intruso basado en RED Sistema de Detección de Intruso basado en HOST Sistema de Detección de Intruso Hibrido Algunos Conceptos: Eficiencia de un IDS: Para medir la eficiencia de un IDS a la hora de detectar intrusiones en un sistema determinado se usan las siguientes características: A) Precisión: Capacidad del sistema para detectar ataques y distinguirlos de lo que se define como comportamiento normal del sistema. B) Rendimiento: Capacidad de procesamiento Hardware vs. Numero de eventos analizados. C) Completitud: La capacidad de detectar todos los tipos de ataques. D) Tolerancia a fallos: Capacidad del IDS a resistir un fallo del sistema. E) Tiempo de respuesta: Es el tiempo que tarda el IDS en reaccionar ante un ataque. Algunos Conceptos l l l Clasificación del IDS respecto a la forma de detectar las intrusiones: Como procesa la información recogida para determinar que hay una intrusión. Deteccion por Anomalias. Deteccion por reglas (firmas). Clasificación del IDS respecto al tipo de respuesta al ataque: su comportamiento después de haber detectado un ataque. l IDS activo. l IDS pasivo. Algunos Conceptos SNORT: es un software abierto y libre utilizado para la detección de intrusos que Implementa un motor de detección basados en reglas (firmas), todo esto en tiempo real o en “fuera de linea” (offline). Snort (www.snort.org) está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Snort funciona en 3 modos: l Modo sniffer. (tcpdump) l Modo registro de paquetes l Modo NIDS Algunos Conceptos NetFPGA: La netfpga es un proyecto que nace alrededor del 2007 en la Universidad de Stanford con el nombre de Netfpga-1G y estuvo a cargo de Martín Casado y Nick McKeown entre otros. La Netfpga es una plataforma abierta, para enseñar y desarrollar proyectos en el área de redes de datos. Algunos Conceptos Componentes de la Tarjeta NetFPGA: Algunos Conceptos La plataforma NetFPGA y la interfaz de software: El controlador de la tarjeta NetFPGA es un módulo cargable del kernel (LKM) que es compatible con cualquier kernel 2.6 de Linux. Estos módulos cargables del kernel permiten a los drivers ser instalados en el kernel sin necesidad de recompilación completa del mismo. El driver provee cuatro interfaces de red, el nombre nf2c0, nf2c1, nf2c2 y nf2c3. Para trabajar con el circuito FPGA de la tarjeta es necesario utilizar un lenguaje de descripción de hardware (HDL, del ingles Hardware Description Language) como verilog ó VHDL. Algunos Conceptos Verilog: es un lenguaje de descripción de hardware usado para modelar sistemas electrónicos. soporta el diseño, prueba e implementación de circuitos analógicos, digitales y de señal mixta a diferentes niveles de abstracción. Los diseñadores de Verilog querían un lenguaje con una sintaxis similar a la del lenguaje de programación C. Verilog difiere de los lenguajes de programación convencionales, en que la ejecución de las sentencias no es estrictamente lineal. RESULTADOS Y/O PRODUCTOS RESULTANTES DEL TRABAJO DE GRADO Al final se tendrá lo siguiente: • El módulo de referencia de sistema de detección de intrusos en la plataforma NetFPGA. • • Portal Web con la información del proyecto. • Articulo con los resultados. .- IMPACTO QUE TENDRÁ EL TRABAJO DE GRADO PARA LA COMUNIDAD ACADÉMICA, CIENTÍFICA O PROFESIONAL DEL ÁREA: A) Fomentar la utilización del hardware Abierto para hacer investigación en el campo de la seguridad de redes. B)Mejorar el rendimiento de los sistemas de detección de intrusos mediante la configuración a nivel de hardware utilizando propiedades de reconfiguración y modularidad (reuso). C) Consolidar una comunidad en el área de seguridad informática entre los estudiantes y profesores de la Universidad Industrial de Santander a través de un portal web. VIABILIDAD Los costos asociados a la ejecución del proyecto son accesibles debido en parte a la utilización de hardware y software libre. La tarjeta NetFPGA necesaria para realizar la investigación fue prestada por el GTI: Grupo de Investigación en Tecnologías de Información de la Escuela de Sistemas (Universidad Abierta de Bucaramanga -UNAB). La Universidad Industrial de Santander a través de la división servicios de información disponen de los recursos necesarios para implementar y realizar las pruebas de la implementación en un ambiente controlado, con disposición de computadores, routers y switches. GRACIAS!!!!
