IDS: Mayor seguridad en la red
Los sistemas IDS actuales pretenden detener los ataques a las redes detectando y analizando en tiempo real los tráficos sospechosos.
En sus primeras versiones, los sistemas de detección de intrusiones (IDS - intrusion-detection systems) se centraban muy especialmente en el análisis de ataques o intentos de ataques una vez que se producían. Hoy, las aplicaciones IDS monitorizan, detectan y responden en tiempo real a actividades no autorizadas que se producen en la red. Este tipo de aplicaciones aparecen hoy como un medio para fortalecer la seguridad perimetral y maximizar las capacidades de los cortafuegos ya desplegados.
La mayor parte de los ataques de intrusos obedecen a uno de estos tres tipos de categorías: reconocimiento (barridos de pings, escaneado de puertos e indexación de servidores Web públicos para encontrar agujeros en CGI-Common Gatewat Interface), explotación (usando características o errores ocultos para obtener acceso a la red) o ataques de denegación de servicio (DoS), mediante los que un intruso intenta inutilizar un sistema o sobrecargar una red.
Los sistemas IDS pretenden detener estos ataques escaneando el tráfico de red en busca de firmas (cualquier patrón o secuencia de patrones que constituyen una violación de seguridad conocida); anomalías de políticas, tales como variaciones en el tráfico o en el protocolo de red que pueden indicar actividades ilegales; y signos de actividades que podrían suponer indicios de ataques a la red internos o externos.
Cada usuario o dispositivo tiene su propio patrón de utilización, potencialmente único, y cualquier actividad que no se ajuste a él en principio es susceptible de ser considerada como posible ataque y como tal investigada. Una vez que se detecta una firma de ataque, se pueden tomar diferentes acciones para detener y seguir los pasos del atacante, así como grabar el evento y notificarlo a un administrador de la red.
Componentes
Los IDS de red constan de tres componentes primarios: sensores, gestores y consolas. Los sensores son aplicaciones desplegadas por la red para monitorizar comportamientos sospechosos. Los gestores, por su parte, almacenan datos de firmas y de alertas procedentes de los sensores y logs de actividad. Las consolas, finalmente, son interfaces gráficas de usuario que permiten gestionar los sensores a través de la red.
Típicamente, los sensores se despliegan dentro y fuera de los cortafuegos. Estos últimos pueden detectar misiones de reconocimiento procedentes de usuarios no autorizados; si el hacker consigue pasar el cortafuegos, realiza una completa auditoría sobre cómo se ha producido la intrusión, al objeto de prevenir futuras entradas no autorizadas. Dentro del cortafuegos, los sensores recogen datos procedentes de los segmentos de red conmutados.
Mientras el tráfico lo atraviesa, el sensor analiza los paquetes TCP a fin de determinar si la dirección de destino (o cualquier otro factor, según los criterios predeterminados) pertenece al conjunto del cual es responsable; en caso contrario, ignora el paquete y lo capta. Si pertenece a su rango de responsabilidad, el sensor comprueba el paquete consultando la base de datos de firmas de ataques del gestor. Muchas aplicaciones IDS permiten hoy realizar inspecciones totales de firmas, de modo que un sensor puede detectar, identificar y prevenir más ataques sofisticados enmascarados en unas series de paquetes que, individualmente, parecen inocuos. Los gestores IDS pueden además almacenar y desarrollar dinámicamente métricas que representen el perfil de operación típico de la red en función de diferentes periodos de tiempo, ya sea día, semana, mes o año. Así, los patrones de tráfico que no se ajusten a estos perfiles básicos típicos se identificarán como intrusiones potenciales.
Respuestas
Cuando un sensor “ve” que una parte de la secuencia de un subconjunto de un paquete, un paquete entero o un conjunto de paquetes casa con una firma de ataque, activa una alarma y, al menos potencialmente, bloquea un flujo específico del tráfico infractor. Generalmente, estos modos de respuesta incluyen la notificación a un administrador de la red vía correo electrónico o radiobúsqueda; captura paquetes del resto de la sesión para realizar su análisis; genera un archivo de log para finalizar una sesión del atacante a través de un comando de reset de TCP/IP; y ejecuta un archivo batch. Un sensor enviará el evento a un gestor de mayor nivel, el cual termina la conexión y graba la sesión para analizarla posteriormente.
Como todas las nuevas tecnologías, los IDS todavía presentan algunos puntos flacos, como la sobrecarga de “falsos positivos”, quizá el peor inconveniente percibido por los usuarios de estos sistemas. Como la detección de intrusiones no deja de ser algo imprecisa, el tráfico legítimo puede tener en ocasiones características que lo identifiquen como intrusiones o ataques de red. Típicamente, cuando eso ocurre, se generan alertas y se les notifica a los administradores como ataques reales. Pero una gran cantidad de alertas de intrusión pueden insensibilizar a los administradores para detectar a atacantes reales. Afortunadamente, las firmas de IDS y un nuevo tipo de software de gestión de información de seguridad están proporcionando métodos que reducen los falsos positivos al mejorar todo el proceso de detección.
Sistemas de detección de intrusiones
-----------------------------------------------------
Los IDS tienen tres componentes: sensores, un gestor de intrusiones y una consola de gestión.
1- El sensor de intrusiones situado fuera del cortafuegos realiza chequeos para reconocer actividades como el escaneado de puertos.
2- El sensor situado dentro del cortafuegos realiza chequeos para ver si los ataques casan con las firmas preexistentes, o si el tráfico se comporta de manera sospechosa.
3- El sensor localizado dentro de la LAN chequea el tráfico interno comparándolo con las firmas y otros datos almacenados por el gestor de intrusiones.
