DETECCIN Y PREVENCIN DE INTRUSOS

6.1 Terminologa y tecnologas de Sistemas de Deteccin de Intrusos.

Sistemas de deteccin de intrusiones El trmino IDS (Sistema de deteccin de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el trfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusin. Existen dos claras familias importantes de IDS: y El grupo N-IDS (Sistema de deteccin de intrusiones de red), que garantiza la seguridad dentro de la red. El grupo H-IDS (Sistema de deteccin de intrusiones en el host), que garantiza la seguridad en el host.

Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o ms de los adaptadores de red exclusivos del sistema en modo promiscuo. ste es una especie de modo "invisible" en el que no tienen direccin IP. Tampoco tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han realizado desde dentro.

Imagen 16: IDS fuente Kioskea.net

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc. El H-IDS acta como un daemon o servicio estndar en el sistema de un host. Tradicionalmente, el H-IDS analiza la informacin particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y tambin captura paquetes de la red que se introducen/salen del host para poder verificar las seales de intrusin (como ataques por denegacin de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecucin de cdigos malignos o ataques de desbordamiento de bfer). Tcnicas de deteccin El trfico en la red (en todo caso, en Internet) generalmente est compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a travs de las conexiones fsicas a las que est sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP.

Puede aplicar las siguientes tcnicas para detectar intrusiones: Verificacin de la lista de protocolos: Algunas formas de intrusin, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificacin del protocolo puede revelar paquetes no vlidos e indicar esta tctica comnmente utilizada. Verificacin de los protocolos de la capa de aplicacin: Algunas formas de intrusin emplean comportamientos de protocolos no vlidos, como "WinNuke", que utiliza datos NetBIOS no vlidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un NIDS debe haber implementado una amplia variedad de protocolos de la capa de aplicacin, como NetBIOS, TCP/IP, etc. Esta tcnica es rpida (el N-IDS no necesita examinar la base de datos de firmas en su totalidad para secuencias de bytes particulares) y es tambin ms eficiente, ya que elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro). Reconocimiento de ataques de "comparacin de patrones": Esta tcnica de reconocimiento de intrusin es el mtodo ms antiguo de anlisis N-IDS y todava es de uso frecuente. Consiste en la identificacin de una intrusin al examinar un paquete y reconocer, dentro de una serie de bytes, la secuencia que corresponde a una firma especfica. Por ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar provecho de un defecto del script CGI "phf". Este mtodo tambin se utiliza como complemento de los filtros en direcciones IP, en utilizados por conexiones y puertos de origen y/o destino. Este mtodo de reconocimiento tambin se puede refinar si se combina con una sucesin o combinacin de indicadores TCP. Esta tctica est difundida por los grupos N-IDS "Network Grep", que se basan en la captura de paquetes originales dentro de una conexin supervisada y en su posterior comparacin al utilizar un analizador de "expresiones regulares". ste intentar hacer coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete capturado. La ventaja principal de esta tcnica radica en la facilidad de actualizacin y tambin en la gran cantidad de firmas que se encuentran en la base N-IDS. Sin embargo, cantidad no siempre significa calidad. Por ejemplo, los 8 bytes CE63D1D2 16E713CF, cuando se colocan al inicio de una transferencia de datos UDP, indican un trfico Back Orifice con una contrasea predeterminada. Aunque el 80% de las intrusiones utilicen la contrasea predeterminada, el 20% utilizarn contraseas personalizadas y no sern necesariamente reconocidas por el N-IDS. Por ejemplo, si la contrasea se cambia a "evadir", la serie de bytes se convertir en "8E42A52C 0666BC4A", lo que automticamente la proteger de que el N-IDS la capture. Adems, la tcnica inevitablemente conducir a un gran nmero de falsas alarmas y falsos positivos. Existen otros mtodos para detectar e informar sobre intrusiones, como el mtodo Pattern Matching Stateful, y/o para controlar el trfico peligroso o anormal en la red. En conclusin, un perfecto N-IDS es un sistema que utiliza las mejores partes de todas las tcnicas mencionadas anteriormente. Principales mtodos utilizados por N-IDS para informar y bloquear intrusiones Reconfiguracin de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y as poder bloquear una intrusin. Esta reconfiguracin es posible a travs del envo de datos que expliquen la alerta (en el encabezado del paquete). Envo de una trampa SNMP a un hipervisor externo: Envo de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa como HP Open View Tivoli, Cabletron, Spectrum, etc. Envo de un correo electrnico a uno o ms usuarios: Envo de un correo electrnico a uno o ms buzones de correo para informar sobre una intrusin seria. Registro del ataque: Se guardan los detalles de la alerta en una base de datos central, incluyendo informacin como el registro de fecha, la direccin IP del intruso, la direccin IP del destino, el protocolo utilizado y la carga til. Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta.

Apertura de una aplicacin: Se lanza un programa externo que realice una accin especfica (envo de un mensaje de texto SMS o la emisin de una alarma sonora). Envo de un "ResetKill": Se construye un paquete de alerta TCP para forzar la finalizacin de una conexin (slo vlido para tcnicas de intrusin que utilizan el protocolo de transporte TCP). Notificacin visual de una alerta: Se muestra una alerta en una o ms de las consolas de administracin. (Larrieu., 2003) 6.2 Tipos de sistemas de deteccin y prevencin de intrusos. Sistema de prevencin de intrusos Tal como muchos otros conceptos en seguridad informtica, el significado depende del contexto y de la persona que lo emplea. Muchos especialistas afirman (y con toda razn) que el trmino en s, es demasiado ambiguo, y que estara contemplando a muchos controles de seguridad informtica. En este sentido, un firewall podra ser perfectamente un IPS (indirectamente previene intrusiones). Sin embargo, el trmino IPS en el contexto que es empleado por Gartner Group, parece hacer referencia a una combinacin de filtro (firewall) con un sistema de deteccin de intrusos (IDS por sus siglas en ingls). El principal argumento de mercadotecnia para este tipo de sistemas es su supuesta proactividad. Otras supuestas ventajas incluyen: Capacidad de reaccin automtica ante incidentes - el sistema aplica nuevos filtros conforme detecta ataques en progreso) Mnima vigilancia - el sistema no requiere tanta dedicacin como un IDS tradicional; esto en consecuencia requerira menos inversin en recursos para administrar y operar estos sistemas (en comparacin con un IDS). Menos falsas alarmas Gartner Group ha analizado desde el punto de vista del mercado la situacin y ha concluido que los sistemas de deteccin de intrusos no hacen mucho por la seguridad y han sido un fracaso; por esto recomienda que se utilicen otros sistemas con enfoque ms preventivo: firewalls con capacidades de deteccin de eventos de seguridad (IPS). Es cierto que la mayora de las instalaciones de sistemas de deteccin de intrusos no ha brindado los resultados esperados, pero Gartner Group est pasando por alto un dato muy importante. Los sistemas de deteccin de intrusos no son sistemas autnomos, son herramientas de notificacin para personal de seguridad (generalmente un grupo de respuesta a incidentes). La mayor parte de los problemas en una instalacin de sistemas de deteccin de intrusos se debe a una incorrecta configuracin de los mismos o a la asignacin de personal inadecuado para respuesta a incidentes, entre este tipo de problemas destacan los siguientes: Poca o nula depuracin de las alertas que se vigilan (muchas organizaciones cometen el error de activar todas las alertas del producto de IDS porque creen que les va a dar mayor seguridad; lo nico que esto genera es una gran cantidad de trabajo de revisin de alertas, que es totalmente innecesario). Falta de capacitacin del personal (el personal no es capaz de comprender el significado y el impacto de cada alerta reportada, en consecuencia, no se toman las medidas apropiadas). Asignacin incorrecta (colocacin de IDS en puntos inadecuados, proteccin de sistemas que no lo requieren, etc.)

Debemos aceptar que los sistemas de deteccin de intrusos no son para todas las organizaciones, as como no todas las organizaciones pueden beneficiarse de una PKI (Public Key Infraestructure). Si una organizacin no puede o no requiere de personal especialista para respuesta de incidentes, el contar con sistemas de deteccin de intrusos (tal como afirma Gartner Group) no les brindar mayor seguridad. Pero en aquellas organizaciones donde la seguridad es altamente crtico el contar con personal de respuesta de incidentes es prcticamente una obligacin (en estos ambientes un sistema de deteccin de intrusos instalado y configurado apropiadamente suele ser muy valioso); algunas organizaciones donde este tipo de sistemas suelen ser ms efectivos son: y Instituciones gubernamentales (principalmente aquellas relacionadas con seguridad pblica) Instituciones financieras

Empresas que manejan gran cantidad de informacin confidencial .(Herrara, 2003).