Publicado en Revista .Seguridad (http://revista.seguridad.unam.

mx)
Inicio > Evolucin de los sistemas de deteccin, prevencin y anlisis de incidentes

Evolucin de los sistemas de deteccin, prevencin y anlisis de incidentes

Por gcruz

numero-10[1]intrusos [2]malicioso [3]sistemas [4]trfico [5] Desde su aparicin y hasta la fecha, los sistemas de deteccin de intrusos juegan un papel importante para evaluar el trfico que presenta una red. Los usuarios debemos estar conscientes y conocerlos a fin de valorar todas sus ventajas y aprovecharlos al mximo. El desarrollo y el incremento de las redes de datos alrededor del mundo han impulsado la creacin de mecanismos para compartir, transferir o distribuir informacin por medios digitales. La facilidad, eficiencia y conveniencia de utilizar medios electrnicos implica, hasta cierto punto, exponer dicha informacin a determinadas amenazas que existen en ese mundo digital. Amenazas potenciales como virus, gusanos, ataques dirigidos, negacin de servicio (DoS), escaneos, botnets, spam, etc., no son conceptos nuevos, durante los ltimos aos han ido evolucionando y adaptndose a los nuevos mecanismos de comunicacin digital y en general al desarrollo de Internet. Tomando esto en cuenta, es entendible suponer la necesidad de poder identificar el origen de dichas amenazas con la finalidad de aplicar algn mecanismo de mitigacin. La importancia de poder identificar y detectar el trfico malicioso se justifica en el hecho de que este tipo de trfico es el que puede alterar el funcionamiento de una red o, en el peor de los casos, causar tal impacto que interrumpa por completo la actividad general del entorno. Por ejemplo, un usuario comn que utiliza algn procesador de texto, crea presentaciones electrnicas, navega en Internet buscando noticias o algn artculo de inters, etc. de pronto ve interrumpida su tarea por alguna causa extraa. Su computadora despliega mensajes de error, cada minuto que pasa se complica navegar en Internet y controlar el equipo debido a la lentitud de respuesta hasta que finalmente, llega al extremo de un reinicio desesperado, cuya probabilidad de prdida de informacin es alta. El usuario est exasperado y asustado, no sabe qu pasa pero por alguna razn no puede continuar trabajando. Al reiniciar el equipo e intentar reanudar sus actividades, advierte que su informacin est incompleta y que la lentitud para trabajar es ahora recurrente. Lo primero que le viene a la mente: es un virus, mi mquina est infectada. Esto en parte demostrara la creencia de que todo lo malicioso que ocurre en una computadora se debe a un virus, sin embargo podra tratarse de algo mucho ms complejo. Identificar la causa real del problema o alg Con el fin de atender esta tarea, el SANS Institute , a travs del Internet Storm Center (ISC),
[1]

cuenta con un clculo denominado Survival Time , el cual consiste en medir el tiempo promedio que tarda un equipo de cmputo en ser atacado o alcanzado por algn tipo de malware en propagacin, considerando que se expone a una red pblica sin restricciones. En caso de que el equipo no contara con los parches adecuados, entonces esta medicin significara el tiempo en que el equipo sera infectado o vulnerado. En la siguiente figura se aprecia como las ltimas mediciones indican que el survival time de un equipo Unix es de aproximadamente 3700 minutos, mientras que el de un equipo Windows es casi de 450 minutos. Esto nos da una muestra del verdadero problema con el trfico de red malicioso.

[2]

SANS ISC-Survival time (enero 2005 - agosto de 2010) Cmo saber si determinado trfico es anormal? cmo definir si el trfico monitoreado es malicioso? Este tipo de cuestiones pueden responderse a travs de distintos puntos de vista. Por un lado, se tiene la definicin de polticas de una organizacin en las cuales se puede establecer lo que se considera como anormal y por otro el comportamiento general de determinadas amenazas que definen muy bien a un evento como un incidente de seguridad. Algunos mtodos para detectar trfico anormal se basan en la comparacin y anlisis del comportamiento esperado de cierto tipo de protocolos de comunicacin o aplicaciones. Es decir, si se tiene bien identificada la estructura, forma y comportamiento del trfico segn su naturaleza, entonces cualquier patrn fuera de ella representa un factor para poder identificarlo como anormal. Algunos mecanismos para poder lograr dicha identificacin y deteccin son las tcnicas basadas en anlisis de patrones, las herramientas especializadas y el anlisis de bitcoras.

