Mecanismos para la detección de ataques e intrusiones.
Fases en que el atacante intentara llevar acabo la intrusión.
1 Fase de Vigilancia - El atacante intentara aprender todo lo que pueda sobre la red que intentara atacar.
2 Fase de explotación de servicios - Describe la actividad que permite al atacante hacerse con privilegios de Administrador. Abusando de algunas de las deficiencias encontradas.
3 Fase de ocultación de Huellas - Se realizara toda aquella actividad ejecutada por el atacante, una vez ya producida la instrusion para pasar desapercibido por el sistema.
4 Fase de extracción de información - El atacante con privilegios de administrador, tendrá acceso a los datos de los clientes mediante la base de datos de clientes.
- Obtension de rango de direcciones IP
- Ataque al servidor HTTP
- Identificar S. O. y Hardware del servidor.
- Obtension de la informacion de las base de datos.
Sistemas de Confianza - Son aquellos sistemas que emplean suficientes recursos software y Hardware para permitir el procesamiento simultaneo de una variedad de información confidencial o clasificada.
Trusted Computer System Avaluation
Criteria.
Permitir la revisión de patrones de acceso por parte de un objeto o por parte de un usuario y el uso de mecanismos de protección del sistema.
Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.
Permitir el descubrimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor.
Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de protección del sistema.
Servir de garantía frente a los usuarios de que toda la información que se recoja sobre
ataques e intrusiones ser´a suficiente para controlar los posibles da˜nos ocasionados en el sistema.
Primeros sistemas para la detección de ataques en tiempo real.
IDES - Utilizaban perfiles para describir los sujetos del sistema principalmente usuarios y reglas de actividad para definir las acciones que tenían lugar eventos de
sistema o ciclos de CPU.
MIDAS - Fue uno de los primeros sistemas de detección de intrusiones conectados a Internet. Fue publicado en la red en 1989 y monitor izo el mainframe Dockmaster en 1990, contribuyendo a fortalecer los mecanismos de autentificacion de usuarios.
Arquitectura general de un sistema de deteccion de intrusiones
Precisión - Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.
Eficiencia - El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada conocida como falsos negativos.
Rendimiento - Ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.
Escalabilidad - A medida que la red vaya creciendo tanto en medida como en velocidad,
también aumentara el numero de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el numero de eventos, sin que se produzca
perdida de información.
Tolerancia en fallos - El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión.
Recolector de información - también conocido como sensor, es el responsable de la recogida de información de los equipos monitor izados por el sistema de detección.
Sensores basados en equipo - se encarga de analizar y recoger información de eventos a nivel de sistema operativo, como por ejemplo intentos de conexión y llamadas al sistema.
Sensores basados en red - recogen información de eventos sucedidos
a nivel de trafico de red, por ejemplo, analizando las cabeceras IP de todos
los data gramas que pasan por la interfaz de red.
Sensores basados en aplicación - recibe la información de aplicaciones que se están ejecutando, y podrían ser considerados como un caso especial de los sensores basados en equipo.
Procesadores de eventos - también conocidos como analizadores, conforman el nucleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.
Esquema de detección basado en usos indebidos - Cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos.
Analizadores basados en reconocimiento de patrones - Mediante la utilización de reglas del tipo if-then-else para examinar los datos, estos analizadores procesan la información por medio de funciones internas en el sistema, de forma completamente transparente al usuario.
Analizadores basados en transiciones de estados - Este modelo hace uso de autómatas finitos para representar los ataques, donde los nodos representan los estados, y las flechas arcos, las transiciones.
Esquema de deteccion basado en anomalıas - trataran de identificar actividades sospechosas comparando el comportamiento de un usuario, proceso o servicio, con el comportamiento de perfil clasificado como normal.
Perfil - Sirve como métrica medida de un conjunto de variables) de comportamientos normales. Cualquier desviación que supere un cierto umbral respecto al perfil almacenado ser´a tratado como una evidencia de ataque o intrusión.
