SlideShare una empresa de Scribd logo

IDS (Intrusion Detection System)

Descargar como PPTX, PDF
krush kr
krush kr

Breve descripción de los IDS

Dispositivos y hardware
1 de 48
IDS (Intrusion Detection System) Por: KTC
Conceptos Básicos Intrusión: Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso. Tipos de intrusos Suplantador Usuario fraudulento Usuario clandestino
Suplantador Conceptos Básicos Individuo que no está autorizado a usar la computadora y penetra hasta los controles de acceso del sistema para obtener provecho de la cuenta de un usuario legítimo. Usuario externo
Usuario fraudulento Conceptos Básicos Usuario legítimo que accede a recursos para los que el acceso no está autorizado o que hace mal uso de sus privilegios. Usuario interno.
Usuario clandestino Conceptos Básicos Individuo que toma el control de supervisión del sistema y lo usa para evadir los controles de auditoría y de acceso o para suprimir información de auditoría. Usuario interno o externo.
Conceptos Básicos Detección de intrusos: Análisis automático de parámetros que modelan la actividad de un entorno con el propósito de detectar e identificar intrusiones.
Conceptos Básicos  Falso positivo: detección de datos o paquetes como una amenaza o intrusión cuando en realidad no se trata de algún intento de ataque sobre alguna red.  Falso negativo: paquetes o datos que son amenazas para una red pero el sistema de seguridad no detecta dichas amenazas.
Definición Herramienta o sistema de seguridad que monitorea el tráfico en una red y los eventos ocurridos en un determinado sistema informático, para identificar los intentos de ataques o amenazas que puedan comprometer la seguridad y el desempeño de dicho sistema.
Definición Su desempeño se basa en la búsqueda y análisis de patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre una red o host.
Nos puede ayudar a conocer la amenaza existente dentro y fuera de la organización, ayuda a redactar la política. En un plan de gestión de la seguridad se deben establecer las posibles amenazas que puede sufrir la red.
Enfoques para la detección de la intrusión Detección estadística de anomalías: recopilar datos del comportamiento de usuarios legítimos. Detección de umbrales: frecuencia de acontecimientos, independiente del usuario. Basado en perfiles: perfil para cada usuario y detectar cambios por usuario.
Enfoques para la detección de la intrusión Detección basada en reglas Detección de anomalías: detectar desviación en modelos anteriores. Identificación de la penetración: sistemas expertos que buscan comportamientos sospechosos.
Registros de Auditoría Registros nativos de auditoría: los SO tiene un SW que recoge información. Registros de auditoría específicos para la detección.
Diagrama General de un IDS
Arquitectura General de un IDS  Fuente de datos: Un log, dispositivo de red, o el propio sistema.  Reglas: Datos y patrones para detectar anomalías de seguridad en el sistema.  Filtros: Comparan los datos de la red o de logs con los patrones almacenados en las reglas.  Detectores de eventos anormales en el tráfico de red.  Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS.
Detección de Anomalías Enfoque Comportamiento regular de usuarios para sacar patrones. Creación de perfiles. Aprendizaje de actividades normales y legítimas.
Detección de Anomalías Desventajas  Falsos positivos  Desarrollo de un modelo preciso de la red tardado.  Depende del proceso de aprendizaje.  Entrenamiento restringido = falsos positivos.  Entrenamiento general = falsos negativos Ventajas  Madurez de la tecnología y más inteligente Enfoque
Detección de usos incorrectos  Se monitorea la actividad y se compara con datos previamente almacenados en una base de datos.  Se detectan tentativas de explotación de vulnerabilidades Dos Componentes principales  Lenguaje o modelo que describa y represente técnicas de los atacantes.  Programas de monitorización. Enfoque
HIDS (IDS basados en host) Origen de Datos  Diseñados para monitorear, detectar y responder a los datos generados por un usuario o un sistema en un host. Recaban información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.
HIDS (IDS basados en host) Ventajas Origen de Datos  Detectan mejor ataques desde dentro del equipo  Asocian usuarios y programas con sus efectos en el sistema  Informan sobre el estado del blanco atacado  Protegen el host donde residen.
HIDS (IDS basados en host) Desventajas Origen de Datos  Lento en comparación con el NIDS  Tardan en actuar (registros de actividad y cambios en el sistema)  Dificultad de implantación (S.O.)  No son seguros si se ha atacado con éxito.  Si cae el host no se genera ninguna alerta.
NIDS (IDS basados en red) Origen de Datos  Analizan el tráfico de la red completa, examinando los paquetes individualmente.  Detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos.  Buscar cual es el programa al que se está accediendo y producir alertas cuando un atacante intenta explotar algún fallo en este programa.
NIDS (IDS basados en red) Origen de Datos Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
NIDS (IDS basados en red) Origen de Datos Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
NIDS (IDS basados en red) Componentes Origen de Datos Sensores (agentes): busca tráfico sospechoso. Consola: recibe las alarmas de los sensores y reacciona dependiendo la alarma.
NIDS (IDS basados en red) Ventajas  Se instala en un segmento de red, detecta ataques en todos los equipos conectados.  Independiente de la plataforma de los equipos.  Capaces de detectar manipulación de cabeceras IP, negación de servicio.  Invisibles a los atacantes. Origen de Datos
NIDS (IDS basados en red) Desventajas Origen de Datos Ineficientes con texto cifrado Malos en redes de alta velocidad Congestión = pérdida de paquetes No determina si un ataque tuvo éxito o no.
Distribuidos (DIDS) Estructura Diferentes formatos de auditoría. Uno o más nodos sirven como puntos de recopilación.
Distribuidos (DIDS) Componentes Estructura Agentes: monitorean actividad. Transceptores: comunicación. Maestro(s): centralizan datos. Consola: interfaz con operador.
Centralizados Estructura Emplean sensores que transmiten información a un sistema central donde se controla todo.
Pasivos Comportamiento Sólo notifican mediante algún mecanismo (alerta, log, etc.) pero no actúa sobre el ataque o atacante.
Activos Comportamiento Genera algún tipo de respuesta sobre el sistema atacante o fuente de ataque como cerrar la conexión o enviar algún tipo de respuesta predefinida.
Colocación de un IDS  Zona Roja: Alto riesgo. Poco sensible, ya que habrá mas falsos positivos.  Zona Verde: Sensibilidad mayor que en la zona roja, menos falsos positivos.  Zona Azul: Zona de confianza, tráfico anómalo debe se considerado como hostil, menos falsos positivos.
Colocación de un IDS
Colocación de un IDS Internet
Colocación de un IDS Internet
Colocación de un IDS Internet
Colocación de un IDS Internet
Internet IDS para cada servicio IDS para detectar ataques hacia afuera Colocación de un IDS
Referencias  http://underc0de.org/foro/seguridad/siste mas-ipsidships/ Fundamentos de Seguridad en Redes Aplicaciones y Estándares. (William Stallings), 2ª Edición.
Referencias  http://catarina.udlap.mx/u_dl_a/tales/docu mentos/mcc/muniz_b_p/capitulo2.pdfhttp:// network-uagrm. blogspot.mx/2013/01/sistemas-ids-parte1. html  http://www.adminso.es/recursos/Proyectos/P FC/PFC_marisa.pdf  http://www.adminso.es/index.php/SDI-I-TIPOS_ DE_IDS
Referencias  http://www.adminso.es/index.php/SDI-I-TIPOS_ DE_IDS  http://slideplayer.es/slide/106589/  http://mural.uv.es/emial/informatica/html/I DS.html  http://www.linux-party.com/index.php/6000- el-sistema-de-deteccion-de-intrusos--snort--- windows-y-linux-

Recomendados

Detección de errores CRC
Detección de errores CRCDetección de errores CRC
Detección de errores CRCHéctor Alexis Reyes Martínez
 
Algoritmo aes
Algoritmo aesAlgoritmo aes
Algoritmo aesJames LexLer
 
Capa de Enlace: Detección y Corrección de Errores
Capa de Enlace: Detección y Corrección de ErroresCapa de Enlace: Detección y Corrección de Errores
Capa de Enlace: Detección y Corrección de ErroresD. Armando Guevara C.
 
ENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACEENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACECecy Hernandez
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
VLSM y CIDR
VLSM y CIDRVLSM y CIDR
VLSM y CIDRDavid Narváez
 
Switch
SwitchSwitch
Switchjuandavidrll
 
Redes Inalámbricos para LAN - WLAN
Redes Inalámbricos para LAN - WLANRedes Inalámbricos para LAN - WLAN
Redes Inalámbricos para LAN - WLANJesse Padilla Agudelo
 

Recomendados

Detección de errores CRC
Detección de errores CRCDetección de errores CRC
Detección de errores CRCHéctor Alexis Reyes Martínez
 
Algoritmo aes
Algoritmo aesAlgoritmo aes
Algoritmo aesJames LexLer
 
Capa de Enlace: Detección y Corrección de Errores
Capa de Enlace: Detección y Corrección de ErroresCapa de Enlace: Detección y Corrección de Errores
Capa de Enlace: Detección y Corrección de ErroresD. Armando Guevara C.
 
ENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACEENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACECecy Hernandez
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
VLSM y CIDR
VLSM y CIDRVLSM y CIDR
VLSM y CIDRDavid Narváez
 
Switch
SwitchSwitch
Switchjuandavidrll
 
Redes Inalámbricos para LAN - WLAN
Redes Inalámbricos para LAN - WLANRedes Inalámbricos para LAN - WLAN
Redes Inalámbricos para LAN - WLANJesse Padilla Agudelo
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografíaMedialab en Matadero
 
Redes satelitales
Redes satelitalesRedes satelitales
Redes satelitalesBones LloKalla
 
Presentación criptografía
Presentación criptografíaPresentación criptografía
Presentación criptografíaLeidy Johana Garcia Ortiz
 
COMO REALIZAR SUBNETEO DEL TIPO VLSM
COMO REALIZAR SUBNETEO DEL TIPO VLSMCOMO REALIZAR SUBNETEO DEL TIPO VLSM
COMO REALIZAR SUBNETEO DEL TIPO VLSMMario Hernandez Burgos
 
Trab. Multiplexacion
Trab. MultiplexacionTrab. Multiplexacion
Trab. MultiplexacionDiego Lucero
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019Santiago Rodríguez Paniagua
 
Modulación AM - PM - FM
Modulación AM - PM - FMModulación AM - PM - FM
Modulación AM - PM - FMManuel Carreño (E.Fortuna, Oteima)
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería SocialAlexander Velasque Rimac
 
Introducción comunicaciones satelitales
Introducción comunicaciones satelitalesIntroducción comunicaciones satelitales
Introducción comunicaciones satelitalesFrancisco Sandoval
 
Control de flujo en Telecomunicaciones
Control de flujo en TelecomunicacionesControl de flujo en Telecomunicaciones
Control de flujo en TelecomunicacionesDaniel Morales
 
Firewalls
FirewallsFirewalls
FirewallsEugenia Nuñez
 
Medios guiados y no guiados (redes para pc)
Medios guiados y no guiados (redes para pc)Medios guiados y no guiados (redes para pc)
Medios guiados y no guiados (redes para pc)Zoraida_Mena
 
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3Ejercicios Modulación Análoga & Digital resultados(fam)-rev3
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3Francisco Apablaza
 
Grupo 4 metodos de multiplexacion
Grupo 4 metodos de multiplexacionGrupo 4 metodos de multiplexacion
Grupo 4 metodos de multiplexacionCarlos Ventura Luyo
 
Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria SocialBethsabeHerreraTrujillo
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Sistemas basados en conocimiento
Sistemas basados en conocimientoSistemas basados en conocimiento
Sistemas basados en conocimientoHugo Banda
 
8.2 Transmision de datos por fibra óptica
8.2 Transmision de datos por fibra óptica8.2 Transmision de datos por fibra óptica
8.2 Transmision de datos por fibra ópticaEdison Coimbra G.
 
Hamming y CRC
Hamming y CRCHamming y CRC
Hamming y CRCCarlos Alberto Amaya Tarazona
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 

Más contenido relacionado

La actualidad más candente

Trab. Multiplexacion
Trab. MultiplexacionTrab. Multiplexacion
Trab. MultiplexacionDiego Lucero
 
Introducción comunicaciones satelitales
Introducción comunicaciones satelitalesIntroducción comunicaciones satelitales
Introducción comunicaciones satelitalesFrancisco Sandoval
 
Control de flujo en Telecomunicaciones
Control de flujo en TelecomunicacionesControl de flujo en Telecomunicaciones
Control de flujo en TelecomunicacionesDaniel Morales
 
Medios guiados y no guiados (redes para pc)
Medios guiados y no guiados (redes para pc)Medios guiados y no guiados (redes para pc)
Medios guiados y no guiados (redes para pc)Zoraida_Mena
 
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3Ejercicios Modulación Análoga & Digital resultados(fam)-rev3
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3Francisco Apablaza
 
Grupo 4 metodos de multiplexacion
Grupo 4 metodos de multiplexacionGrupo 4 metodos de multiplexacion
Grupo 4 metodos de multiplexacionCarlos Ventura Luyo
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Sistemas basados en conocimiento
Sistemas basados en conocimientoSistemas basados en conocimiento
Sistemas basados en conocimientoHugo Banda
 
8.2 Transmision de datos por fibra óptica
8.2 Transmision de datos por fibra óptica8.2 Transmision de datos por fibra óptica
8.2 Transmision de datos por fibra ópticaEdison Coimbra G.
 

La actualidad más candente (20)

Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografía
 
Redes satelitales
Redes satelitalesRedes satelitales
Redes satelitales
 
Presentación criptografía
Presentación criptografíaPresentación criptografía
Presentación criptografía
 
COMO REALIZAR SUBNETEO DEL TIPO VLSM
COMO REALIZAR SUBNETEO DEL TIPO VLSMCOMO REALIZAR SUBNETEO DEL TIPO VLSM
COMO REALIZAR SUBNETEO DEL TIPO VLSM
 
Trab. Multiplexacion
Trab. MultiplexacionTrab. Multiplexacion
Trab. Multiplexacion
 
Owasp top ten 2019
Owasp top ten 2019Owasp top ten 2019
Owasp top ten 2019
 
Modulación AM - PM - FM
Modulación AM - PM - FMModulación AM - PM - FM
Modulación AM - PM - FM
 
Ingeniería Social
Ingeniería SocialIngeniería Social
Ingeniería Social
 
Introducción comunicaciones satelitales
Introducción comunicaciones satelitalesIntroducción comunicaciones satelitales
Introducción comunicaciones satelitales
 
Control de flujo en Telecomunicaciones
Control de flujo en TelecomunicacionesControl de flujo en Telecomunicaciones
Control de flujo en Telecomunicaciones
 
Firewalls
FirewallsFirewalls
Firewalls
 
Medios guiados y no guiados (redes para pc)
Medios guiados y no guiados (redes para pc)Medios guiados y no guiados (redes para pc)
Medios guiados y no guiados (redes para pc)
 
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3Ejercicios Modulación Análoga & Digital resultados(fam)-rev3
Ejercicios Modulación Análoga & Digital resultados(fam)-rev3
 
Grupo 4 metodos de multiplexacion
Grupo 4 metodos de multiplexacionGrupo 4 metodos de multiplexacion
Grupo 4 metodos de multiplexacion
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Ingenieria Social
Ingenieria SocialIngenieria Social
Ingenieria Social
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Sistemas basados en conocimiento
Sistemas basados en conocimientoSistemas basados en conocimiento
Sistemas basados en conocimiento
 
8.2 Transmision de datos por fibra óptica
8.2 Transmision de datos por fibra óptica8.2 Transmision de datos por fibra óptica
8.2 Transmision de datos por fibra óptica
 
Hamming y CRC
Hamming y CRCHamming y CRC
Hamming y CRC
 

Similar a IDS (Intrusion Detection System)

Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001Inacap
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Alberto Mayo Vega
 
Diseño y seguridad de redes
Diseño y seguridad de redesDiseño y seguridad de redes
Diseño y seguridad de redesAndres Romero
 
Evasion ids
Evasion idsEvasion ids
Evasion idsnoc_313
 
Evasion ids
Evasion idsEvasion ids
Evasion idsnoc_313
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INFJuan Rao
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Jhon Jairo Hernandez
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de IntrusosFrancisco Medina
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridadJenny Ventura
 
Herramientas de seguridad
Herramientas de seguridadHerramientas de seguridad
Herramientas de seguridadYolanyTuon
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere Seguridad
 

Similar a IDS (Intrusion Detection System) (20)

Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusos
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
 
Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.
 
Virus
VirusVirus
Virus
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
 
Diseño y seguridad de redes
Diseño y seguridad de redesDiseño y seguridad de redes
Diseño y seguridad de redes
 
Honeynet
HoneynetHoneynet
Honeynet
 
Evasion ids
Evasion idsEvasion ids
Evasion ids
 
Evasion ids
Evasion idsEvasion ids
Evasion ids
 
5 unidad reporte de seguridad
5 unidad reporte de seguridad5 unidad reporte de seguridad
5 unidad reporte de seguridad
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INF
 
Clase 18
Clase 18Clase 18
Clase 18
 
Clase 18
Clase 18Clase 18
Clase 18
 
AlienVault
AlienVaultAlienVault
AlienVault
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridad
 
Herramientas de seguridad
Herramientas de seguridadHerramientas de seguridad
Herramientas de seguridad
 
Xelere - IBM Security QRadar
Xelere - IBM Security QRadarXelere - IBM Security QRadar
Xelere - IBM Security QRadar
 

Último

TEMA #1 EXPLOTACIONES PORCINAS EN VENEZUELA 1er tema.pptx
TEMA #1 EXPLOTACIONES PORCINAS EN VENEZUELA 1er tema.pptxTEMA #1 EXPLOTACIONES PORCINAS EN VENEZUELA 1er tema.pptx
TEMA #1 EXPLOTACIONES PORCINAS EN VENEZUELA 1er tema.pptxGilbertoGutierrezRiv
 
PPT obligaciones ambientales oefa minan.pptx
PPT obligaciones ambientales oefa minan.pptxPPT obligaciones ambientales oefa minan.pptx
PPT obligaciones ambientales oefa minan.pptxDanmherJoelAlmironPu
 
Formulacion del modelo de Programacion Lineal - copia.pptx
Formulacion del modelo de Programacion Lineal - copia.pptxFormulacion del modelo de Programacion Lineal - copia.pptx
Formulacion del modelo de Programacion Lineal - copia.pptxAmerAlBarkawi
 
PPT SESION 5 ARTE Y CREATIVIDAD (1).pptx
PPT SESION 5 ARTE Y CREATIVIDAD (1).pptxPPT SESION 5 ARTE Y CREATIVIDAD (1).pptx
PPT SESION 5 ARTE Y CREATIVIDAD (1).pptxNeymaRojasperez1
 
TALLER SOBRE METODOLOGÍAS DE DESARROLLO DE SOFTWARE..pdf
TALLER SOBRE METODOLOGÍAS DE DESARROLLO DE SOFTWARE..pdfTALLER SOBRE METODOLOGÍAS DE DESARROLLO DE SOFTWARE..pdf
TALLER SOBRE METODOLOGÍAS DE DESARROLLO DE SOFTWARE..pdfMiguelGomez900779
 
LAS TETAS DE MARIA GUEVARA REVISTA DIGITAL INF.pdf
LAS TETAS DE MARIA GUEVARA REVISTA DIGITAL INF.pdfLAS TETAS DE MARIA GUEVARA REVISTA DIGITAL INF.pdf
LAS TETAS DE MARIA GUEVARA REVISTA DIGITAL INF.pdfwilangelfmendoza
 
Taller construcción de Prototipos Uno uML
Taller construcción de Prototipos Uno uMLTaller construcción de Prototipos Uno uML
Taller construcción de Prototipos Uno uMLAderMogollonLuna
 

Último (7)

TEMA #1 EXPLOTACIONES PORCINAS EN VENEZUELA 1er tema.pptx
TEMA #1 EXPLOTACIONES PORCINAS EN VENEZUELA 1er tema.pptxTEMA #1 EXPLOTACIONES PORCINAS EN VENEZUELA 1er tema.pptx
TEMA #1 EXPLOTACIONES PORCINAS EN VENEZUELA 1er tema.pptx
 
PPT obligaciones ambientales oefa minan.pptx
PPT obligaciones ambientales oefa minan.pptxPPT obligaciones ambientales oefa minan.pptx
PPT obligaciones ambientales oefa minan.pptx
 
Formulacion del modelo de Programacion Lineal - copia.pptx
Formulacion del modelo de Programacion Lineal - copia.pptxFormulacion del modelo de Programacion Lineal - copia.pptx
Formulacion del modelo de Programacion Lineal - copia.pptx
 
PPT SESION 5 ARTE Y CREATIVIDAD (1).pptx
PPT SESION 5 ARTE Y CREATIVIDAD (1).pptxPPT SESION 5 ARTE Y CREATIVIDAD (1).pptx
PPT SESION 5 ARTE Y CREATIVIDAD (1).pptx
 
TALLER SOBRE METODOLOGÍAS DE DESARROLLO DE SOFTWARE..pdf
TALLER SOBRE METODOLOGÍAS DE DESARROLLO DE SOFTWARE..pdfTALLER SOBRE METODOLOGÍAS DE DESARROLLO DE SOFTWARE..pdf
TALLER SOBRE METODOLOGÍAS DE DESARROLLO DE SOFTWARE..pdf
 
LAS TETAS DE MARIA GUEVARA REVISTA DIGITAL INF.pdf
LAS TETAS DE MARIA GUEVARA REVISTA DIGITAL INF.pdfLAS TETAS DE MARIA GUEVARA REVISTA DIGITAL INF.pdf
LAS TETAS DE MARIA GUEVARA REVISTA DIGITAL INF.pdf
 
Taller construcción de Prototipos Uno uML
Taller construcción de Prototipos Uno uMLTaller construcción de Prototipos Uno uML
Taller construcción de Prototipos Uno uML
 

IDS (Intrusion Detection System)