IDS, alternativa pasiva para deteccin de trfico malicioso

Los sistemas de deteccin de intrusos tienen en realidad sus orgenes en el concepto de auditoras. Desde los aos 50s, cuando se realizaban diversos tipos de revisiones, se comenzaron a definir tcnicas para identificar posibles anomalas. Fue en la dcada de los 80 Actualmente, los sistemas de deteccin de intrusos (IDS) son dispositivos fsicos o lgicos que

permiten analizar el trfico de red para identificar posibles paquetes maliciosos o anmalos. Son un mecanismo pasivo de deteccin, ya que su tarea fundamental es alertar pero no actuar. Estos sistemas pueden proveer de informacin muy especfica sobre la actividad detectada debido a que su anlisis sobre los paquetes de red es ms especfico que el que realizado por otros mecanismos de seguridad, como los firewalls. Esto convierte a los IDS en herramientas muy poderosas para conocer el panorama de la actividad en la red. El funcionamiento general de los IDS se basa en detectar trfico malicioso mediante firmas o anomalas. La deteccin por firmas consiste en la definicin de un patrn con caractersticas especficas, las cuales comnmente se basan en patrones de amenazas conocidas. Contienen caractersticas como tipo de trfico, direccin de flujo, protocolo, direcciones IP, puertos o incluso el contenido de datos en el paquete. Cuando un paquete de red coincida con este patrn, entonces se levantar la alerta proporcionando la informacin relacionada. Los desarrolladores de IDS comnmente liberan nuevas firmas para poder detectar amenazas recientes. Por otro lado, la deteccin basada en anomalas funciona definiendo ciertos criterios base o baselines, que suponen un funcionamiento normal del sistema o de la red. Cuando se detecta cierta actividad que no corresponde con el baseline en un cierto rango, entonces el IDS lo puede interpretar como una anomala, y en su caso, identificarlo como trfico malicioso. Con los IDS existen dos problemas principales: los falsos positivos y los falsos negativos. Los primeros se refieren a todos los eventos levantados como alertas pero que en realidad no se trataban de trfico malicioso. Esto puede deberse a varios motivos, por ejemplo que alguna situacin o aplicacin llev a generar el paquete con las caractersticas de la firma, un aspecto a tomar en cuenta es que mientras ms general se defina la regla, ms falsos positivos se pueden tener. Los falsos negativos consisten en todos los eventos que a pesar de presentarse en la red no son alertados por el IDS. En realidad, este tipo de omisiones puede implicar un mayor riesgo pues, desde cierto punto de vista, es ms conveniente detectar algo que no existe, que no detectar algo que en verdad existe y que es malicioso, aunque debe tenerse presente que tambin contar con un nmero significativo de falsos positivos puede llegar a ser contraproducente.

Tipos de IDS
IDS basados en host

Funciona monitoreando la actividad de un sistema local. Por su esquema de funcionamiento, analiza el trfico de red que entra y sale de dicho equipo, as como los cambios en el sistema de archivo y actividad del sistema en general.

Esquema de un IDS de host

IDS basados en red

Analiza el trfico de un equipo o red. Puede instalarse en un equipo analizando slo el trfico que fluye a travs de l, sin embargo para que funcione plenamente, debe implementarse un esquema en donde reciba el trfico de todos los equipos conectados a la red (comnmente llamado port mirror). Generalmente, se instala en el permetro de la red o subred para poder monitorear el trfico de entrada y salida de la misma. El xito en su funcionamiento depende de su correcta ubicacin.

Esquema de un IDS de red

IDS distribuidos
Es un esquema de varios IDS desplegados a lo largo de una red, los cuales centralizan la informacin. Este tipo de esquemas puede ser til en redes de gran tamao, sin embargo debido a la gran cantidad de informacin que implica, necesita un monitoreo y mantenimiento constante.

Esquema de un IDS distribuido Los factores clave para el buen funcionamiento de los IDS son entonces: ubicacin, buenas firmas, baselines, criterios, mantenimiento, etctera.

IDS e IPS
Los sistemas de prevencin de intrusos o IPS son tambin mecanismos fsicos o lgicos para la deteccin de trfico malicioso basndose en firmas o anomalas. La principal diferencia con los IDS es que los IPS son dispositivos activos que tienen la caracterstica de actuar bajo demanda segn las alertas detectadas, a esto se le conoce como inline. Esto significa que, a partir de que un evento es detectado, el sistema puede aplicar automticamente una medida de mitigacin. lo cual implica que los IPS tengan capacidades de firewall. Por estas caractersticas, a este tipo de dispositivos tambin se les conoce como IDP o sistemas de deteccin y prevencin de intrusos. Con este esquema podra pensarse que los IPS son mejores que los IDS, o incluso que podran sustituir a los firewalls. Desde hace algunos aos, firmas internacionales de seguridad y otras

organizaciones de desarrollo e investigacin, han abierto un gran debate sobre si los IDS han quedado obsoletos o representan una tecnologa que ser sustituida por los IPS. Gartner, organizacin conocida mundialmente por dedicarse a la tecnologa y los negocios, public en 2003 una declaracin donde afirmaba Intrusion Detection Systems a Market Failure [3] , mientras otras opiniones expresaban lo contrario. El argumento era que los IPS no podran an representar la nueva generacin de dispositivos de deteccin debido a que an eran inmaduros. Lo que evidente es que an existen consideraciones que deben tomarse en cuenta para la implementacin de un IPS. Primeramente est el problema de los falsos positivos. Con los IDS, este problema implica solamente realizar un proceso de discriminacin de alertas, el cual en el peor de los casos representa un trabajo adicional y excesivo para el administrador de la red. En cambio, con un IPS un falso positivo podra representar una auto-negacin de servicio o problema general con la red, pues de manera automtica, aplicara las reglas en su firewall interno para poder mitigar En conclusin, las caractersticas de los IDS han evolucionado como respuesta al desarrollo de amenazas en Internet. Si bien es cierto que son un mecanismo para deteccin, debe tomarse tambin en cuenta que algunas caractersticas que los llevan de pasivos a activos como la capacidad de mitigacin y el anlisis de patrones, han abierto nuevas lneas de desarrollo e investigacin para nuevos sistemas de deteccin adaptados a las necesidades de las nuevas tecnologas y de la industria. Referencias

http://www.sans.org/security-resources/idfaq/ [6] http://www.sans.org/reading_room/whitepapers/detection/ [7] http://www.google.com/url?sa=t&source=web&cd=12&ved=0CB4QFjABOAo&url=http%3A%2F%2Fftp weIYGF1ldA&cad=rja [8] http://www.google.com/url?sa=t&source=web&cd=7&ved=0CEMQFjAG&url=http%3A%2F%2Fbibliote

[9]

[1] Organizacin internacional dedicada a la investigacin, capacitacin y publicacin de recursos relacionados con seguridad en cmputo. [2] http://isc.sans.edu/survivaltime.html [10] [3] Gartner Information Security Hype Cycle Declares Intrusion Detection Systems a Market Failure. http://www.gartner.com/5_about/press_releases/pr11june2003c.jsp [11] Autores: Javier Ulises Santilln Arenas [12]

numero-10 intrusos malicioso sistemas trfico Universidad Nacional Autnoma de Mxico Universidad Nacional Autnoma de Mxico Directorio Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin SSI / UNAMCERT SSI / UNAMCERT [ CONTACTO ] Se prohbe la reproduccin total o parcial de los artculos sin la autorizacin por escrito de los autores
URL del envo: http://revista.seguridad.unam.mx/numero-10/evoluci%C3%B3n-de-los-sistemas-dedetecci%C3%B3n-prevenci%C3%B3n-y-an%C3%A1lisis-de-incidentes

Enlaces: [1] http://revista.seguridad.unam.mx/numero-10 [2] http://revista.seguridad.unam.mx/category/tipo-de-articulo/intrusos [3] http://revista.seguridad.unam.mx/category/tipo-de-articulo/malicioso [4] http://revista.seguridad.unam.mx/category/tipo-de-articulo/sistemas [5] http://revista.seguridad.unam.mx/category/tipo-de-articulo/tr%C3%A1fico [6] http://www.sans.org/security-resources/idfaq/ [7] http://www.sans.org/reading_room/whitepapers/detection/ [8] http://www.google.com/url?sa=t&source=web&cd=12&ved=0CB4QFjABOAo&url=http%3A%2F%2F weIYGF1ldA&cad=rja [9] http://www.google.com/url?sa=t&source=web&cd=7&ved=0CEMQFjAG&url=http%3A%2F%2Fbiblio [10] http://isc.sans.edu/survivaltime.html [11] http://www.gartner.com/5_about/press_releases/pr11june2003c.jsp [12] http://revista.seguridad.unam.mx/autores/javier-ulises-santill%C3%A1n-arenas