Mecanismo Para la Detección de Ataques

Primeros sistemas para la detección de ataques en tiempo real
El proyecto Instrusion Detection Expert System (IDES), desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros sistemas de detección de intrusos en tiempo real. Este proyecto, financiado entre otros por la marina norteamericana, proponía una correspondencia entre actividad anómala y abuso o uso indebido (entendiendo por anómala aquella actividad extraña o inusual en un contexto estadístico).

La intrusión que el atacante intentara llevar a cabo pasara por las siguientes cuatro fases:

• Fase de vigilancia. Durante la fase de vigilancia, el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratara de descubrir servicios vulnerables y errores de configuración.
• Fase de explotación de servicio. Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior
• Fase de ocultación de huellas. Durante esta fase de ocultación se realizará toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.

• Fase de extracción de información. En esta última fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

Sistemas de detección de intrusos
La detección de ataques e intrusiones parte de la idea que un atacante es capaz de violar nuestra política de seguridad, atacando parcial o totalmente los recursos de una red, con el objetivo final de obtener un acceso con privilegios de administrador.

Subtema

Una intrusión es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo.

La detección de intrusiones es el proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red.

Esta última definición introduce la noción de proceso de detección de intrusos, que involucra toda una serie de tecnologías, usuarios y herramientas necesarias para llegar a buen término.

. Antecedentes de los sistemas de detección de intrusos:
Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditorias. Estos sistemas tenían como finalidad medir el tiempo que dedicaban los operadores a usar los sistemas. Con esta finalidad, se monitor izaban con una precisión de milésimas de segundo y servían, entre otras cosas, para poder facturar el servidor.

sistemas de confianza: son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de información confidencial o clasificada. En estos sistemas se incluían distintos tipos de información repartida en niveles, que correspondían a su grado de confidencialidad.

• Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protección del sistema.
• Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.
• Permitir el descubrimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor (escalada de privilegios).
• Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de protección del sistema.
• Servir de garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones será suficiente para controlar los posibles daños ocasionados en el sistema.

Sistemas de detección de intrusos actuales
A partir de los años 90, el rápido crecimiento de las redes de ordenadores provoco la aparición de nuevos modelos de detección de intrusiones. Por otro lado, los daños provocados por el famoso gusano de Robert Morris en el 1988 contribuyeron a aunar esfuerzos entre actividades comerciales y académicas en la búsqueda de soluciones de seguridad en este campo.

Arquitectura general de un sistema de detección de intrusiones
Como acabamos de ver, desde el comienzo de la década de los ochenta se han llevado a cabo multitud de estudios referentes a la construcción de sistemas para la detección de intrusos. En todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir los siguientes requisitos:

• Precisión. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

• Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor será la eficiencia del sistema de detección

• Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detección en tiempo real responde a la detección de la intrusión antes de que esta´ llegue a provocar daños en el sistema. Según los expertos, este tiempo debería de ser inferior a un minuto.

Observando las propuestas tanto del CIDF como las del IDWG podemos ver que los elementos necesarios para la construcción de un sistema para la detección de intrusos se pue-den agrupar en las siguientes cuatro categorías que a continuación pasaremos a comentar con más detalle:
1. Recolectores de información.
2. Procesadores de eventos.
3. Unidades de respuesta.
4. Elementos de almacenamiento.

Recolectores de información Un recolector de información, también conocido como sensor, es el responsable de la recogida de información de los equipos monitor izados por el sistema de detección.

Elección de sensores
Durante los últimos años se ha debatido bastante cuál de los tres tipos de sensores ofrece mejores prestaciones. Actualmente, la mayoría de los sistemas de detección tratan de unificar las tres opciones, ofreciendo una solución de sensores hibrida.

• Sensores basados en equipo y en aplicación. Los sensores basados en equipo y en aplicación podrán recoger información de calidad, además de ser fácilmente configurables y de poder ofrecer información de gran precisión.

Instalación de sensores
No es para nada trivial determinar el lugar exacto en el que se deben colocar estos componentes (desde donde recoger la información). Los más sencillos de colocar son los sensores basados en aplicación generalmente instalados en aquellas partes del programa donde se ofrecen servicios de depuración y generación de ficheros de registro. Pero la situación es mucho más difícil para las otras dos variantes.

• Sensores basados en red. La principal ventaja de los sensores basados en red, frente a las otras dos soluciones, es la posibilidad de trabajar de forma no intrusiva. Por lo tanto, la recogida de información no afecta a la forma de trabajar de los equipos o a la propia infraestructura. Al no residir forzosamente en los equipos que hay que analizar, son más resistentes a sufrir ataques.

Procesadores de eventos
Los procesadores de eventos, también conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.

Esquema de detección basado en usos indebidos
La detección de intrusiones basada en el modelo de usos indebidos cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos.