Selección de ids a partir de las necesidades




descargar 59.74 Kb.
títuloSelección de ids a partir de las necesidades
fecha de publicación19.01.2016
tamaño59.74 Kb.
tipoLección
b.se-todo.com > Documentos > Lección

head.png


SISTEMA DETENCIÓN DE INTRUSOS - IDS


ERICKSON JESUS TIRADO GOYENECHE 0152600


Trabajo presentado como requisito para obtener 40% de la nota del segundo previo de la materia: SEGUIRIDAD INFORMATICA

JEAN POLO CEQUEDA OLAGO

INGENIERO DE SISTEMAS

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

FACULTAD DE INGENIERIA

INGENIERIA DE SISTEMAS

SAN JOSÉ DE CÚCUTA

2012

CONTENIDO

Introducción…………………………………………………………………………………………………………Pág. 3

Marco Teórico………………………………………………………………………………………………………Pág. 4

Clasificación de los IDS…………………………………………………………………………………………Pág. 5

Ventajas y desventajas de los IDS’s……………………………………………………………………..Pág. 6

IDS Dragon - Enterasys Networks…………………………………………………………………….….Pág. 10

IDS Snort……………………………………………………………………………………………………………..Pág. 13

IDS SHADOW……………………………………………………………………………………………………….Pág. 15

IDS Internet Security Systems - RealSecure RealSecure……………………………………….Pág. 15

IDS NETRANGER - CISCO SYSTEMS……………………………………………………………………….Pág. 16

BIBLIOGRAFIA………………………………………………………………………………………………………Pág. 19

INTRODUCCION

En un mundo donde las Tecnologías de la información y la comunicación (Tics), han incursionado en todos los niveles sociales y todas las aéreas del conocimiento tales como Hogares, Negocios, Educación, Ciencia, Seguridad Militar, Gobierno, y Salud de igual manera han incrementado los ataques cibernéticos, los delitos informáticos y las intrusiones a las redes y a los SI, por parte de personas que se fundamentan en filosofías destructivas y muchas veces rencorosa, ocasionando así muertes, desempleos, pérdidas multimillonarias y un sinfín de etc.

De ahí la importancia del concepto seguridad informática que enmarca una serie de procedimientos (tales como: análisis de vulnerabilidades, análisis de riesgos, implantación de políticas de seguridad, plan de contingencia, selección de IDS a partir de las necesidades, etc., etc.) constantes y de nunca terminar para mitigar los riesgos existentes.

Un papel muy importante en este “juego del gato y el ratón” lo juegan los Sistemas de Detención de Intrusos o IDS por sus siglas en español, que son unas herramientas de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión

MARCO TEORICO

¿Qué es un Sistema de Detección de Intrusos?

Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System) es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión.

Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad, disponibilidad o evitar los mecanismos de seguridad de una computadora o red. Las intrusiones se pueden producir de varias formas: atacantes que acceden a los sistemas desde Internet, usuarios autorizados del sistema que intentan ganar privilegios adicionales para los cuales no están autorizados y usuarios autorizados que hacen un mal uso de los privilegios que se les han asignado.

¿Por qué utilizar un IDS?

La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red y la dependencia que tenemos hacia los sistemas de información.

Los IDSs han ganado aceptación como una pieza fundamental en la infraestructura de seguridad de la organización. Hay varias razones para adquirir y usar un IDS:

Prevenir problemas al disuadir a individuos hostiles. Al incrementar la posibilidad de descubrir y castigar a los atacantes, el comportamiento de algunos cambiará de forma que muchos ataques no llegarán a producirse. Esto también puede jugar en nuestra contra, puesto que la presencia de un sistema de seguridad sofisticado puede hacer crecer la curiosidad del atacante. Detectar ataques y otras violaciones de la seguridad que no son prevenidas por otras medidas de protección. Los atacantes, usando técnicas ampliamente conocidas, pueden conseguir accesos no autorizados a muchos sistemas, especialmente a aquellos conectados a redes públicas. Esto a menudo ocurre cuando vulnerabilidades conocidas no son corregidas.

Aunque los vendedores y administradores procuran dar a conocer y corregir estas vulnerabilidades, hay situaciones en las que esto no es posible:

En algunos sistemas heredados, los sistemas operativos no pueden ser parcheados o actualizados.

Incluso en los sistemas en los que podemos aplicar parches, los administradores a veces no tienen el suficiente tiempo y recursos para seguir e instalar las últimas actualizaciones necesarias. Esto es un problema común, sobre todo en entornos que incluyen un gran número de hosts con sistemas operativos y hardware variado. Los usuarios y administradores pueden equivocarse al configurar sus sistemas. Un sistema de detección de intrusos puede ser una excelente herramienta de protección de sistemas. Un IDS puede detectar cuando un atacante ha intentado penetrar en un sistema explotando un fallo no corregido. De esta forma, podríamos avisar al administrador para que llevara a cabo un backup del sistema inmediatamente, evitando así que se pierda información valiosa. Detectar preámbulos de ataques (normalmente pruebas de red y otras actividades).

Cuando un individuo ataca un sistema, lo hace típicamente en fases predecibles. En la primera fase, el atacante hace pruebas y examina el sistema o red en busca de un punto de entrada óptimo. En sistemas o redes que no disponen de un IDS, el atacante es libre de examinar el sistema con un riesgo mínimo de ser detectado. Esto le facilita la búsqueda de un punto débil en nuestra red.

Clasificación de los IDSs

Existen varias formas de clasificar los IDSs:18

1.3.4.1. Fuentes de información

Existen varias fuentes de las que un IDS puede recoger eventos. Algunos IDSs analizan paquetes

de red, capturados del backbone de la red o de segmentos LAN, mientras que otros IDSs analizan

eventos generados por los sistemas operativos o software de aplicación en busca de señales de intrusión.

IDSs basados en red (NIDS)

La mayor parte de los sistemas de detección de intrusos están basados en red. Estos IDSs detectan ataques capturando y analizando paquetes de la red. Escuchando en un segmento, un NIDS puede monitorizar el tráfico que afecta a múltiples hosts que están conectados a ese segmento de red,protegiendo así a estos hosts.

Los IDSs basados en red a menudo están formados por un conjunto de sensores localizados en varios puntos de la red. Estos sensores monitor-izan el tráfico realizando análisis local e informando de los ataques que se producen a la consola de gestión. Como los sensores están limitados a ejecutar el software de detección, pueden ser mas fácilmente asegurados ante ataques. Muchos de estos sensores son diseñados para correr en modo oculto, de tal forma que sea más difícil para un atacante determinar su presencia y localización.

Ventajas:

Un IDS bien localizado puede monitorizar una red grande, siempre y cuando tenga la capacidad suficiente para analizar todo el tráfico.

Los NIDSs tienen un impacto pequeño en la red, siendo normalmente dispositivos pasivos que no interfieren en las operaciones habituales de ésta. Se pueden configurar para que sean muy seguros ante ataques haciéndolos invisibles al resto de la red.

Desventajas:

Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho trafi-

co y pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto. Algunos vendedores están intentando resolver este problema implementando IDSs completamente en

hardware, lo cual los hace mucho más rápidos.

Los IDSs basados en red no analizan la información cifrada. Este problema se incrementa cuando la organización utiliza cifrado en el propio nivel de red (IPSec) entre hosts, pero se puede resolver con una política de seguridad más relajada (por ejemplo, IPSec en modo túnel).

Los IDSs basados en red no saben si el ataque tuvo o no éxito, lo único que pueden saber es que el ataque fue lanzado. Esto significa que después de que un NIDS detecte un ataque, los administradores deben manualmente investigar cada host atacado para determinar si el intento de penetración tuvo éxito o no.

Algunos NIDS tienen problemas al tratar con ataques basados en red que viajan en paquetes fragmentados. Estos paquetes hacen que el IDS no detecte dicho ataque o que sea inestable e incluso pueda llegar a caer.1.3. INTRODUCCIÓN A LOS SISTEMAS DE DETECCIÓN DE INTRUSOS 19

Quizá el mayor inconveniente de los NIDS es que su implementación de la pila de protocolos de red puede diferir a la pila de los sistemas a los que protege. Muchos sistemas servidores y de escritorio actuales no cumplen en ciertos aspectos los estándares TCP/IP, pudiendo descartar paquetes que el NIDS ha aceptado. Esta inconsistencia de información entre el NIDS y el sistema protegido es la base de la ocultación de ataques que veremos más adelante.

IDSs basados en host (HIDS)

Los HIDS fueron el primer tipo de IDSs desarrollados e implementados. Operan sobre la información recogida desde dentro de una computadora, como pueda ser los ficheros de auditoría del sistema operativo. Esto permite que el IDS analice las actividades que se producen con una gran precisión, determinando exactamente qué procesos y usuarios están involucrados en un ataque particular dentro del sistema operativo.

A diferencia de los NIDSs, los HIDSs pueden ver el resultado de un intento de ataque, al igual que pueden acceder directamente y monitorizar los ficheros de datos y procesos del sistema atacado.

Ventajas:

Los IDSs basados en host, al tener la capacidad de monitorizar eventos locales a un host, pueden detectar ataques que no pueden ser vistos por un IDS basado en red. Pueden a menudo operar en un entorno en el cual el tráfico de red viaja cifrado, ya que la fuente de información es analizada antes de que los datos sean cifrados en el host origen y/o después de que los datos sea descifrados en el host destino.

Desventajas:

Los IDSs basados en hosts son más costosos de administrar, ya que deben ser gestionados y configurados en cada host monitorizado. Mientras que con los NIDS teníamos un IDS por múltiples sistemas monitorizados, con los HIDS tenemos un IDS por sistema monitorizado.

Si la estación de análisis se encuentra dentro del host monitorizado, el IDS puede ser deshabilitado si un ataque logra tener éxito sobre la máquina.

No son adecuados para detectar ataques a toda una red (por ejemplo, escaneos de puertos)

puesto que el IDS solo ve aquellos paquetes de red enviados a él. Pueden ser deshabilitados por ciertos ataques de DoS. Usan recursos del host que están monitorizando, influyendo en el rendimiento del sistema monitorizado.

1.3.4.2. Tipo de análisis

Hay dos acercamientos al análisis de eventos para la detección de ataques: detección de abusos y detección de anomalías. La detección de abusos es la técnica usada por la mayoría de sistemas comerciales. La detección de anomalías, en la que el análisis busca patrones anormales de actividad, ha sido y continúa siendo objeto de investigación. La detección de anomalías es usada de forma limitada por un pequeño número de IDSs.

Detección de abusos o firmas

Los detectores de abusos analizan la actividad del sistema buscando eventos que coincidan con un patrón predefinido o firma que describe un ataque conocido.

Ventajas:

Los detectores de firmas son muy efectivos en la detección de ataques sin que generen un número elevado de falsas alarmas.

Pueden rápidamente y de forma precisa diagnosticar el uso de una herramienta o técnica de ataque específico. Esto puede ayudar a los encargados de la seguridad a priorizar medidas correctivas.

Pueden permitir a los administradores de seguridad, sin importar su nivel o su experiencia en este campo, el seguir la pista de los problemas de seguridad de sus sistemas.

Desventajas:

Solo detectan aquellos ataques que conocen, por lo que deben ser constantemente actualizados con firmas de nuevos ataques.

Muchos detectores de abusos son diseñados para usar firmas muy ajustadas que les privan de detectar variantes de ataques comunes.

Detección de anomalías

La detección de anomalías se centra en identificar comportamientos inusuales en un host o una red.

Funcionan asumiendo que los ataques son diferentes a la actividad normal. Los detectores de anomalías construyen perfiles representando el comportamiento normal de los usuarios, hosts o conexiones de red. Estos perfiles son construidos de datos históricos recogidos durante el periodo normal de operación. Los detectores recogen los datos de los eventos y usan una variedad de medidas para determinar cuando la actividad monitorizada se desvía de la actividad normal. Las medidas y técnicas usadas en la detección de anomalías incluyen:

Detección de un umbral sobre ciertos atributos del comportamiento del usuario. Tales atributos de comportamiento pueden incluir el numero de ficheros accedidos por un usuario en un periodo de tiempo dado, el numero de intentos fallidos para entrar en el sistema, la cantidad de CPU utilizada por un proceso, etc. Este nivel puede ser estático o heurístico.

Medidas estadísticas, que pueden ser paramétricas, donde la distribución de los atributos perfi-lados se asume que encaja con un determinado patrón, o no paramétricas, donde la distribución de los atributos perfilados es aprendida de un conjunto de valores históricos, observados a lo largo del tiempo.

Otras técnicas incluyen redes neuronales, algoritmos genéticos y modelos de sistema inmune.

Solo las dos primeras se utilizan en los IDSs actuales, el resto son parte de proyectos de investigación.

