1. Necesidad de Mecanismos Adicionales en la Prevención y Detección
1.1. Violación de seguridad en el firewall
1.2. Aplicar técnicas de rootkit.
1.3. Ataque con Denegación de Servicios (DDoS)
2. Sistemas de Detección de Intrusos
2.1. Tratan de encontrar y reportar la actividad maliciosa en la red para luego reaccionar adecuadamente ante un ataque.
2.1.1. Intrusión
2.1.1.1. Es una secuencia de acciones realizadas por parte de uno o varios usuarios para acceder de forma ilegal sobre un equipo o un sistema de red.
2.1.2. Detección de Intrusiones
2.1.2.1. Es el proceso de identificación y respuesta ante actividades ilícitas observadas contra uno o varios recursos de una red.
2.2. Antecedentes de los Sistemas de Detección de Intrusos
2.2.1. Son una evolución de los primeros sistemas de auditorías.
2.2.2. Medían el tiempo que dedicaban los usuarios en el sistema.
2.2.3. Monitoreaban con milésimas de segundo y servían para poder facturar el servidor.
2.2.4. Se establecen los sistemas de confianza, los cuales son sistemas que emplean suficientes recursos de software y hardware para permitir el procesamiento simultáneo de una variedad de información confidencial.
2.2.5. La información se encuentra repartida en niveles de acuerdo a su confidencialidad.
2.2.6. Primeros Sistemas para la Detección de Ataques en Tiempo Real
2.2.6.1. Intrusion Detection Expert System (IDES)
2.2.6.1.1. Es a base de perfiles para describir los sujetos del sistema y sus reglas de actividad para definir las actividades que tenían lugar. Estos elementos permitían tener mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías.
2.2.6.2. Discovery
2.2.6.2.1. Capaz de detectar e impedir problemas de seguridad en bases de datos. Monitorizaba aplicaciones en lugar de todo el sistema operativo y mediante la utilización de métodos estadísticos desarrollados en COBOL, podía detectar posibles abusos.
2.2.6.3. Multics Intrusion Detection and Alerting System
2.2.6.3.1. Creado por la National Computer Security Center (NCSC), fue uno de los más seguros y su objetivo era monitorizar el dockmaster de la NCSC.
2.2.6.3.2. Utilizaba un proceso de análisis progresivo compuesto por cuatro niveles de reglas.
2.2.6.3.3. Contaba con una base de datos que utilizaban para determinar signos de comportamientos anormales.
2.2.6.3.4. Contribuyó a fortalecer los mecanismos de autentificación de usuarios.
2.2.7. Sistemas de Detección de Intrusión Actuales
2.2.7.1. DIDS
2.2.7.1.1. Se hizo una fusión de los sistemas de detección basados en el monitoreo del sistema operativo y de las aplicaciones junto con sistemas distribuidos de detección de redes, capaces de monitorear en grupo, ataques e intrusiones a través de redes conectadas a internet.
2.2.7.1.2. El objetivo inicial de este sistema era proporcionar medios que permitieran centralizar el control y la publicación de los resultados en un analizador central.
2.3. Arquitectura General de un Sistema de Detección de Intrusiones
2.3.1. Precisión
2.3.1.1. No debe confundir las acciones legales de las ilegales.
2.3.2. Eficiencia
2.3.2.1. Debe minimizar la tasa de actividad maliciosa no detectada (falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor eficiencia tendrá el sistema.
2.3.3. Rendimiento
2.3.3.1. Debe ser capaz de realizar una detección en tiempo real, según los expertos, debe ser en menos de 1 minuto.
2.3.4. Escalabilidad
2.3.4.1. A medida que la red va creciendo en medida y velocidad, aumentará el número de eventos, el sistema de detección debe ser capaz de soportar este aumento sin que haya pérdida de información.
2.3.5. Tolerancia a Fallos
2.3.5.1. Aunque el ataque haya sido exitoso, incluso para el mismo sistema de detección, debe ser capaz de seguir ofreciendo sus servicios.
2.3.6. En el año 2000, se crea un nuevo grupo Intrusion Detection Working Group (IDWG), quienes replantean los requisitos necesarios para la construcción de un marco de desarrollo genérico con los siguientes objetivos:
2.3.6.1. Definir la interacción entre el sistema de detección de intrusos frente a otros elementos de seguridad de la red.
2.3.6.2. Su primera propuesta: Tunnel Profile. Es un mecanismo para la cooperación entre los distintos elementos de seguridad mediante el intercambio de mensajes. Este mecanismo garantiza una correcta comunicación entre los diferentes elementos, proporcionando privacidad, autenticidad e integridad de la información.
2.3.6.3. Especificar el contenido de los mensajes intercambiados entre los distintos elementos del sistema.
2.3.6.4. Proponen el formato Intrusion Detection Message Exchange Format (IDMEF) y el protocolo de intercambio de mensajes Intrusion Detection Exchange Protocol (IDXP).
2.3.7. Recolectores de Información
2.3.7.1. Es conocido como Sensor, es el responsable de la recogida de información de los equipos monitoreados por el sistema de detección.
2.3.7.2. Formas de clasificar este componente:
2.3.7.2.1. Sensores Basados en Equipo
2.3.7.2.2. Sensores Basados en Red
2.3.7.2.3. Sensores Basados en Aplicación
2.3.7.3. Elección de Sensores
2.3.7.3.1. Se tratan de unificar las tres opciones, ofreciendo una solución de sensores híbrida:
2.3.7.4. Instalación de Sensores
2.3.7.4.1. Los más sencillos son los Basados en Aplicaciones, generalmente se instalan en partes del programa donde ofrecen sus servicios de depuración y generación de ficheros de registro.
2.3.7.4.2. En el caso del sistema UNIX, existen 23 puntos de interés donde debería analizarse la información.
2.3.7.4.3. En los sensores basados en red, existe una dificultad acerca de dónde debe ir debido a la segmentación.
2.3.7.4.4. Una opción sería colocar el sensor en el enlace donde se comunican todos los equipos en red, pero representaría una pérdida de información debido a que no soporta elevadas cargas en el tráfico de la información.
2.3.7.4.5. Otra opción sería colocar el sensor entre el enlace de red que separa el interior y el exterior, como un sistema de prevención perimetral.
2.3.7.4.6. Una combinación de ambas, sería la utilización del puerto de intervención (tap port). Se trata de un puerto que refleja todo el tráfico que pasa a través del equipo.
2.3.7.4.7. La desventaja sería, que debido a la elevada carga en el tráfico de la información, sobrecargaría la capacidad de análisis de los sensores.
2.3.8. Procesadores de Eventos
2.3.8.1. Conocidos como Analizadores, conforman el núcleo central del sistema de detección.
2.3.8.2. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.
2.3.8.3. A continuación se presentan 2 esquemas de detección para inferir intrusiones:
2.3.8.3.1. Esquema de Detección Basado en Usos Indebidos
2.3.8.3.2. Esquema de Detección Basado en Anomalías
2.3.9. Unidades de Respuesta
2.3.9.1. Son las encargadas de iniciar acciones de respuesta en el momento en que se detecte un ataque o una intrusión. Consta de 2 tipos de respuesta:
2.3.9.1.1. Respuestas Activas
2.3.9.1.2. Respuestas Pasivas
2.3.9.2. Se pueden dividir en varias categorías:
2.3.9.2.1. Unidades de Respuesta Basadas en Equipo
2.3.9.2.2. Unidades de Respuesta Basadas en Red
2.3.10. Elementos de Almacenamiento
2.3.10.1. Estos elementos son seleccionados de acuerdo a dos factores: Volumen de la información y Tiempo de Almacenamiento.
2.3.10.1.1. Volumen de la Información
2.3.10.1.2. Tiempo de Almacenamiento
3. Escáneres de Vulnerabilidades
3.1. Son un conjunto de aplicaciones que nos permitirán realizar pruebas de ataque para determinar si una red o equipo tiene deficiencias de seguridad que puedan ser explotadas por un posible atacante o comunidad de atacantes.
3.2. Los Mecanismos de Detección de Ataques son:
3.2.1. Los Elementos de Tipo Dinámico
3.2.1.1. Son las herramientas de detección utilizadas en un sistema de detección de intrusos.
3.2.1.2. Trabajan de forma continua como una videocámara de seguridad.
3.2.2. Los Elementos de Detección de Tipo Estático
3.2.2.1. Son los escáneres de vulnerabilidad.
3.2.2.2. Trabajan de forma pausada con intervalos de tiempo como una cámara fotográfica.
3.3. El funcionamiento se divide en tres etapas:
3.3.1. 1ra. Etapa
3.3.1.1. Realiza una extracción de muestras del conjunto de atributos del sistema y los almacena en un contenedor seguro.
3.3.2. 2da. Etapa
3.3.2.1. Los resultados son organizados y comparados con, al menos, un conjunto de referencia de datos, la cual podría ser una plantilla con la configuración generada manualmente o una imagen del estado del sistema generada anteriormente.
3.3.3. 3ra. Etapa
3.3.3.1. Se genera un informe con las diferencias entre ambos conjuntos de datos.
3.4. La clasificación de las herramientas son:
3.4.1. Escáneres Basados en Máquinas
3.4.1.1. Se basa en la utilización de la información de un sistema para la detección de vulnerabilidades. Dos herramientas de este grupo fueron: COPS y TIGER.
3.4.1.1.1. COPS
3.4.1.1.2. TIGER
3.4.2. Escáneres Basados en Red
3.4.2.1. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.
3.4.2.2. Realizan pruebas de ataque y registran las respuestas obtenidas.
3.4.2.3. Dos de las técnicas más utilizadas para la evaluación de vulnerabilidades basadas en red son:
3.4.2.3.1. Pruebas por Explotación
3.4.2.3.2. Métodos por Inferencia
3.4.2.4. Nessus
3.4.2.4.1. Es una de las herramientas más utilizadas para escaneo de vulnerabilidades en red.
3.4.2.4.2. Cuenta con su propio protocolo de comunicación.
3.4.2.4.3. El trabajo correspondiente para explorar y probar ataques contra objetivos es realizado por el servidor de Nessus (nessusd)
3.4.2.4.4. Las tareas de control, generación de informes y presentación de los datos son gestionados por el cliente (nessus)
4. Sistemas de Decepción
4.1. Utilizan técnicas de monitoreo para registrar y analizar estas acciones, tratando de aprender de los atacantes.
4.2. Equipos de Decepción
4.2.1. Son conocidos como Tarros de Miel o Honeypots.
4.2.2. Son equipos informáticos conectados que tratan de atraer el tráfico de uno o más atacantes.
4.2.3. Atrayendo a los atacantes, los administradores pueden ver intentos de ataques que tratan de realizar una intrusión en el sistema.
4.2.4. Analiza el comportamiento de los elementos de seguridad implementados en la red.
4.2.5. Obtiene información sobre las herramientas y conocimientos necesarios para realizar una intrusión en entornos de red.
4.2.6. Toda la información obtenida, se utiliza para detener futuros ataques a los equipos de red.
4.3. Celdas de Aislamiento
4.3.1. Mediante el uso de un dispositivo intermedio, todo el tráfico etiquetado como malicioso, será dirigido hacia un Equipo de Decepción, el cual es la Celda de Aislamiento.
4.3.2. Ofrece al atacante un entorno similar al sistema real de red.
4.3.3. La celda está protegida de tal manera que no pone en riesgo el equipo real de la red o del exterior.
4.3.4. Se pueden utilizar para comprender mejor los métodos utilizados por los intrusos.
4.4. Redes de Decepción
4.4.1. Consiste en la construcción de todo un segmento de red, con la intención de engañar y atraer a los atacantes, permitiéndoles un acceso, no tan difícil, para registrar todos sus movimientos.
4.4.2. Si no existe un área simulada por la red de decepción, entonces, toda la información que el atacante obtenga, será la del sistema de red real, incluyendo las vulnerabilidades.
4.4.3. El funcionamiento se basa en un solo principio: todo el tráfico que entra a cualquiera de sus equipos, es considerado como malicioso.
4.4.4. Es una herramienta de análsis muy valiosa para incrementar la seguridad, siempre y cuando, la empresa le dedique el tiempo y los recursos necesarios.
5. Prevención de Intrusos
5.1. Son el resultado de unir la capacidad de bloqueo de los sistemas de prevención con las capacidades de análisis y monitoreo de los sistemas de detección de intrusos.
5.2. Es una evolución directa de los sistemas de detección de intrusos y se llegan a considerar la nueva generación de estos sistemas.
5.3. Se encargan de descartar o bloquear los paquetes sospechosos tan pronto sean identificados.
5.4. Algunos de estos sistemas contemplan la posiblidad de detectar anomalías en el uso de paquetes manipulados malintencionadamente.
5.5. Se pueden clasificar en 2 categorías:
5.5.1. Basasdos en Máquinas
5.5.1.1. Utilizan aplicaciones instaladas directamente en el equipo que se desea proteger.
5.5.1.2. Están estrechamente relacionados con el sistema operativo y sus servicios.
5.5.2. Basados en Red
5.5.2.1. Son dispositivos de red con al menos 2 interfaces para monitoreo interno y externo.
5.5.2.2. Se integran las capacidades de filtrado de paquetes y motor de detección.
5.6. Sistemas de Detección en Línea
5.6.1. Utilizan dos dispositivos de red diferenciados: 1.- Para interceptar el tráfico en la red. 2.- Efectuar tareas de gestión y administración.
5.6.2. Utiliza una herramienta llamada Hogwash, la cual es una utilidad del Snort. Lo que hace es proteger la red de todo tráfico malicioso.
5.6.3. Utilizando la herramienta Hogwash, en caso de un ataque, tiene la capacidad de reescribir el tráfico de la red antes de que los paquetes maliciosos alcancen otro segmento de la red.
5.7. Conmutadores de Nivel Siete
5.7.1. Se utilizan para realizar tareas de balanceo de carga de aplicaciones entre servidores.
5.7.2. Proporcionan protección frente a ataques como ser descartar el tráfico procedente de una denegación de servicios.
5.7.3. El motor de detección utilizado se basa en la detección de usos indebidos, implementado en la mayoría de los casos mediante el uso de patrones de ataque.
5.7.4. Realiza detecciones de ataques en redes conmutadas de alta velocidad.
5.7.5. Tiene la posibilidad de la redundancia, la cual se consigue, con sistemas configurados para activarse en casos de fallos del dispositivo primario.
5.8. Sistema de Cortafuegos a Nivel de Aplicación
5.8.1. Trabajan en la capa de aplicación del modelo OSI
5.8.2. Se instalan directamente sobre el sistema final que se desea proteger.
5.8.3. Se pueden configurar para analizar eventos como la gestión de memoria, las llamadas al sistema o intentos de conexión al sistema en donde fueron instalados.
5.8.4. Es el único que monitorea las actividades de las aplicaciones con relación al sistema operativo.
5.8.5. Puede ser instalado en cada máquina o equipo que se desea proteger.
5.8.6. Permite un alto nivel de personalización por parte de los administradores de sistemas y por los usuarios.
5.9. Conmutadores Híbridos
5.9.1. Es el dispositivo de red instalado como un conmutador de nivel siete pero sin el conjunto de reglas.
5.9.2. Su método de detección está basado en políticas, como el cortafuegos a nivel de aplicación.
5.9.3. Permite reducir problemas de seguridad asociados a una programación deficiente y detecta ataques a nivel de aplicación.
5.9.4. Se pueden combinar con conmutadores de nivel siete para reducir la carga del tráfico en la red.
5.9.5. Permiten que los conmutadores de nivel siete redirigan únicamente las peticiones consideradas como maliciosas, de esta forma, poder hacer la detección final.
6. Detección de Ataques Distribuidos
6.1. Los ataques distribuidos son, por ejemplo, la denegación de servicio estilo master-slave.
6.2. No pueden ser detectados buscando patrones de forma aislada.
6.3. Se tienen que detectar a partir de la combinación de múltiples indicios encontrados en distintos equipos de una red monitoreada.
6.4. Esquemas Tradicionales
6.4.1. Tratan de unificar la información recolectada utilizando esquemas y modelos centralizados.
6.4.2. Plantean la instalación de sensores en cada uno de los equipos que se desean proteger.
6.4.3. Son configurados para retransmitir toda la información a un punto central de análisis.
6.4.4. Utilizan el prefiltrado masivo para reducir la información, pero corren el riesgo de presentar altas tasas de falsos negativos por descartar información necesaria al momento del filtrado.
6.5. Análisis Descentralizado
6.5.1. Dos de las propuestas existentes para este análsis, son las siguientes: 1.-Análisis de Código Móvil. 2.-Nodos Cooperativos.
6.5.1.1. Análisis de Código Móvil
6.5.1.1.1. Utilizan el paradigma de agentes de software para mover los motores de detección por la red.
6.5.1.1.2. A medida los motores recogen la información sobre la red ofrecida por los sensores, van realizando el análisis descentralizado.
6.5.1.1.3. Mediante este proceso mediante los agentes de software, será posible realizar el proceso de correlación de eventos y la creación de estadísticas sin necesidad de elementos centrales.
6.5.1.1.4. Los agentes podrán moverse dinámicamente por el sistema, para conseguir un mejor balance de la carga y la evasión de ataques contra si mismo.
6.5.1.1.5. Cuando las anomalías detectadas por los agentes móviles cubren un nivel de sospecha determinado, se envía una serie de agentes reactivos hacia los equipos involucrados para neutralizar el ataque.
6.5.1.2. Nodos Coopertaivos
6.5.1.2.1. Trata de eliminar los nodos centrales o intermediarios
6.5.1.2.2. Estos nuevos elementos son estáticos y solo necesitan una infraestructura común de paso de mensajes para realizar el proceso de detección descentralizado.
6.5.1.2.3. Una vez que los sensores detectan una acción que involucra un ataque, se comunica al resto de los elementos involucrados.
6.5.1.2.4. La información recolectada por los sensores, no será transmitida a todos los elementos de control, sino solo a los elementos afectados o con información relacionada.