Академический Документы
Профессиональный Документы
Культура Документы
Tipos de deteccin En primer lugar los clasicaremos segn la manera en que detectan las intrusiones. Categorizamos las intrusiones en dos tipos principales, cuya distincin es importante porque nos conducirn a sistemas de deteccin esencialmente muy diferentes. Los usos indebidos son ataques bien denidos contra debilidades conocidas de los sistemas. Se los puede detectar buscando la ocurrencia de determinadas acciones concretas. Las anomalas se basan en la observacin de desviaciones de los patrones de uso normales en el sistema. Se las detecta construyendo previamente un perl del sistema a monitorizar y posteriormente estudiando las desviaciones que se produzcan con respecto a este perl. Las intrusiones por uso indebido siguen patrones bien denidos, por lo que se pueden detectar realizando bsqueda de patrones en el trco de red y en los cheros de registro. Las intrusiones por anomala se detectan observando desviaciones signicativas del comportamiento habitual. Para ello se mide una serie de parmetros (carga de CPU, nmero de conexiones de red en una unidad de tiempo, nmero de procesos, entre otros). Considerando que una intrusin involucrar un uso anormal del sistema, se pueden detectar las violaciones de seguridad a partir de patrones anormales de uso. Los detectores de anomalas conocen, bien porque han sido programados por un experto, bien porque han pasado por una fase previa de aprendizaje, la actividad que resulta normal en el seno de un sistema. Mediante mtodos estadsticos se intentar posteriormente comparar la informacin recibida en cada instante con el modelo de actividad vlida, y aquello que se aparte excesivamente ser etiquetado como intrusin. Esta comparacin se puede realizar por tcnicas estadsticas, por sistemas expertos basados en reglas, con redes neuronales, o con algn otro tipo de reconocimiento de patrones que pueda emitir con una certeza razonable si una determinada secuencia de eventos en un sistema forma parte del funcionamiento ordinario del mismo.
12
Actualidad
Revista del Instituto Tecnolgico de Informtica
de anomalas pueden producir una tasa de falsos positivos inaceptable. En la prctica se han extendido ms los detectores de usos indebidos, que se basan en una base de datos de ataques conocidos, con una serie de reglas o signaturas que caracterizan los ataques y que permiten aseverar con prcticamente total certeza que se est intentando perpetrar un ataque. Estos sistemas solo pueden detectar fallos conocidos, para los que se haya introducido la signatura correspondiente en la lista. Dado que cada da aparecen nuevas vulnerabilidades, es importante que estos sistemas dispongan de mecanismos para actualizar frecuentemente la base de signaturas. Fuentes de informacin Dependiendo de las fuentes de informacin que se utilicen, los sensores usados por los IDS se clasican en dos tipos: de red y de mquina. Cada tipo tiene unas capacidades diferentes en cuanto a los eventos detectables, por lo que en la prctica los IDS suelen nutrirse de sensores de ambos tipos. En la terminologa tradicional de IDS, se habla de NIDS (Sistemas de Deteccin de Intrusos de Red) y de HIDS (Sistemas de deteccin de intrusos de mquina). En los sistemas hbridos o distribuidos, que abarcan ms de un solo nodo, se habla de sensores: un solo sistema de deteccin de intrusiones puede alimentarse de ms de un sensor. Como la mayora de los sistemas de IDS comerciales son aparatos independientes dotados
Los IDS, correctamente utilizados, ayudan a mejorar la seguridad de nuestras redes, pero no debemos descuidar los cortafuegos ni dejar de actualizar el software de las mquinas. Este tipo de sistemas son bastante rpidos de instalar y mantener, y no dependen del sistema operativo instalado en las mquinas cubiertas. Suelen ser invisibles para los atacantes, por lo que los registros de sucesos que almacenan son poco vulnerables a la eliminacin o alteracin maliciosa, y suponen un recurso valioso para el almacenamiento de pruebas. Diferentes ubicaciones de los NIDS nos proporcionarn diferentes perspectivas de la seguridad de la red. Colocados fuera del cortafuegos permiten evaluar los ataques que se intentan producir aunque no alcancen a los servidores internos, mientras que si se colocan en el interior del cortafuegos nos permiten evaluar si este est bien congurado. 2. HIDS Sistemas de deteccin de intrusos de mquina. As como los NIDS se instalan en determinados puntos de la infra13
Actualidad
Revista del Instituto Tecnolgico de Informtica
Detectores de usos indebidos Detectores de anomalas De red Sistema operativo De mquina De aplicacin Hardware Peridicos De tiempo real Activos Pasivos Centralizados Distribuidos
Tabla 1: Posibles clasicaciones de los Sistemas de Deteccin de Intrusos. Peridicos o de tiempo real As como los NIDS suelen dar respuesta en tiempo real, los primeros HIDS se ejecutaban peridicamente para
14
Actualidad
Revista del Instituto Tecnolgico de Informtica
15