SlideShare uma empresa Scribd logo

Comsi

H
hugo.gonzalez

Presentado en COMSI 2007

1 de 24
Baixar para ler offline
Análisis de Sistemas de  Detección de Intrusos Hilda Rocio Puente Hugo Francisco González Robledo MCIS 2006    
Agenda Antecedentes   Sistemas de detección de intrusos  Tipos de IDS  NIDS  HIDS Problemas   Herramientas  Snort  Más alla, complementos      Conclusiones
Antecedentes En estos tiempos la inseguridad  en la red es algo inminente.  Múltiples peligros ataques profesionales los menos, y automáticos los más.  Existen muchas herramientas de seguridad, nos enfocamos a describir los IDS, su funcionalidad y sus alcances.    
Sistema de Detección de Intrusos   IDS’s Los IDS’s son herramientas de  seguridad que sirven para detectar y avisar de posibles ataques o intrusiones.    
Funciones Proteger la red de las amenazas que  aparecen al incrementar la conectividad Puertos abiertos y actividades  permitidas: DNS, Web, Correo electrónico, IRC, etc. Ataques conocidos contra estos  servicios : Patrones de ataques    
Funcionamiento Gran capacidad de análisis de  datos  Son capaces de registrar intentos de ataques  Pueden activar alarmas en tiempo real  Junto con los Firewalls forman una pieza fundamental en la infraestructura de seguridad de una organización    
Clasificación de IDS’s  IDS de red (NIDs)  IDS de sistemas ( HIDs)    
IDS de red (NIDs) Capturan y analizan el trafico de  la red  Los métodos para el análisis son: detección basado en firmas detección de anomalías Intrusion detection Extrusion detection    
IDS de sistemas ( HIDs) Su funcionamiento se basa en la  información local del equipo  Generalmente basado en logs y modificaciones al sistema. OSSEC     
Problemas de los NIDS Técnicas de evación (como la  fragmentación)  Ataques polimorficos  Ataques de denegación de servicos  Redes de alta velocidad  Falsos positivos  Falsos negativos    
Herramientas libres y comerciales Dragón Enterasys Networks   NetRanger  Internet Security Systems  Snort  Shadow  etc.    
SNORT Es open source   Es el estándar de facto.  Multiplataforma  Flexible  Estable  Escalable    
Snort Modos de trabajo:  -Es un Sniffer -Detecta y alerta los ataques en tiempo real Es un NIDs   Diferentes formas de implementarlo, un solo sensor, múltiples sensores.    
Arquitectura de Snort Decodificador de paquetes   Preprocesadores  (Reglas) Motor de detección   Etapa de salida  logs, BD    
Red Decodificador  de paquetes Prepocesadores Reglas Motor de detección Plug­ins Salida    
Consolas ACID   Analisis Console Intrusion Detection BASE   Basic Analisis and Security Engine Sguil (la mejor según Bejtlich)     
Mas allá de la detección Añadiéndole un modulo al IDS  este cambia a un estado activo que le permite realizar ciertas tareas de prevención y se convierte en un IPS  Como funciona:  detiene el ataque en el momento  puede desviar el ataque a equipos o redes preparados (honeypot, honeynets)    
Funcionamiento Primero se procesa el trafico   Se comparan los patrones en las reglas preconfiguradas (actualizarlas constantemente)  Alertas logueadas  Snort-online: posibilidad de interactuar con las reglas de iptables (IPS)    
Complementos de Snort Oinkmaster = actualización de  reglas de Snort  Blockit = monitoriza los archivos de alerta de Snort y crea reglas para IPTables, IPChains, IPFWADM, o Checkpoint Firewall  Barnyard = sistema de salida para Snort    
Resultados Durante el último año al red el  ITSLP se ha monitoreado con snort de 3 formas.  Fuera del firewall (detección de ataques)  Dentro del firewall (detección de intrusiones de red)  Dentro del firewall con diferente configuración (detección de virus y ataques internos) ACID permite  analizar los    resultados
Ataques en los últimos dias   800(escaneos, ftp brute force, http XSS, DCOM exploit) Intrusiones   80Ataques a aplicaciones, el firewall de estados no los detiene, la aplicación si. (ftp, ssh brute force, http XSS, SQL ) Extrusiones  1 virus o gusano. Laptop externa.    
Conclusiones Los IDS’s no sustituyen a  ninguna de las soluciones de seguridad existentes, sino por el contrario la idea es complementar los elementos actuales y fortalecer la seguridad de cualquier infraestructura.  Futuro  Aplicaciones integradas  IPS/IDS inteligentes      Self Defending Networks
Recomendaciones Definir una política de seguridad  y darla a conocer  Contar con herramientas para minimizar los problemas como son: antispam, antivirus, antispyware, firewall (todo en uno)  NIDS y HIDS en equipos principales y sobre todo actualizados.    
Preguntas ! hugo.gonzalez@itslp.edu.mx Under CC 2.5, by:     

Recomendados

Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)krush kr
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajlezcano1210
 
Ids ips detection
Ids ips detectionIds ips detection
Ids ips detectionTensor
 
Herramientas de seguridad
Herramientas de seguridadHerramientas de seguridad
Herramientas de seguridadYolanyTuon
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Jhon Jairo Hernandez
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Alberto Mayo Vega
 

Recomendados

Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)krush kr
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajlezcano1210
 
Ids ips detection
Ids ips detectionIds ips detection
Ids ips detectionTensor
 
Herramientas de seguridad
Herramientas de seguridadHerramientas de seguridad
Herramientas de seguridadYolanyTuon
 
Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Ids sistema de deteccion de intrusos (2)
Ids sistema de deteccion de intrusos (2)Jhon Jairo Hernandez
 
Deteccion de intrusos
Deteccion de intrusosDeteccion de intrusos
Deteccion de intrusosYasuara191288
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Alberto Mayo Vega
 
Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Pedro Luis Pantoja González
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001Inacap
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridadJenny Ventura
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 
Soporte seguridad web informatica
Soporte seguridad web informaticaSoporte seguridad web informatica
Soporte seguridad web informaticagilbert222
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacionUVM
 
Clase 18
Clase 18Clase 18
Clase 18Titiushko Jazz
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusosalvaro alcocer sotil
 
Nod 32
Nod 32Nod 32
Nod 32Wily Candonga
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticatdnodo
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaArsys
 
Sistemas de Detección de Intrusos
Sistemas de Detección de IntrusosSistemas de Detección de Intrusos
Sistemas de Detección de IntrusosCarlos Arturo Fyuler
 
Seguridad basica
Seguridad basicaSeguridad basica
Seguridad basicaCynney Soluciones Digitales
 
SVT CloudJacket Service
SVT CloudJacket ServiceSVT CloudJacket Service
SVT CloudJacket ServiceJosep Bardallo
 
Capitulo 9
Capitulo 9Capitulo 9
Capitulo 9Carlos Alfonso Basto Olaya
 
Presentacion de william cunalata
Presentacion de william cunalataPresentacion de william cunalata
Presentacion de william cunalatawilliamcunalata
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Clase 19
Clase 19Clase 19
Clase 19Titiushko Jazz
 
Presentacion jade
Presentacion jadePresentacion jade
Presentacion jadeMagdiel Espinoza
 
Zacatecas
Zacatecas Zacatecas
Zacatecas Diana Alvarado
 
Sistemas Multiagente
Sistemas MultiagenteSistemas Multiagente
Sistemas MultiagenteJuan Carlos García Ojeda
 

Mais conteúdo relacionado

Mais procurados

Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001Inacap
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystemsgh02
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridadJenny Ventura
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 
Soporte seguridad web informatica
Soporte seguridad web informaticaSoporte seguridad web informatica
Soporte seguridad web informaticagilbert222
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacionUVM
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticatdnodo
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaArsys
 
Sistemas de Detección de Intrusos
Sistemas de Detección de IntrusosSistemas de Detección de Intrusos
Sistemas de Detección de IntrusosCarlos Arturo Fyuler
 
SVT CloudJacket Service
SVT CloudJacket ServiceSVT CloudJacket Service
SVT CloudJacket ServiceJosep Bardallo
 
Presentacion de william cunalata
Presentacion de william cunalataPresentacion de william cunalata
Presentacion de william cunalatawilliamcunalata
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 

Mais procurados (19)

Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.Sistemas de Detección de Intrusos.
Sistemas de Detección de Intrusos.
 
