Que son los IDS?
Sub Sistemas de monitoreo computacional que buscan señales de la presencia de usuarios no autorizados, o de usuarios abusando de sus privilegios
Que hace un IDS
Monitorea diversas fuentes de información de los sistemas analizando de varias maneras esta información
Compara el tráfico con patrones de ataques
Identifica problemas relacionados con el abuso de privilegios
Realiza análisis estadístico en busca de patrones de actividad anormal
Para que un IDS si ya tenemos Firewall?
La mayoría de Firewalls funcionan como guardias frontales únicamente
Los IDS son el equivalente a los sistemas de alarma con multiples sensores y monitoreo por circuito cerrado de video
Muchas veces el enemigo ya está dentro
Algunos productos de Firewall han incluido IDS pero se siguen llamando Firewalls.
Que puede ser detectado por un IDS y por un Firewall no?
Ataques por entunelamiento de tráfico
Ataques a través de vulnerabilidades en aplicaciones
Ataques que se originan desde la porción segura de la red
Categorización de IDS
Detección de uso inapropiado Vs. Detección de anomalías
Sistemas Activos Vs. Sistemas Reactivos
Sistemas basados en Red o NIDS Vs. Sistemas basados en Host o HIDS Vs. Sistemas Híbridos
NIDS
Monitorean el tráfico de red, pero solo en porciones de estas
Utilizan sniffers y modo promiscuo que requieren privilegios locales
Pueden fácilmente monitorear mapeos de puertos, ataques conocidos y sustitución de direcciones ip
HIDS
Solo se preocupan por los eventos locales a una máquina monitoreando el tráfico de red o elementos de la misma máquina
Monitorean:
Sesiones de usuarios
Actividades de los usuarios privilegiados
Cambios en el sistema de archivos
Ventajas de los NIDS
Una subred completa puede ser cubierta por un IDS
Teóricamente indetectables
Mínimo impacto a la red
Permiten detectar ataques DOS
Independencia del ambiente operativo
Livianos y Fáciles de implementar
Ventajas de los HIDS
Permiten asociar usuarios y eventos
Pueden analizar tráfico cifrado
Pueden proveer información acerca de un ataque en una máquina durante el mismo ataque
Desventajas de los NIDS
Generación de falsos positivos
No pueden analizar tráfico cifrado
Son tan efectivos como la última actualización de patrones
Alta latencia entre el ataque y la notificación
Dificultad para realizar análisis en redes congestionadas
No indican si un ataque ha sido exitoso o no
Desventajas de los HIDS
La información provista deja de ser confiable tan pronto como un ataque ha sido exitoso
Cuando la máquina “cae” también lo hace el IDS
No son capaces de detectar mapeos de red
Pueden dejar de ser efectivos durante un ataque DOS
Requieren recursos locales para operar
Que se puede lograr con IDS
Un mayor grado de seguridad al resto de la infraestructura de seguridad
Hacer uso de información muchas veces ignorada, para ver que está pasando en realidad
Apoyar el rastreo de actividades intrusas desde el punto de entrada al de salida o impacto
Reconocer alteraciones en sistemas de archivos
Que se puede lograr con IDS (2)
Reconocer ataques en tiempo real
Automatizar la búsqueda de trazas de ataques en Internet
Que no se puede lograr con IDS
No son infalibles
No compensan una mala administración
No investigan ataques sin intervención humana
No intuyen ni siguen las políticas de seguridad organizacional
No compensan debilidades en protocolos de red
No compensan los problemas debidos a la calidad o integridad de la información
Que no se puede lograr con IDS (2)
No analizan adecuadamente el tráfico en una red de alto tráfico
No pueden solucionar problemas debidos a ataques a nivel de paquetes
Se quedan cortos ante características de redes modernas
Se ven bastante limitados ante tráfico cifrado
Snort
Es un NIDS liviano, libre, fácilmente configurable y ejecutable en diversas plataformas
Ampliamente considerado técnicamente superior a la mayoría de NIDS comerciales
Además de NIDS puede actuar como un simple sniffer o bitacora de paquetes con especificaciones avanzadas
No bloquea intrusos, asume que alguien está monitoreando el servicio
Página siguiente |