Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
ALARMAS DE UN SISTEMA CONTRA INTRUSIONES Intrusin Detection Systems (IDS) es un componente ms dentro del modelo de seguridad de una organizacin. Consiste en detectar actividades inapropiadas, incorrectas o anmalas desde el exterior-interior de un sistema informtico. La necesidad de controlar el ingreso de personas no autorizadas en algn lugar determinado es la base de la existencia de estos equipos, los cuales mantienen la seguridad en comercios, oficinas, industrias, almacenes, reas de diseo o desarrollo, laboratorios, etctera. La instalacin de los sistemas de alarmas contra intrusos ha contribuido a reducir la cantidad de robos y hurtos producidos en los hogares de todo el mundo, presentando no slo la ventaja directa de la seguridad que brinda a las personas y sus bienes, sin tambin permitiendo reducir los montos de las primas de los seguros de las empresas, comercios y viviendas. Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
Sin embargo, como su uso an no est debidamente generalizado, cada ao continan producindose numerosos incidentes, con daos humanos y materiales causados por la falta de una oportuna deteccin. Los robos y hurtos tambin pueden causar diferentes trastornos psico-fsicos sobre las vctimas de estos hechos delictivos, siendo las ms afectadas las personas mayores y las que sufren problemas del corazn, las mujeres embarazadas, y sobre todo los nios, quienes pueden resultar muy traumatizados por la situacin de peligro resultante.
Los sistemas de deteccin de intrusos pueden clasificarse, segn su funcin y comportamiento en: Host-Based IDS: operan en un host para detectar actividad maliciosa en el mismo. Network-Based IDS: operan sobre los flujos de informacin intercambiados en una red. Knowledge-Based IDS: sistemas basados en Conocimiento. Behavior-Based IDS: sistemas basados en Comportamiento. Se asume que una intrusin puede ser detectada observando una desviacin respecto del comportamiento normal o esperado de un usuario en el sistema. Estos sistemas de alarmas pueden contener los siguientes elementos: Central de alarma Batera y cargador Consola de activacin/desactivacin Cableado o vinculacin inalmbrica Alarma Avisador telefnico Pulsadores de pnico/asalto Detectores Central de alarma: Es la parte medular del equipamiento, ya que es el elemento que se encarga de controlar automticamente el funcionamiento general del sistema de alarma, recogiendo informacin del estado de los distintos detectores y Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
accionando eventualmente los sistemas de aviso de la presencia de intrusos en el rea protegida. Es una tarjeta electrnica con sus distintas entradas y salidas, que se encuentra resguardada en un gabinete con proteccin anti desarme, el que generalmente tambin incluye la batera y su cargador. Se clasifican de acuerdo a la cantidad de zonas independientes a proteger, por lo que podemos encontrar productos de 2 zonas, 6 zonas, 16 zonas, etctera. Cada zona puede ser activada y desactivada en forma individual, lo que permite en hogares con muchas dependencias, proteger las reas que no tienen presencia humana prevista y deshabilitar la proteccin en aquellas zonas ocupadas por los dueos de casa. Se suele incorporar un retardo de activacin de la alarma en al menos una zona (zona temporizada), para dar tiempo a que pueda desactivarse el sistema, al ingresar los dueos al domicilio protegido. Sin embargo, esto no es necesario en los casos en que se dispone de un control remoto por ondas de radio.
Batera y cargador
sirven para proveer un sistema de alimentacin elctrica ininterrumpida (UPS), de manera que ante una falta del suministro elctrico de red (normal o provocado por un ladrn), el sistema de alarma contra intrusos contine brindando proteccin en forma absolutamente normal. Consola de activacin/desactivacin Habitualmente contiene un teclado que permite programar todas las funciones del sistema. Esta interface de control cuenta con teclas alfanumricas, como as tambin otras funciones de sealizacin de estados, por lo que constituye una pieza importante para el usuario del sistema. Existen sealizadores de dos tipos, los de led o luces, y tambin los de pantalla de cuarzo lquido. Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
En ambos casos brindan informacin de cada una de las zonas que estn conectadas (reas de proteccin exterior, puertas, ventanas, reas interiores, etctera). En algunos modelos, la consola de activacin/desactivacin se encuentra montada en el frente de la central de alarma, aunque esto tiende a caer en desuso. Tambin existen modelos en que se dispone un control remoto por ondas de radio codificadas, que permite la activacin/desactivacin de la central, y eventualmente puede accionar las sirenas y hacer llamados telefnicos en caso de asaltos. Cableado o vinculacin inalmbrica
Sirve para vincular los distintos componentes del sistema de alarma contra intrusos, ya sea por medio de cables o en forma inalmbrica. En el caso de redes cableadas, generalmente se utilizan dos conductores para alimentacin de 12 V y dos conductores para las seales (circuito serie de NC). Alarma
El elemento de alarma est formado generalmente por una sirena (o campana) que advierte de la ocurrencia de una intrusin detectada por el sistema, mediante una seal sonora de alto nivel. En algunos casos, tambin puede incluir algn tipo de sealizacin visual, como balizas y destelladores (flash), para aquellas personas que tienen problemas de audicin o cuando existe un alto nivel de ruido ambiente. La sirena exterior se coloca dentro de un gabinete para su proteccin, y se instala en la fachada de la casa, comercio o industria a proteger. Adems de su funcin de alertar en los casos en que se ha detectado un intruso, la sirena exterior es un elemento disuasivo de por s, ya que advierte de la existencia de un sistema de alarma instalado en el domicilio. Por otro lado, la sirena interior sirve para actuar como auxiliar de la exterior, de manera que las dos sirenas suenen al mismo tiempo. Si el intruso destruye la sirena exterior, queda funcionando la sirena interior dentro del lugar a proteger. Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
En todos los casos, estas sirenas emiten un sonido de unos 120 decibeles (equiparable al sonido de una ambulancia) y tienen una proteccin anti desarme que enva una seal a la central, en los casos en que se pretenda sabotear su correcto funcionamiento. Para determinar el tipo de alarma a instalar debe tenerse en cuenta algunos factores como el nivel de ruido ambiental, el tipo y calidad del sonido ambiental, la duracin de la seal requerida, el nivel acstico deseado y la alimentacin elctrica disponible. Por ello, para su correcta instalacin hay que tener en cuenta la presencia de fuentes de sonido en los locales a proteger, como por ejemplo equipos de aire acondicionado, sistemas estereofnicos, televisores, etctera, que eventualmente impidan la audicin de las sirenas de alarma. Por otro lado, el entorno en el cual un sealizador luminoso debe ser instalado es lo que determina tanto el tipo de producto como la intensidad luminosa necesaria para cada aplicacin. Por ello, un avisador luminoso diseado para uso industrial, que incorpora una gran salida luminosa nunca podr ser adecuado para un domicilio y viceversa
Avisador telefnico En los sistemas de alarma ms modernos, tambin se suele instalar un elemento que ante la ocurrencia de una anormalidad, efecta un llamado al nmero telefnico programado previamente. Este llamado puede incluir un mensaje de voz grabado en una memoria no voltil o ser simplemente una secuencia de tonos caractersticos (bip-bip).
Pulsadores de pnico/asalto
Estos dispositivos de seguridad contra asalto deben ser colocados estratgicamente y de manera oculta, cerca de cajas registradoras, mostradores, baos, cajas de seguridad, armarios, etctera, de manera tal que al momento del asalto se puedan presionar los pulsadores correspondientes en forma disimulada, para enviar una seal a la central de alarma, que ordene una accin de respuesta silenciosa, como por ejemplo la ejecucin de un llamado telefnico o la activacin de una seal luminosa en el puesto central de vigilancia.
Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
Detectores Los detectores se fabrican con diversas tcnicas que operan bajo principios de funcionamiento diferentes. Algunos de ellos han pasado a la obsolescencia por la gran cantidad de falsas alarmas que generan y por lo tanto no se describirn. En la mayora de los casos se dispone un elemento sensor que analiza la alteracin de alguna magnitud fsica. Esta alteracin es detectada por un circuito electrnico asociado que opera un contacto normalmente cerrado, que al abrirse enva la informacin de su estado a la central, la que acciona la alarma acstica y/o lumnica del sistema, para advertir la presencia de intrusos en el ambiente en que se halla instalado. Estos detectores deben ser cuidadosamente seleccionados en funcin del tipo de alteracin a identificar, para evitar falsas alarmas. El detector est concebido para dar una rpida advertencia a un costo razonable, de manera de brindar un oportuno preaviso. Esta advertencia slo es posible si el detector est correctamente localizado, instalado y mantenido.
No pueden dar aviso si el intruso no atraviesa el campo de accin de ellos. Por ello es aconsejable instalar detectores en cada cocina, dormitorio, pasillo, descanso y otros recintos cuyas puertas permanezcan cerradas normalmente. Generalmente no deben colocarse directamente sobre una cocina o estufa, ni en las cercanas de extractores de aire, puertas o ventanas, ni en lugares con temperaturas elevadas. Tampoco deben ubicarse en reas sucias, con muchos insectos, o con atmsfera poluida, porque pueden dar origen a falsas alarmas. Debe tenerse en cuenta la presencia de mascotas, como perros y gatos, que pueden producir innecesarios avisos, si no se toma en cuenta esta situacin al ser instalados. Por este motivo, algunos detectores son inmunes a animales de 30 cm de altura. Deben tener un mantenimiento regular, debiendo prestarse especial atencin al estado de la zona de captacin. Hay que limpiarlos mensualmente para quitar el polvo o grasa que pueda perturbar su funcionamiento. Hay detectores que funcionan en forma autnoma, pues poseen su propia sirena y batera, formando una pequea central completa que brinda proteccin aun cuando se interrumpe el suministro de Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
energa, siempre que la batera est cargada y correctamente instalada. En algunos casos, en vez de sirena se instala una luminaria incorporada, que al iluminar la zona en que detect la anormalidad, alerta de la presencia de extraos en su campo de accin, ahuyentando posibles intrusos, animales, etctera.
La idea central de los tipos de deteccin es el hecho de que la actividad intrusiva es un conjunto de actividades anmalas. Si alguien consigue entrar de forma ilegal al sistema, no actuar como un usuario comprometido; su comportamiento se alejar del de un usuario normal. Sin embargo en la mayora de las ocasiones una actividad intrusiva resulta del agregado de otras actividades individuales que por s solas no constituyen un comportamiento intrusivo de ningn tipo. As las intrusiones pueden clasificarse en: Intrusivas pero no anmalas: denominados Falsos Negativos (el sistema errneamente indica ausencia de intrusin). En este caso la actividad es intrusiva pero como no es anmala no es detectada. No son deseables, porque dan una falsa sensacin de seguridad del sistema. No intrusivas pero anmalas: denominados Falsos Positivos (el sistema errneamente indica la existencia de intrusin). En este caso la actividad es no intrusiva, pero como es anmala el sistema "decide" que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarn los avisos del sistema, incluso cuando sean acertados. No intrusiva ni anmala: son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal. Intrusiva y anmala: se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada. Los detectores de intrusiones anmalas requieren mucho gasto computacional, ya que se siguen normalmente varias mtricas para Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
determinar cunto se aleja el usuario de lo que se considera comportamiento normal.
