por Jesus Octavio Bautista Mejia hace 6 años
127
Ver más
• Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protección del sistema. • Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección. • Permitir el descubrimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor (escalada de privilegios). • Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de protección del sistema. • Servir de garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones será suficiente para controlar los posibles daños ocasionados en el sistema.
Sistemas de detección de intrusos actuales A partir de los años 90, el rápido crecimiento de las redes de ordenadores provoco la aparición de nuevos modelos de detección de intrusiones. Por otro lado, los daños provocados por el famoso gusano de Robert Morris en el 1988 contribuyeron a aunar esfuerzos entre actividades comerciales y académicas en la búsqueda de soluciones de seguridad en este campo.
Recolectores de información Un recolector de información, también conocido como sensor, es el responsable de la recogida de información de los equipos monitor izados por el sistema de detección.
Elección de sensores Durante los últimos años se ha debatido bastante cuál de los tres tipos de sensores ofrece mejores prestaciones. Actualmente, la mayoría de los sistemas de detección tratan de unificar las tres opciones, ofreciendo una solución de sensores hibrida.
• Sensores basados en red. La principal ventaja de los sensores basados en red, frente a las otras dos soluciones, es la posibilidad de trabajar de forma no intrusiva. Por lo tanto, la recogida de información no afecta a la forma de trabajar de los equipos o a la propia infraestructura. Al no residir forzosamente en los equipos que hay que analizar, son más resistentes a sufrir ataques.
Procesadores de eventos Los procesadores de eventos, también conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.
Esquema de detección basado en usos indebidos La detección de intrusiones basada en el modelo de usos indebidos cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos.
• Sensores basados en equipo y en aplicación. Los sensores basados en equipo y en aplicación podrán recoger información de calidad, además de ser fácilmente configurables y de poder ofrecer información de gran precisión.
Instalación de sensores No es para nada trivial determinar el lugar exacto en el que se deben colocar estos componentes (desde donde recoger la información). Los más sencillos de colocar son los sensores basados en aplicación generalmente instalados en aquellas partes del programa donde se ofrecen servicios de depuración y generación de ficheros de registro. Pero la situación es mucho más difícil para las otras dos variantes.
Arquitectura general de un sistema de detección de intrusiones Como acabamos de ver, desde el comienzo de la década de los ochenta se han llevado a cabo multitud de estudios referentes a la construcción de sistemas para la detección de intrusos. En todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir los siguientes requisitos:
Observando las propuestas tanto del CIDF como las del IDWG podemos ver que los elementos necesarios para la construcción de un sistema para la detección de intrusos se pue-den agrupar en las siguientes cuatro categorías que a continuación pasaremos a comentar con más detalle: 1. Recolectores de información. 2. Procesadores de eventos. 3. Unidades de respuesta. 4. Elementos de almacenamiento.
• Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detección en tiempo real responde a la detección de la intrusión antes de que esta´ llegue a provocar daños en el sistema. Según los expertos, este tiempo debería de ser inferior a un minuto.
• Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor será la eficiencia del sistema de detección
• Precisión. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.
• Fase de vigilancia. Durante la fase de vigilancia, el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratara de descubrir servicios vulnerables y errores de configuración. • Fase de explotación de servicio. Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior • Fase de ocultación de huellas. Durante esta fase de ocultación se realizará toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema. • Fase de extracción de información. En esta última fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.