Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

NIDS(Network Intrusion Detection System)

Anuncio 
CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament d’Arquitectura de Computadors
NIDS(Network Intrusion Detection System)
(Seminaris de CASO)
Autors
Alberto Rodrigo Fernández
¿Qué es?
o
Un IDS es un sistema de detección de intrusos.
o
HIDS (Host Intrusion Detection System):
– IDS que trabaja con la información recogida dentro de un solo
host.
o
NIDS (Network Intrusion Detection System):
– IDS que trabaja con los datos que circulan a través de la red.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
2
¿Qué es un NIDS?
o
IDS que trabaja con los datos que circulan a través de un
segmento de red.
o
Se dedica a monitorizar la red en busca de intentos de
posibles accesos no autorizados.
o
Complemento al sistema de seguridad.
o
Funciona como un sniffer.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
3
¿Por qué es necesario un NIDS?
o
Alerta ante ataques.
o
Capacidad de reacción.
o
Análisis posterior en caso de intrusión.
o
No debe ser substituto de una política de seguridad.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
4
¿Para qué sirve?
o
Monitoriza todo el tráfico que pasa por un segmento de red
en busca de intentos de posibles malos usos o accesos no
autorizados.
o
Filtra el tráfico.
o
Detecta tráfico maligno, habitualmente mediante un
conjunto de reglas.
o
Lanza alertas.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
5
¿Qué conceptos utiliza?
o
Poder leer todo el tráfico de red :
– Interface de red en modo promiscuo.
o
Filtros que descartan el tráfico que no interesa analizar :
– Reduce la cantidad de trabajo a realizar.
o
Detectar tráfico dañino :
– Mediante conjuntos de reglas que crean una serie de alertas.
– Comparación del tráfico detectado con las reglas del programa.
o
Alertas :
– Se tratan como quiera el usuario.
– Más habituales : logs en ficheros de texto o bases de datos.
– Incluso envio de correos electrónicos o SMS al móvil.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
6
¿Dónde colocar un NIDS?
Al instalar un NIDS debe estudiarse en que lugar de la red
lo vamos a situar.
o No hay reglas fijas. Depende de la estructura de la red.
o Varias formas :
o
–
–
–
–
–
Delante del firewall.
Detrás del firewall.
Combinación de los dos casos.
Firewall/NIDS.
Combinaciones avanzadas.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
7
¿Dónde colocar un NIDS? (2)
o
Delante del firewall :
– Se pueden comprobar todos los ataques que se produzcan. No
todos tendrán éxito.
– Genera gran cantidad de información en los logs.
– Firewall bloqueará los ataques.
– Exceso de información puede ser contraproducente. Perder de
vista ataques efectivos.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
8
¿Dónde colocar un NIDS? (3)
o
Detrás del firewall :
– Monitoriza únicamente el tráfico que haya entrado realmente en
la red, no ha sido bloqueado por el firewall.
– Cantidad de logs inferior.
– Ataques detectados potencialmente mucho más peligrosos.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
9
¿Dónde colocar un NIDS? (4)
o
Combinación de los dos casos anteriores :
– Control mucho mayor.
– Ir mejorando la seguridad en caso de encontrar que deja pasar
tráfico que no debería.
– Correlación entre ataques detectados en un lado y otro.
– Contrapartida : dos máquinas para implementarlo.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
10
¿Dónde colocar un NIDS? (5)
o
Firewall / NIDS:
– En caso de no tener máquinas suficientes :
• Una máquina hace de firewall y de NIDS a la vez.
– Igual que primer caso. Monitoriza todo el tráfico de la red.
o
Combinaciones avanzadas :
– Necesidades de seguridad más altas. Cada NIDS monitorice un
segmento de red o hosts individuales.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
11
Ataques a un NIDS
Importancia de la seguridad del NIDS.
o No sirve de nada registrar los accesos no deseados si el
atacante puede borrar los logs creados.
o NIDS no pueda escuchar el tráfico.
o
– Mediante DOS o desactivando la máquina que implementa el
NIDS.
o
Logs.
– Borrando logs o creando muchos logs.
o
Sistema de análisis de paquetes del NIDS.
– El NIDS no reconozca los mismos paquetes que el objetivo.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
12
Algunos sistemas comerciales
o
Snort
– Desarrollado por Marty Roesch.
– Open-source.
– Además soporte comercial(de pago).
o
BlackICE by Network ICE.
o
Http:// www.cs.purdue.edu/coast/ids.
– Lista de varios sistemas comerciales y freeware.
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
13
Bibliografia
o
Revisión práctica de IDS por Sacha Fuentes.
o
www.snort.org
o
http://www.robertgraham.com/pubs/network-intrusiondetection.html
o
http://www.cerias.purdue.edu/about/history/coast_resources
/intrusion_detection/
Seminaris de CONCEPTES AVANÇATS DE SISTEMES OPERATIUS
Departament. d’Arquitectura de Computadors - UPC
14
Documentos relacionados
The GNU Hurd
The GNU Hurd
Sockets y otros objetos orientados a Internet en Delphi.
Sockets y otros objetos orientados a Internet en Delphi.
Micronucleo L4
Micronucleo L4
Aplicaciones Distribuidas: P2P
Aplicaciones Distribuidas: P2P
Idea original de RTLinux
Idea original de RTLinux
Las enfermedades infecciosas siguen siendo un
Las enfermedades infecciosas siguen siendo un
Descargar
Anuncio
Anuncio