Deteccin versus Detencin

Marcelo Ruz S

Temas
Preparar

un ataque Ejemplo de ataques

DoS, robo de informacin

Definicin

y caracteristicas de IDS Definicin y caracteristicas de IPS

Preparar un ataque
Como

preparacin de un ataque se debe obtener informacin:

Forma Activa Forma Pasiva

En contacto directo con Sin contacto directo con objetivo objetivo Escaneo de Puertos Identificacin de S.O. Identificacin de objetivo. Fsicamente.

Nmap, Hping3, Nslookup Whois, Google Hacking. Fotografas Satelitales, Metadatos

Ataques Denial of Service

Ataque de toma de privilegios y robo de informacin

Donde opera una IPS/IDS en una red

 Que es un IDS ?
IDS

significa Sistema de Deteccin de Intrusos Es un Software o un dispositivo Da avisos en caso de anomalas. Monitorea la red en busca de:
Malwares Ataques de red por puertos vulnerables Ataques a host como ej. Escalamiento de

privilegios (exploits)

Tipo de IDS
NIDS

(Network Intrusion Detection System).

Denial of Services, Port Scans Intentos a entrar a la red de seguridad de

monitoreo. Busca patrones conocidos de ataques. (script kiddies) Anomalas del trafico tanto saliente como entrantes.

Tipos de IDS
HIDS

(Host-based Intrusion Detection System)

Monitorea y analiza el comportamiento

interno del host, a diferencia de NIDS Analiza las aplicaciones

Informacin en RAM Informacin en Archivos de sistema Archivos LOG Y comprueba que todo aparezca como se

esperaba.

Objetivos de Intrusion Detection System

Detectar

anomalas en una red Detectar mal usos de usuarios en los equipos y red. Dar aviso al administrador en caso de ocurrir anomalas o usos no autorizados.

 Que es un IPS ?
IPS

significa Sistema de Prevencin de Intrusos. Es un dispositivo Monitorea y examina la red Utiliza polticas de seguridad en caso de anomalas o malos usos.

IPS - Principales mtodos de deteccin

Basadas en Firmas (comparando cadenas de bytes con cadenas de ataques conocidos) parecido a un Antivirus. Basadas en Polticas de Seguridad , creadas por el administrador. Basada en Anomalas
Deteccin Estadstica (anlisis casi en tiempo

real) Deteccin No Estadstica (anlisis buscando patrn anmalo)

Caractersticas IPS
Avisa

en caso de anomalas o malos

usos. Pueden establecerse polticas de seguridad. Puede omitir paquetes maliciosos. Resetea o simplemente bloquea al atacante.

Comparacin
IPS IDS Cada puede generar cada de Su cada puede ser invisible la red. para usuarios. Soporta alto trafico Alertas Falsas Positivas afectan seriamente a las aplicaciones corriendo Hecho para medio trafico Alertas falsas Positivas Trabajo extra para el administrador que persigue falsas alertas. Anomalas no detectadas pueden suponer no detectar ataques.

Falsos Negativos, se deben prevenir al mximo estos resultados.

Lo mejor, trabajar en conjunto

Cisco Catalyst 6500 Switch c/ Modulo IDS

Cisco IPS 4200 Series Sensor

Funcionando ambos

Conclusin
El

Uso de IDS en conjunto con IPS pueden crear un ambiente de seguridad mas confiable para una red. Generar una red segura es un arduo trabajo de configuraciones y polticas de seguridad. Es importante que cada administrador de red tenga el conocimiento y maneje estos sistemas de deteccin de intrusos para ofrecer un mejor servicio.

Bibliografa

Libro Ethical Hacking - Ezequiel Sallis Editorial Alfaomega. Netcat Nmap Pingdom.com Cisco: http://www.cisco.com/cisco/web/support/index.html?overlay=security Wikipedia Linux.org.ar About.com Auditmypc.com: http://www.auditmypc.com/intrusion-detection-software.asp Networkworld.com: http://www.networkworld.com/news/2007/102607-arguments-ids-ips.html