Ventajas:

Los IDSs basados en detección de anomalías detectan comportamientos inusuales. De esta forma tienen la capacidad de detectar ataques para los cuales no tienen un conocimiento específico. Los detectores de anomalías pueden producir información que puede ser utilizada para definir firmas en la detección de abusos.

Desventajas:

La detección de anomalías produce un gran número de falsas alarmas debido a los comportamientos no predecibles de usuarios y redes.

Requieren conjuntos de entrenamiento muy grandes para caracterizar los patrones de comportamiento normal.

1.3.4.3. Respuesta

Una vez se ha producido un análisis de los eventos y hemos detectado un ataque, el IDS reacciona. Las repuestas las podemos agrupar en dos tipos: pasivas y activas. Las pasivas envían informes

a personas, que se encargarán de tomar acciones al respecto, si procede. Las activas lanzan automáticamente respuestas a dichos ataques.

Respuestas pasivas

En este tipo de respuestas se notifica al responsable de seguridad de la organización, al usuario del

sistema atacado o a algún CERT de lo sucedido. También es posible avisar al administrador del sitio

desde el cual se produjo el ataque avisándole de lo ocurrido, pero es posible que el atacante monitorice el correo electrónico de esa organización o que haya usado una IP falsa para su ataque.

Respuestas activas Las respuestas activas son acciones automáticas que se toman cuando ciertos tipos de intrusiones son detectados. Podemos estableces dos categorías distintas:

Recogida de información adicional: consiste en incrementar el nivel de sensibilidad de los sensores para obtener más pistas del posible ataque (por ejemplo, capturando todos los paquetes que vienen de la fuente que originó el ataque durante un cierto tiempo o para un máximo número de paquetes).

Cambio del entorno: otra respuesta activa puede ser la de parar el ataque; por ejemplo, en el caso de una conexión TCP se puede cerrar la sesión establecida inyectando segmentos TCP RST al atacante y a la víctima o filtrar en el router de acceso o en el firewall la dirección IP del intruso o el puerto atacado para evitar futuros ataques.

COMPARACION DE LOS 5 SISTEMAS DE DETENCION DE INTRUSOS, ANÁLISIS BASADO EN SUS VENTAJAS Y DESVENTAJAS

Dragon - Enterasys Networks

El IDS de Enterasys Networks, Dragon [7], toma información sobre actividades sospechosas de un sensor denominado Dragon Sensor y de un módulo llamado Dragon Squire que se encarga de monitorizar los logs de los firewalls y otros sistemas. Esta información es enviada a un producto denominado Dragon Server para posteriores análisis y correlaciones. Cada componente tiene ventajas que compensan con debilidades de otro, por ejemplo, el sensor Dragon Sensor es incapaz de interpretar tráfico codificado de una sesión web SSL, pero el producto Dragon Squire es capaz de recocer los logs del servidor web y pasárselos a la máquina de análisis. Veamos un poco más en detalle cada uno deestos componentes.

Dragon Sensor - Network IDS

El sensor de Dragon monitoriza una red en busca de evidencias de actividades hostiles. Cuando éstas ocurren, envía informes junto con un registro de análisis forense al servidor Dragon, el cual lo analiza y lo almacena durante largo tiempo.

Características del sensor:

  • Detección de actividades sospechosas tanto mediante firmas como mediante técnicas basadas en anomalías.

  • Decodificación robusta a nivel de aplicación: el sensor tiene un conocimiento avanzado de los protocolos a nivel de aplicación, evitando muchos falseos que los atacantes utilizan para burlarlos IDSs, como por ejemplo:



  • En HTTP nos podemos referir al fichero "SECRET.TXT" por "SECRET%2eTXT". Si la

firma solo busca la primera cadena, será incapaz de detectar un acceso a ese fichero si el atacante utiliza caracteres %.

  • Espacio en blanco y borrado de caracteres en Telnet y FTP.

  • Codificación SNMP null-byte.

  • Otros.

  • Incorporación de filtros para disminuir los falsos positivos.

  • Monitorización de redes de alta velocidad (100 Mb/s)

  • Las técnicas para evitar falseos anti-NIDS incluyen técnicas para evitar inserción y evasión,

  • tales como:

  • Ignorar paquetes con un TTL pequeño.

  • Ignorar paquetes mayores que la MTU de la red con el bit DF activado.

