Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos crackers, o de Script Kiddies que usan herramientas automticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.
Tipos de IDS
Existen dos tipos de sistemas de deteccin de intrusos:
1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo, con propsito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones. 2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la red.
Implementacin
Para poner en funcionamiento un sistema de deteccin de intrusos se debe tener en cuenta que es posible optar por una solucin hardware, software o incluso una combinacin de
estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho trfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta. En redes es necesario considerar el lugar de colocacin del IDS. Si la red est segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el trfico de la red realizando una conexin a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el trfico de esta red.
HIDS, Sistema de deteccin de intrusos en un Host. Busca detectar anomalas que indican un riesgo potencial, revisando las actividades en la mquina (host). Puede tomar medidas protectoras. Las funciones de este tipo de software son muy similares a las de los IDS. Configuraciones tpicas permiten varios HIDS repartidos por la red que envian sus resultados a un servidor centralizado que los analizar en busca de los riegos y alertas antes mencionados. Este fue el primer tipo de software de deteccin de intrusos que se dise, siendo el objetivo original el Mainframe, donde la interaccin exterior era infrecuente.1 Proteccin de los HIDS Los HIDS generalmente hacen todo lo posible para evitar que las bases de datos de objetos, de checksum y sus reportes sufran cualquier forma de manipulacin. Despus de todo, si los intrusos lograran modificar cualquiera de los objetos que los HIDS monitorean, nada podra detener a los intrusos de la modificacin de este tipo a los propios HIDS - a menos que los administradores de seguridad tomen las precauciones adecuadas. Muchos gusanos y virus a tratar de desactivar las herramientas anti-virus, por ejemplo. Aparte de las cripto-tcnicas, los HIDS podran permitir a los administradores almacenar las bases de datos en un CD-ROM o en otras dispositivos de memoria de slo lectura (otro factor de lucha para las actualizaciones poco frecuentes ...) o almacenarlos en una memoria fuera del sistema. Del mismo modo, un HIDS frecuentemente enva sus registros (logs) fuera del sistema de inmediato - por lo general utilizando canales VPN a algn sistema de gestin central. Se podra argumentar que el mdulo de plataforma de confianza es un tipo de HIDS. A pesar de su alcance difiere en muchos aspectos a la de un HIDS, fundamentalmente, proporciona un medio para identificar si hay algo/alguien que ha manipulado una porcin
de un ordenador. Arquitectnicamente este proporciona la mxima (por lo menos hasta ahora) deteccin de intrusiones basado en host, ya que depende de un hardware externo a la CPU en s, por lo tanto por lo que es mucho ms difcil para un intruso corromper a sus bases de datos de objetos y de checksums.
Recepcin
InfoWorld opina que el software HIDS es una forma til para administradores de red de encontrar malware, sugiriendo que debera usarse en todos los servidores, no solo en los servidores crticos.
NIDS
NIDS, Sistema de deteccin de intrusos en una Red. Busca detectar anomalas que inicien un riesgo potencial, tales como ataques de denegacin de servicio, escaneadores de puertos o intentos de entrar en un ordenador, analizando el trfico en la red en tiempo real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no slo vigilan el trfico entrante, sino tambin el saliente o el trfico local, ya que algunos ataques podran ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el trfico es casi nula. Para que los NIDS sean efectivos, han de ser actualizados peridicamente. En caso de detectar un ataque contra el sistema, puede tomar medidas protectoras. Un aspecto negativo de los NIDS actuales es su complicacin a la hora de obtener las opciones de configuracin ptimas para su ejecucin. De otro modo, obtendremos demasiados falsos positivos (falsas alarmas, con gran cantidad de informacin que luego un administrador tendr que procesar) o pasar sin advertir ciertos ataques. El campo de los IDS y su versin para red NIDS est actualmente en activa investigacin en diversas universidades como Columbia University y empresas de seguridad.
Funcionamiento
Un sistema de prevencin de intrusos, al igual que un Sistema de Deteccin de Intrusos, funciona por medio de mdulos, pero la diferencia es que este ltimo alerta al administrador ante la deteccin de un posible intruso (usuario que activ algn Sensor), mientras que un Sistema de Prevencin de Intrusos establece polticas de seguridad para proteger el equipo o la red de un ataque; se podra decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. Los IPS se categorizan en la forma que detectan el trfico malicioso:
Deteccin basada en firmas: como lo hace un antivirus. Deteccin basada en polticas: el IPS requiere que se declaren muy especficamente las polticas de seguridad. Deteccin basada en anomalas: en funcin con el patrn de comportamiento normal de trfico. Deteccin honey pot (jarra de miel): funciona usando un equipo que se configura para que llame la atencin de los hackers.
Deteccin basada en firmas Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web
generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrn de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este tipo de deteccin funciona parecido a un antivirus, el administrador debe verificar que las firmas estn constantemente actualizadas. Deteccin basada en polticas En este tipo de deteccin, el IPS requiere que se declaren muy especficamente las polticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin con determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo descarta. Deteccin basada en anomalas Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es sumamente difcil determinar y medir una condicin normal. En este tipo de deteccin tenemos dos opciones:
1. Deteccin estadstica de anormalidades: El IPS analiza el trfico de red por un determinado periodo de tiempo y crea una lnea base de comparacin. Cuando el trfico vara demasiado con respecto a la lnea base de comportamiento, se genera una alarma. 2. Deteccin no estadstica de anormalidades: En este tipo de deteccin, es el administrador quien define el patrn normal de trfico. Sin embargo, debido a que con este enfoque no se realiza un anlisis dinmico y real del uso de la red, es susceptible a generar muchos falsos positivos.
Deteccin honey pot (jarra de miel) Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar polticas de seguridad acordes en nuestros sistemas de uso real.
Clasificaciones
Los sistemas de prevencin de intrusiones se pueden clasificar en cuatro tipos diferentes: 1. Sistema de prevencin de intrusiones basado en red (NIPS) : monitorea toda la red para el trfico sospechoso mediante el anlisis de la actividad de protocolo. 2. Los sistemas de prevencin de intrusiones inalmbricas (WIPS) : monitorear una red inalmbrica para el trfico sospechoso mediante el anlisis de protocolos de redes inalmbricas. 3. El anlisis del comportamiento de la red (NBA) : analiza el trfico de red para identificar las amenazas que generan flujos inusuales de trfico, como la denegacin de servicio distribuido (DDoS), ciertas formas de malware y violacines de poltica.
4. Sistema basado en host de prevencin de intrusiones (HIPS) : un paquete de software instalado que supervisa un nico host para detectar actividades sospechosas mediante el anlisis de los acontecimientos que ocurren dentro de ese host.