Tarea #9

Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

ALARMAS DE UN SISTEMA CONTRA
INTRUSIONES
Intrusin Detection Systems (IDS)
es un componente ms dentro del modelo de seguridad de una
organizacin. Consiste en detectar actividades inapropiadas,
incorrectas o anmalas desde el exterior-interior de un sistema
informtico.
La necesidad de controlar el ingreso de personas no autorizadas en
algn lugar determinado es la base de la existencia de estos equipos,
los cuales mantienen la seguridad en comercios, oficinas, industrias,
almacenes, reas de diseo o desarrollo, laboratorios, etctera.
La instalacin de los sistemas de alarmas contra intrusos ha
contribuido a reducir la cantidad de robos y hurtos producidos en
los hogares de todo el mundo, presentando no slo la ventaja directa
de la seguridad que brinda a las personas y sus bienes, sin
tambin permitiendo reducir los montos de las primas de los seguros
de las empresas, comercios y viviendas.
Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

Sin embargo, como su uso an no est debidamente generalizado,
cada ao continan producindose numerosos incidentes, con
daos humanos y materiales causados por la falta de una oportuna
deteccin.
Los robos y hurtos tambin pueden causar diferentes trastornos
psico-fsicos sobre las vctimas de estos hechos delictivos, siendo las
ms afectadas las personas mayores y las que sufren problemas del
corazn, las mujeres embarazadas, y sobre todo los nios, quienes
pueden resultar muy traumatizados por la situacin de peligro
resultante.

Los sistemas de deteccin de intrusos pueden clasificarse, segn su
funcin y comportamiento en:
Host-Based IDS: operan en un host para detectar actividad
maliciosa en el mismo.
Network-Based IDS: operan sobre los flujos de informacin
intercambiados en una red.
Knowledge-Based IDS: sistemas basados en Conocimiento.
Behavior-Based IDS: sistemas basados en Comportamiento.
Se asume que una intrusin puede ser detectada observando
una desviacin respecto del comportamiento normal o
esperado de un usuario en el sistema.
Estos sistemas de alarmas pueden contener los siguientes
elementos:
Central de alarma
Batera y cargador
Consola de activacin/desactivacin
Cableado o vinculacin inalmbrica
Alarma
Avisador telefnico
Pulsadores de pnico/asalto
Detectores
Central de alarma:
Es la parte medular del equipamiento, ya que es el elemento
que se encarga de controlar automticamente el
funcionamiento general del sistema de alarma, recogiendo
informacin del estado de los distintos detectores y
Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

accionando eventualmente los sistemas de aviso de la
presencia de intrusos en el rea protegida.
Es una tarjeta electrnica con sus distintas entradas y salidas,
que se encuentra resguardada en un gabinete con proteccin
anti desarme, el que generalmente tambin incluye la batera y
su cargador.
Se clasifican de acuerdo a la cantidad de zonas independientes
a proteger, por lo que podemos encontrar productos de 2
zonas, 6 zonas, 16 zonas, etctera.
Cada zona puede ser activada y desactivada en forma
individual, lo que permite en hogares con muchas
dependencias, proteger las reas que no tienen presencia
humana prevista y deshabilitar la proteccin en aquellas
zonas ocupadas por los dueos de casa.
Se suele incorporar un retardo de activacin de la alarma en al
menos una zona (zona temporizada), para dar tiempo a que
pueda desactivarse el sistema, al ingresar los dueos al
domicilio protegido.
Sin embargo, esto no es necesario en los casos en que se
dispone de un control remoto por ondas de radio.


Batera y cargador


sirven para proveer un sistema de alimentacin elctrica
ininterrumpida (UPS), de manera que ante una falta del
suministro elctrico de red (normal o provocado por un
ladrn), el sistema de alarma contra intrusos contine
brindando proteccin en forma absolutamente normal.
Consola de activacin/desactivacin
Habitualmente contiene un teclado que permite programar
todas las funciones del sistema.
Esta interface de control cuenta con teclas alfanumricas,
como as tambin otras funciones de sealizacin de estados,
por lo que constituye una pieza importante para el usuario del
sistema.
Existen sealizadores de dos tipos, los de led o luces, y
tambin los de pantalla de cuarzo lquido.
Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

