9 IDS Sistemas Detección Intrusos

Mdulo 9 Sistemas Deteccin Intrusos
Diplomado Seguridad Informtica
Deteccin/Prevencin de Intrusos
Adolfo Grego, M.S, CISSP, NSA-IAM, OSWP
Director de Tecnologa
Grupo RF
Profesor de Ctedra
ITESM-CEM
@adolfogrego
Un gramo de
prevencin equivale a
un kilo de deteccin
2
Por qu Hablar de IDS?

Tecnologa emergente.
Muy interesante y prometedora.
Pero
Sobre explotada por los mercadlogos.
Mantenerse informado es la mejor arma que

puede tener el analista de seguridad.
Y sirve para mantener a los proveedores de
tecnologa honestos!
3
Qu es una intrusin?
Difcil de definir.
No hay un consenso.
Esto es un gran problema:
Que tal si alguien efecta un telnet al sistema de usted
Y trata de entrar al sistema como root ?
Que ocurre con un escaneo de pings ?

O un escaneo de algn producto comercial (ISS, Axent) ?
O que tal si alguien prueba phf en su webserver ?
Y que pasa s phf funciona
Y el atacante se puede cargar al sistema.
4
Qu es un IDS ?
El sistema ideal de deteccin de intrusos
notificar al administrador de sistema/red la
existencia de un ataque en proceso:
Con 100% de exactitud.
Inmediatamente (t<1min).
Con un diagnstico completo del ataque.
Con recomendaciones de como bloquear el
ataque.
Lstima que no existe!

5
Objetivos: Exactitud
100% de exactitud y 0% de falsos positivos.
Un falso positivo ocurre cuando el sistema genera
una falsa alarma.
O lo que es lo mismo el
sndrome de Juanito y el Lobo
Generar un 0% de
falsos positivos es trivial:
No detectar nada.
Generar un 0% de falsos
negativos es un objetivo adicional:
No permitir que ningn ataque pase desapercibido.
6
Objetivos: Notificacin Oportuna

Para ser exacto en el diagnstico, el IDS puede
tener necesidad de sentarse sobre la
informacin hasta que todos los
detalles lleguen.
Implicaciones directas acerca
de la definicin de un IDS
de tiempo real.
El IDS debe informar al usuario
acerca de la demora.
7
Objetivos: Notificacin Oportuna

El canal de notificacin debe estar protegido.
El atacante puede bloquear/inutilizar el
mecanismo de notificacin.
Un IDS que usa e-mail
como canal de notificacin
va a tener problemas al
informar que el servidor
de correo esta siendo atacado.
Objetivos: Diagnstico
Idealmente el IDS categorizar / identificar el
ataque:
Demasiado detalle para el administrador de red, al
tener que conocer ntimamente los ataques.
Difcil de implementar:
Especialmente cuando las cosas
se ven raras y no concuerdan
con ataques conocidos.
Objetivos: Recomendaciones
El IDS perfecto no solo identificar un ataque,
tambin:
Evala la vulnerabilidad del blanco.
Si el blanco es vulnerable informar al
administrador.
Si la vulnerabilidad tiene un parche conocido,
indicar al administrador como aplicarlo.
Esto requiere cantidades tremendas de

conocimiento incorporado al sistema.
10
IDS: a Favor
Un IDS razonablemente efectivo puede
identificar:
Ataques internos.
Ataques externos.
Permite al administrador medir la cantidad de

ataques que est sufriendo la infraestructura.
Puede funcionar como respaldo de seguridad
perimetral en caso de falla de otros sistemas
(firewall, filtros).
11
IDS: en Contra
No tienen como caracterstica principal
prevenir o bloquear ataques.
No son un reemplazo de firewalls, routers, etc.
Si el IDS detecta problemas en la red interna,

que debe hacer el administrador ?
Por definicin, ya es demasiado tarde.
12
Paradigmas para el Uso del IDS
Deteccin de ataques.
Deteccin de intrusiones.
13
Deteccin de Ataques
DMZ
Router
Server
Server
Workstation
IDS
Firewall
El IDS detecta y cuenta los

