Host based IDS

Sistemas de Detección de Intrusos (IDS)
•Si todas las protecciones fallan, sólo nos
queda detectar cuando algo no deseado
ocurre
•Proceso de detectar actividades anormales,
inapropiadas o incorrectas
•La mayoría de los ataques son perpetrados
desde el interior
Detección
• Detectar cosas malas conocidas
– Basada en conocimiento
– Patrones de comportamiento sospechoso
• Detectar cosas no buenas
– Basada en comportamiento
– Pérfil de comportamiento normal
Características
•
•
•
•
•
•
•
Funcionamiento continuo y en tiempo real
Tolerancia a fallas del sistema
Tolerancia a fallas de si mismo
Mínima carga adicional (overhead)
Configurabilidad
Flexibilidad
Confiabilidad
– Mínimo falsos positivos
– No falsos negativos
Problemas
• Falsos positivos
– Falsas alarmas
– Generar alarma cuando no pasó nada
• Falsos negativos
– No generar la alarma cuando hubo una intrusión
Tipos de IDS
• Network Intrusion Detection Systems
•
• Host-Based Intrusion Detection Systems
• Hybrid Intrusion Detection Systems
• Signature-Based Intrusion Detection Systems
• Anomaly-Based Intrusion Detection Systems
Network IDS
• Supervisa paquetes en la red
• Detecta actividad anormal
• Lee y escanea paquetes que entran y salen en busca de patrones que
guardan cierta actividad sospechosa
• Se puede configurar para que trabaje con otros sistemas
Host based IDS
• Supervisa y analiza el equipo en el que está instalado
• Verifica si algún programa o usuario ha evadido la política de seguridad
establecida por el sistema operativo.
• Se encuentra al tanto del estado del equipo
HIDS vs NIDS
HIDS
–
–
Típicamente es un software instalado en un sistema
Agent-based
• Monitorea múltiples fuentes de datos, incluyendo el sistema de archivos
tipo meta-data, y archivos tipo log
– Wrapper-based
• Actúa como un firewall – bloquea o acepta conexiones o logins de
acuerdo a políticas previamente establecidas.
HIDS vs NIDS
•
NIDS
– Monitorea el tráfico en la red
– Reporta tráfico considerado “anormal”
• Basado en anomalías
– Tamaño de paquetes, destinos, protocol de distribuciones, etc
– Difícil de determinar que tráfico es “normal”
• Basado en firmas
– La mayoría de los productos utiliza tecnologías basadas en firmas.
Hybrid IDS
• Combina información del HIDS con información de la red
• Se extiende a través de toda la red
• Trabaja como una poderosa aplicación distribuida
Signature Based IDS
Busca patrones de eventos específicos de ataques documentados y conocidos
Típicamente conectado a grandes bases de datos que contienen la información de
la firmas.
Sólo detecta ataques conocidos y registrados en la base de datos.
Lenta ejecución cuando se detectan ciertos patrones dañinos conocidos.
Anomaly Based IDS
• Identifica intrusos al momentos de detectar anomalías
• Funciona con la noción de que la “conducta extraña” es lo
suficientemente diferente a la “conducta normal”
• El administrador del sistema define los parámetros de la conducta
normal
• Tiene la capacidad de detectar nuevos ataques
• Problemas con falsos positivos, mucho tiempo de proceso en los
encabezados, requiere tiempo para crear records estadísticos de
comportamiento.
IDS y ...........
• Prevención
– Puertas, candados, rejas, perro, etc.
• Detección
– Detectores movimiento, de humo, perrito, etc.
• Se necesitan ambos!
• Reacción
– Alarma, llamar policía, soltar perrote, etc.
Sistemas de prevención de Intrusos
•
•
•
•
IPS: Intrusion Prevention System
Detección antes del ataque
IDS de reacción activa o firewall?
Es un término muy usado
Snort
(www.snort.org)