  • Otros

  • Honeypots virtuales: el sensor incluye una variedad de características que permiten al administrador del IDS colocar numerosas trampas para escáneres de red y atacantes. Por ejemplo, el sensor tiene la habilidad de etiquetar direcciones IP individuales o bloques CIDR y capturar todo el tráfico dirigido a ellos. Si este rango de IPs no corresponde a ningún host de nuestra red, seguramente serán intentos de ataques y escaneos.

Los sistemas operativos soportados por el sensor son:

  • Linux

  • Solaris (Sparc y x86)

  • HP-UX

  • FreeBSD

  • OpenBSD

El sensor incluye dos tarjetas de red a 100Mb/s y una única interfaz Gigabit Ethemet. Está diseñado para agregar tráfico desde múltiples enlaces T3 o E3 o para núcleos Gigabit que requieran de monitorización IDS. Provee más de 1300 firmas. Estas firmas pueden ser elaboradas por el usuario final, aunque debido a la flexibilidad y potencia de su sintaxis la labor es complicada y requiere de cursos de entrenamiento.

Dragon Squire

Dragon Squire se encarga de monitorizar los logs de sistemas de producción y firewalls, en busca de evidencias de actividad maliciosa o sospechosa. Está basado en firmas al igual que Dragon Sensor, y a diferencia de otros IDSs basados en host, puede monitorizar los logs de la aplicaciones que corren en el host, tales como servidores web, mail o FTP.

Servidor Dragon - Consolas de análisis

Muchos de los IDS comerciales están muy limitados en cuanto a los análisis que pueden realizarsobre los datos que capturan. Muchas veces se incorpora una tercera herramienta que ofrece información básica sumarizada y poco más.

El servidor Dragon intenta ofrecer herramientas más similares a la forma en la que los analistas de IDSs hacen su trabajo. Incluye tres aplicaciones web para análisis que soportan análisis de eventos en tiempo real, correlación de tendencias e inspección detallada de cada evento y su información asociada.

Normalmente, los administradores de los IDSs no se sientan delante de sus monitores en espera de alarmas, sino que configuran sus IDSs para enviar alertas al centro de operaciones de red. Si se detecta una alerta, un administrador puede usar varios interfaces web distintos para analizar tales eventos. También se incluye una interfaz de línea de comandos, puesto que muchos administradores encuentran este tipo de interfaces más eficiente. Dragon incluye un completo conjunto de herramientas de línea de comandos para facilitar el análisis de eventos sin el uso de un explorador.

  1. Consola de análisis forense.

La consola de análisis forense es un conjunto de aplicaciones que procesan datos de eventos usando herramientas de línea de comandos y nos permiten ver a bajo nivel información sobre los paquetes que hicieron saltar las alarmas. También es posible la visualización mediante un interfaz gráfico basado en web, que nos permite almacenar eventos y ordenarlos en base a parámetros relevantes.

  1. Consola en tiempo real

Proporciona una aplicación de alta velocidad para analizar varios millones de eventos con la misma funcionalidad que nos proporciona una página web (ver figura 1.10). Se basa en el programa "rts" o "real-time shell", que lee nuevos eventos de los sensores y los almacena en un buffer circular. Almacenar un millón de eventos en el anillo solo toma unos 24MB de memoria, por lo que dedicar un servidor para correr solo la consola en tiempo real puede proporcionar una capacidad de varios millones de eventos en memoria.

La aplicación web que envuelve al binario "rts" proporciona una funcionalidad muy similar a la consola de análisis forense, pero, adicionalmente, muestra gráficas de las estadísticas en el tráfico. Casi todas las herramientas en la consola de tiempo real incluyen una opción en vivo que permite el refresco automático cada 1,5 o 15 minutos.

Consola de correlaciones

La consola de correlaciones de Dragon (ver figura 1.11) se utiliza para responder consultas correladas. Para ello se utilizan bases de datos SQL, entre ellas MySQL, Oracle, Sybase o MSSQL.

SNORT.

Es un IDS en tiempo real desarrollado por Martin Roesch y disponible bajo GPL. Se puede ejecutar en máquinas UNIX y Windows. Es el número uno en sistemas de detección de intrusos en este momento. Dispone actualmente de unas 1.600 reglas y de multitud de aplicaciones para el análisis de sus alertas.

En un principio fue diseñado para cumplir los requerimientos de un IDS ligero para uso como prototipo. Era pequeño y flexible, pero poco a poco ha ido creciendo e incorporando funcionalidades que solo estaban presentes en los IDSs comerciales, aunque actualmente sigue estando por detrás de muchos de estos sistemas.
En Snort no es posible separar el componente de análisis y los sensores en máquinas distintas. Sí que es posible ejecutar Snort atendiendo a varios interfaces a la vez (cada uno podría estar monitorizando lugares distintos dentro de una red), puesto que se basa en lalibrería pcap1, pero esto no permite ningún reparto de carga en el proceso de análisis. Es más, ni aun disponiendo de una máquina multiprocesador es posible (actualmente) hacer balanceo de carga por CPU. Esto es así porque la opción de compilación multihilo de Snort está todavía en fase de pruebas y no es muy estable, lo que obliga a ejecutar Snort como un proceso monolítico. Esto será posible a partir de la versión 2.0.
La arquitectura de Snort se enfocó par ser eficiente, simple y flexible e. Snort está formado por tres subsistemas: el decodificador de paquetes, la máquina de detección y el subsistema de alerta y logs. Estos subsistemas, como ya hemos mencionado antes, corren por encima de la librería libpcap, la cual es portable y proporciona mecanismos de filtrado y captura de paquetes.
Decodificador de paquetes
Soporta gran variedad de protocolos de capa de enlace bajo TCP/IP, tales como Ethernet, SLIP, PPP y ATM. Es el encargado de organizar los paquetes conforme van pasando por la pila de protocolos. Cada subrutina del decodificador ordena de una forma distinta los paquetes, formando una estructura de datos basada en punteros por encima del tráfico real capturado. Esta estructura de datos será la que guíe al motor de análisis para el posterior análisis.
Motor de detección
Snort mantiene sus reglas de detección en una lista enlazada bidimensional. La lista base se

denomina ’Chain Header’ y la que deriva de ésta se llama ’Chain Option’.Cuando llega un paquete al motor de detección, éste busca en la lista ’Chain Header’ de izquierda a derecha la primera coincidencia. Después, buscará por la lista ’Chain Option’ si el paquete cumple las opciones especificadas. Si aparece alguna coincidencia no seguirá buscando y se tomarán las acciones correspondientes. En caso contrario, buscará en el siguiente nodo de ’Chain Header’.
El motor de búsqueda tiene capacidad para la inserción de módulos plug-in, que pueden

utilizarse para dos cosas:
Permiten hacer búsquedas más complicadas en los paquetes o flujos TCP cuando la sintaxis de las reglas no lo permite. A estos módulos se les llama preprocesadores, y los más utilizados son el detector de escaneos de puertos, el desfragmentador, el reconstructor de flujo TCP y el Spade, un motor de detección de anomalías aun en fase muy primitiva.
Permite definir modos de alerta y log no nativos a Snort, como bases de datos (MySQL, Oracle, PostgreSQL, MS-SQL), SNMP traps, CSV o salida en formato XML, por ejemplo.
Subsistema de alerta y log
Actualmente hay tres sistemas de log y cuatro de alerta. Las opciones de log pueden ser activadas para almacenar paquetes en forma decodificada y entendible por humanos o en formato tcpdump. El formato decodificado se usa para un análisis rápido y el tcpdump es mucho más rápido de almacenar y proporciona un mayor rendimiento. Las alertas se pueden realizar por syslog, en ficheros texto mediante dos formatos distintos (rápido y completo) y NETBIOS para avisar a máquinas Microsoft Windows. Avisan del tipo de ataque detectado y ofrece información adicional como IP origen y destino, fecha y hora de la detección y campo de datos.
Snort dispone de un mecanismo que optimiza considerablemente su rendimiento. Puesto que normalmente se quiere un sistema de backend potente como una base de datos SQL para hacer correlaciones de los ataques, las escrituras de los logs suelen ser muy costosas. Al ser Snort un proceso monolítico, mientras que se encuentra escribiendo en la base de datos es incapaz de hacer otras cosas, como procesar el tráfico de entrada. Existe una herramienta llamada Barnyard que consigue la división de estas tareas: por una parte tendremos un proceso dedicado a la decodificación y al análisis, y por otra tendremos un proceso que escribe en la base de datos. Lógicamente estos procesos necesitan comunicarse, pero esta comunicación está optimizada para que sea mucho más rápida que la escritura en una base de datos compleja como pueda ser Oracle o MS-SQL.