  • 1. IDS (Intrusion Detection System) Por: KTC
  • 2. Conceptos Básicos Intrusión: Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso. Tipos de intrusos Suplantador Usuario fraudulento Usuario clandestino
  • 3. Suplantador Conceptos Básicos Individuo que no está autorizado a usar la computadora y penetra hasta los controles de acceso del sistema para obtener provecho de la cuenta de un usuario legítimo. Usuario externo
  • 4. Usuario fraudulento Conceptos Básicos Usuario legítimo que accede a recursos para los que el acceso no está autorizado o que hace mal uso de sus privilegios. Usuario interno.
  • 5. Usuario clandestino Conceptos Básicos Individuo que toma el control de supervisión del sistema y lo usa para evadir los controles de auditoría y de acceso o para suprimir información de auditoría. Usuario interno o externo.
  • 6. Conceptos Básicos Detección de intrusos: Análisis automático de parámetros que modelan la actividad de un entorno con el propósito de detectar e identificar intrusiones.
  • 7. Conceptos Básicos  Falso positivo: detección de datos o paquetes como una amenaza o intrusión cuando en realidad no se trata de algún intento de ataque sobre alguna red.  Falso negativo: paquetes o datos que son amenazas para una red pero el sistema de seguridad no detecta dichas amenazas.
  • 8. Definición Herramienta o sistema de seguridad que monitorea el tráfico en una red y los eventos ocurridos en un determinado sistema informático, para identificar los intentos de ataques o amenazas que puedan comprometer la seguridad y el desempeño de dicho sistema.
  • 9. Definición Su desempeño se basa en la búsqueda y análisis de patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre una red o host.
  • 10. Nos puede ayudar a conocer la amenaza existente dentro y fuera de la organización, ayuda a redactar la política. En un plan de gestión de la seguridad se deben establecer las posibles amenazas que puede sufrir la red.
  • 11. Enfoques para la detección de la intrusión Detección estadística de anomalías: recopilar datos del comportamiento de usuarios legítimos. Detección de umbrales: frecuencia de acontecimientos, independiente del usuario. Basado en perfiles: perfil para cada usuario y detectar cambios por usuario.
  • 12. Enfoques para la detección de la intrusión Detección basada en reglas Detección de anomalías: detectar desviación en modelos anteriores. Identificación de la penetración: sistemas expertos que buscan comportamientos sospechosos.
  • 13. Registros de Auditoría Registros nativos de auditoría: los SO tiene un SW que recoge información. Registros de auditoría específicos para la detección.
  • 15. Arquitectura General de un IDS  Fuente de datos: Un log, dispositivo de red, o el propio sistema.  Reglas: Datos y patrones para detectar anomalías de seguridad en el sistema.  Filtros: Comparan los datos de la red o de logs con los patrones almacenados en las reglas.  Detectores de eventos anormales en el tráfico de red.  Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS.
  • 16.
  • 17.
  • 18. Detección de Anomalías Enfoque Comportamiento regular de usuarios para sacar patrones. Creación de perfiles. Aprendizaje de actividades normales y legítimas.
  • 19. Detección de Anomalías Desventajas  Falsos positivos  Desarrollo de un modelo preciso de la red tardado.  Depende del proceso de aprendizaje.  Entrenamiento restringido = falsos positivos.  Entrenamiento general = falsos negativos Ventajas  Madurez de la tecnología y más inteligente Enfoque
  • 20. Detección de usos incorrectos  Se monitorea la actividad y se compara con datos previamente almacenados en una base de datos.  Se detectan tentativas de explotación de vulnerabilidades Dos Componentes principales  Lenguaje o modelo que describa y represente técnicas de los atacantes.  Programas de monitorización. Enfoque
  • 21. HIDS (IDS basados en host) Origen de Datos  Diseñados para monitorear, detectar y responder a los datos generados por un usuario o un sistema en un host. Recaban información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.
  • 22. HIDS (IDS basados en host) Ventajas Origen de Datos  Detectan mejor ataques desde dentro del equipo  Asocian usuarios y programas con sus efectos en el sistema  Informan sobre el estado del blanco atacado  Protegen el host donde residen.
  • 23. HIDS (IDS basados en host) Desventajas Origen de Datos  Lento en comparación con el NIDS  Tardan en actuar (registros de actividad y cambios en el sistema)  Dificultad de implantación (S.O.)  No son seguros si se ha atacado con éxito.  Si cae el host no se genera ninguna alerta.
  • 24.
  • 25. NIDS (IDS basados en red) Origen de Datos  Analizan el tráfico de la red completa, examinando los paquetes individualmente.  Detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos.  Buscar cual es el programa al que se está accediendo y producir alertas cuando un atacante intenta explotar algún fallo en este programa.
  • 26. NIDS (IDS basados en red) Origen de Datos Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
  • 27. NIDS (IDS basados en red) Origen de Datos Un dispositivo de red configurado en modo promiscuo. Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
  • 28. NIDS (IDS basados en red) Componentes Origen de Datos Sensores (agentes): busca tráfico sospechoso. Consola: recibe las alarmas de los sensores y reacciona dependiendo la alarma.
  • 29. NIDS (IDS basados en red) Ventajas  Se instala en un segmento de red, detecta ataques en todos los equipos conectados.  Independiente de la plataforma de los equipos.  Capaces de detectar manipulación de cabeceras IP, negación de servicio.  Invisibles a los atacantes. Origen de Datos
  • 30. NIDS (IDS basados en red) Desventajas Origen de Datos Ineficientes con texto cifrado Malos en redes de alta velocidad Congestión = pérdida de paquetes No determina si un ataque tuvo éxito o no.
  • 31.
  • 32. Distribuidos (DIDS) Estructura Diferentes formatos de auditoría. Uno o más nodos sirven como puntos de recopilación.
  • 33. Distribuidos (DIDS) Componentes Estructura Agentes: monitorean actividad. Transceptores: comunicación. Maestro(s): centralizan datos. Consola: interfaz con operador.
  • 34.
  • 35. Centralizados Estructura Emplean sensores que transmiten información a un sistema central donde se controla todo.
  • 36.
  • 37. Pasivos Comportamiento Sólo notifican mediante algún mecanismo (alerta, log, etc.) pero no actúa sobre el ataque o atacante.
  • 38. Activos Comportamiento Genera algún tipo de respuesta sobre el sistema atacante o fuente de ataque como cerrar la conexión o enviar algún tipo de respuesta predefinida.
  • 39. Colocación de un IDS  Zona Roja: Alto riesgo. Poco sensible, ya que habrá mas falsos positivos.  Zona Verde: Sensibilidad mayor que en la zona roja, menos falsos positivos.  Zona Azul: Zona de confianza, tráfico anómalo debe se considerado como hostil, menos falsos positivos.
  • 41. Colocación de un IDS Internet
  • 42. Colocación de un IDS Internet
  • 43. Colocación de un IDS Internet
  • 44. Colocación de un IDS Internet
  • 45. Internet IDS para cada servicio IDS para detectar ataques hacia afuera Colocación de un IDS
  • 46. Referencias  http://underc0de.org/foro/seguridad/siste mas-ipsidships/ Fundamentos de Seguridad en Redes Aplicaciones y Estándares. (William Stallings), 2ª Edición.
  • 47. Referencias  http://catarina.udlap.mx/u_dl_a/tales/docu mentos/mcc/muniz_b_p/capitulo2.pdfhttp:// network-uagrm. blogspot.mx/2013/01/sistemas-ids-parte1. html  http://www.adminso.es/recursos/Proyectos/P FC/PFC_marisa.pdf  http://www.adminso.es/index.php/SDI-I-TIPOS_ DE_IDS
  • 48. Referencias  http://www.adminso.es/index.php/SDI-I-TIPOS_ DE_IDS  http://slideplayer.es/slide/106589/  http://mural.uv.es/emial/informatica/html/I DS.html  http://www.linux-party.com/index.php/6000- el-sistema-de-deteccion-de-intrusos--snort--- windows-y-linux-