Clase de Muestra 001
Clase de Muestra 001Clase de Muestra 001
Clase de Muestra 001
 
Intrusion detectionsystems
Intrusion detectionsystemsIntrusion detectionsystems
Intrusion detectionsystems
 
5 detecciony seguridad
5 detecciony seguridad5 detecciony seguridad
5 detecciony seguridad
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
 
Soporte seguridad web informatica
Soporte seguridad web informaticaSoporte seguridad web informatica
Soporte seguridad web informatica
 
6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion6 3 prevencion deteccion y recuperacion
6 3 prevencion deteccion y recuperacion
 
Clase 18
Clase 18Clase 18
Clase 18
 
Sistemas de intrusos
Sistemas de intrusosSistemas de intrusos
Sistemas de intrusos
 
Nod 32
Nod 32Nod 32
Nod 32
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad Gestionada
 
Sistemas de Detección de Intrusos
Sistemas de Detección de IntrusosSistemas de Detección de Intrusos
Sistemas de Detección de Intrusos
 
Seguridad basica
Seguridad basicaSeguridad basica
Seguridad basica
 
SVT CloudJacket Service
SVT CloudJacket ServiceSVT CloudJacket Service
SVT CloudJacket Service
 
Capitulo 9
Capitulo 9Capitulo 9
Capitulo 9
 
Presentacion de william cunalata
Presentacion de william cunalataPresentacion de william cunalata
Presentacion de william cunalata
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 
Clase 19
Clase 19Clase 19
Clase 19
 

Destaque

Simulación basada en agentes y multi agentes
Simulación basada en agentes y multi agentesSimulación basada en agentes y multi agentes
Simulación basada en agentes y multi agentesVerónica Es'Loo
 
Agentes Inteligentes
Agentes InteligentesAgentes Inteligentes
Agentes Inteligentesguestcd9e5e
 
Unidad No. 5 - Agentes Inteligentes
Unidad No. 5 - Agentes InteligentesUnidad No. 5 - Agentes Inteligentes
Unidad No. 5 - Agentes InteligentesMilton Klapp
 
Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Christian Peters
 
Takex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualTakex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualJMAC Supply
 
Fire Detection System - Cerberus
Fire Detection System - CerberusFire Detection System - Cerberus
Fire Detection System - CerberusCarlota Rodrigues
 
Trabajo yohany word
Trabajo yohany wordTrabajo yohany word
Trabajo yohany worddahiaperez96
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datosMartha Solis
 
Nueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyNueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyTecnomania
 
Takex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualTakex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualJMAC Supply
 
Metodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaMetodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaFelipe Vargas Rios
 
Development of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningDevelopment of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningYurley Xiomara Rojas Sanchez
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )preverisk Group
 
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015MONA
 

Destaque (20)

Presentacion jade
Presentacion jadePresentacion jade
Presentacion jade
 
Zacatecas
Zacatecas Zacatecas
Zacatecas
 
Sistemas Multiagente
Sistemas MultiagenteSistemas Multiagente
Sistemas Multiagente
 
Simulación basada en agentes y multi agentes
Simulación basada en agentes y multi agentesSimulación basada en agentes y multi agentes
Simulación basada en agentes y multi agentes
 
Sistemas MultiAgente
Sistemas MultiAgenteSistemas MultiAgente
Sistemas MultiAgente
 
Agentes Inteligentes
Agentes InteligentesAgentes Inteligentes
Agentes Inteligentes
 
Unidad No. 5 - Agentes Inteligentes
Unidad No. 5 - Agentes InteligentesUnidad No. 5 - Agentes Inteligentes
Unidad No. 5 - Agentes Inteligentes
 
Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012Adaptive Images - Monster on Rails Jan. 2012
Adaptive Images - Monster on Rails Jan. 2012
 
Takex MS-12TE Instruction Manual
Takex MS-12TE Instruction ManualTakex MS-12TE Instruction Manual
Takex MS-12TE Instruction Manual
 
