SISTEMAS DE DETECCIÓN DE INTRUSOS EN LA

Anuncio
Título del trabajo de grado:
SISTEMAS DE DETECCIÓN DE
INTRUSOS EN LA PLATAFORMA
NETFPGA USANDO
RECONOCIMIENTO DE EXPRESIONES
REGULARES.
Estudiante de Maestría: Antonio Lobo
Director del Proyecto: Prof. Jorge Ramón - UIS
Co-director del Proyecto: Prof. Cesar Guerrero - UNAB
PROBLEMA A RESOLVER O
NECESIDAD A SATISFACER CON EL
TRABAJO DE GRADO
PROBLEMA A RESOLVER O
NECESIDAD A SATISFACER CON EL
TRABAJO DE GRADO
OBJETIVO GENERAL
Implementar un sistema de detección de intrusos
basado en reconocimiento de expresiones
regulares utilizando la plataforma NetFPGA.
OBJETIVOS ESPECIFICOS
Analizar métodos de reconocimiento de patrones dinámicos para el
análisis de tráfico de red y la detección de intrusos.
Desarrollar un módulo, en el lenguaje de descripción de hardware
VERILOG, que implemente un método de detección de intrusos.
Integrar el modulo desarrollado en un diseño de referencia de la
NetFPGA.
Evaluar, en una red controlada, el sistema de detección de intrusos
desarrollado comparándolo con un sistema basado en software.
Crear un portal web donde se registren los resultados del proyecto.
Algunos Conceptos:
Un IDS o Sistema de Detección de Intrusiones es una
herramienta de seguridad que intenta detectar o
monitorizar los eventos ocurridos en un determinado
sistema informático o red informática en busca de
intentos de comprometer la seguridad de dicho sistema.
Existen varios tipos de sistema de detección de intrusos:
Sistema de Detección de Intruso basado en RED
Sistema de Detección de Intruso basado en HOST
Sistema de Detección de Intruso Hibrido
Algunos Conceptos:
Eficiencia de un IDS: Para medir la eficiencia de un IDS a la hora de
detectar intrusiones en un sistema determinado se usan las siguientes
características:
A) Precisión: Capacidad del sistema para detectar ataques y distinguirlos
de lo que se define como comportamiento normal del sistema.
B) Rendimiento: Capacidad de procesamiento Hardware vs. Numero
de eventos analizados.
C) Completitud: La capacidad de detectar todos los tipos de ataques.
D) Tolerancia a fallos: Capacidad del IDS a resistir un fallo del sistema.
E) Tiempo de respuesta: Es el tiempo que tarda el IDS en reaccionar ante
un ataque.
Algunos Conceptos
l
l
l
Clasificación del IDS respecto a la forma de detectar
las intrusiones: Como procesa la información recogida
para determinar que hay una intrusión.
Deteccion por Anomalias.
Deteccion por reglas (firmas).
Clasificación del IDS respecto al tipo de respuesta al
ataque: su comportamiento después de haber detectado
un ataque.
l
IDS activo.
l
IDS pasivo.
Algunos Conceptos
SNORT: es un software abierto y libre utilizado para la
detección de intrusos que Implementa un motor de
detección basados en reglas (firmas), todo esto en
tiempo real o en “fuera de linea” (offline).
Snort (www.snort.org) está disponible bajo licencia GPL,
gratuito y funciona bajo plataformas Windows y
UNIX/Linux.
Snort funciona en 3 modos:
l
Modo sniffer. (tcpdump)
l
Modo registro de paquetes
l
Modo NIDS
Algunos Conceptos
NetFPGA: La netfpga es un proyecto que nace alrededor del
2007 en la Universidad de Stanford con el nombre de
Netfpga-1G y estuvo a cargo de Martín Casado y Nick
McKeown entre otros. La Netfpga es una plataforma abierta,
para enseñar y desarrollar proyectos en el área de redes de
datos.
Algunos Conceptos
Componentes de la Tarjeta NetFPGA:
Algunos Conceptos
La plataforma NetFPGA y la interfaz de software:
El controlador de la tarjeta NetFPGA es un módulo cargable
del kernel (LKM) que es compatible con cualquier kernel 2.6
de Linux. Estos módulos cargables del kernel permiten a los
drivers ser instalados en el kernel sin necesidad de
recompilación completa del mismo. El driver provee cuatro
interfaces de red, el nombre nf2c0, nf2c1, nf2c2 y nf2c3.
Para trabajar con el circuito FPGA de la tarjeta es necesario
utilizar un lenguaje de descripción de hardware (HDL, del
ingles Hardware Description Language)
como verilog ó
VHDL.
Algunos Conceptos
Verilog: es un lenguaje de descripción de hardware usado
para modelar sistemas electrónicos. soporta el diseño,
prueba e implementación de circuitos analógicos, digitales y
de señal mixta a diferentes niveles de abstracción.
Los diseñadores de Verilog querían un lenguaje con una
sintaxis similar a la del lenguaje de programación C.
Verilog difiere de los lenguajes de programación
convencionales, en que la ejecución de las sentencias no es
estrictamente lineal.
RESULTADOS Y/O PRODUCTOS
RESULTANTES DEL TRABAJO DE GRADO
Al final se tendrá lo siguiente:
• El módulo de referencia de sistema de detección
de intrusos en la plataforma NetFPGA.
•
• Portal Web con la información del proyecto.
• Articulo con los resultados.
.- IMPACTO QUE TENDRÁ EL TRABAJO DE GRADO
PARA LA COMUNIDAD ACADÉMICA, CIENTÍFICA O
PROFESIONAL DEL ÁREA:
A) Fomentar la utilización del hardware Abierto para hacer
investigación en el campo de la seguridad de redes.
B)Mejorar el rendimiento de los sistemas de detección de intrusos
mediante la configuración a nivel de hardware utilizando
propiedades de reconfiguración y modularidad (reuso).
C) Consolidar una comunidad en el área de seguridad informática
entre los estudiantes y profesores de la Universidad Industrial de
Santander a través de un portal web.
VIABILIDAD
Los costos asociados a la ejecución del proyecto son accesibles
debido en parte a la utilización de hardware y software libre.
La tarjeta NetFPGA necesaria para realizar la investigación fue
prestada por el GTI: Grupo de Investigación en Tecnologías de
Información de la Escuela de Sistemas (Universidad Abierta de
Bucaramanga -UNAB).
La Universidad Industrial de Santander a través de la división
servicios de información disponen de los recursos necesarios para
implementar y realizar las pruebas de la implementación en un
ambiente controlado, con disposición de computadores, routers y
switches.
GRACIAS!!!!
Descargar