A n á l i s i s d e s i s t e m a s d e d e t e c c i ó n d e i n t r u s i o n e s

Transcripción

1 A n á l i s i s d e s i s t e m a s d e d e t e c c i ó n d e i n t r u s i o n e s Proyecto Fin de Carrera Vanessa Viñes Sanjuan Tutor: Robert Rallo Moya Ingeniería Técnica en Informática de Sistemas

2 0. Índice 0. Índice Objetivos del Proyecto Definiciones Definiciones sobre los IDS... Error! Marcador no definido Definición de intrusión... Error! Marcador no definido Historia de los IDS Por que son necesarios los sistemas de detección de intrusiones Que es un IDS o sistema de detección de intrusos Definición de firmas y filtros Definición de eventos de interés (EOI) Tipos de ataques que puede detectar un IDS Que es un Honeypot? Que es un firewall? Tipos de sistemas de detección de instrusiones HIDS o IDS Host Based NIDS o IDS Network Based Híbridos Pasivos Activos Detección del mal uso Detección del uso anómalo Tipos de errores Elementos básicos de un IDS Protocolos de comunicación entre Sensor-Consola Arquitectura de los IDS Arquitectura general de un IDS Arquitecturas específicas de un IDS CIDF (Common Intrusion Detection Framework) DIDS (Distributed Intrusion Detection System) Arquitectura de los NIDS Caracterísitcas de los IDS Análisis de los datos obtenidos por un IDS Capacidades de los IDS Limitaciones de los IDS El ataque mitnick...33 Vanessa Viñes Sanjuan 2

3 4.5. Dónde colocar el IDS? Análisis de productos Productos comerciales Productos de libre distribución Actualidad en los IDS Proyectos de investigación Guía de diseño Aspectos genéricos Casos de estudio Implementación Análisis de una red del tipo I Análisis de una red del tipo II Análisis de una red del tipo III Análisis de una red del tipo IV Conclusiones Recursos utilizados Programas Información en Internet Bibliografía Vanessa Viñes Sanjuan 3

4 1. O b j e t i v o s d e l P r o y e c t o El proyecto trata de determinar, sobre una serie de casos, cual sería la mejor opción a seguir para poder conseguir que el sistema sea seguro y esté protegido contra intrusiones externas. Podemos diferenciar los puntos más importantes en: Determinar los componentes de un sistema de detección de intrusos. Diferenciar los tipos de sistemas de detección de intrusos conocidos. Determinar la arquitectura de un sistema de detección de intrusos. Análisis de los productos de mercado (de libre distribución y comerciales). Guía de diseño Aspectos genéricos Casos de estudio. Análisis económico de hardware y software. Vanessa Viñes Sanjuan 4

5 2. D e f i n i c i o n e s 2.1. Definiciones sobre los IDS Definición de intrusión Una intrusión es un conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de algún recurso de nuestro equipo Historia de los IDS Los primeros sistemas de detección de intrusiones fueron emergiendo a medida que el número de ordenadores crecía. Cuantos más ordenadores había mas aumentaba el número de eventos d sistema a analizar, era tal esta tarea que se volvió humanamente imposible de realizarla. Las autoridades militares de Norteamérica se dieron cuenta de que el uso cada vez más masivo de ordenadores en sus instalaciones requería algún mecanismo que facilitara la labor de sus auditores. James P. Anderson fue la primera persona capaz de documentar la necesidad de un mecanismo que automatizara la revisión de los eventos de seguridad. Describió el concepto de Monitor de referencias en un estudio encargado por las Fuerzas Aéreas de EEUU, y redactó un informe en 1980 que sería el primero de los futuros trabajos sobre la detección de intrusiones. Uno de los objetivos de este informe era la eliminación de información redundante o irrelevante en los registros de sucesos. Anderson propuso un sistema de clasificación que diferenciaba entre ataques internos y ataques externos, basado en si los usuarios tenían permiso de acceso o no al ordenador. Estos eran los principales objetivos de los mecanismos de auditoria de seguridad: - Debían proporcionar suficiente información para que los encargados de seguridad localizaran el problema, pero no para efectuar un ataque. - Debía ser capaz de obtener datos de distintos recursos del sistema. - Para evitar ataques internos, debía detectar usos indebidos o fuera de lo normal por parte de los usuarios. - El diseño del mecanismo de auditoria debía ser capaz de obtener la estrategia usada por el atacante para entrar en las cuentas. Ideó un sistema para dar solución al problema de los intrusos que se habían apoderado de cuentas basándose en patrones de uso, creados a partir de análisis de estadísticas de comportamiento de usuario. Los sistemas posteriores trabajarían con esa idea. El IDES o Intrusión Detection Expert System, desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann, fue un modelo que definía un sistema de detección de intrusiones en tiempo Vanessa Viñes Sanjuan 5

6 real. Este proyecto, fundado entre otros por la marina estadounidense, proponía una correspondencia entre actividad anómala y abuso, o uno indebido. Entendiendo por anómala, aquella actividad rara o inusual en un contexto estadístico. Usaba perfiles para describir a los sujetos del sistema, y reglas de actividad para definir las acciones que tenían lugar. Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías. IDES era un sistema híbrido porque añadía un nivel de seguridad adicional, que minimizaba los efectos de un intruso que intentara eludir el detector de anomalías. En los años ochenta aparecieron numerosos sistemas de detección de intrusiones. Desde 1984 hasta 1985 un grupo de desarrollo en Sytek dirigió un proyecto denominado "Automated Audit Analysis". Utilizaba información recogida a nivel de interfaz de comandos ("shell") de un sistema UNIX, para posteriormente compararlos con una base de datos. Estos datos se analizaban estadísticamente para demostrar que se podían detectar comportamientos fuera de lo normal. Algunos investigadores del proyecto trabajaron más tarde en "SRI International". Discovery fue un sistema creado para detectar e impedir problemas en la base de datos de TRW. La novedad de Discovery radicaba en que monitorizaba una aplicación, no un sistema operativo. Utilizaba métodos estadísticos escritos en COBOL para detectar los posibles abusos. Su creador fue William Tener. El proyecto Haystack, del Centro de Soporte Criptológico las Fuerzas Aéreas de EEUU fue usado para ayudar a los oficiales a encontrar signos de ataques internos en los ordenadores principales de sus bases. Estas máquinas eran principalmente "mainframes" (servidores corporativos) que manejaban información no clasificada pero confidencial. El sistema estaba escrito en C ANSI y SQL. Examinaba los datos de forma periódica, recogiendo colas de eventos de forma periódica. Utilizaba dos fases de análisis para detectar las posibles anomalías. El principal responsable del proyecto fue Steve Smaha. Otro proyecto importante fue el "Multics Intrusion Detection and Alerting System" (MIDAS), creado por el National Computer Security Center (NCSC). Se utilizó para monitorizar el sistema NCSC's Dockmaster, un Honeywall DPS 8/70 en el que corría uno de los sistemas operativos más seguros de entonces, un Multics. Al igual que IDES, MIDAS utilizaba un sistema híbrido en el que combinaba tanto la estadística de anomalías como reglas de seguridad de un sistema experto. MIDAS usaba un proceso de análisis progresivo compuesto por cuatro niveles de reglas. Además de estas reglas, también contaba con una base de datos que usaba para determinar signos de comportamiento atípico. Fue uno de los primeros sistemas de detección de intrusiones conectados a Internet. Fue publicado en la red en 1989 y monitorizó el Mainframe Dockmaster en Contribuyó a fortalecer los mecanismos de autenticación de usuarios. Además, no sólo había contribuido a mejorar la seguridad contra ataques externos, sino que también seguía bloqueando intrusiones internas. "Network Audit Director and Intrusion Reporter" (NADIR) fue desarrollado en Laboratorio Nacional de Los Alamos, para monitorizar el "Integrated Computing Network" (ICN). Esta red estaba inicialmente compuesta por unos usuarios. NADIR usaba técnicas de detección similares a los sistemas de su tiempo como el IDES o MIDAS. Fue uno de los sistemas con más éxito de los años ochenta. La principal responsable de NADIR fue Kathleen Jackson. El "Network System Monitor" (NSM) fue desarrollado en la Universidad de California para trabajar en una estación UNIX de Sun. Fue el primer sistema de detección de intrusiones que monitorizaba el Vanessa Viñes Sanjuan 6