Fire Detection System - Cerberus
Fire Detection System - CerberusFire Detection System - Cerberus
Fire Detection System - Cerberus
 
Trabajo yohany word
Trabajo yohany wordTrabajo yohany word
Trabajo yohany word
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datos
 
Nueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc SonyNueva Linea 2010 Dsc Sony
Nueva Linea 2010 Dsc Sony
 
Seminario 7
Seminario 7 Seminario 7
Seminario 7
 
Takex TX-114FR Instruction Manual
Takex TX-114FR Instruction ManualTakex TX-114FR Instruction Manual
Takex TX-114FR Instruction Manual
 
Metodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbicaMetodos indirectos para estimación de la capacidad aeróbica
Metodos indirectos para estimación de la capacidad aeróbica
 
Cushing
CushingCushing
Cushing
 
Development of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerningDevelopment of a hybrid cost scope error detection and handling concerning
Development of a hybrid cost scope error detection and handling concerning
 
IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )IDS ( Intrusion Detection System )
IDS ( Intrusion Detection System )
 
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
Webséminaire MOPA "Le B-A-BA de Google Analytics" - 01 avril 2015
 

Semelhante a Comsi

Presentación ESET
Presentación ESETPresentación ESET
Presentación ESETivargasem119
 
Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOgugarte
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo reala3sec
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticafillescas
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grcbalejandre
 
Antivirus comparacion
Antivirus comparacionAntivirus comparacion
Antivirus comparacionloferr
 
Herramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónHerramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónAdonys Maceo
 
Centros de datos clase
Centros de datos claseCentros de datos clase
Centros de datos claseRoberto_Mendez
 
Firewall cisco
Firewall ciscoFirewall cisco
Firewall ciscogus_marca
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSPaloSanto Solutions
 
Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en redhugo.gonzalez
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Jose Molina
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 

Semelhante a Comsi (20)

AlienVault
AlienVaultAlienVault
AlienVault
 
Presentación ESET
Presentación ESETPresentación ESET
Presentación ESET
 
Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCO
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo realA3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Amenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informaticaAmenzas de seguridad en redes modernas - Seguridad informatica
Amenzas de seguridad en redes modernas - Seguridad informatica
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad Global
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusos
 
Viii congreso isaca 2015 grc
Viii congreso isaca 2015 grcViii congreso isaca 2015 grc
Viii congreso isaca 2015 grc
 
Antivirus comparacion
Antivirus comparacionAntivirus comparacion
Antivirus comparacion
 
Herramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónHerramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de dirección
 
jdlaksjionc
jdlaksjioncjdlaksjionc
jdlaksjionc
 
Sistema de detección de intrusos
Sistema de detección de intrusosSistema de detección de intrusos
Sistema de detección de intrusos
 
Centros de datos clase
Centros de datos claseCentros de datos clase
Centros de datos clase
 
Firewall cisco
Firewall ciscoFirewall cisco
Firewall cisco
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
 
Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en red
 
Ccnas v11 ch01_eb
Ccnas v11 ch01_ebCcnas v11 ch01_eb
Ccnas v11 ch01_eb
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 