ataques contra la DMZ y el
firewall.
Laptop
14
Deteccin de Ataques
Ubicar el IDS fuera del permetro de seguridad
permite grabar registros al nivel de ataque.
Se supone que si el permetro est bien diseado
los ataques no deben de afectarlo.
Informacin til a nivel directivo.
Nos han intentado atacar 3,789,231 veces.
Prediccin: la deteccin de ataques generar

demasiado ruido y ser ignorada rpidamente.
15
Deteccin de Intrusos
DMZ
Router
Server
Workstation
Server
Firewall
El IDS detecta actividades

ilegales dentro del permetro
protegido, ya sea de entrada o
salida.
Laptop
IDS
16
Deteccin de Intrusos
Colocar el IDS dentro del permetro, detectar
instancias claras de comportamiento
incorrecto.
Backdoors.
Ataques provenientes del Staff.
Ataques que cruzan por el firewall.
Cuando el IDS dispara una alarma, esta es de

mxima prioridad.
17
Deteccin de Ataques vs. Intrusos

Idealmente efectuar las dos.
Siendo realista, primero efectuar deteccin de
intrusos y despus deteccin de ataques.
O liberar primero la deteccin de ataque para
justificar la decisin ante la directiva, despus
liberar la deteccin de intrusos.
La pregunta importante tiene que ver con los

costos de staff para reaccionar ante alarmas
generadas por el sistema de deteccin de
ataques.
18
Paradigmas de Correlacin
de Datos
IDES
Auditora
Inline
Hbrido
19
IDES
Basado en trabajo de Dorothy Denning (1986).
Define el IDS en trminos de:
Sujetos: Iniciadores de actividad.
Objetos: Blancos de actividad.
Perfiles: Caracterizacin de como los sujetos operan los objetos (ya
sea de forma estadstica o por reconocimiento de patrones).
Registros de Auditora.
Registros de Anomalas.
Alarmas.
IE DIDS, Stalker, Emerald
20
Diagrama de Bloques de un IDS Genrico

Pre-procesamiento
Host
o
Sniffer
Administrador de
Respuestas
Analisis Estadistico
Reconocimiento de
Patrones
Administrador de Alertas
Persistencia
GUI
Base de
Conocimientos
Auditora
Post procesamiento de la informacin de
auditora.
Primero se genera la informacin de auditora, despus se
procesa.
Procesamiento batch.
Problema: De dnde tomar los datos.
Kernel y
Aplicaciones
DB de
Auditoria
Correlacion
efectuada por el IDS
Generacion de
Alertas
22
Auditora
El problema es determinar cul es el mejor
punto de auditora (medicin).
El libro naranja (Orange Book) del DOD incluye
23 puntos de recoleccin de datos, dentro del
Kernel de UNIX y aplicaciones.
Open, R/W
Creacin de IPC
Bad Login
Process Fork
Etc
23
Eventos de Red Auditables
Login en horas atpicas.

Reboots inexplicables.
Cambios de tiempo inexplicables.
Errores inusuales.
Intentos fallidos de login.
Login desde ubicaciones no cotidianas.
24
Inline
Inline IDS procesa datos de auditora
conforme estos se van generando.
Descarta datos de auditora que no son
considerados relevantes.
La cantidad de correlacin tiene a ser limitada.
Reporte de
Alertas
Kernel
y Aplicaciones
Correlacion
Efectuada por el IDS
Base de Datos
Incidentes
25
Auditora vs. Inline

Inline es mas rpido, pero solo provee de una vista
local, a menos que una gran cantidad de datos sea
enviada a tiempo real hacia una localidad central.
El esquema de auditora profundiza ms, pero
requiere mantener grandes cantidades de datos.
Los sistemas hbridos explotan ambos esquemas:
deteccin inline de eventos significativos que se
envan a una estacin de auditora.
26
Paradigmas de IDS
Segn la Fuente de Datos
Los datos provienen del Host.
Los datos provienen de la Red.
27
IDS Basado en el Host

Se obtienen los datos desde puntos ubicados
dentro del sistema operativo.
Bitcoras de auditora C2.
Bitcoras de sistema.
Bitcoras de aplicacin.
Los datos se recolectan de manera muy

compacta.
Pero es dependiente del SO y de las aplicaciones.
28
IDS Basado en el Host:

Argumentos a Favor
La calidad de la informacin es muy alta.
El software puede parametrizar que informacin
requiere obtener para anlisis.
Las bitcoras del Kernel saben quien es el
usuario que esta utilizando la sesin.
La densidad de la informacin es muy alta.