4- Las alertas aparecen en la consola de gestión.
En sus primeras versiones, los sistemas de detección de intrusiones (IDS - intrusion-detection systems) se centraban muy especialmente en el análisis de ataques o intentos de ataques una vez que se producían. Hoy, las aplicaciones IDS monitorizan, detectan y responden en tiempo real a actividades no autorizadas que se producen en la red. Este tipo de aplicaciones aparecen hoy como un medio para fortalecer la seguridad perimetral y maximizar las capacidades de los cortafuegos ya desplegados.
La mayor parte de los ataques de intrusos obedecen a uno de estos tres tipos de categorías: reconocimiento (barridos de pings, escaneado de puertos e indexación de servidores Web públicos para encontrar agujeros en CGI-Common Gatewat Interface), explotación (usando características o errores ocultos para obtener acceso a la red) o ataques de denegación de servicio (DoS), mediante los que un intruso intenta inutilizar un sistema o sobrecargar una red.
Los sistemas IDS pretenden detener estos ataques escaneando el tráfico de red en busca de firmas (cualquier patrón o secuencia de patrones que constituyen una violación de seguridad conocida); anomalías de políticas, tales como variaciones en el tráfico o en el protocolo de red que pueden indicar actividades ilegales; y signos de actividades que podrían suponer indicios de ataques a la red internos o externos.
Cada usuario o dispositivo tiene su propio patrón de utilización, potencialmente único, y cualquier actividad que no se ajuste a él en principio es susceptible de ser considerada como posible ataque y como tal investigada. Una vez que se detecta una firma de ataque, se pueden tomar diferentes acciones para detener y seguir los pasos del atacante, así como grabar el evento y notificarlo a un administrador de la red.
Componentes
Los IDS de red constan de tres componentes primarios: sensores, gestores y consolas. Los sensores son aplicaciones desplegadas por la red para monitorizar comportamientos sospechosos. Los gestores, por su parte, almacenan datos de firmas y de alertas procedentes de los sensores y logs de actividad. Las consolas, finalmente, son interfaces gráficas de usuario que permiten gestionar los sensores a través de la red.
Típicamente, los sensores se despliegan dentro y fuera de los cortafuegos. Estos últimos pueden detectar misiones de reconocimiento procedentes de usuarios no autorizados; si el hacker consigue pasar el cortafuegos, realiza una completa auditoría sobre cómo se ha producido la intrusión, al objeto de prevenir futuras entradas no autorizadas. Dentro del cortafuegos, los sensores recogen datos procedentes de los segmentos de red conmutados.
Mientras el tráfico lo atraviesa, el sensor analiza los paquetes TCP a fin de determinar si la dirección de destino (o cualquier otro factor, según los criterios predeterminados) pertenece al conjunto del cual es responsable; en caso contrario, ignora el paquete y lo capta. Si pertenece a su rango de responsabilidad, el sensor comprueba el paquete consultando la base de datos de firmas de ataques del gestor. Muchas aplicaciones IDS permiten hoy realizar inspecciones totales de firmas, de modo que un sensor puede detectar, identificar y prevenir más ataques sofisticados enmascarados en unas series de paquetes que, individualmente, parecen inocuos. Los gestores IDS pueden además almacenar y desarrollar dinámicamente métricas que representen el perfil de operación típico de la red en función de diferentes periodos de tiempo, ya sea día, semana, mes o año. Así, los patrones de tráfico que no se ajusten a estos perfiles básicos típicos se identificarán como intrusiones potenciales.
Respuestas
Cuando un sensor “ve” que una parte de la secuencia de un subconjunto de un paquete, un paquete entero o un conjunto de paquetes casa con una firma de ataque, activa una alarma y, al menos potencialmente, bloquea un flujo específico del tráfico infractor. Generalmente, estos modos de respuesta incluyen la notificación a un administrador de la red vía correo electrónico o radiobúsqueda; captura paquetes del resto de la sesión para realizar su análisis; genera un archivo de log para finalizar una sesión del atacante a través de un comando de reset de TCP/IP; y ejecuta un archivo batch. Un sensor enviará el evento a un gestor de mayor nivel, el cual termina la conexión y graba la sesión para analizarla posteriormente.
Como todas las nuevas tecnologías, los IDS todavía presentan algunos puntos flacos, como la sobrecarga de “falsos positivos”, quizá el peor inconveniente percibido por los usuarios de estos sistemas. Como la detección de intrusiones no deja de ser algo imprecisa, el tráfico legítimo puede tener en ocasiones características que lo identifiquen como intrusiones o ataques de red. Típicamente, cuando eso ocurre, se generan alertas y se les notifica a los administradores como ataques reales. Pero una gran cantidad de alertas de intrusión pueden insensibilizar a los administradores para detectar a atacantes reales. Afortunadamente, las firmas de IDS y un nuevo tipo de software de gestión de información de seguridad están proporcionando métodos que reducen los falsos positivos al mejorar todo el proceso de detección.
Sistemas de detección de intrusiones
-----------------------------------------------------
Los IDS tienen tres componentes: sensores, un gestor de intrusiones y una consola de gestión.
1- El sensor de intrusiones situado fuera del cortafuegos realiza chequeos para reconocer actividades como el escaneado de puertos.
2- El sensor situado dentro del cortafuegos realiza chequeos para ver si los ataques casan con las firmas preexistentes, o si el tráfico se comporta de manera sospechosa.
3- El sensor localizado dentro de la LAN chequea el tráfico interno comparándolo con las firmas y otros datos almacenados por el gestor de intrusiones.
4- Las alertas aparecen en la consola de gestión.