Caractersticas de IDS Cualquier sistema de deteccin de intrusos debera, sea cual sea el mecanismo en que est basado, debera contar con las siguientes caractersticas: Debe funcionar continuamente sin supervisin humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en background dentro del equipo que est siendo observado. Sin embargo, no debe ser una "caja negra" (debe ser examinable desde el exterior). Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una cada del sistema. En relacin con el punto anterior, debe ser resistente a perturbaciones. El sistema puede monitorizarse a s mismo para asegurarse de que no ha sido perturbado. Debe imponer mnima sobrecarga sobre el sistema. Un sistema que relentiza la mquina, simplemente no ser utilizado. Debe observar desviaciones sobre el comportamiento estndar. Debe ser fcilmente adaptable al sistema ya instalado. Cada sistema tiene un patrn de funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos patrones. Debe hacer frente a los cambios de comportamiento del sistema segn se aaden nuevas aplicaciones al mismo. Debe ser difcil de "engaar".
Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
Fortalezas de IDS Suministra informacin muy interesante sobre el trfico malicioso de la red. Poder de reaccin para prevenir el dao. Es una herramienta til como arma de seguridad de la red. Ayuda a identificar de dnde provienen los ataques que se sufren. Recoge evidencias que pueden ser usadas para identificar intrusos. Es una "cmara" de seguridad y una "alarma" contra ladrones. Funciona como "disuasor de intrusos". Alerta al personal de seguridad de que alguien est tratando de entrar. Protege contra la invasin de la red. Suministra cierta tranquilidad. Es una parte de la infraestructura para la estrategia global de defensa. La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir (parcialmente) al descubrimiento automtico de esos nuevos ataques. Son menos dependientes de los mecanismos especficos de cada sistema operativo. Pueden ayudar a detectar ataques del tipo "abuso de privilegios" que no implica realmente ninguna vulnerabilidad de seguridad. En pocas palabras, se trata de una aproximacin a la paranoia: "todo aquello que no se ha visto previamente es peligroso". Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
Menor costo de implementacin y mantenimiento al ubicarse en puntos estratgicos de la red. Dificulta el trabajo del intruso de eliminar sus huellas. Debilidades de IDS No existe un parche para la mayora de bugs de seguridad. Se producen falsas alarmas. Se producen fallos en las alarmas. No es sustituto para un buen Firewall, una auditora de seguridad regular y una fuerte y estricta poltica de seguridad. Inconvenientes de IDS La alta tasa de falsas alarmas dado que no es posible cubrir todo el mbito del comportamiento de un sistema de informacin durante la fase de aprendizaje. El comportamiento puede cambiar con el tiempo, haciendo necesario un re-entrenamiento peridico del perfil, lo que da lugar a la no disponibilidad del sistema o la generacin de falsas alarmas adicionales. El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que el perfil de comportamiento contendr un comportamiento intrusivo el cual no ser considerado anmalo. Los IPS e IDS generan eventos cuando se disparan las firmas al analizar el trfico de red. Tener correctamente configurados los parmetros de firma minimiza las posibilidades de fallo en la deteccin de trfico malicioso. Adems tambin evitaremos llenar los ficheros de log con eventos no relevantes.
Existen 4 tipos de alarmas, y son cruciales para la correcta operacin de los sensores desplegados. Puede que de todas ellas la ms importante sea el Falso Negativo. A continuacin entenderis el porqu.
Falso Positivo: Se produce cuando el trfico normal, es decir, el no daino, dispara alguna firma. Tendremos una alerta cuando, en realidad, no pasa nada. Se debe principalmente a un mal ajuste del sensor y sus parmetros. Falso Negativo: Se produce cuando el trfico maligno, no es detectado por ninguna firma. Es decir, un ataque no se detecta. Se Tarea #9 Cruz Velzquez Jess Jos Antonio 151854 Lic. En informtica
debe tambin a un mal ajuste de los motores del sensor o alguno de sus parmetros. Verdadero Positivo: Se produce cuando el trfico maligno, dispara una firma. Tenemos un ataque sobre la red que es detectado y se acta en consecuencia. Este es el objetivo final del IPS/IDS. Verdadero Negativo: Se produce cuando el trfico normal no dispara ninguna firma. Es decir que no hay ataque y, en consecuencia, no se generan alarmas. Este estado es el ideal para cualquier red.