En ambos casos brindan informacin de cada una de las
zonas que estn conectadas (reas de proteccin exterior,
puertas, ventanas, reas interiores, etctera).
En algunos modelos, la consola de activacin/desactivacin se
encuentra montada en el frente de la central de alarma,
aunque esto tiende a caer en desuso.
Tambin existen modelos en que se dispone un control remoto
por ondas de radio codificadas, que permite la
activacin/desactivacin de la central, y eventualmente puede
accionar las sirenas y hacer llamados telefnicos en caso de
asaltos.
Cableado o vinculacin inalmbrica


Sirve para vincular los distintos componentes del sistema de
alarma contra intrusos, ya sea por medio de cables o en forma
inalmbrica.
En el caso de redes cableadas, generalmente se utilizan dos
conductores para alimentacin de 12 V y dos conductores
para las seales (circuito serie de NC).
Alarma

El elemento de alarma est formado generalmente por una sirena (o
campana) que advierte de la ocurrencia de una intrusin detectada
por el sistema, mediante una seal sonora de alto nivel.
En algunos casos, tambin puede incluir algn tipo de sealizacin
visual, como balizas y destelladores (flash), para aquellas personas
que tienen problemas de audicin o cuando existe un alto nivel de
ruido ambiente.
La sirena exterior se coloca dentro de un gabinete para su
proteccin, y se instala en la fachada de la casa, comercio o
industria a proteger.
Adems de su funcin de alertar en los casos en que se ha detectado
un intruso, la sirena exterior es un elemento disuasivo de por s, ya
que advierte de la existencia de un sistema de alarma instalado en el
domicilio.
Por otro lado, la sirena interior sirve para actuar como auxiliar de la
exterior, de manera que las dos sirenas suenen al mismo tiempo. Si
el intruso destruye la sirena exterior, queda funcionando la sirena
interior dentro del lugar a proteger.
Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

En todos los casos, estas sirenas emiten un sonido de unos 120
decibeles (equiparable al sonido de una ambulancia) y tienen una
proteccin anti desarme que enva una seal a la central, en los
casos en que se pretenda sabotear su correcto funcionamiento.
Para determinar el tipo de alarma a instalar debe tenerse en cuenta
algunos factores como el nivel de ruido ambiental, el tipo y calidad
del sonido ambiental, la duracin de la seal requerida, el nivel
acstico deseado y la alimentacin elctrica disponible.
Por ello, para su correcta instalacin hay que tener en cuenta la
presencia de fuentes de sonido en los locales a proteger, como por
ejemplo equipos de aire acondicionado, sistemas estereofnicos,
televisores, etctera, que eventualmente impidan la audicin de las
sirenas de alarma.
Por otro lado, el entorno en el cual un sealizador luminoso debe ser
instalado es lo que determina tanto el tipo de producto como la
intensidad luminosa necesaria para cada aplicacin.
Por ello, un avisador luminoso diseado para uso industrial, que
incorpora una gran salida luminosa nunca podr ser adecuado para
un domicilio y viceversa

Avisador telefnico
En los sistemas de alarma ms modernos, tambin se suele instalar
un elemento que ante la ocurrencia de una anormalidad, efecta un
llamado al nmero telefnico programado previamente.
Este llamado puede incluir un mensaje de voz grabado en una
memoria no voltil o ser simplemente una secuencia de tonos
caractersticos (bip-bip).

Pulsadores de pnico/asalto

Estos dispositivos de seguridad contra asalto deben ser colocados
estratgicamente y de manera oculta, cerca de cajas registradoras,
mostradores, baos, cajas de seguridad, armarios, etctera, de
manera tal que al momento del asalto se puedan presionar los
pulsadores correspondientes en forma disimulada, para enviar una
seal a la central de alarma, que ordene una accin de respuesta
silenciosa, como por ejemplo la ejecucin de un llamado telefnico o
la activacin de una seal luminosa en el puesto central de
vigilancia.

Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

Detectores
Los detectores se fabrican con diversas tcnicas que operan bajo
principios de funcionamiento diferentes.
Algunos de ellos han pasado a la obsolescencia por la gran cantidad
de falsas alarmas que generan y por lo tanto no se describirn.
En la mayora de los casos se dispone un elemento sensor que
analiza la alteracin de alguna magnitud fsica.
Esta alteracin es detectada por un circuito electrnico asociado que
opera un contacto normalmente cerrado, que al abrirse enva la
informacin de su estado a la central, la que acciona la alarma
acstica y/o lumnica del sistema, para advertir la presencia de
intrusos en el ambiente en que se halla instalado.
Estos detectores deben ser cuidadosamente seleccionados en
funcin del tipo de alteracin a identificar, para evitar falsas
alarmas.
El detector est concebido para dar una rpida advertencia a un
costo razonable, de manera de brindar un oportuno preaviso.
Esta advertencia slo es posible si el detector est correctamente
localizado, instalado y mantenido.

No pueden dar aviso si el intruso no atraviesa el campo de accin de
ellos.
Por ello es aconsejable instalar detectores en cada cocina,
dormitorio, pasillo, descanso y otros recintos cuyas puertas
permanezcan cerradas normalmente.
Generalmente no deben colocarse directamente sobre una cocina o
estufa, ni en las cercanas de extractores de aire, puertas o
ventanas, ni en lugares con temperaturas elevadas.
Tampoco deben ubicarse en reas sucias, con muchos insectos, o
con atmsfera poluida, porque pueden dar origen a falsas alarmas.
Debe tenerse en cuenta la presencia de mascotas, como perros y
gatos, que pueden producir innecesarios avisos, si no se toma en
cuenta esta situacin al ser instalados.
Por este motivo, algunos detectores son inmunes a animales de 30
cm de altura.
Deben tener un mantenimiento regular, debiendo prestarse especial
atencin al estado de la zona de captacin.
Hay que limpiarlos mensualmente para quitar el polvo o grasa que
pueda perturbar su funcionamiento.
Hay detectores que funcionan en forma autnoma, pues poseen su
propia sirena y batera, formando una pequea central completa que
brinda proteccin aun cuando se interrumpe el suministro de
Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

energa, siempre que la batera est cargada y correctamente
instalada.
En algunos casos, en vez de sirena se instala una luminaria
incorporada, que al iluminar la zona en que detect la anormalidad,
alerta de la presencia de extraos en su campo de accin,
ahuyentando posibles intrusos, animales, etctera.




La idea central de los tipos de deteccin es el hecho de que la actividad
intrusiva es un conjunto de actividades anmalas.
Si alguien consigue entrar de forma ilegal al sistema, no actuar como un
usuario comprometido; su comportamiento se alejar del de un usuario
normal.
Sin embargo en la mayora de las ocasiones una actividad intrusiva resulta
del agregado de otras actividades individuales que por s solas no
constituyen un comportamiento intrusivo de ningn tipo. As las
intrusiones pueden clasificarse en:
Intrusivas pero no anmalas: denominados Falsos Negativos (el
sistema errneamente indica ausencia de intrusin). En este caso la
actividad es intrusiva pero como no es anmala no es detectada. No
son deseables, porque dan una falsa sensacin de seguridad del
sistema.
No intrusivas pero anmalas: denominados Falsos Positivos (el
sistema errneamente indica la existencia de intrusin). En este
caso la actividad es no intrusiva, pero como es anmala el sistema
"decide" que es intrusiva. Deben intentar minimizarse, ya que en
caso contrario se ignorarn los avisos del sistema, incluso cuando
sean acertados.
No intrusiva ni anmala: son Negativos Verdaderos, la actividad es
no intrusiva y se indica como tal.
Intrusiva y anmala: se denominan Positivos Verdaderos, la
actividad es intrusiva y es detectada.
Los detectores de intrusiones anmalas requieren mucho gasto
computacional, ya que se siguen normalmente varias mtricas para
Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

determinar cunto se aleja el usuario de lo que se considera
comportamiento normal.








