1. Objetivos
1.1. Entender la necesidad de utilizar mecanismos adicionales para garantizar la seguridad de una red ya protegida con mecanismos de seguridad tradicionales.
1.2. Comprender el origen de los primeros sistemas de detección y ver la arquitectura general de estos sistemas.
1.3. Ver otras tecnologías complementarias a los sistemas de detección tradicionales.
2. 5.1 Necesidad de mecanismos adicionales en la prevención y protección
2.1. La intrusión que el atacante intentará llevar a cabo pasará por las siguientes cuatro fases: • Fase de vigilancia ,Fase de explotación de servicio, Fase de extracción de información,
2.2. El protocolo HTTPS se utiliza como un mecanismo de protección de los datos de los clientes a la hora de realizar transferencias seguras al servidor de HTTP, utilizando técnicas criptográficas para proteger la información sensible que el usuario transmite al servidor (número de tarjeta de crédito, datos personales, .. . ).
2.3. Los rootkits son un conjunto de herramientas para garantizar, entre otras, la fase de ocultación de huellas durante el ataque de intrusión en un sistema.
2.4. Las rootkits suelen contener versiones modificadas de las herramientas básicas de administración, con la finalidad de esconder las acciones ilegítimas de un atacante y hacer pasar inadvertida la intrusión. Además, tratarán de garantizar futuras entradas en el equipo sin que el administrador del sistema las detecte.
3. 5.2 Sistemas de detección de intrusos
3.1. 5.2.1 Antecedentes de los sistemas de detección de intrusos
3.1.1. Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditorías. Estos sistemas tenían como finalidad medir el tiempo que dedicaban los operadores a usar los sistemas. Con esta finalidad, se monitorizaban con una precisión de milésimas de segundo y servían, entre otras cosas, para poder facturar el servidor.
3.1.2. Los sistemas de confianza son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultáneo de una variedad de información confidencial o clasificada. En estos sistemas se incluían distintos tipos de información repartida en niveles, que correspondían a su grado de confidencialidad.
3.1.3. A finales de la década de los setenta se incluyó en el Trusted Computer System Avaluation (TSCSEC) un apartado sobre los mecanismos de las auditorías como requisito para cualquier sistema con un nivel de seguridad elevado.
3.1.4. IDES utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos de sistema o ciclos de CPU). Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías.
3.2. 5.2.2 Arquitectura general de un sistema de detección de intrusiones
3.2.1. Desde el comienzo de la década de los ochenta se han llevado a cabo multitud de estudios referentes a la construcción de sistemas para la detección de intrusos. En todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir los siguientes requisitos:
3.2.1.1. Precisión
3.2.1.2. Eficiencia
3.2.1.3. Rendimiento
3.2.1.4. Escalabilidad
3.2.1.5. Tolerancia en fallos
3.2.2. Observando las propuestas tanto del CIDF como las del IDWG podemos ver que los elementos necesarios para la construcción de un sistema para la detección de intrusos se pueden agrupar en las siguientes cuatro categorías que a continuación pasaremos a comentar con más detalle:
3.2.2.1. 1 Recolectores de información.
3.2.2.2. 2 Procesadores de eventos.
3.2.2.3. 3 Unidades de respuesta.
3.2.2.4. 4 Elementos de almacenamiento.
3.3. 5.2.3 Recolectores de información
3.3.1. Un recolector de informacién, también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.
3.3.2. Existen diferentes formas de clasificar las posibles implementaciones de este componente.Detallamos a continuación tres de las propuestas más utilizadas.
3.3.2.1. El primer tipo, conocido como sensores basados en equipo, se encarga de analizar y recoger información de eventos a nivel de sistema operativo.
3.3.2.2. En el segundo tipo encontramos sensores que recogen información de eventos su- cedidos a nivel de tráfico de red (por ejemplo, analizando las cabeceras IP de todos los datagramas que pasan por la interfaz de red). Este tipo de componentes se conoce como sensores basados en red**.
3.3.2.3. El tercer tipo, conocido como sensores basados en aplicación, recibe la información de aplicaciones que se están ejecutando, y podrían ser considerados como un caso especial de los sensores basados en equipo.
3.4. 5.2.4 Procesadores de eventos
3.4.1. Los procesadores de eventos, también conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.
3.4.2. La detección de intrusiones basada en el modelo de usos indebidos cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos.
3.4.3. Esquema de detección basado en usos indebidos
3.4.3.1. Analizadores basados en reconocimiento de patrones
3.4.3.2. Analizadores basados en transiciones de estados
3.4.4. Esquema de detecci´ on basado en anomalías
3.4.4.1. Los procesadores de eventos que basan su detección en un esquema de anomalías tratarán de identificar actividades sospechosas comparando el comportamiento de un usuario, proceso o servicio, con el comportamiento de perfil clasificado como normal.
