Kategorier: Alle - seguridad - eficiencia - ataques - protección

af carlos suazo 7 år siden

264

Mecanismos Para la Detención de Intrusos

Las redes de ordenadores están constantemente expuestas a ataques informáticos, lo que hace esencial la implementación de estrictas medidas de seguridad para proteger sus recursos. Aunque las herramientas convencionales pueden identificar deficiencias en estos sistemas, no siempre se corrigen, lo que puede generar brechas de seguridad y facilitar accesos no autorizados.

Mecanismos Para la Detención de Intrusos

Hecho Por Carlos Humberto Suazo

Mecanismos Para la Detención de Intrusos

Las redes de ordenadores se encuentran expuestas a ataques informáticos con tanta frecuencia que es necesario imponer una gran cantidad de requisitos de seguridad para la protección de sus recursos.



Aunque las deficiencias de estos sistemas se pueden comprobar mediante herramientas convencionales, no siempre son corregidas. En general, estas debilidades pueden provocar un agujero en la seguridad de la red y facilitar entradas ilegales en el sistema.

La mayoría de las organizaciones disponen actualmente de mecanismos de prevención y de mecanismos de protección de los datos integrados en sus redes. Sin embargo, aunque estos mecanismos se deben considerar imprescindibles, hay que estudiar como continuar aumentando la seguridad asumida por la organización.



Así, un nivel de seguridad únicamente perimetral (basado tan solo en la integración en la red de sistemas cortafuegos y otros mecanismos de prevención) no debería ser suficiente. Debemos pensar que no todos los accesos a la red pasan por los cortafuegos, y que no todas las amenazas son originadas en la zona externa del cortafuego. Por otra parte, los sistemas cortafuegos, como el resto de elementos de la red, pueden ser objeto de ataques e intrusiones.


Escáner de vulnerabilidades

Los escáneres de vulnerabilidades son un conjunto de aplicaciones que nos permitirán realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.



Aun no siendo formalmente un elemento de detección tradicional, los escáneres de vulnerabilidades poseen una estrecha relación con las herramientas de detección utilizadas en los sistemas de detección de intrusos. En realidad, en muchos ámbitos se les considera un caso especial de estas herramientas y, generalmente, son utilizados para realizar un análisis de intrusiones.


Esto es así porque dentro de los mecanismos de detección de ataques podemos distinguir entre elementos de detección de tipo dinámico (sería el caso de las herramientas de detección utilizadas en un sistema de detección de intrusos) y elementos de detección de tipo estático (los escáneres de vulnerabilidades). En los primeros se trabaja de forma continua (como lo haría una videocámara de vigilancia) mientras que los segundos se concentran en intervalos de tiempos determinados (sería el caso de una cámara fotográfica).


Etapas
En la Tercera Etapa

Finalmente, se generará un informe con las diferencias entre ambos conjuntos de datos.


Las tres etapas anteriores se podrían mejorar mediante la utilización de motores de comparación en paralelo o incluso mediante la utilización de métodos criptográficos para detectar cambios en los objetos monitorizados.


A la hora de clasificar este tipo de herramientas encontramos básicamente dos categorías principales, según la localización desde la que se obtienen datos: escáner basados en maquina o escáner basados en red.


En la segunda etapa

estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente, o bien ser una imagen del estado del sistema realizada con anterioridad.

Durante la primera etapa

se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.


Elementos de almacenamiento

En algunas situaciones, el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento.


Supongamos, por ejemplo, el caso de que todos los paquetes de una red de alta velocidad deban ser inspeccionados por los analizadores del sistema de detección. En este caso, será necesario plantearse una jerarquía de almacenamiento que reduzca el volumen de información sin penalizar las posibilidades de análisis.


Una posibilidad es la clasificación de la información en términos de análisis a corto y largo plazo.


En el caso de análisis a corto plazo, la información será almacenada directamente en los propios sensores (en buffers internos) de forma que después de realizar un procesado previo de los datos, y su transformación a un formato de evento, estos sean transmitidos a los elementos de análisis.


Unidades de respuesta

Las unidades de respuesta de un sistema de detección se encargarán de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva).



Las respuestas activas tienen como objetivo actuar contra el ataque, intentando su neutralización, en el momento en el que es detectado (o mientras una intrusión todavía continua en curso). Un ejemplo de respuesta activa puede ser la cancelación de la conexión en red que origino el ataque o el propio seguimiento del ataque que permitiría más adelante el análisis correspondiente. Por contra, las respuestas pasivas se limitan a lanzar una alarma para informar y describir el ataque detectado en el administrador del sistema. La mayoría de los componentes de respuesta pasiva ofrecen distintas formas de hacer llegar esta información al administrador como, por ejemplo, mediante un correo electrónico, mediante la utilización de mensajes SMS, etc.


Unidades de respuesta basadas en red

Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas, etc.


Unidades de respuesta basadas en equipo

Se encargan de actuar a nivel de sistema operativo (como, por ejemplo, bloqueo de usuarios, finalización de procesos, etc.)


Procesadores de eventos

Los procesadores de eventos, también conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.



Para inferir intrusiones, los analizadores deberán implementar algún esquema de detección. Dos de los esquemas más utilizados para realizar la detección son el modelo de detección de usos indebidos y el modelo de detección de anomalías. A continuación, pasaremos a comentar brevemente estos dos esquemas de detección.


Analizadores basados en transiciones de estados

Este modelo hace uso de autómatas finitos para representar los ataques, donde los representan los estados, y las flecnodos has (arcos), las transiciones.


La utilización de diagramas de transición facilita la asociación entre los estados y los distintos pasos que realiza un atacante desde que entra en un sistema, con privilegios limitados, hasta que se hace con el control del mismo.



Como principales ventajas de este modelo se puede destacar que los diagramas de transición permiten realizar una representación a alto nivel de escenarios de intrusión, ofreciendo una forma de identificar una serie de secuencias que conforman el ataque.


Analizadores basados en reconocimiento de patrones

 Mediante la utilización de reglas del tipo if-then-else para examinar los datos, estos analizadores procesan la información por medio de funciones internas en el sistema, de forma completamente transparente al usuario. La siguiente figura muestra el esquema de una regla if-then-else.


Aunque este modelo permite detectar una intrusión a partir de patrones conocidos a priori, su desventaja principal es que los patrones no definen un orden secuencial de acciones.

Detectar mediante este modelo ataques compuestos por una secuencia de eventos puede llegar a comportar grandes dificultades. Por otra parte, el mantenimiento y la actualización de la base de datos de patrones son otros puntos críticos de este modelo.


Esquema de detección basado en usos indebidos

La detección de intrusiones basada en el modelo de usos indebidos cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos.


Recolectores de información

Un recolector de información, también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.

La información recogida será transformada como una secuencia de tuplas de información (eventos) y será analizada posteriormente por los procesadores de información.

La información almacenada en estos eventos será la base de decisión para la detección del IDS. Por lo tanto, será importante garantizar su integridad frente a posibles ataques de modificación a la hora de transmitir estos eventos entre el sensor que los genero y el componente de procesado que los tratará.


Elección de sensores

Durante los últimos años se ha debatido bastante cuál de los tres tipos de sensores ofrece mejores prestaciones. Actualmente, la mayoría de los sistemas de detección tratan de unificar las tres opciones, ofreciendo una solución de sensores hibrida.


Instalación de sensores

No es para nada trivial determinar el lugar exacto en el que se deben colocar estos componentes (desde donde recoger la información). Los más sencillos de colocar son los sensores basados en aplicación generalmente instalados en aquellas partes del programa donde se ofrecen servicios de depuración y generación de ficheros de registro. Pero la situación es mucho más difícil para las otras dos variantes.


Cuando consideramos la instalación´ de sensores basados en equipo, la gran variedad de sistemas operativos existentes y las distintas facilidades ofrecidas por cada uno de ellos, supone un serio problema. Además, no suele ser simple determinar que parte de la información generada por el núcleo de un sistema operativo debería ser relevante a la hora de analizar.


En el caso de sistemas Unix, existe la propuesta del Libro naranja (ya comentado en este mismo modulo), en el que se muestran veintitrés puntos de interés donde debería analizarse información.

En el caso de sensores basados en red, la utilización de redes segmentadas mediante conmutadores de red supone un gran inconveniente en cuanto a escoger el lugar correcto en el que se deben colocar estos sensores.


Sensores basados en red

La principal ventaja de los sensores basados en red, frente a las otras dos soluciones, es la posibilidad de trabajar de forma no intrusiva. Por lo tanto, la recogida de información no afecta a la forma de trabajar de los equipos o a la propia infraestructura. Al no residir forzosamente en los equipos que hay que analizar, son más resistentes a sufrir ataques.


Por otra parte, la mayoría de los sensores basados en red son independientes del sistema operativo y pueden obtener información a nivel de red (como, por ejemplo, la existencia de fragmentación en datagramas IP) que no podría ser proporcionada por sensores basados en equipo.


Sensores basados en equipo y en aplicación

Los sensores basados en equipo y en aplicación podrán recoger información de calidad, además de ser fácilmente configurables y de poder ofrecer información de gran precisión.

Además, estos datos pueden llegar a tener una gran densidad de información como, por ejemplo, la información reportada por los servidores de ficheros de registro del sistema. También pueden llegar a incluir gran cantidad de información de preprocesador, que facilitara el trabajo de los componentes de análisis de la información.


Arquitectura para la detección de Intrusos

Tolerancia en fallos

El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio, aunque sean atacados distintos elementos del sistema incluyen-do la situación de que el propio sistema reciba un ataque o intrusión

Escalabilidad

A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentará el número de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el número de eventos, sin que se produzca perdida de información. Este requisito es de gran relevancia en sistemas de detección de ataques distribuidos, donde los eventos son lanzados en diferentes equipos del sistema y deben ser puestos en correspondencia por el sistema de detección de intrusiones.


Rendimiento

El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detección en tiempo real responde a la detección de la intrusión antes de que esta´ llegue a provocar daños en el sistema. Según los expertos, este tiempo debería de ser inferior a un minuto

Eficiencia

El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor será la eficiencia del sistema de detección de intrusos. Este es un requisito complicado, ya que en ocasiones puede llegar a ser imposible obtener todo el conocimiento necesario sobre ataques pasados, actuales y futuros.


Presición:

Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.