Con frecuencia las bitcoras contienen
informacin pre-procesada.
29

Argumentos en Contra
La captura es normalmente especfica del
sistema.
Usualmente 1,2 o 3 plataformas son soportadas
(puedes detectar intrusos siempre que sea sobre
Solaris o NT).
El desempeo es un punto de incertidumbre.

Para bajar la demanda de procesamiento, los logs
se envan a algn sistema externo.
30

Los hosts son normalmente el blanco de los
ataques.
En caso haber sido comprometidos por un
atacante, las bitcoras pudieron ser
contaminadas.
Los datos enviados al IDS pueden haber sufrido
alguna corrupcin.
Si el IDS corre sobre el host, pudo haber sido
contaminado.
31
IDS Basado en la Red

Recolecta datos ya sea de la red o de un
hub/switch.
Reensambla paquetes.
Examina encabezados.
Intenta inferir que es lo que est ocurriendo a

partir del contenido del trfico de la red.
Identidades inferidas a partir de las acciones.
32

Argumentos a Favor
No tiene impacto en el desempeo.
Ms resistente a ataques externos.
No tiene impacto de administracin sobre
plataformas.
Trabajo sin importar los SOs presentes.
Puede derivar informacin que las bitcoras
del host no contienen.
Fragmentacin, scanning, etc.
33

Puede perder paquetes en redes saturadas.
Puede fallar en el reensamble de paquetes.
Puede no entender protocolos especficos de los SOs
(i.e. SMB, appletalk, etc.)
Puede no entender protocolos obsoletos de red (i.e.
cualquier cosa que no sea IP).
No maneja datos encriptados.**
Gran problema para aplicaciones de e-commerce,
transaccionales, etc.
34
Paradigmas de Operacin
de los IDS
Deteccin de anomalas o el enfoque de IA.
Deteccin de mal uso o el enfoque fcil y
sencillo.
Alarmas Contra Robo o la deteccin basada en
polticas.
Honey Pots o el enfoque psale a lo barrido.
Hbridos
35
Deteccin de Anomalas
Metas:
Analizar la red o sistema e inferir que es normal.
Aplicar medidas estadsticas o heursticas a
eventos subsecuentes, para determinar si estos
concuerdan con el modelo o estadstica de lo que
esnormal.
Si los eventos se encuentran fuera de una ventana
de probabilidad que determine lo que es normal,
se genera una alerta.
Control configurable de falsos positivos.
36
Implementaciones tpicas para deteccin de
anomalas:
Redes neuronales: reconocimiento de patrones
basado en probabilidades.
Anlisis estadstico: modelado del
comportamiento de los usuarios y bsqueda de
desviaciones de la norma.
Anlisis de cambio de estados: modelado del
estado del sistema y bsqueda de desviaciones de
la norma.
37
Argumentos a Favor
Si funciona, puede detectar cualquier ataque posible.
Si funciona, puede detectar ataques que no sean
conocidos.
O variantes muy cercanas de ataques comunes.
Lo mejor de todo, evita tener que mantenerse al da

en tcnicas de ataque.
La mayor parte de R&D de IDS es en esta tendencia.
38
Las implementaciones actuales no funcionan
muy bien.
Demasiados falsos positivos/negativos.
No categorizan ataques de forma adecuada.

Algo se ve anormal
Requiere conocimiento experto para entender que
detono la alarma.
Una red neuronal no puede explicar por que detono.
39
Ejemplos
IDES/NIDES
GrIDS
Emerald
40
Deteccin de Mal Uso

Metas
Conocer que es lo que constituye un ataque.
Detectarlo.
41
Deteccin de Mal Uso

Implementaciones tpicas de mal uso:
Network Grep: bsqueda de strings en conexiones
de red que puedan indicar que esta ocurriendo un
ataque.
Reconocimiento de patrones: Codificar series de
estados que son intercambiados durante el
transcurso de un ataque.
E.g. el cambio de dueo de /etc/passwd
Open /etc/passwd para W
Su forma de operar es muy similar a los antivirus.

42
Deteccin de Mal Uso

Argumentos a Favor
Fcil de implementar.
Fcil de liberar.
Fcil de actualizar.
Fcil de entender.
Pocos falsos positivos.
Rpido.
43
Deteccin de Mal Uso

No puede detectar algo que sea desconocido.
Necesidad constante de actualizacin.
Mas fcil de engaar.
44
Deteccin de Mal Uso

Ejemplos
ISS Real Secure

CISCO Netranger
NAI CyberCop
NFR Network Flight Recorder.
45
Alarmas Contra Robo

Es un sistema de deteccin de mal uso que
tiene un blanco muy especfico.
Puede no interesarme alguien que escanea mi
firewall desde el exterior.
Puede no interesarme alguien que escanee mi
mainframe desde el interior.
La configuracin hace que se detecte el mal uso a
partir de las polticas del site.
46
Alarmas Contra Robo

Metas:
Basadas en polticas, alertan al administrador
sobre violaciones a estas.
Detectan eventos que no necesariamente son
violaciones de seguridad, pero si de polticas.
Nuevos ruteadores.
Nuevas subredes.
Nuevos servidores.
47
Alarmas Contra Robo

Alarmas Contra Robo triviales se puede
construir con TCPdump y PERL.
La ubicacin ideal de una alarma de robo es
en un punto donde se detonar cuando el
atacante haya efectuado una accin que
normalmente ejecutara teniendo xito en la
penetracin.
Aadir un userid.
Borrar una bitcora.
48
Alarmas Contra Robo

Muy apreciadas por los gerentes de redes:
Aprovecha el conocimiento interno de la red local.
Aprovecha el conocimiento sobre los trucos de
ataque ms comunes.
49
Alarmas Contra Robo

Argumentos a Favor
Confiable.
Predecible.
Fcil de entender.
Generacin casi nula de falsos positivos.
Puede (a veces) detectar ataques
desconocidos.
50
Alarmas Contra Robo

Dirigidos por polticas.
Requiere conocimiento sobre la red.
Requiere estabilidad dentro de la red.
Requiere cuidado de no ser uno mismo el que

detone las alarmas.
51
Honey Pots
Es un sistema que fue configurado para atraer
al atacante.
ecom.tienda.com.mx
transfers.banco.com.mx
tacacs.isp.net.mx
52
Honey Pots
Metas:
Hacer que se vea atractivo al atacante.
Hacer que se vea dbil y fcil de atacar.
Hacer que sea posible monitorear todo el trfico
que entra y sale del sistema.
Alertar al administrador cada vez que alguien
logra accesar al sistema.
53
Honey Pots
Se pueden construir de forma muy sencilla
utilizando herramientas como:
Tcpwrappers
TCPdump
PERL
Un clsico es para leer es el paper de Bellovin:

An evening with Berferd. Vale la pena leerlo.
54
Honey Pots
Argumentos a Favor
Fcil de entender.
Confiable.
Sin costo en el desempeo.
55
Honey Pots
Asume que el atacante es tonto.
Los atacantes no lo son.
Ms bien un sistema de juego para atacantes

menos sofisticados.
No monitorea todo lo que pasa en la red.
Honey pot en la red segura ?
Honey por en DMZ?
56
IDS Hbridos
La mayor parte de los IDS comerciales son de
este tipo.
Su fortaleza es en la deteccin de anomalas.
Estadstica.
Demasiados falsos positivos.
Los hbridos ideales deben incorporar lgica

de los scaners de vulnerabilidades.
57
Engaando al IDS
La calidad de la informacin disponible al IDS
es directamente proporcional a que tan
cercana a la fuente se efecta su recoleccin.
Difcil.
Modificar SW de app. Para obtener bitcoras.
Problemas de performance, al sacar datos del kernel.
La recoleccin sobre la red es la ms transparente y no
intrusiva en su operacin.
58
Engaando al IDS
Mientras ms lejos de la fuente de datos se
encuentre el IDS, ms vulnerable es a ataques
de spoofing.
Ej:
stty erase w
rxwoxwoxwtkit
stty erase ^?
59
Engaando al IDS
Inundar redes con datos sirve para
enmascarar un ataque contra un IDS.
De cualquier manera, esto es obvio de un ataque.
Pocos sistemas pueden capturar a velocidades
mayores a 1000Mbs.
Aunque obvio, si lo dems falla, el atacante