7 tráfico de red, utilizando los datos del propio tráfico como principal fuente de datos. Los anteriores sistemas utilizaban los eventos de sistema o registraban las pulsaciones de teclado. El funcionamiento del NSM, que muchos sistemas de detección de intrusiones de red utilizan hoy en día, se puede describir en estos pasos: - Ponía el dispositivo de red en modo promiscuo ("promiscuous mode"), de forma que monitorizara todo el tráfico que recibiera, incluido el que no iba dirigido al sistema. - Capturaba los paquetes de red. - Identificaba el protocolo utilizado para poder extraer los datos necesarios (IP, ICMP, etc.). - Utilizaba un enfoque basado en matrices para archivar y analizar las características de los datos, en busca tanto de variaciones estadísticas que revelaran un comportamiento anómalo como de violaciones de reglas ya preestablecidas. Una de las pruebas que se hicieron con el NSM duró dos meses. Monitorizó más de conexiones, y detectó correctamente más de 300 posibles intrusiones. Como dato significativo, y para enfatizar la necesidad del uso de este tipo de sistemas, hay que señalar que los administradores no llegaron a percibir ni el 1% de dichas intrusiones. Los principales responsables del NSM fueron Karl Levitt, Todd Heberlein, y Biswanath Mukherjee de la Universidad de California. El sistema "Wisdom and Sense" fue un detector de anomalías creado en el Laboratorio Nacional de Los Álamos en cooperación con el Laboratorio Nacional de Oak Ridge. Utilizaba técnicas no paramétricas ("nonparametric techniques"), que eran técnicas estadísticas que no hacían suposiciones sobre la distribución de los datos. Usaban este método para crear su propio conjunto de reglas. Luego analizaba los "logs" de las auditorias en busca de excepciones de esas reglas, las cuales estaban organizadas en "arrays" con forma de árbol. Definían lo que era el comportamiento normal desde un punto de vista cronológico de los datos de auditoria Por que son necesarios los sistemas de detección de intrusiones? Hoy en día las organizaciones tienen salida a las redes mundiales de información, por lo tanto tienen que asegurarse que no puedan robar los datos que son confidenciales. Algunas de las razones de usar un sistema de detección de intrusiones son: - Prevenir ataques que las otras medidas de seguridad no son capaces de detectar. - En caso de ataque poder saber por que se ha producido, y así evitar futuros ataques del mismo tipo. - Detectar y tratar las acciones previas a un ataque. Vanessa Viñes Sanjuan 7

8 - Recolectar información sobre los ataques, para después poder compartirla con el resto de gente. Así en el futuro será más complicado poder perpetrar las defensas de las organizaciones mundiales Que es un IDS o sistema de detección de intrusos? Es una herramienta de seguridad que nos proporciona un sistema para poder detectar o monitorizar eventos que ocurren en un sistema informático con conexión de red que comprometen la seguridad de dicho sistema. Los IDS buscan en nuestro equipo patrones que ye han estado previamente definidos y que impliquen cualquier tipo de actividad sospechosa sobre nuestra red. Un IDS es un sistema de prevención y de alerta anticipada, ya que realmente no son capaces de detener el ataque en si, lo único que nos puede proporcionar son una serie de respuestas ante diferentes eventos maliciosos. Básicamente lo que hacen estos sistemas es vigilar el tráfico de nuestra red, examinan los paquetes que entran, pueden detectar las primeras fases de un ataque y también pueden realizar barridos de puertos (de ahí que algunos también se puedan considerar como sniffers ). Los objetivos que ha de tener un buen sistema de detección de intrusos son los siguientes: Vigilar y analizar la actividad de los usuarios del sistema. Revisar las configuraciones del sistema y de las vulnerabilidades. Evaluar la integridad de los archivos críticos del sistema y de los datos. Reconocimiento de los modelos de la actividad que reflejan ataques conocidos. Análisis estadístico para los modelos anormales de la actividad. Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de las violaciones de la actividad del usuario respecto a la política establecida. Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización Definición de firmas y filtros Definiremos una firma como, aquello que define o describe un patrón de interés en el tráfico de nuestra red. Definiremos un filtro como, la trascripción de una firma a un lenguaje comprensible por los sensores que monitorizan nuestra red. Las firmas nos permiten diferenciar entre todo el tráfico generado por las redes y obtener un subconjunto de éste lo suficientemente pequeño como para que sea tratable computacionalmente y lo suficientemente amplio como para poder detectar comportamientos anómalos en tiempo real. Vanessa Viñes Sanjuan 8

9 Las firmas utilizadas por los IDS, usualmente, son patrones que permiten detectar ataques ya conocidos. Su funcionamiento es el mismo que el de los antivirus, se basan en encontrar coincidencias de ataques ya conocidos en el tráfico actual de la red Definición de eventos de interés (EOI) Definiremos los eventos de interés como, el subconjunto mínimo de muestras que debemos analizar para considerar nuestra red como segura. Los aspectos a tener en cuenta son: - Criticidad: No todos los ordenadores tienen la misma función, o sea, no es lo mismo que ataquen a un servidor de DNS, o a un firewall, o a un PC de usuario. - Letalidad: Los diferentes ataques (exploits) no tienen siempre el mismo objetivo. Dependiendo de si simplemente tiene posibilidades de funcionar en algún sistema no parcheado a si se permite bloquear la máquina o ganar acceso como usuario simple o root, evaluaremos el ataque. - Contramedidas: Una vez detectado un ataque, o un inicio de ataque, nuestra capacidad de respuesta es otro factor a tener en cuenta Tipos de ataques que puede detectar un IDS La seguridad de un sistema informático se basa en que no se violen estos 3 principios básicos: - Confidencialidad: Que la información privada del propietario no pueda ser vista por nadie que no deba tener acceso a ella. - Integridad: Un atacante no puede alterar la información del sistema, ni provocar cambios de estado. - Disponibilidad: Un ataque no puede provocar la continuidad de la ejecución de algún proceso del sistema. A continuación se muestran algunos de los ataques que un sistema de detección de intrusos es capaz de detectar: - Escáneres: Podemos decir que un ataque de este tipo ha tenido lugar cuando, un atacante envía a una red o a un sistema distintos tipos de paquetes. Usando la respuesta a cada uno de estos paquetes enviados, el atacante puede llegar a Vanessa Viñes Sanjuan 9

10 conocer el sistema al que quiere atacar. A partir de aquí el atacante ya conoce las vulnerabilidades del sistema y puede entrar con mayor grado de éxito. Algunas herramientas que se pueden usar para realizar escáneres en los hosts pueden ser: network mappers, port mappers, network scanners, vulnerability scaners, - DoS (Ataque de denegación de servicio): El objetivo de este ataque es parar o entorpecer sistemas o servicios. Tenemos dos tipos de ataques DoS: el primero es el flau explotation (explotación de defectos) y el segundo es el flooding (inundación). La explotación de defectos consiste en aprovechar los defectos de la máquina a la que se quiere atacar, provocando una violación de disponibilidad, también se puede conseguir que, el servicio al que se le hace el ataque, acabe agotando los recursos de la máquina hasta que caiga o el servicio se quede bloqueado. El ataque por inundación consiste en, enviar más información de la que puede llegar a gestionar el sistema, con lo que conseguimos que el sistema atacado se quede sin recursos intentando gestionar todas las peticiones, hasta que se quede bloqueado. - Ataques de penetración: Estos intentan conseguir o alterar unos privilegios no autorizados dentro de un sistema. También se refieren a conseguir recursos o información de un sistema al que el atacante no esta autorizado para acceder. Vanessa Viñes Sanjuan 10