SHADOW
Fue desarrollado como respuesta a los falsos positivos de un IDS anterior, NID. La idea era construir una interfaz rápida que funcionara bien en una DMZ caliente (una DMZ que sufre mucho ataques). La interfaz permitiría al analista evaluar gran cantidad de información de red y decidir de qué eventos informar.
No es en tiempo real. Los diseñadores de Shadow sabían que no iban a estar disponibles para vigilar el sistema de detección de intrusos 7 días a las semana, 24 horas al día. Shadow almacena el

tráfico de red en una base de datos y se ejecuta por la noche. Los resultados esperan a que el analista

llegue a la mañana siguiente. Al no ser en tiempo real, es inviable que Shadow analice él contenido de los paquetes, por lo qué tan solo se centra en las cabeceras. Esto le hace inútil para análisis forense.
Internet Security Systems - RealSecure RealSecure

Network Sensor
RealSecure R
Proporciona detección, prevención y respuestas a ataques y abusos originados en cualquier punto de la red. Entre las respuestas automáticas a actividades no autorizadas se incluyen el almacenar los eventos en una base de datos, bloquear una conexión, enviar un mail, suspender o deshabilitar una cuenta en un host o crear una alerta definida por el usuario.
El sensor de red rápidamente se ajusta a diferentes necesidades de red, incluyendo alertas especí-

ficas por usuario, sintonización de firmas de ataques y creación de firmas definidas por el usuario. Las firmas son actualizables automáticamente mediante la aplicación X-Press Update. El sensor de red puede ser actualizado de una versión a otra posterior sin problema, asegurando así la última versión del producto.

Todos los sensores son centralmente gestionados por la consola RealSecure R SiteProtector.
RealSceure Sentry proporciona detección de intrusiones en tiempo real. Tiene mecanismos de respuesta a comportamientos sospechosos en un segmento de red. Los drivers de captura de paquetes a alta velocidad funcionan sin causar el más mínimo impacto en la red. Están disponibles en full duplex,multipuerto y Gigabit.
RealSecure Es un filtro que protege segmentos de red, incluyendo sistemas de producción críticos o conexiones. El tráfico que atraviesa el sistema Guard, es analizado entiempo real en búsqueda de evidencia de ataques o abusos. Si se detecta un comportamiento anormal, Guard bloquea el ataque e impide que pase a través del otro interfaz.

NETRANGER - CISCO SYSTEMS

El sistema de detección de intrusos de Cisco, conocido formalmente por Cisco NetRanger [5], es

una solución para detectar, prevenir y reaccionar contra actividades no autorizadas a través de la red.
Productos



Cisco IDS Host Sensor v2.0 es capaz de identificar ataques y prevenir accesos a recursos críticos del servidor antes de que ocurra cualquier transacción no autorizada. Esto lo hace integrando sus capacidades de respuesta con el resto de sus equipos, como veremos más adelante.
La versión más reciente actualmente del sensor de cisco es la v3.0, que incluye un mecanismo de

actualización automática de firmas, un lenguaje robusto que permite a los clientes escribir sus propias firmas y extensiones al módulo de respuestas que añaden soporte para la familia de firewalls Cisco PIX y para los conmutadores Cisco Catalyst R.
Cisco Secure IDS incluye dos componentes: Sensor y Director. Las "herramientas" de red de alta velocidad Cisco Secure IDS Sensors analizan el contenido y el contexto de los paquetes individuales

para determinar si se autoriza su tráfico. Si se detecta una intrusión, como por ejemplo un ataque de

pruebas SATA (System Administrators Tool for Analyzing Networks), un barrido de pings o si una

persona que tiene acceso a información confidencial envía un documento que contiene una palabra código de propiedad, los sensores de Cisco Secure IDS pueden detectar el uso incorrecto en tiempo real, enviar alarmas a una consola de gestión de Cisco Secure IDS Director para la representación geográfica y sacar al agresor de la red.

.

