deteccion de intrusos
TRANSCRIPT
Kayving monterrey
SEGURIDAD Y PRIVACIDAD EN REDES
SISTEMAS DE DETECCIÓN DE
INTRUSOS
Investigue lo siguiente:
1. ¿Qué es un sistema de detección de intrusos?
2. Como es la arquitectura de un IDS
3. Clasificaciones de un IDS (Host, Red, Híbridos)
4. Encuentre un esquema de la implementación de un IDS en una red (diseño de una red).
Sistema de detección de intrusos
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es
un programa usado para detectar accesos no autorizados a un computador o a una red. Estos
accesos pueden ser ataques de habilidosos crackers, o de Script Kiddies que usan herramientas
automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS
puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a
dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el
cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo
analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de
detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta
de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se
une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente
deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el
tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
Tipos de IDS
Existen dos tipos de sistemas de detección de intrusos:
HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos,
que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan
adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar
tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de
sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente,
el H-IDS analiza la información particular almacenada en registros (como registros de sistema,
mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host
para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas
traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de
desbordamiento de búfer).
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su
interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes
de información que viajan por una o más líneas de la red para descubrir si se ha producido
alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red
exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no
tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar
diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red
para estudiar los posibles ataques, así como también se colocan sondas internas para analizar
solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.
.
Sistemas pasivos y sistemas reactivos
En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una
señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la
actividad sospechosa reprogramando el cortafuego para que bloquee tráfico que proviene de la red
del atacante. Un sistema que reacciona ante el ataque previniendo que este continúe, se denomina
IPS por sus siglas en inglés de "intrusion prevention system".
Comparación con Cortafuegos
Si bien ambos están relacionados con seguridad en redes de información, un IDS, difiere de un
cortafuego, en que este último generalmente examina exteriormente por intrusiones para evitar que
estas ocurran. Un cortafuegos limita el acceso entre redes, para prevenir una intrusión, pero no
determina un ataque que pueda estar ocurriendo internamente en la red. Un IDS, evalúa una
intrusión cuando esta toma lugar, y genera una alarma. Un IDS además observa ataques que se
originan dentro del sistema. Este normalmente se consigue examinando comunicaciones, e
identificando mediante heurística, o patrones (conocidos como firmas), ataques comunes ya
clasificados, y toma una acción para alertar a un operador.
Mecanismos de detección de un ataque
Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se encuentra en
curso:
Heurística
Un IDS basado en heurística, determina actividad normal de red, como el orden de ancho de banda
usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un
administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como
anómalo.
Patrón
Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques
conocidos, y pre configurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un
periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente
configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque.
2. ¿Cómo es la Arquitectura de un IDS?
Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en
un determinado sistema informático en busca de intentos de comprometer la seguridad de dicho
sistema.
Las arquitecturas que implementan sistemas de detección de intrusos han ido modificándose y
mejorando con el paso del tiempo y con la experiencia. Los primeros IDS eran herramientas
software rígidos, diseñados y realizados bajo la supervisión de un experto en seguridad de redes y
basándose en la experiencia personal. Eran verdaderos sistemas rígidos, dónde la actualización ante
nuevos tipos de ataques requería verdaderos esfuerzos de análisis y programación, además de
contar con un solo programa que realizaba todo el trabajo, sin pensar en sistemas distribuidos.
Actualmente, las arquitecturas empleadas para el desarrollo de herramientas IDS, se basan
fundamentalmente en dos principios básicos, la utilización de Agentes autónomos que recogen
información por separado, para luego analizar una parte de esta información ellos y la otra una
entidad central coordinadora, y las arquitecturas basadas en la exploración de los datos en tiempo
real. Y como ocurre en el mundo de la informática, se dan arquitecturas híbridas en busca de la
mejor solución posible.
Normalmente la arquitectura de un IDS, a grandes rasgos, está formada:
1. La fuente de recogida de datos. Estas fuentes pueden ser un log, dispositivo de red, o como
en el caso de los IDS basados en host, el propio sistema.
2. Reglas que contienen los datos y patrones para detectar anomalías de seguridad en el
sistema.
3. Filtros que comparan los datos “snifados” de la red o de logs con los patrones almacenados
en las reglas.
4. Detectores de eventos anormales en el tráfico de red.
5. Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente
como para enviar alertas vía mail, o SMS.
Esto es a modo general. Cada IDS implementa la arquitectura de manera diferente.
Ya sea un IDS, IPS o APS, todas estas soluciones son construidas usando, más o menos, la misma
arquitectura funcional. Varios modelos genéricos han sido propuestos, como el Common Intrusion
Detection Framework (CIDF), por el Intrusion Detection Working Group (IDWG). Yendo a través de
estas arquitecturas, podemos ver que las principales diferencias están relacionadas en el nombrado
de los componentes, pero siempre encontramos los mismos bloques funcionales. En primer lugar,
coleccionamos datos, a continuación los procesamos usando diferentes algoritmos y técnicas, y
realizamos acciones como su registro en una base de datos, envío de correo electrónico, interacción
con un firewall, etc…
Recolección de Datos
La recolección de datos es la piedra angular de un APS. Su objetivo es conseguir, de una manera
eficiente, todos los datos necesarios durante el proceso de detección de intrusos. Históricamente, el
proceso de recolección define el nombre IDS:
NIDS: Los Sistemas de Detección de Intrusos de Red controlan el tráfico del cable o, en caso
de una red inalámbrica, el enlace de radio. Examinan los paquetes a fin de detectar patrones de mal
uso o ataques.
HIDS: Los productos Host IDS emplean un agente que reside en cada equipo que tiene que
ser monitorizado. El agente puede escudriñar los registros del sistema, los mensajes del kernel,
ficheros críticos del sistema y otros recursos auditables.
NNIDS: Los Nodos de Red IDS trabajan de una manera similar a los NIDS. También toman
paquetes de la red y efectúan análisis de protocolos y/o los comparan sus firmas. Sin embargo, los
NNIDS sólo están interesados en paquetes directamente destinados a ellos y no al segmento entero
de red (por tanto, no operan en modo promiscuo).
DIDS: Un IDS Distribuido consiste en múltiples IDSs sobre una red extensa. Todos ellos se
comunican conjuntamente, o con un servidor central que facilita la monitorización avanzada de la red
y el análisis de incidentes.
Procesamiento de Datos para la Detección
El procesamiento de datos para detección es el 'corazón' de un APS. Usando todos los datos
recolectados, el APS los procesará usando diferentes algoritmos a fin de detectar una 'anomalía'.
Existen varias técnicas de análisis. A pesar de soluciones emergentes tales como la detección de
anomalías estrictas, análisis integral o algoritmos genéticos, la mayoría de las técnicas actuales caen
principalmente en las siguientes dos categorías: Detección de Mal Uso y Detección de Anomalías.
Detección de Mal Uso (o Análisis Basado en Escenario)
La Detección de Mal Uso es el método más antiguo para reconocer intrusos. Este procedimiento usa
una aproximación de asociación de patrones. El sistema compara los datos recogidos con firmas de
ataques en una base de datos. Si la comparación resulta positiva, el sistema reconoce una anomalía
y reacciona como corresponde. La detección de mal uso continúa siendo el procedimiento más
común usado en los sectores comerciales y no comerciales. El procedimiento es fácil de implementar
y usar, y no es muy propenso a las falsas alarmas (falsos positivos). Sin embargo, tiene un principal
inconveniente: este método reconoce sólo ataques conocidos. Por consiguiente, patrones de un
nuevo ataque que no han sido todavía añadidos a la base de datos no desencadenan una alarma
(falso negativo) y de esta manera no es notificada.
Detección de Anomalías (o Análisis de Comportamiento)
La Detección de Anomalías está basada en la premisa de que cualquier cosa fuera del dominio del
comportamiento "normal", es, por definición "anormal" (es decir. es una anomalía), y por tanto
constituye un ataque. Comparada con la anterior, la ventaja de este método es la habilidad para
reconocer nuevos ataques, ya que se definen como comportamientos anormales. Además, no hay
necesidad de implementar y mantener una base de datos de patrones de ataques. No obstante, la
detección de anomalías viene con su propio conjunto de problemas que impiden significativamente
su uso en el sector comercial. El procedimiento de detección de anomalías debe primero adquirir
conocimiento de qué constituye un comportamiento "normal" para una red o sistema, creando
perfiles de usuarios y sistemas. Esta fase por si sola es un obstáculo y podría ser aprovechada por
un oponente, quien podría enseñar al IDS a clasificar ataques como comportamientos normales. De
esta manera, en el futuro, el sistema ID podría no reconocer un tipo de ataque como una intrusión no
autorizada. Otro inconveniente es el alto índice de falsos positivos provocados por disfunciones de
las actividades normales del sistema, que no son ataques realmente. Además, comparada con la
detección de mal uso, la implementación de la detección de anomalías es más difícil de implementar,
ya que el último método implica procedimientos más complejos.
Alarmas, Registros, Acciones
Una vez que se detecta una anomalía, el APS puede ejecutar varias acciones (enviar una alarma,
escribir información importante en la base de datos, lanzar una regla en el firewall, etc.). Mientras
todas las medidas reactivas ejecutadas pueden tener formas diferentes, que generalmente encajan
en alguna de las categorías siguientes:
Acciones Pasivas: no tendrán impacto directo en el entorno. Esto significa que un operador
tiene que recibir o consultar el resultado de la acción pasiva, decidir qué tiene que hacer con él y
tomar las correspondientes acciones "activas". Las acciones pasivas pueden ser: enviar un E-Mail;
enviar mensajes a un buscador o móvil; registrar las intrusiones en la base de datos; etc.
Acciones Activas: Como una alternativa a las acciones pasivas, las acciones activas significan
una implementación directa para interactuar con el sistema de información. Pueden tratar la decisión
de apagar sistemas y servicios críticos, personalizar las reglas de filtrado para firewalls, lanzar
contadores de ataques, etc.
3. Clasificaciones de un IDS (Host, Red, Híbridos)
Entender que es un IDS y las funciones que proporciona, es clave para determinar cuál será el tipo
apropiado para incluir en una política de seguridad de computación. Esta sección discute los
conceptos detrás de los IDSes, las funcionalidades de cada tipo de IDS y la aparición de los IDSes
híbridos, que emplean varias técnicas de detección y herramientas en un sólo paquete.
Algunos IDSes están basados en conocimiento, lo que alerta a los administradores de seguridad
antes de que ocurra una intrusión usando una base de datos de ataques comunes. Alternativamente,
existen los IDS basados en comportamiento, que hacen un seguimiento de todos los recursos
usados buscando cualquier anomalía, lo que es usualmente una señal positiva de actividad
maliciosa.
Algunos IDSes son servicios independientes que trabajan en el fondo y escuchan pasivamente la
actividad, registrando cualquier paquete externo sospechoso. Otros combinan las herramientas de
sistemas estándar, configuraciones modificadas y el registro detallado, con la intuición y la
experiencia del administrador para crear un kit poderoso de detección de intrusos. Evaluando las
diferentes técnicas de detección de intrusos lo ayudará a encontrar aquella que es adecuada para su
organización.
Los tipos más importantes de IDSes mencionados en el campo de seguridad son conocidos como
IDSes basados en host y basados en red. Un IDSes basado en host es el más completo de los dos,
que implica la implementación de un sistema de detección en cada host individual. Sin importar en
qué ambiente de red resida el host, estará protegido. Un IDS basado en la red filtra los paquetes a
través de un dispositivo simple antes de comenzar a enviar a host específicos. Los IDSes basados
en red a menudo se consideran como menos completos puestos que muchos host en un ambiente
móvil lo hacen indisponible para el escaneo y protección de paquetes de red.
IDS basados en Host
Un IDS basado en host analiza diferentes áreas para determinar el uso incorrecto (actividades
maliciosas o abusivas dentro de la red) o alguna intrusión (violaciones desde afuera). Los IDSes
basados en host consultan diferentes tipos de registros de archivos (kernel, sistema, servidores, red,
cortafuegos, y más) y comparan los registros contra una base de datos interna de peculiaridades
comunes sobre ataques conocidos. Los IDSes basados en host de Linux y Unix hacen uso extensivo
de syslog y de su habilidad para separar los eventos registrados por severidad (por ejemplo,
mensajes menores de impresión versus advertencias importantes del kernel).
El comando syslog está disponible cuando se instala el paquete sysklogd, incluido con Red Hat
Enterprise Linux. Este paquete proporciona el registro de mensajes del sistema y del kernel. Los
IDSes basados en hosts filtran los registros (lo cual, en el caso de algunas redes y registros de
eventos del kernel pueden ser bastante detallados), los analizan, vuelven a etiquetar los mensajes
anómalos con su propia clasificación de severidad y los reúne en su propio registro para que sean
analizados por el administrador.
Los IDSes basados en host también pueden verificar la integridad de los datos de archivos y
ejecutables importantes. Funciona verificando una base de datos de archivos confidenciales (y
cualquier archivo añadido por el administrador) y crea una suma de verificación de cada archivo con
una utilidad de resumen de archivos de mensajes tal como md5sum (algoritmo de 128-bit) o
sha1sum (algoritmo de 160-bit). El IDS basado en host luego almacena las sumas en un archivo de
texto plano y periódicamente compara las sumas de verificación contra los valores en el archivo de
texto. Si cualquiera de estas sumas no coinciden, el IDS alertará al administrador a través de un
correo electrónico o a un mensaje al celular.
IDS basados en Red
Los sistemas de detección de intrusos basados en la red operan de una forma diferente que aquellos
IDSes basados en host. La filosofía de diseño de un IDS basado en la red es escanear los paquetes
de red al nivel del enrutador o host, auditar la información de los paquetes y registrar cualquier
paquete sospechoso en un archivo de registros especial con información extendida. Basándose en
estos paquetes sospechosos, un IDS basado en la red puede escanear su propia base de datos de
firmas de ataques a la red y asignarles un nivel de severidad para cada paquete. Si los niveles de
severidad son lo suficientemente altos, se enviará un correo electrónico o un mensaje de pager de
advertencia a los miembros del equipo de seguridad para que ellos puedan investigar la naturaleza
de la anomalía.
Los IDSes basados en la red se han vuelto muy populares a medida en que la Internet ha crecido en
tamaño y tráfico. Los IDSes que son capaces de escanear grandes volúmenes de actividad en la red
y exitosamente etiquetar transmisiones sospechosas, son bien recibidos dentro de la industria de
seguridad. Debido a la inseguridad inherente de los protocolos TCP/IP, se ha vuelto imperativo
desarrollar escáneres, husmeadores y otras herramientas de auditoria y detección para así prevenir
violaciones de seguridad por actividades maliciosas en la red, tales como:
• Engaño de direcciones IP (IP Spoofing)
• Ataques de rechazo de servicio (DoS)
• Envenenamiento de caché arp
• Corrupción de nombres DNS
• Ataques de hombre en el medio
La mayoría de los IDSes basados en la red requieren que el dispositivo de red del sistema host sea
configurado a modo promiscuo, lo cual permite al dispositivo capturar todos los paquetes que pasan
por la red.
Los IDS son sistemas que ayudan a reforzar un esquema coherente de seguridad en una red. No
deben ser usados solos como único medio de guardar la seguridad, pues no en todos los casos
pueden defender la red y se hace necesario que el administrador de ésta intervenga.
Esta herramienta es valiosa para el administrador de red, pues le ayuda a mejorar la gestión de
seguridad. Es importante revisar el conjunto de reglas de estos, para que puedan detectar el mayor
número de ataques posible y así se minimice la posibilidad que se realicen intrusiones.
El sensor Cisco Secure IDS 4230 es un miembro de la familia de productos Cisco Secure IDS, líder
del mercado.
El sensor Cisco Secure IDS 4230 es un "dispositivo" de seguridad de red que detecta la actividad no
autorizada que la atraviesa, como por ejemplo ataques por parte de hackers, mediante el análisis del
tráfico en tiempo real, y permite a los usuarios responder con rapidez a las amenazas de seguridad.
Cuando se detecta una actividad no autorizada, el sensor puede enviar alarmas a la consola de
administración con detalles de la actividad y puede controlar otros sistemas, como los routers, para
terminar las sesiones no autorizadas.
Aplicación
El sensor Cisco Secure IDS 4230 se ha optimizado para el control de los entornos de 100 Mbps y
resulta ideal para el control del tráfico de puertos SPAN (Switched Port Analyzer) y segmentos Fast
Ethernet. También se recomienda para el control de múltiples entornos T3.
Los sensores pueden colocarse en lugares en los que otros dispositivos de seguridad no son útiles,
por ejemplo:
• Segmentos internos de red
• Delante de un firewall
• Detrás de un firewall
• Detrás de un servidor de modems para acceso telefónico
• En conexiones extranet
Los sensores pueden colocarse en casi todos los segmentos de la red de la empresa donde se
requiera visibilidad de la seguridad.
Características y Ventajas Principales
• Forma parte del modelo SAFE para el comercio electrónico: el sensor es un componente
necesario para una estrategia de defensa en profundidad y eficaz, y para complementar otros
mecanismos de seguridad implantados (por ejemplo, firewalls, cifrado y autenticación). Como
componente dinámico de seguridad de la línea de productos de seguridad de Cisco, el IDS puede
funcionar en entornos Internet e intranet para proteger toda la red de la empresa.
• Detección y respuesta a las intrusiones en tiempo real: el sensor proporciona control y
detección del mal uso de la red en tiempo real, utilizando para ello a la propia red como fuente de
datos (esto es, capturando paquetes directamente de la red). Responde de forma activa a la
actividad no autorizada, bloqueando el acceso a la red o terminando las sesiones dañinas.
• Completa cobertura de reconocimiento de ataques/firmas: el sensor detecta una amplia
variedad de ataques. También incluye un sofisticado re ensamblaje de fragmentación IP y
capacidades de detección anti-IDS "Whisker".
• Rendimiento de alta velocidad: el sensor es especialmente recomendable para el control de
entornos de 100 Mbps.
• Dispositivo integrado de seguridad IDS: el sensor conforma una solución completa "llave en
mano" y "plug-and-play". Todo el paquete hardware y software se fabrica, prueba y mantiene por un
solo fabricante.
• Bajo costo de propiedad: el sensor es sencillo de instalar, configurar y mantener.
• Sencilla instalación: la instalación del sensor es rápida y sencilla, ya que requiere sólo siete
parámetros de direccionamiento y no es necesaria una formación especial. Cuando el sensor se
encuentra ya instalado, como un dispositivo autónomo con una potente configuración
predeterminada, empieza a realizar su tarea de control inmediatamente.
• Funcionamiento transparente: el sensor no está diseñado para afectar al rendimiento de la red
y es totalmente transparente al usuario final. Se incorpora a la red y es completamente invisible a los
usuarios finales, lo que incrementa el nivel de seguridad sin afectar al rendimiento o la funcionalidad.