Notas del editor

  1. La detección de la intrusión se basa en que el comportamiento del intruso difiere del comportamiento del usuario legitimo Anderson[ANDE80]
  2. Intenta definir el comportamiento normal o esperado
  3. Intentan definir el comportamiento correcto
  4. Anomalía: desviación en modelos anteriores
  5. Spade (Statical Packet Anomaly Detection Engine) módulo gratuito para NIDS Snort. Wisdom and Sense (W&S)  Laboratorio Nacional de Los Álamos, sobre UNIX Técnicas * Sistemas basados en conocimiento: reglas y se va adquiriendo conocimiento Sistemas basados en métodos estadísticos: modelos en base a métricas Sistemas basados en aprendizaje automático: minería de datos
  6. Técnicas Sistemas Expertos: motor de inferencia Detección de firmas, busca de similitudes en observar la ocurrencia de patrones en la base de datos (desventaja ingresar una cada vez sea nueva) Análisis de transición de estados: máquina de estados finitos
  7. Tripwire
  8. Los HIDS dejan huella en el sistema instalado
  9. Hay que asegurar la integridad de los datos y la confidencialidad
  10. Snort 2.9.7.0
  11. SNORT es una fuente abierta de prevención y detección de intrusos de red y sistema, utiliza una norma impulsada por el idioma, que combina los beneficios de la firma, protocolo y anomalía basada en métodos de inspección. Con millones de descargas hasta la fecha, Snort es la herramienta de detección y prevención de intrusiones, se ha convertido en el estándar de facto para la industria. Características: • Más de 700 firmas. • Ligero. • Distribución Gratuita. • Análisis de tráfico en Tiempo Real. • Uso de Filtros • Detección de Strings o Host Arbitrarios.