Mecanismos para la detección de ataques e instrucciones

5.3 Escaners de Vulnerabilidades:

Son un conjunto de aplicaciones que nos permitirán pruebas o tests de ataque parta determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.

El funcionamiento general de un escaner de vulnerabilidades se podría en tres etapas:

Durante la primera etapa se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

En la segunda etapa, estos resultados son organizados y comparados con al menos un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente, o bien ser una imagen del estado del sistema realizada con anterioridad.

Finalmente se generara un informe con las diferencias entre ambos conjuntos de datos.

Protocolo HTTPS

Se utiliza como un mecanismo de protección de los datos de los clientes a la hora de realizar transferencias seguras al servidor de HTTP, utilizando técnicas criptográficas para proteger la información sensible que el usuario transmite al servidor.

5.4 Sistemas de Decepción

En vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.

5.5 Prevención de Intrusos:

Son el resultado de unir las capacidades de bloque de los mecanismos de prevencion con las capacidades de analisis y monitorizacion delos sistemas de deteccion deintrusos.

5.1 Fases para una Intrusión:

1. Fase de Vigilancia: el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar.

2. Fase de Explotación de Servicio: Describe la actividad que permitirá al atacante hacerse con privilegios de administrador abusando de alguna de las deficiencias encontradas durante la etapa anterior.

3. Fase de Ocultación de Huellas: Se realizara toda aquella actividad ejecutada por el atacante para pasar desapercibido en el sistema.

4. Fase de Extracción de Información: El atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

5.6 Detección de Ataques Distribuidos:

Un ejemplo de este tipo de ataques son las denegaciones de servicio basadas en modelos master-slave. Este tipo de ataques que no pueden ser identificados buscando patrones de forma aislada, deben ser detectados a partir de la combinación de múltiples indicios encontrados en distintos equipos de una red monitorizada.

Las Rootkits; es una recopilación de herramientas de sistema, entre otras la fase de ocultación de huellas durante el ataque de intrusión en un sistema.

5.2 Sistemas de Detección de Intrusos:

Los Mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque

Una Intrusión: es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema completo.

La Detección de Intrusiones: es el proceso de identificación y respuesta antes las actividades ilícitas observadas contra uno o varios recursos de la red.

5.2.1 Antecedentes de los Sistemas de Detección de Intrusos: Los primeros sistemas aparecieron en la década de los cincuenta

Sistemas de Confianza: son aquellos que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de información confidencial o clasificada.

Objetivos de un mecanismo de auditoria

1. Permitir la revisión de patrones de acceso y el uso de mecanismos de protección del sistema.

2. Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.

3. Permitir el descubrimiento de la transición de usuarios cuando pasa de un nivel menor de privilegios a otro mayor.

4. Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismo de protección del sistema.

5. Servir de garantía frente a los usuarios de que toda la información que se recoga sobre ataques e intrusiones sera suficientes para controlar los posibles daños ocasionados en el sistema.

Primeros Sistemas para la detección de ataques en tiempo real:

IDES utilizaba perfiles para describir los sujetos del sistema y reglas de actividad para definir las acciones que tenían lugar . Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías.

MIDAS fue uno de los primeros sistemas de detección de intrusiones conectados a Internet. Fue publicado en la red en 1989 y monitorizó el mainframe Dockmaster en 1990, contribuyendo a fortalecer los mecanismos de autenticación de usuarios.

5.2.2 Arquitectura General de un Sistema de Deteccion de Intrusiones:

Sistemas de Detección de Intrusos actuales:

A partir de los años 90, el rápido crecimientos de las redes de ordenadores provoco la aparición de nuevos modelos, por otro lado los daños provocados por el famoso gusano Robert Morris en el 1988 contribuyeron a aunar esfuerzos entre actividades comerciales y académicas en la búsqueda de soluciones de seguridad en este campo.

El objetivo inicial de este sistema distribuido era proporcionar medios que permitieran centralizar el control y la publicación de resultados en un analizador central.

El primer paso fue la fusión de los sistemas de detección basados en la monitorización del SO junto con sistemas distribuidos de detección de redes capaces de monitorizar en grupo ataques e intrusiones a través de redes conectadas a Internet.