Comsi

  • 1. Análisis de Sistemas de  Detección de Intrusos Hilda Rocio Puente Hugo Francisco González Robledo MCIS 2006    
  • 2. Agenda Antecedentes   Sistemas de detección de intrusos  Tipos de IDS  NIDS  HIDS Problemas   Herramientas  Snort  Más alla, complementos      Conclusiones
  • 3. Antecedentes En estos tiempos la inseguridad  en la red es algo inminente.  Múltiples peligros ataques profesionales los menos, y automáticos los más.  Existen muchas herramientas de seguridad, nos enfocamos a describir los IDS, su funcionalidad y sus alcances.    
  • 4. Sistema de Detección de Intrusos   IDS’s Los IDS’s son herramientas de  seguridad que sirven para detectar y avisar de posibles ataques o intrusiones.    
  • 5. Funciones Proteger la red de las amenazas que  aparecen al incrementar la conectividad Puertos abiertos y actividades  permitidas: DNS, Web, Correo electrónico, IRC, etc. Ataques conocidos contra estos  servicios : Patrones de ataques    
  • 6. Funcionamiento Gran capacidad de análisis de  datos  Son capaces de registrar intentos de ataques  Pueden activar alarmas en tiempo real  Junto con los Firewalls forman una pieza fundamental en la infraestructura de seguridad de una organización    
  • 7. Clasificación de IDS’s  IDS de red (NIDs)  IDS de sistemas ( HIDs)    
  • 8. IDS de red (NIDs) Capturan y analizan el trafico de  la red  Los métodos para el análisis son: detección basado en firmas detección de anomalías Intrusion detection Extrusion detection    
  • 9. IDS de sistemas ( HIDs) Su funcionamiento se basa en la  información local del equipo  Generalmente basado en logs y modificaciones al sistema. OSSEC     
  • 10. Problemas de los NIDS Técnicas de evación (como la  fragmentación)  Ataques polimorficos  Ataques de denegación de servicos  Redes de alta velocidad  Falsos positivos  Falsos negativos    
  • 11. Herramientas libres y comerciales Dragón Enterasys Networks   NetRanger  Internet Security Systems  Snort  Shadow  etc.    
  • 12. SNORT Es open source   Es el estándar de facto.  Multiplataforma  Flexible  Estable  Escalable    
  • 13. Snort Modos de trabajo:  -Es un Sniffer -Detecta y alerta los ataques en tiempo real Es un NIDs   Diferentes formas de implementarlo, un solo sensor, múltiples sensores.    
  • 14. Arquitectura de Snort Decodificador de paquetes   Preprocesadores  (Reglas) Motor de detección   Etapa de salida  logs, BD    
  • 15. Red Decodificador  de paquetes Prepocesadores Reglas Motor de detección Plug­ins Salida    
  • 16. Consolas ACID   Analisis Console Intrusion Detection BASE   Basic Analisis and Security Engine Sguil (la mejor según Bejtlich)     
  • 17. Mas allá de la detección Añadiéndole un modulo al IDS  este cambia a un estado activo que le permite realizar ciertas tareas de prevención y se convierte en un IPS  Como funciona:  detiene el ataque en el momento  puede desviar el ataque a equipos o redes preparados (honeypot, honeynets)    
  • 18. Funcionamiento Primero se procesa el trafico   Se comparan los patrones en las reglas preconfiguradas (actualizarlas constantemente)  Alertas logueadas  Snort-online: posibilidad de interactuar con las reglas de iptables (IPS)    
  • 19. Complementos de Snort Oinkmaster = actualización de  reglas de Snort  Blockit = monitoriza los archivos de alerta de Snort y crea reglas para IPTables, IPChains, IPFWADM, o Checkpoint Firewall  Barnyard = sistema de salida para Snort    
  • 20. Resultados Durante el último año al red el  ITSLP se ha monitoreado con snort de 3 formas.  Fuera del firewall (detección de ataques)  Dentro del firewall (detección de intrusiones de red)  Dentro del firewall con diferente configuración (detección de virus y ataques internos) ACID permite  analizar los    resultados
  • 21. Ataques en los últimos dias   800(escaneos, ftp brute force, http XSS, DCOM exploit) Intrusiones   80Ataques a aplicaciones, el firewall de estados no los detiene, la aplicación si. (ftp, ssh brute force, http XSS, SQL ) Extrusiones  1 virus o gusano. Laptop externa.    
  • 22. Conclusiones Los IDS’s no sustituyen a  ninguna de las soluciones de seguridad existentes, sino por el contrario la idea es complementar los elementos actuales y fortalecer la seguridad de cualquier infraestructura.  Futuro  Aplicaciones integradas  IPS/IDS inteligentes      Self Defending Networks
  • 23. Recomendaciones Definir una política de seguridad  y darla a conocer  Contar con herramientas para minimizar los problemas como son: antispam, antivirus, antispyware, firewall (todo en uno)  NIDS y HIDS en equipos principales y sobre todo actualizados.    
  • 24. Preguntas ! hugo.gonzalez@itslp.edu.mx Under CC 2.5, by: 