3.4.4.1.1. Un perfil sirve como métrica (medida de un conjunto de variables) de comportamientos normales. Cualquier desviación que supere un cierto umbral respecto al perfil almacenado ser´ a tratado como una evidencia de ataque o intrusión.
3.5. 5.2.5 Unidades de respuesta
3.5.1. Las unidades de respuesta de un sistema de detección se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva).
3.5.2. Al igual que los sensores, las unidades de respuesta se podrían clasificar en distintas categorías según el punto de actuación. Las dos categorías más generales son las unidades de respuesta basadas en equipo y las unidades de respuesta basadas en red.
3.5.2.1. Unidades de respuesta basadas en equipo. Se encargan de actuar a nivel de sistema operativo (como, por ejemplo, bloqueo de usuarios, finalización de procesos, etc).
3.5.2.2. Unidades de respuesta basadas basadas en red. Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas, etc.
3.6. 5.2.6 Elementos de almacenamiento
3.6.1. En algunas situaciones, el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento. Supongamos, por ejemplo, el caso de que todos los paquetes de una red de alta velocidad deban ser inspeccionados por los analizadores del sistema de detección. En este caso, ser´ a necesario plantearse una jerarquía de almacenamiento que reduzca el volumen de información sin penalizar las posibilidades de análisis.
3.6.2. El tiempo de almacenamiento de una información a medio plazo puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores del sistema en el caso de que el proceso de análisis así lo requiera.
3.7. Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y re- portar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.
3.8. Una intrusión es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo.
3.9. La detección de intrusiones: es el proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red.
4. 5.3 Escáners de vulnerabilidades
4.1. 5.3.1 Escáners basados en máquina
4.1.1. Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de información de un sistema para la detección de vulnerabilidades como, por ejemplo, errores en permisos de ficheros, cuentas de usuario abiertas por defecto, entradas de usuario duplicadas o sospechosas, etc.
4.2. 5.3.2 Escáners basados en red
4.2.1. Los escáners de vulnerabilidades basados en red aparecieron posteriormente y se han ido haciendo cada vez más populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar. Así pues, los escáners de vulnerabilidades basados en red realizan pruebas de ataque y registran las respuestas obtenidas. No se deben confundir estos analizadores de vulnerabilidades basados en red con los analizadores de sistemas de detección de intrusos.
4.2.1.1. Dos de las técnicas más utilizadas para la evaluación de vulnerabilidades basadas en red son las siguientes:
4.2.1.1.1. Prueba por explotación. Esta técnica consiste en lanzar ataques reales contra el objetivo. Estos ataques están programados normalmente mediante guiones de comandos.
4.2.1.1.2. Métodos de inferencia. El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.
4.3. Los escáners de vulnerabilidades son un conjunto de aplicaciones que nos permitirán realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.
4.4. El funcionamiento general de un escáner de vulnerabilidades se podría dividir en tres etapas:
4.4.1. Durante la primera etapa se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.
4.4.2. En la segunda etapa, estos resultandos son organizados y comparados con, al menos,un conjunto de referencia de datos.
4.4.3. Finalmente, se generará un informe con las diferencias entre ambos conjuntos de datos.
5. 5.4 Sistemas de decepción
5.1. 5.4.1 Equipos de decepción
5.1.1. Los equipos de decepción, también conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el tráfico de uno o más atacantes. De esta forma, sus administradores podrán ver intentos de ataques que tratan de realizar una intrusión en el sistema y analizar cómo se comportan los elementos de seguridad implementados en la red.
5.2. 5.4.2 Celdas de aislamiento
5.2.1. Las celdas de aislamiento tienen una metodología muy similar a los equipos de decepción que acabamos de ver. Mediante el uso de un dispositivo intermedio (con capacidades de detección y encaminamiento) todo el tráfico etiquetado como malicioso ser´ a dirigido hacia un equipo de decepción (conocido en este caso como celda de aislamiento).
5.3. 5.4.3 Redes de decepción
5.3.1. Las redes de decepción se deben contemplar como herramientas de análisis para mejorar la seguridad de las redes de producción. Son una solución muy valiosa si una organización puede dedicarle el tiempo y los recursos necesarios.
5.3.2. Un enfoque más avanzado que los anteriores consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos (permitiendo su acceso sin demasiada dificultad).
5.3.3. El funcionamiento de la red de decepción se basa en un solo principio: todo el tráfico que entra en cualquiera de sus equipos se debe considerar sospechoso.
5.4. Los sistemas de decepción, en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.
6. 5.5 Prevención de intrusos
6.1. 5.5.1 Sistemas de detección en línea
6.1.1. La mayor parte de los productos y dispositivos existentes para la monitorización y detección de ataques en red se basan en la utilización de dos dispositivos de red diferenciados. Por una parte, uno de los dispositivos se encarga de interceptar el tráfico de su segmento de red, mientras que el otro se utiliza para efectuar tareas de gestión y administración.
6.1.1.1. Una de las aplicaciones que podríamos utilizar para desarrollar esta idea es la herramienta Hogwash. Se trata de una utilidad de red que utiliza el procesador de eventos de snort para anular todo aquel tráfico malicioso encaminado contra la red que se quiere proteger.
6.2. 5.5.2 Conmutadores de nivel siete
6.2.1. Estos dispositivos se suelen utilizar para realizar tareas de balanceo de carga de una aplicación entre varios servidores. Para ello, examinan la información a nivel de aplicación (porejemplo HTTP, FTP, DNS, etc.) para tomar decisiones de encaminamiento. Adicionalmente, estos mismos dispositivos podrán proporcionar protección frente a ataques contra las redes que conmutan como, por ejemplo, descartar tráfico procedente de una denegación de servicio.
6.2.1.1. Los ataques que mejor reconocen estos conmutadores de nivel siete son los ataques de denegación de servicio. El motor de detección utilizado suele basarse en la detección de usos indebidos, implementada en la mayoría de casos mediante el uso de patrones de ataque.
6.3. 5.5.3 Sistemas cortafuegos a nivel de aplicación
6.3.1. Los sistemas cortafuegos a nivel de aplicación, al igual que los conmutadores de nivel siete que acabamos de ver, trabajan en el nivel de aplicación del modelo OSI. Se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.
6.3.2. Para realizar este tipo de análisis, se basan en la utilización de perfiles estadísticos. Esta técnica se basa en una primera fase de inicialización de perfiles (fase de entrenamiento) y una segunda fase en la que las acciones son comparadas por el sistema contra estos perfiles.
6.4. 5.5.4 Conmutadores híbridos
6.4.1. Así, un conmutador híbrido será aquel dispositivo de red instalado como un conmutador de nivel siete, pero sin utilizar conjuntos de reglas.
6.4.2. Su método de detección está basado en políticas, como el de los sistemas cortafuegos a nivel de aplicación. Por lo tanto, estos conmutadores analizarán el tráfico de red para poder detectar información definida en las políticas que tienen configuradas.
6.4.3. La combinación de un sistema cortafuegos a nivel de aplicación junto con un conmutador de nivel siete permite reducir problemas de seguridad asociados a una programación deficiente*, así como la posibilidad de detectar ataques a nivel de aplicación.
6.5. Los sistemas de prevención de intrusos son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitoritación de los sistemas de detección de intrusos.
7. 5.6 Detección de ataques distribuidos
7.1. 5.6.1 Esquemas tradicionales
7.1.1. Las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados. Así, estas propuestas plantean la instalación de sensores en cada uno de los equipos que se desea proteger, configurados para poder retransmitir toda la información hacia un punto central de análisis.
7.1.2. Este diseño presenta un claro problema de sobrecarga sobre el punto central de análisis, debido a la gran cantidad de información que este podría llegar a recibir
7.2. 5.6.2 Análisis descentralizado
7.2.1. La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo durísimas restricciones de tiempo real.Dado que los diferentes fragmentos de información que podrían delatar un ataque distribuido se pueden encontrar en cualquier equipo de la red, es realmente complicado poder llegar a paralelizar este procesado de información.
7.2.2. Dos de las propuestas existentes para implementar procesos descentralizados de análisis de información son, por un lado, la utilización de código móvil, y la utilización de nodos cooperativos que realizan un proceso descentralizado de análisis mediante mecanismos de paso de mensajes, por otro.
7.2.2.1. Análisis descentralizado mediante código móvil
7.2.2.1.1. Las propuestas basadas en código móvil para realizar una detección de ataques distribuidos utilizan el paradigma de agentes software para mover los motores de detección por la red que hay que vigilar (en forma de agente móvil). A medida que estos detectores móviles vayan recogiendo la información que les ofrezcan los sensores, los agentes irán realizando un proceso de análisis descentralizado.
7.2.2.2. Análisis descentralizado mediante paso de mensajes
7.2.2.2.1. Al igual que la propuesta anterior, este nuevo esquema trata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o más estaciones de monitorización dedicadas (encargadas de recibir toda la información recogida), una serie de elementos de control encargados de realizar operaciones similares de forma descentralizada. Pero a diferencia del esquema basado en código móvil, estos nuevos elementos son estáticos y tan solo necesitan una infraestructura común de paso de mensajes para realizar su proceso de detección descentralizado.