En todos los estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir con los siguientes requisitos:

Precisión; Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

Eficiencia; El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada. cuando menor se la tasa de falsos negativos, mayor sera la eficiencia del sistema de detección de intrusos.

Rendimiento; El rendimiento ofrecidos por un sistema de detección de intrusos deber ser suficiente como para poder llegar a realizar una detección en tiempo real.

Escalabilidad; A medida que la red vaya creciendo también aumentara el numero de eventos que deberá tratar el sistema. El detector sera capaz de soportar este aumento en el numero de eventos sin que se produzca perdida de información.

Tolerancia a Fallos; El sistema de detección de intrusiones sera capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión.

5.2.3 Recolectores de Informacion

Un recolector de información también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.

Detallamos a continuación 3 de las propuestas mas utilizadas:

Sensores Basados en Equipo: Se encarga de analizar y recoger información de eventos a nivel de SO.

Sensores Basados en Red: Recogen información de eventos sucedidos a nivel de trafico de red.

Sensores Basados en Aplicación: Recibe la información de aplicaciones que se están ejecutando y podrían ser consideradas como un caso especial de los sensores basados en equipo.

5.6.1 Esquemas Tradicionales

Este diseño presenta un claro problema de sobrecarga sobre el punto central de análisis, debido a la gran cantidad de información que este podría llegar a recibir.

Un Prefiltrado Masivo; en los propios sensores reduce el flujo de información que hay que transmitir hacia el componente central de procesado. Pero esta solución no siempre es posible, puesto que existen situaciones en las que se hace imposible decidir de forma local que tipo de información es relevante para la detección.

Las soluciones tradicionales son vulnerables a errores o a ataques deliberados contra la infraestructura de procesado de eventos.

5.2.4 Procesadores de Eventos

También conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.

Dos de los modelos mas utilizados:

Analizadores basados en reconocimiento de patrones

Analizadores basados en transiciones de estados.

5.2.5 Unidades de Respuesta

Se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión.

Dos categorías mas generales:

Unidades de respuesta basadas en equipo: se encargan de actuar a nivel de SO.

Unidades de respuesta basadas en red: Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas.

5.2.6 Elementos de Almacenamiento

El tiempo de almacenamiento de una información a medio plazo puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores del sistema en el caso de que el proceso de análisis así lo requiera.

5.3.1 Escaners basados en maquina

5.3.2 Escaners basados en Red

Dos de las técnicas mas utilizadas para la evaluación de vulnerabilidades basadas en red son las siguientes:

Prueba por explotación; Esta técnicas consiste en lanzar ataques reales contra el objetivo.

Métodos de Inferencia; El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.

Nessus: es una herramienta basada en un modulo cliente-servidor que cuenta con su propio protocolo de comunicación.

5.4.1 Equipos de Decepción

También conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el trafico de uno o mas atacantes.

5.4.2 Celdas de Aislamiento

Tienen una metodología muy similar a los equipos de decepción de acabamos de ver. Mediante el uso de un dispositivo intermedio todo el trafico etiquetado como malicioso sera dirigido hacia un equipo de decepción.

5.4.3 Redes de Decepción

Se deben contemplar como herramientas de análisis para mejorar la seguridad de las redes de producción. Son una solución muy valiosa si una organización puede dedicarle el tiempo y los recursos necesarios.

5.5.1 Sistemas de Detección en Linea

La interfaz de red utilizada para la monitorización esta conectada a un dispositivo escucha que le permite analizar el trafico de segmento de red.

5.5.2 Commutadores de Nivel Siete

Se suelen utilizar para realizar tareas de balanceo de carga de una aplicación entre varios servidores.

5.5.3 Sistemas Cortafuegos a Nivel de Aplicación

Trabajan en el nivel de aplicación del modulo OSI. Se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.

5.5.4 Conmutadores Híbridos

La combinación de un sistema de cortafuegos a nivel de aplicación junto con un conmutador de nivel siete permite reducir problemas de seguridad asociados a una programación deficiente, así como la posibilidad de detectar ataques a nivel de aplicación.

5.6.2 Análisis Descentralizado

Análisis descentralizado mediante código móvil.

Análisis descentralizado mediante paso de mensajes.