Dado que el sistema Cisco Secure IDS incorpora funciones de respuesta pro-activas en Sensor, mediante la modificación de las listas de control de acceso (ACL) de los routers Cisco los usuarios

pueden configurar el sistema para rechazar o eliminar automáticamente ciertas conexiones. Esta característica puede ser temporal o, si se desea, se puede mantener indefinidamente. El resto del tráfico

de la red funcionará normalmente: sólo se eliminará de forma rápida y eficaz el tráfico no autorizado

de los usuarios internos o de los intrusos externos. Así se consigue que los operadores de seguridad tengan un poder de actuación sobre toda la red para detener rápidamente la utilización inadecuada de recursos o el acceso de intrusos a la red.
Cisco Secure IDS Sensors



El sensor de Cisco se presenta en tres formatos distintos dependiendo de las necesidades de la organización:

  • Modulo IDS Catalyst 6000: diseñado para integrar la funcionalidad IDS directamente dentro del conmutador permitiendo al usuario monitorizar tráfico directamente del backplane del conmutador en lugar de utilizar módulos software.

Rendimiento:

  • Monitoriza 100 Mbps de tráfico.

  • Aproximadamente 47.000 paquetes por segundo.


815411.jpg


  • IDS-4250: Soporta hasta 500 Mb/s sin paralelizar y puede ser utilizado para monitorizar tráfico en una red Gigabit y para tráfico atravesando conmutadores usados para agregar tráfico entre numerosas subredes.

cisco-security-ids-4250-xl-sensor.jpg



  • IDS-4235: Este sensor está optimizado para monitorizar 200 Mb/s de tráfico y es especialmente adecuado para monitorizar tráfico en puertos SPAN (Switched Port Analyzer) y segmentos FastEthernet. También es adecuado para monitorizar múltiples entornos T3.

  • IDS-4210: Está optimizado para monitorizar entornos de 45 Mb/s aunque también es adecuado para múltiples T1/El, T3 y entornos Ethernet.

Gestores de seguridad y monitorización:

Para la gestión de las alertas y de los dispositivos de seguridad, Cisco dispone de los siguientes sistemas:

  • Cisco Secure Policy Manager: CSPM es el sistema de gestión y monitorización más moderno de Cisco. Es un software basado en Windows que facilita la gestión y configuración de componentes de seguridad, entre otros sus IDSs. El componente IDS de CSPM proporciona la capacidad de gestionar y configurar remotamente dispositivos de forma robusta basándose en una política de seguridad y provee un mecanismo de monitorización y gestión de alertas en tiempo real.

  • Cisco IDS Unix Director: El Director es una aplicación software basada en UNIX que se ejecuta en entornos HP-OpenView. Esta solución proporciona capacidad de configuración de dispositivos IDS y monitorización de eventos. Es un sistema más antiguo y carece de muchas innovaciones que tiene CSPM.


BIBLIOGRAFIA

  1. Cisco Systems, Inc.: “Cisco - Cisco Intrusion Detection”, Http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/, 2002.

  2. Internet Security Systems, Inc.: “RealSecure Network Protection”, http://www.iss.net/products_services/enterprise_protection/rsnetwork/index.php,

2002.

  1. Enterasys Networks, Inc.: “Intrusion Detection Solutions”, http://www.enterasys.com/ids/, 2002.


similar:

Selección de ids a partir de las necesidades iconIan gough. "Las necesidades del capital y las necesidades de las...

Selección de ids a partir de las necesidades iconJerarquía de necesidades de Maslow
«autorrealización», «motivación de crecimiento», o «necesidad de ser» (being needs o b-needs). «La diferencia estriba en que mientras...

Selección de ids a partir de las necesidades iconJerarquía de necesidades de Maslow
«autorrealización», «motivación de crecimiento», o «necesidad de ser» (being needs o b-needs). «La diferencia estriba en que mientras...

Selección de ids a partir de las necesidades iconSelección natural
«costo» de la selección natural,2, ySewall Wright, quién elucidó sobre la selección y la adaptación,3

Selección de ids a partir de las necesidades iconSe trata de un proyecto pionero que recoge una amplia variedad de...

Selección de ids a partir de las necesidades iconLas mismas se establecen a partir de las relaciones que existen entre...

Selección de ids a partir de las necesidades iconEn la actualidad se pueden enumerar una lista muy basta de necesidades...

Selección de ids a partir de las necesidades iconLa salud y las necesidades básicas

Selección de ids a partir de las necesidades iconE maslow, humanismo y la perspectiva de las necesidades

Selección de ids a partir de las necesidades iconYa que cumplir y satisfacer las necesidades y expectativas de los...




Todos los derechos reservados. Copyright © 2019
contactos
b.se-todo.com