puede tratar de tirar al IDS.
60
Engaando al IDS
No todos los IDS hacen reensamble completo
de TCP, son vulnerables a la manipulacin del
Stream de datos de TCP.
Estos eventos deben de ser tratados como
eventos interesantes.
Verificar situaciones como que la red este
partiendo paquetes grandes en fragmentos de 40
bytes.
61
Engaando al IDS
En resumen, el diseador de IDS debe
balancear entre los siguientes escenarios:
Almacenar demasiada informacin, siendo muy
intrusivo y lento.
Recolectar rpidamente informacin de segunda
mano y posiblemente ser engaado o perder
algn detalle.
62
IDS y el WWW
Candidatos ideales para proteger websites.
Fallan en presencia de SSL.
Usar IDS basados en el Host para web servers.
Usar IDS basados en red para hacer un perfil de
sweeps y scans.
63
IDS y Firewalls
Eventualmente se fusionaran en una sola
aplicacin.
Los firewalls pueden detonar eventos en presencia
de ciertos patrones de trfico.
Syn Floods.
Scans.
Se puede usar esto para construir alarmas contra robo.
64
IDS y VPNs
Los IDS basados en red tienen problemas en
presencia de VPNs.
Crypto.
Sin embargo, pueden detectar errores de
sincronizacin.
Las VPNs proveen de buenas bitcoras de
operacin a los administradores.
65
IDS y Switches
Tendencia hacia ambientes switcheados.
Es difcil para un IDS basado en red grabar el
trfico de un red switcheada.
Inundar al switch.
Inundar al IDS.
Las soluciones an no estn muy maduras.

Lo mejor es conectar un hub frente a sistemas crticos
para monitorearlos.
66
IDS y Desempeo
No operan bien en redes de alta velocidad.
Muchos tiran paquetes arriba de 30Mb/s.
TCPdump tambin!
La nica forma de verificar esto es un conteo de
paquetes enviados vs. lo que el IDS dice haber
registrado.
Es importante verificar el desempeo de

cualquier IDS antes de liberarlo.
67
IDS
Son una herramienta que hay que saber
utilizar.
No son un silver bullet.
Requieren de mucho soporte por parte de los
administradores.
Requieren de conocimiento profundo del
comportamiento de la red/sistemas.
Es importante hacer una buena evaluacin de
la ubicacin del IDS.
Sigue siendo una tecnologa joven.
68
Bibliografa
Network Intrusion Detection, Northcutt et al,
New Riders.
Intrusion Signatures and Analysis, Northcutt et
al, New Riders.
Internet Security and Firewalls, Cheswick and
Bellovin, Addison Wesley.
TCP/IP Illustrated Vol. 1, Stevens, Addison
Wesley.
69
Algunas Referencias Interesantes
www.tcpdump.org
www.snort.org
www.securityfocus.com
www.esecurityonline.com
www.sans.org
www.cert.org
70
Deteccin/Prevencin de Intrusos
Adolfo Grego, M.S, CISSP, NSA-IAM, OSWP
Director de Tecnologa
Grupo RF
Profesor de Ctedra
ITESM-CEM
@adolfogrego
71

9 IDS Sistemas Detección Intrusos

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

9 IDS Sistemas Detección Intrusos

Caricato da

Copyright:

Formati disponibili

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Por qu Hablar de IDS?

Mantenerse informado es la mejor arma que

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Que ocurre con un escaneo de pings ?

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Lstima que no existe!

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Objetivos: Notificacin Oportuna

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Objetivos: Notificacin Oportuna

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Esto requiere cantidades tremendas de

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Permite al administrador medir la cantidad de

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Si el IDS detecta problemas en la red interna,

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Paradigmas para el Uso del IDS

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

El IDS detecta y cuenta los

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Prediccin: la deteccin de ataques generar

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

El IDS detecta actividades

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Cuando el IDS dispara una alarma, esta es de

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Deteccin de Ataques vs. Intrusos

La pregunta importante tiene que ver con los

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Diagrama de Bloques de un IDS Genrico

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Mdulo 9 Sistemas Deteccin Intrusos

Diplomado Seguridad Informtica

Mdulo 9 Sistemas Deteccin Intrusos