Zusammenfassung der Ressource
Sistema de Detección de Intrusos (IDS)
- Herramienta encargada de monitorizar los eventos
que ocurren en un sistema informático en
busca de intentos de intrusión
- Encontramos diferentes arquitecturas
- CIDF
- Tipos de equipos
- Equipo E - Generadores de eventos
(sensores)
- Equipo A - Reciben informes y Realizan análisis
(dan una ruta)
- Equipo D - Componentes de bases de datos
(Puede realizar análisis basado en antecedentes)
- Equipo R - Equipos de respuesta (Toma los
resultados de los equipos E, A y D y responde a
eventos)
- CISL (Common Intrusion Specification Language)
- Aparece de la necesidad de unir los 4
tipos de equipos de la arquitectura CIDF
- Debe ser capaz de transmitir
- Información de eventos en
bruto. Auditoría de registros y
tráfico de red. Sería el encargado
de unir equipos E con equipos A
- Resultados de los análisis.
Descripciones de las anomalías del
sistema y de los ataques
detectados. Uniría equipos A con D.
- Prescripciones de respuestas. Detener
determinadas actividades o modificar parámetros
de seguridad de componentes. Encargado de la
unión entre equipos A y R. CISL es un lenguaje
bastante complicado de sintaxis parecida a LISP
que no llegó a cuajar en la comunidad de
seguridad.
- IDWG
- Tiene como objetivo el de definir formatos y
procedimientos de intercambio de información
entre los diversos subsistemas del IDS
- Permite generar documentos que describan
los requerimientos funcionales de alto nivel
para la comunicación entre sistemas de
detección de intrusos y entre los sistemas de
detección de intrusos y sus sistemas de
gestión.
- Maneja un lenguaje común de
especificación que describa el formato
de los datos
- Permite manejar un marco de trabajo que
identifique los mejores protocolos que se pueden
usar para la comunicación entre los IDSs y que
defina como se mapean en éstos lo formatos de
datos.
- Clasificación
- Basados en red (NIDS)
- Detectan ataques capturando y
analizando paquetes de la red
- Constan de múltiples sensores.
- Puede monitorizar una red grande si cuenta con la capacidad.
Tienen un impacto pequeño en la red haciéndolos casi invisibles.
Sin embargo puede tener problemas al procesar paquetes en
redes grandes, no analizan información cifrada, no sabe si el
ataque tuvo éxito o no,, tiene problemas al analizar paquetes que
viajan fragmentados y que su implementación de la pila de
protocolos puede diferir de la pila de la red.
- Basados en Host (HIDS)
- Operan sobre la información recogida
en la computadora, lo que los hace
muy precisos.
- Monitorean eventos locales, detectan ataques que no se
perciben por un NIDS y pueden analizar tráfico cifrado.
Sin embargo son mas costosos de administrar ya que se
deben integrar al host que protegen, además de que
pueden proteger un sólo equipo , puede ser deshabilitado
por ataques de DoS y usan recursos del sistema.
- Tipo de análisis
- Detección de abusos o firmas
- Analizan la actividad del sistema buscando eventos que
coincidad con un patrón definido o ataque conocido.
- Son muy efectivos sin generar falsos positivos, caracterizan
fácilmente el ataque, permite a los administradores seguir la
pista de los problemas. Sin embargo sólo detectan ataques
conocidos por lo que deben actualizarse constantemente y una
pequeña variación en el ataque hace que no lo detecte.
- Detección de anomalias
- Identifica comportamientos inusuales en el Host o en la red,
Crean perfiles basados en el comportamiento histórico de los
usuarios y sobre esos, detectan anomalías. Estas se pueden
representar por estadísticas o técnicas como redes neuronales,
algoritmos genéticos, y modelos de sistema inmune.
- Tienen la ventaja de que pueden detectar ataques que no
conocen y permiten recopilar información fácilmente
reutilizable. Sin embargo produce falsos positivos por la
variación en los comportamientos de los usuarios y requiere
gran entrenamiento para generar patrones.
- Respuestas
- Respuesta Activa
- Basado en los resultados toma acciones por
si mismo.
- Respuesta Pasiva
- Genera notificaciones para que el personal
encargado tome las medidas pertinentes.
- Podemos encontrar herramientas
complementarias que permiten verificar la
integridad de los archivos, servicios y registros
- Ubicación del IDS
- Zona Roja
- Zona de alto riego, por lo que no puede ser tan
sensible ya que puede generar muchos falsos
positivos.
- Zona Verde
- Debe ser configurado el IDS para ser mas sensible
ya que el firewall filtra algunos contenidos
- Zona Azul
- Esta es una zona de confianza
- Características
- -Debe funcionar sin supervisión pero debe
poderse examinar, debe tolerar fallos,
debe resistir perturbaciones, debe generar
mínima carga al sistema, debe detectar
cambios en el comportamiento normal del
sistema, debe adaptarse fácilmente al
sistema y debe ser difícil de engañar.
- Fortalezas
- Suministra información del tráfico en la red,
reacciona para prevenir daño, brinda seguridad
en la red, permite identificar la procedencia de
ataques, recoge evidencias de los intrusos, es
una cámara de seguridad, alarma y disuasor de
intrusos, alerta al personal de seguridad, protege
contra invasión, brinda tranquilidad, es parte de
la estrategia global, y permite detectar
intrusiones desconocidas e imprevistas.
- Debilidades
- No hay parche para los bugs de
seguridad, produce falsos positivos,
produce fallos en las alarmas y no puede
sustituir un Firewall.
- Inconvenientes
- Alta tasa de falsas alarmas y
comportamiento variable con el tiempo
haciendo necesario reentrenar los perfiles.