Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » redes » idsips
redes:idsips

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
redes:idsips [2024/12/12 17:52] thejuanvisuredes:idsips [2024/12/12 18:57] (actual) thejuanvisu
Línea 60: Línea 60:
 Compara los eventos observados con patrones correspondientes a ataques conocidos. Los IDS incorporan estos patrones en forma de reglas. En la actualidad se despliega un contenedor en el router que puede ser de SNORT para desplegar un IPS en un firewall usando una sintaxis y unas herramientas muy conocidas. Cada IDPS tiene su propio fichero de firmas y sistemas de reglas. Se suelen agrupar en base a servicios como HTTP, DNS, etc... y dentro de cada servicio por tipo de ataques, objetivos, etc... La idea es configurar la configuración. Un proveedor de firmas IDPS puede proveer diferentes tipos de firmas que deben ser usadas para un sistema correcto, no tiene sentido usar firmas de ataques para sistemas windows si nuestros equipos son linux. Los IDPS deben trabajar de forma complementaria con los firewall, se deben concentrar la funcionalidad de IDPS en el tráfico que deja pasar el firewall (No tiene sentido tener firmas activas para proteger de ataques que no deja pasar el firewall).  Compara los eventos observados con patrones correspondientes a ataques conocidos. Los IDS incorporan estos patrones en forma de reglas. En la actualidad se despliega un contenedor en el router que puede ser de SNORT para desplegar un IPS en un firewall usando una sintaxis y unas herramientas muy conocidas. Cada IDPS tiene su propio fichero de firmas y sistemas de reglas. Se suelen agrupar en base a servicios como HTTP, DNS, etc... y dentro de cada servicio por tipo de ataques, objetivos, etc... La idea es configurar la configuración. Un proveedor de firmas IDPS puede proveer diferentes tipos de firmas que deben ser usadas para un sistema correcto, no tiene sentido usar firmas de ataques para sistemas windows si nuestros equipos son linux. Los IDPS deben trabajar de forma complementaria con los firewall, se deben concentrar la funcionalidad de IDPS en el tráfico que deja pasar el firewall (No tiene sentido tener firmas activas para proteger de ataques que no deja pasar el firewall). 
  
-Ajustar las firmas a los servicios que tenemos es bastante trabajoso. La firma suele contener un mensaje descriptivo del ataque y contenido sobre el flujo de datos que explota la vulnerabilidad.+Ajustar las firmas a los servicios que tenemos es bastante trabajoso. La firma suele contener un mensaje descriptivo del ataque y contenido sobre el flujo de datos que explota la vulnerabilidad. Hay 3 principales tipos de firmas: 
 +  * Pattern Matching: Busca determinadas secuencias que coinciden con un ataque conocido. 
 +  * Análisis de protocolo: Comprueba que se siguen las reglas y normas del protocolo en cuestión 
 +  * Análisis Heurístico o de comportamiento: Relacionado con conjunto de acciones que pueden llegar a tener cierta complejidad como barridos de pings o escaneos de puertos entre otros ataques que no se detectan directamente por coincidencias de patrón o malos usos de protocolos. Se usa para ataques no atómicos (Complejos)
  
 +==== Detección basada en firmas ====
 +Tiene las siguientes ventajas:
 +  * Es mucho más sencillo que las alternativas
 +  * Efectivo frente a ataques conocidos
 +  * Bajo número de falsos positivos
 +  * La detección puede dar información sobre el tipo de ataque o como bloquearlo, lo que es útil para los adminsitradores.
  
 +Y los siguientes problemas
 +  * Ineficaz contra ataques nuevos o variantes de ataques conocidos
 +  * Es necesario actualizar las firmas constantemente
 +  * Problemas ante ataques complejos que usan varios eventos que no son amenazas por sí mismos.
 +
 +
 +==== Detección basada en anomalías ====
 +{{drawio>redes:diaganomsdsaoidjo.png}}
 +Se establecen perfiles de actividad normal. Se usan Netflow e IPFIX para generar lo que se le llama 5-tuples: Protocolo, ip origen, puerto origen, ip destino y puerto destino. Se mira cuanto dura la conexión, paquetes enviados, tamaño de los paquetes enviados, etc... Este tipo de herramientas suelen necesitar un período previo de entrenamiento. Una de las estrategias que más se usan para analizar tanto el tráfico de netflow como otras características son las técnicas de machine learning, además de redes de neuronas de mapas auto organizados (SOM). También se usa la información generada por los Firewalls. Las ventajas de etas tecnologías son:
 +  * Pueden detectar técnicas de ataque no conocidas, un atacante tiene más difícil pasar desapercibido ya que no sabe que puede generar una alerta
 +  * Eficaz contra ataques desde el interior y APTs (Amenazas Avanzadas Permanentes)
 +  * Pueden usarse para aprender firmas de nuevos ataques.
 +
 +También tienen varios inconvenientes: 
 +  * Falsos positivos elevados
 +  * Requieren período de aprendizaje.
 +  * Las alamas son más difíciles de entender
 +
 +Para entrenar estos sistemas se suelen utilizar las firmas antiguas, los sistemas basados en machine learning necesitan hacer entrenamiento supervisado, usándose las alertas generadas por un sistema basado en firmas, lo que hace que el sistema aprenda que puede ser un ataque. El problema es que las anomalías no son siempre ataques, por ejemplo, si un día en una universidad muchos alumnos realizan entregas de prácticas a la vez, ocurre una anomalía en la red y el sistema puede idenificar esta erróneamente como un ataque. Las alertas suelen ser más difíciles de entender por se se suelen emitir de forma genérica, la alerta sería algo como un: Se ha detectado X que podría ser un ataque. 
 +
 +===== Ventajas de los IDPS =====
 +  * Nos proporcionan sistemas de detección de ataques que no podrían ser detenidos con proxys o firewalls
 +  * Protegen contra ataques complejos como escaneos de puertos
 +  * Permiten identificar de forma clara los ataques recibidos
 +  * Se proporciona información para evitar problemas
 +  * Además puede disuadir a los usuarios de violar las políticas de seguridad
 +
 +===== Desventajas de los IDPS =====
 +  * No son totalmente precisos
 +  * Las respuestas no siempre son inmediatas, hay un proceso de detección y debemos analizar la anomalía y mitigarla (Aunque si estas son muy claras ya las filtra el propio IDPS)
 +  * Existen estrategias para reducir la efectividad de los IDPS como por ejemplo generar ruido, lo que genera un exceso de alertas, dificultando la detección de un ataque. 
 +  * Son efectivos solo a corto plazo, a medio y largo plazo necesitan ser reajustados constantemente.
 +
 +===== Network Based IDPS =====
 +Monitorizan el tráfico de la red. Se colocan sensores (Dispositivos físicos (Appliances) o virtuales (SNORT en un PC)) que reciben una copia del tráfico y lo analizan. Se pueden incorporar de 2 formas:
 +  * IN-LINE (IPS): Desplegado de tal forma que todo el trafico pasa por el, se sitúa entre conexiones de red, puede bloquear el tráfico y generar alertas. Pueden ser colocados dentro de los firewalls o antes/después de un firewall. Security Onion es una distribución Linux con herramientas orientadas a implementación de medidas de seguridad defensiva y no ofensiva que trae un gestor de IDPS para recibir información de múltiples IDPS que puede ser visualizada en una interfaz web.
 +  * ON-LINE o pasivos (IDS): Monitorizan una copia del tráfico. Se colocan varios sensores entre el CPE y el Firewall. Toda la información recopilada se manda a un gestor IDPS que almacena y monitoriza todos los eventos de forma centralizada.
 +
 +Los IDPS de red puede detectar los siguientes ataques:
 +  * Ataques de capa de aplicación
 +  * Ataques a la capa de transporte
 +  * Ataques a capa de red
 +  * Uso de servicios no esperados
 +  * Violaciones de políticas de seguridad
 +
 +Capacidades de prevención para INLINE:
 +  * Capacidad de firewalling
 +  * Limitación de ancho de banda para prevenir ataques DDOS
 +  * Modificacion de contenido malicioso
 +
 +Capacidades de prevención ONLINE:
 +  * Finalización de conexiones
 +
 +Ambos pueden reconfigurar otros equipos de red y ejecutar programas definidos por el adminsitrador.
 +
 +Hay las siguientes limitaciones:
 +  * No se puede trabajar con tráfico cifrado como TLS, VPNs o IPSec. 
 +  * Capacidades de análisis limitadas
 +  * Pueden generar latencia y degradar el rendimiento de la red
 +  * Los IDS pueden detectar un ataque, pero no se sabe si fue exitoso o no.
 +  * Existen ataques contra los IDPS como Blinding o DDoS
 +
 +===== Host Based IPS =====
 +Agentes que se ejecutan en dispositivos finales monitorizando eventos que suceden en el host (Como los EndPoint Security). Detectan cambios en archivos críticos y cambios de configuración. Hay casos donde esto solo se aplica al dispositivo y en soluciones enterprise se manda información a un equipo central que gestiona las alertas y demás.También pueden estar en servidores que protegen servicios o aplicaciones específicas. Si una aplicación intenta hacer algo sospechoso se genera una alerta y se bloquea la aplicación. También detecta usos indebidos del sistema.
 +
 +Pueden bloquear tráfico de red, evitar la ejecución de malware y facilita la detección de procesos que accedan a procesos de sistema. El problema es que consumen muchos recursos, se pueden producir retardos en el envío de alertas, sobre todo si es envío periódico en vez de alertas, si se compromete el dispositivo se puede desactivar el IDPS. En una organización grande interesa que estos sistemas funcionen de forma centralizada, volcando la información en un solo punto. Pueden bloquear también acciones legítimas por error y necesitan actualizaciones periódicas, lo que puede provocar conflictos.
  
redes/idsips.1734025964.txt.gz · Última modificación: 2024/12/12 17:52 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki