Kategorien: Alle - red - almacenamiento - intrusión - análisis

von Jorge Alberto Pineda Hernandez Vor 6 Jahren

239

Mecanismos para la detección de ataques e intrusiones.

Los sistemas de detección de intrusos son cruciales para identificar y reportar actividades maliciosas en una red, con capacidad para reaccionar ante ataques. Una intrusión es una serie de acciones llevadas a cabo por usuarios o procesos deshonestos para acceder de manera no autorizada a un sistema.

Mecanismos para la detección de ataques e intrusiones.

Sistemas de detección de Intrusos - Tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.

Detección de intrusiones - Es el proceso de identificacion y respuesta ante las

Intrusión - Secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo.

Elementos de almacenamiento - En algunas situaciones, el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento.
Análisis a largo plazo - Eventualmente, y después de un proceso de compresión (para reducir el tamaño), parte de la información a medio plazo podrá continuar almacenada durante largos periodos de tiempo del orden de meses o incluso años a la espera de que pueda ser consultada por procesos de detección a largo plazo.
Análisis a medio plazo - Puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores del sistema en el caso de que el proceso de análisis ası lo requiera.
Análisis a corto plazo - La información sera almacenada directamente en los propios sensores en buffers internos de forma que después de realizar un procesado previo de los datos, y su transformación a un formato de evento, ´estos sean transmitidos a los elementos de análisis.
Unidades de respuesta - De un sistema de detección se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión.
Unidades de respuesta basadas basadas en red- Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas, etc.
Unidades de respuesta basadas en equipo - Se encargan de actuar a nivel de sistema operativo como, por ejemplo, bloqueo de usuarios, finalizacion de procesos, etc.

Mecanismos para la detección de ataques e intrusiones.

Prevención de intrusos - Son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitoritacion de los sistemas de detección de intrusos.

Conmutadores híbridos - Su método de detección esta basado en políticas, como el de los sistemas cortafuegos a nivel de aplicación. Por lo tanto, estos conmutadores analizaran el trafico de red para poder detectar información definida en las políticas que tienen configuradas.
Sistemas cortafuegos a nivel de aplicación- Los sistemas cortafuegos a nivel de aplicación, al igual que los conmutadores de nivel siete que acabamos de ver, trabajan en el nivel de aplicación del modelo OSI. Se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.
Conmutadores de nivel siete - Estos dispositivos se suelen utilizar para realizar tareas de balanceo de carga de una aplicación entre varios servidores. Para ello, examinan la información a nivel de aplicación por ejemplo HTTP, FTP, DNS, etc. Para tomar decisiones de encaminamiento.
Sistemas de detección - En linea la mayor parte de los productos y dispositivos existentes para la monitorizacion y detección de ataques en red se basan en la utilización de dos dispositivos de red diferenciados.

Sistemas de decepción - En vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorizacion para registrar y analizar estas acciones, tratando de aprender de los atacantes.

Redes de decepción - Un enfoque mas avanzado que los anteriores consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos permitiendo su acceso sin demasiada dificultad.
Celdas de aislamiento - Tienen una metodología muy similar a los equipos de decepción que acabamos de ver. Mediante el uso de un dispositivo intermedio con capacidades de detección y encaminamiento todo el trafico etiquetado como malicioso sera dirigido hacia un equipo de decepción conocido en este caso como celda de aislamiento.
Los equipos de decepción - También conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el trafico de uno o mas atacantes.

Escaners de vulnerabilidades - Son un conjunto de aplicaciones que nos permitirán realizar pruebas o test de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.

Escaners basados en red - Los escaners de vulnerabilidades basados en red aparecieron posteriormente y se han ido haciendo cada vez mas populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.
Métodos de inferencia - El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.
Prueba por explotación - Esta técnica consiste en lanzar ataques reales contra el objetivo. Estos ataques están programados normalmente mediante guiones de comando. En lugar de aprovechar la vulnerabilidad para acceder al sistema, se devuelve un indicador que muestra si se ha tenido éxito o no.
Escaners basados en maquina - Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de información de un sistema para la detección de vulnerabilidades como, por ejemplo, errores en permisos de ficheros, cuentas de usuario abiertas por defecto, entradas de usuario duplicadas o sospechosas, etc.
Etapa 3 - Finalmente se generara un informe con las diferencias entre ambos conjuntos de datos.
Etapa 2 - Estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente, o bien ser una imagen del estado del sistema realizada con anterioridad.
Etapa 1 - Durante la primera etapa se realiza una extraccion de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

Procesadores de eventos - también conocidos como analizadores, conforman el nucleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.

Esquema de deteccion basado en anomalıas - trataran de identificar actividades sospechosas comparando el comportamiento de un usuario, proceso o servicio, con el comportamiento de perfil clasificado como normal.
Perfil - Sirve como métrica medida de un conjunto de variables) de comportamientos normales. Cualquier desviación que supere un cierto umbral respecto al perfil almacenado ser´a tratado como una evidencia de ataque o intrusión.
Esquema de detección basado en usos indebidos - Cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos.
Analizadores basados en transiciones de estados - Este modelo hace uso de autómatas finitos para representar los ataques, donde los nodos representan los estados, y las flechas arcos, las transiciones.
Analizadores basados en reconocimiento de patrones - Mediante la utilización de reglas del tipo if-then-else para examinar los datos, estos analizadores procesan la información por medio de funciones internas en el sistema, de forma completamente transparente al usuario.

Recolector de información - también conocido como sensor, es el responsable de la recogida de información de los equipos monitor izados por el sistema de detección.

Sensores basados en aplicación - recibe la información de aplicaciones que se están ejecutando, y podrían ser considerados como un caso especial de los sensores basados en equipo.
Sensores basados en red - recogen información de eventos sucedidos a nivel de trafico de red, por ejemplo, analizando las cabeceras IP de todos los data gramas que pasan por la interfaz de red.
Sensores basados en equipo - se encarga de analizar y recoger información de eventos a nivel de sistema operativo, como por ejemplo intentos de conexión y llamadas al sistema.

Arquitectura general de un sistema de deteccion de intrusiones

Tolerancia en fallos - El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión.
Escalabilidad - A medida que la red vaya creciendo tanto en medida como en velocidad, también aumentara el numero de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el numero de eventos, sin que se produzca perdida de información.
Rendimiento - Ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.
Eficiencia - El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada conocida como falsos negativos.
Precisión - Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

Primeros sistemas para la detección de ataques en tiempo real.

MIDAS - Fue uno de los primeros sistemas de detección de intrusiones conectados a Internet. Fue publicado en la red en 1989 y monitor izo el mainframe Dockmaster en 1990, contribuyendo a fortalecer los mecanismos de autentificacion de usuarios.
IDES - Utilizaban perfiles para describir los sujetos del sistema principalmente usuarios y reglas de actividad para definir las acciones que tenían lugar eventos de sistema o ciclos de CPU.

Sistemas de Confianza - Son aquellos sistemas que emplean suficientes recursos software y Hardware para permitir el procesamiento simultaneo de una variedad de información confidencial o clasificada.

Trusted Computer System Avaluation Criteria.
Servir de garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones ser´a suficiente para controlar los posibles da˜nos ocasionados en el sistema.
Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de protección del sistema.
Permitir el descubrimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor.
Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.
Permitir la revisión de patrones de acceso por parte de un objeto o por parte de un usuario y el uso de mecanismos de protección del sistema.

Fases en que el atacante intentara llevar acabo la intrusión.

4 Fase de extracción de información - El atacante con privilegios de administrador, tendrá acceso a los datos de los clientes mediante la base de datos de clientes.
- Obtension de rango de direcciones IP - Ataque al servidor HTTP - Identificar S. O. y Hardware del servidor. - Obtension de la informacion de las base de datos.
3 Fase de ocultación de Huellas - Se realizara toda aquella actividad ejecutada por el atacante, una vez ya producida la instrusion para pasar desapercibido por el sistema.
2 Fase de explotación de servicios - Describe la actividad que permite al atacante hacerse con privilegios de Administrador. Abusando de algunas de las deficiencias encontradas.
1 Fase de Vigilancia - El atacante intentara aprender todo lo que pueda sobre la red que intentara atacar.