Caractersticas de IDS
Cualquier sistema de deteccin de intrusos debera, sea cual sea el
mecanismo en que est basado, debera contar con las siguientes
caractersticas:
Debe funcionar continuamente sin supervisin humana. El sistema
debe ser lo suficientemente fiable para poder ser ejecutado en
background dentro del equipo que est siendo observado. Sin
embargo, no debe ser una "caja negra" (debe ser examinable desde el
exterior).
Debe ser tolerante a fallos en el sentido de que debe ser capaz de
sobrevivir a una cada del sistema.
En relacin con el punto anterior, debe ser resistente a
perturbaciones. El sistema puede monitorizarse a s mismo para
asegurarse de que no ha sido perturbado.
Debe imponer mnima sobrecarga sobre el sistema. Un sistema que
relentiza la mquina, simplemente no ser utilizado.
Debe observar desviaciones sobre el comportamiento estndar.
Debe ser fcilmente adaptable al sistema ya instalado. Cada sistema
tiene un patrn de funcionamiento diferente y el mecanismo de
defensa debe adaptarse de manera sencilla a esos patrones.
Debe hacer frente a los cambios de comportamiento del sistema
segn se aaden nuevas aplicaciones al mismo.
Debe ser difcil de "engaar".


Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica












Fortalezas de IDS
Suministra informacin muy interesante sobre el trfico malicioso de
la red.
Poder de reaccin para prevenir el dao.
Es una herramienta til como arma de seguridad de la red.
Ayuda a identificar de dnde provienen los ataques que se sufren.
Recoge evidencias que pueden ser usadas para identificar intrusos.
Es una "cmara" de seguridad y una "alarma" contra ladrones.
Funciona como "disuasor de intrusos".
Alerta al personal de seguridad de que alguien est tratando de
entrar.
Protege contra la invasin de la red.
Suministra cierta tranquilidad.
Es una parte de la infraestructura para la estrategia global de
defensa.
La posibilidad de detectar intrusiones desconocidas e imprevistas.
Pueden incluso contribuir (parcialmente) al descubrimiento
automtico de esos nuevos ataques.
Son menos dependientes de los mecanismos especficos de cada
sistema operativo.
Pueden ayudar a detectar ataques del tipo "abuso de privilegios" que
no implica realmente ninguna vulnerabilidad de seguridad. En pocas
palabras, se trata de una aproximacin a la paranoia: "todo aquello
que no se ha visto previamente es peligroso".
Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

Menor costo de implementacin y mantenimiento al ubicarse en
puntos estratgicos de la red.
Dificulta el trabajo del intruso de eliminar sus huellas.
Debilidades de IDS
No existe un parche para la mayora de bugs de seguridad.
Se producen falsas alarmas.
Se producen fallos en las alarmas.
No es sustituto para un buen Firewall, una auditora de seguridad
regular y una fuerte y estricta poltica de seguridad.
Inconvenientes de IDS
La alta tasa de falsas alarmas dado que no es posible cubrir todo el
mbito del comportamiento de un sistema de informacin durante la
fase de aprendizaje.
El comportamiento puede cambiar con el tiempo, haciendo necesario
un re-entrenamiento peridico del perfil, lo que da lugar a la no
disponibilidad del sistema o la generacin de falsas alarmas
adicionales.
El sistema puede sufrir ataques durante la fase de aprendizaje, con
lo que el perfil de comportamiento contendr un comportamiento
intrusivo el cual no ser considerado anmalo.
Los IPS e IDS generan eventos cuando se disparan las firmas al
analizar el trfico de red.
Tener correctamente configurados los parmetros de firma minimiza
las posibilidades de fallo en la deteccin de trfico malicioso.
Adems tambin evitaremos llenar los ficheros de log con eventos no
relevantes.

Existen 4 tipos de alarmas, y son cruciales para la correcta operacin de
los sensores desplegados. Puede que de todas ellas la ms importante sea
el Falso Negativo. A continuacin entenderis el porqu.

Falso Positivo: Se produce cuando el trfico normal, es decir, el no
daino, dispara alguna firma. Tendremos una alerta cuando, en
realidad, no pasa nada. Se debe principalmente a un mal ajuste del
sensor y sus parmetros.
Falso Negativo: Se produce cuando el trfico maligno, no es
detectado por ninguna firma. Es decir, un ataque no se detecta. Se
Tarea #9
Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica

debe tambin a un mal ajuste de los motores del sensor o alguno de
sus parmetros.
Verdadero Positivo: Se produce cuando el trfico maligno, dispara
una firma. Tenemos un ataque sobre la red que es detectado y se
acta en consecuencia. Este es el objetivo final del IPS/IDS.
Verdadero Negativo: Se produce cuando el trfico normal no
dispara ninguna firma. Es decir que no hay ataque y, en
consecuencia, no se generan alarmas. Este estado es el ideal para
cualquier red.