Escaners de vulnerabilidades - Son un conjunto de aplicaciones que nos permitirán realizar pruebas o test de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.
Etapa 1 - Durante la primera etapa se realiza una extraccion de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.
Etapa 2 - Estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente, o bien ser una imagen del estado del sistema realizada con anterioridad.
Etapa 3 - Finalmente se generara un informe con las diferencias entre ambos conjuntos de datos.
Escaners basados en maquina - Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades.
Se basa en la utilización de información de un sistema para la detección de vulnerabilidades como, por ejemplo, errores en permisos de ficheros, cuentas de usuario abiertas por defecto, entradas de usuario duplicadas o sospechosas, etc.
Escaners basados en red - Los escaners de vulnerabilidades basados en red aparecieron posteriormente y se han ido haciendo cada vez mas populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.
Prueba por explotación - Esta técnica consiste en lanzar ataques reales contra el objetivo. Estos ataques están programados normalmente mediante guiones de comando. En lugar de aprovechar la vulnerabilidad para acceder al sistema, se devuelve un indicador que muestra si se ha tenido éxito o no.
Métodos de inferencia - El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.
Sistemas de decepción - En vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorizacion para registrar y analizar estas acciones, tratando de aprender de los atacantes.
Los equipos de decepción - También conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el trafico de uno o mas atacantes.
Celdas de aislamiento - Tienen una metodología muy similar a los equipos de decepción que acabamos de ver. Mediante el uso de un dispositivo intermedio con capacidades de detección y encaminamiento todo el trafico etiquetado como malicioso sera dirigido hacia un equipo de decepción conocido en este caso como celda de aislamiento.
Redes de decepción - Un enfoque mas avanzado que los anteriores consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos permitiendo su acceso sin demasiada dificultad.
Prevención de intrusos - Son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitoritacion de los sistemas de detección de intrusos.
Sistemas de detección - En linea la mayor parte de los productos y dispositivos existentes para la monitorizacion y detección de ataques en red se basan en la utilización de dos dispositivos de red diferenciados.
Conmutadores de nivel siete - Estos dispositivos se suelen utilizar para realizar tareas de balanceo de carga de una aplicación entre varios servidores. Para ello, examinan la información a nivel de aplicación por ejemplo HTTP, FTP, DNS, etc. Para tomar decisiones de encaminamiento.
Sistemas cortafuegos a nivel de aplicación- Los sistemas cortafuegos a nivel de aplicación, al igual que los conmutadores de nivel siete que acabamos de ver, trabajan en el nivel de aplicación del modelo OSI. Se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.
Conmutadores híbridos - Su método de detección esta basado en políticas, como el de los sistemas cortafuegos a nivel de aplicación. Por lo tanto, estos conmutadores analizaran el trafico de red para poder detectar información definida en las políticas que tienen configuradas.
Sistemas de detección de Intrusos - Tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.
Intrusión - Secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo.
Unidades de respuesta - De un sistema de detección se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión.
Unidades de respuesta basadas en equipo - Se encargan de actuar a nivel de sistema operativo como, por ejemplo, bloqueo de usuarios, finalizacion de procesos, etc.
Unidades de respuesta basadas basadas en red- Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas, etc.
Elementos de almacenamiento - En algunas situaciones, el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento.
Análisis a corto plazo - La información sera almacenada directamente en los propios sensores en buffers internos de forma que después de realizar un procesado previo de los datos, y su transformación a un formato de evento, ´estos sean transmitidos a los elementos de análisis.
Análisis a medio plazo - Puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores
del sistema en el caso de que el proceso de análisis ası lo requiera.
Análisis a largo plazo - Eventualmente, y después de un proceso de compresión (para reducir el tamaño), parte de la información a medio plazo podrá continuar almacenada durante largos periodos de
tiempo del orden de meses o incluso años a la espera de que pueda ser consultada por procesos de detección a largo plazo.