11 2.2. Que es un Honeypot? Son sistemas de información cuyo objetivo es simular vulnerabilidades en nuestro sistema por medio de algunas herramientas (p.e DTK, Specter), para atraer a los atacantes. Sin embargo el objetivo principal de estos sistemas poder conocer vulnerabilidades aún desconocidas. Existen dos tipos de Honeypots: Honeypots de producción: Utilizados para proteger una organización. Honeypots de investigación: Utilizados para aprender. Los Honeypots de producción son utilizados para ayudar a asegurar una organización mediante la detección de ataques, agregando un valor significativo a la infraestructura de seguridad y ayudando a mitigar riesgos. Los Honeypots de producción son más simples de implantar en comparación con los Honeypots de investigación, debido a que requieren menor funcionalidad. La cantidad de información que podemos obtener a partir de ellos es reducida, limitándose a los requerimientos de la organización. Los Honeypots de investigación tienen cómo objetivo, reunir información sobre la actividad maliciosa en la red, con la que podremos conocer las amenazas que las organizaciones podrán enfrentar, la manera de trabajar de los intrusos, qué tipo de herramientas utilizan y la manera de obtener dichas herramientas. Los Honeypots de investigación son más difíciles de implantar, por lo tanto requieren de más tiempo y esfuerzo en la administración. La diferencia entre un Honeypot de producción y uno de investigación consiste en cómo es utilizado y cual es el propósito de este; una organización podría estar interesada sólo en conocer las amenazas que existen en sus redes de producción y bloquear a todo atacante que pueda sacar provecho de las vulnerabilidades de la organización, sin embargo si utiliza un Honeypot de investigación, la organización podrá conocer mas sobre la actividad del atacante: qué herramientas se utiliza, de dónde se generó la intrusión y qué tipo de actividad había antes del incidente. Cuando son necesarios? Estos sistemas, generalmente, representan un coste adicional innecesario. Por esto no suelen ser un elemento común en redes convencionales. No obstante, a cierto tipo de organizaciones, este elemento se les presenta como indispensable, ya que el gran número de ataques que reciben a diario les hacen vulnerables. Los Honeypots, solo son útiles cuando la seguridad de le empresa es un elemento muy importante, como en empresas de seguridad, multinacionales, aseguradoras,. Vanessa Viñes Sanjuan 11

12 Ventajas: - Son fáciles de implementar. - La información que proporcionan es muy fiable. - No tienen coste de ejecución. - Permiten recoger la información necesaria del intruso, para poderle seguir a posteriori. - Permite saber el nivel de conocimientos que tiene el intruso. - Da tiempo a los administradores para poder actuar ante la intrusión, y que así esta no llegue a producirse nunca. Desventajas: - Asume que el atacante es un poco ignorante. - Muy raramente, un intruso experimentado, caerá en la trampa. - En muchas redes, es un coste innecesario. - Sólo es útil en una red grande que requiera de grandes medidas de seguridad. Vanessa Viñes Sanjuan 12

13 2.3. Que es un Firewall? Un cortafuegos o firewall (en inglés), es un mecanismo utilizado para prevenir algunos tipos de comunicaciones que se prohíben según las políticas de cada red. Estas políticas se fundamentan en las necesidades de los usuarios. Estos mecanismos funcionan usando unas técnicas de filtrado, con las cuales se puede evitar que algunos paquetes no deseados entren en nuestra red. Hay distintos tipos de firewall, como a continuación se indica: - Firewall de capa de red.- Funciona en el nivel de capa conocida como (TCP/IP), haciendo un filtrado de paquetes IP. Las acciones que realiza el cortafuegos evitan que los paquetes que no cumplan unas reglas predefinidas por el administrador del sistema (o aplicadas por defecto), puedan atravesar el muro y entrar en nuestro sistema. Otra posible configuración más permisiva podría permitir que cualquier paquete pase el filtro mientras que no cumpla con ninguna regla negativa de rechazo. - Firewall de capa de aplicación.- Este trabaja en el nivel de aplicación. Todo el tráfico de HTTP, (u otro protocolo), puede interceptar todos los paquetes que llegan o salen de una aplicación. En principio, los cortafuegos de aplicación pueden evitar que todo el tráfico externo indeseado alcance las máquinas protegidas. Ventajas: Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa si así se desea. Esto ayuda a reconfigurar rápida y fácilmente los parámetros de seguridad. Protección de información privada.- Permite el acceso solamente a quien tenga privilegios a la información de cierta área o sector de la red. Protección contra virus.- Evita que la red se vea infestada por nuevos virus que sean liberados. Podemos diferenciar entre dos políticas básicas de configuración de firewalls: - Permisividad máxima (allow everything): Esta configuración carece casi por completo de filtros. Esta política se usa en Intranets/LAN de universidades y organizaciones dónde la libertad del uso de aplicaciones es necesario para el funcionamiento ordinario del sistema. - Permisividad mínima (Deny everything): En este caso de niega el acceso a todos los servicios de red y se van permitiendo accesos a medida que se van necesitando. Cabe notar que este tipo de política requiere un gran esfuerzo ya que es poco flexible y en organizaciones con gran cantidad de usuarios con diferentes requerimientos puede llevar a tener que permitir tantos accesos cruzados que el sistema deje de ser práctico. Vanessa Viñes Sanjuan 13

14 Los cortafuegos tienen a menudo funcionalidad de traducción de direcciones de red (NAT) y es común utilizar el así llamado espacio de direcciones privado en las máquinas detrás de ella. Este espacio de direcciones privado se realiza como un intento (de eficacia discutible) de disfrazar las direcciones internas o red. Cabe notar que el simple uso de un firewall no nos garantiza que el sistema sea seguro, los cortafuegos no sirven de nada si no están correctamente configurados y se mantienen al día con sus actualizaciones de seguridad. Por otro lado estos sistemas son incapaces de detectar ataques más sofisticados (ataques DoS, por ejemplo), lo que hace necesario acompañarlos de otros sistemas de seguridad para poder aumentar el nivel de seguridad de nuestra red. La configuración correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor como herramienta de seguridad. Vanessa Viñes Sanjuan 14

15 2.4. Tipos de Sistemas de detección de intrusos Podemos clasificar los sistemas de detección de intrusos según: HIDS Fuentes de información NIDS Híbridos Sistemas de Detección de Intrusiones Análisis Detección del mal uso Detección del uso anómalo Respuesta Activos Pasivos Vanessa Viñes Sanjuan 15

16 HIDS o IDS Host-Based Este tipo protege contra un único servidor o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando también qué procesos o usuarios realizan determinada acción. Realizan un gran trabajo con los logs para su posterior investigación. Los sistemas Host-Based dependen generalmente de los registros del sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red mientras ocurren. En comparación con los NIDS, estos sistemas obligan a definir lo que se considera como actividades ilícitas y, a traducir la política de seguridad a reglas del IDS. Los sistemas relacionados al host se despliegan de la misma manera que los antivirus o las soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa una consola de gestión para generar informes. Los HIDS fueron los primeros sistemas que se desarrollaron en la comunidad informática. Estos sistemas no tienen ningún tipo de problema con el ancho de banda, no obstante solo pueden reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores que usan sistemas operativos no reconocidos, el administrador no habrá ganado nada. Sin embargo, las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen los NIDS, como verificación de integridad binaria, análisis sintáctico de logs y terminación de procesos no válidos. Ventajas Al trabajar sobre eventos locales, son capaces de detectar ataques que no pueden ser vistos por los NIDS. Pueden trabajar en entornos cifrados. No tiene dependencia de protocolos. Permite hacer un seguimiento de un usuario concreto. La calidad de información que proporcionan, es muy alta. Puede trabajar en entornos conmutados. Desventajas Son más costosos de administrar, que deben ser gestionados y configurados en cada host. Si la estación de análisis se encuentra dentro del host monitorizado, el IDS puede ser deshabilitado si un ataque logra tener éxito sobre la máquina. No son buenos para detectar ataques a toda una red, como los escaneos de puertos, ya que sólo ve los paquetes que le envían a él. Pueden ser deshabilitados por algunos ataques DoS. Usan una cantidad mayor de recursos que los IDS basados en red. Vanessa Viñes Sanjuan 16

17 NIDS o IDS Network-Based Estos, a diferencia de sus compañeros HIDS, se encargan de proteger a un sistema basado en red. Normalmente están formados por un conjunto de sensores localizados en varios puntos de la red. Muchos de estos sensores están diseñados para correr en modo oculto, de esta manera es mas difícil para los atacantes determinar la presencia y localización del sensor. Actúan sobre una red capturando y analizando los paquetes que circulan la capa TCP-IP. Posteriormente analizan todos los paquetes que han capturado buscando los modelos conocidos de ataque, como los que generalmente realizan los hackers o los ataques al Web Server. Si se les ubica correctamente son capaces de analizar redes grandes. Su gran ventaja es que su impacto en el tráfico de la red suele ser pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo. Analizan el tráfico de la red, normalmente, en tiempo real. No solo trabajan a nivel TCP/IP sino que también pueden hacerlo a nivel de aplicación. Los sistemas network-based son propensos a los positivos falsos (Explicado mas adelante en el punto de Tipos de errores en los IDS ). Por ejemplo, si el Web Server tiene sobrecarga de trabajo y no puede manejar todas las peticiones de conexión, los IDS quizá pueden detectar que el equipo esta bajo un ataque, aunque en realidad, no lo sea. Estos sistemas son los más comunes y son un poco diferentes: se diseñan empleando una arquitectura de consola-sensor y suelen ser totalmente pasivos. También cabe decir que este tipo de sistemas casi no se hacen notar y son independientes de la plataforma, se pueden desplegar con poco o ningún impacto sobre las redes de producción. Ventajas Estos IDS tienen un impacto mínimo en la red, normalmente son dispositivos pasivos que no interfieren en las operaciones habituales de la red. Son muy configurables, hasta el punto de hacerlos invisibles para el resto de la red. De este modo pueden ejecutar mejor tu trabajo. Tenemos un solo IDS que controla varios equipos de la red. Es independiente del sistema operativo de la red. Envían la información a un sistema de recolección de logs. (Bases de datos, etc.) Es capaz de predecir un ataque antes de que este se produzca, ya que intercepta los paquetes antes de que estos sean leídos por el equipo al que iban destinados. Desventajas Cuando el sistema es conmutado, es en extremo dificultoso la instalación de estos sistemas. Sería necesario instalar espejos de puerto. En redes de grandes velocidades y con un gran tráfico, un IDS de este tipo no sería capaz de proteger el sistema contra intrusiones. No analizan la información que se encuentra cifrada. Estos IDS no saben si el ataque producido tuvo, o no, éxito. Lo único que pueden saber es que se ha producido un ataque. Esto se traduce a que, después que el IDS detecte el Vanessa Viñes Sanjuan 17

18 ataque, debe ser el administrador el que se encargue de investigar si el intento de penetración tuvo realmente éxito. No puede controlar ciertos comportamientos de los usuarios dentro de los hosts. Requiere de hardware adicional, por ejemplo, una máquina que haga de IDS Híbridos Es una combinación de ambos sistemas con el objetivo de mejorar sus capacidades. Estos sistemas híbridos combinan las mejores características de ambos en una configuración del sensor del IDS, no obstante, sus características son inferiores a la suma de cada IDS por separado. Estos sistemas pueden ser más útiles en redes pequeñas en las que interesan sistemas más económicos y menos distribuidos. Real Secure de Internet Security Sistems (ISS), CyberCop de Network associates (NAI), son algunos ejemplos de soluciones que han adoptado un comportamiento híbrido. Ventajas Son más económicos que los HIDS o los NIDS. Aumenta el nivel de seguridad del Host. Tenemos más centralizado el sistema de seguridad. Pocos problemas de compatibilidad con el registro del sistema. Desventajas Si la seguridad del Host ha sido comprometida, los registros también son comprometidos. Compartimos la potencia del sistema entre los servicios del sistema y el IDS Pasivos Son aquellos que notifican al administrador del sistema mediante alertas, etc. Pero no actúan directamente sobre el ataque o atacante Activos Este tipo de respuestas son acciones automáticas que se toman cuando cierto tipo de intrusiones son detectados. Podemos diferenciarlos en dos categorías: Recogida de información adicional: consiste en incrementar el nivel de sensibilidad de los sensores para obtener más pistas del posible ataque. Vanessa Viñes Sanjuan 18

19 Cambio de entorno: Parar el ataque, por ejemplo: cerrar una sesión TCP activa o filtrar en el router de acceso o en el firewall la dirección del atacante, para evitar intrusiones futuras Detección del mal uso Este tipo de detección puede incluir los intentos de un usuario por ejecutar programas sin permiso, como por ejemplo los sniffers. Estos modelos se implementan observando como se pueden explotar los puntos débiles de los sistemas, describiéndolos mediante unos patrones o una secuencia de eventos o datos que serán interpretados por el IDS Detección del uso anómalo La detección de actividades anómalas se apoya en estadísticas tras comprender cual es el tráfico normal en la red del que no lo es. Un claro ejemplo de actividad anómala sería la detección de tráfico fuera de horario de oficina o el acceso repetitivo desde una máquina remota (rastreo de puertos). Este modelo de detección se realiza detectando cambios en los patrones de utilización o comportamiento del sistema. Esto se consigue realizando un modelo estadístico que contenga una métrica definida y compararlo con los datos reales analizados en busca de desviaciones estadísticas significantes. Vanessa Viñes Sanjuan 19

20 2.5. Tipos de errores Tenemos básicamente dos tipos de errores que puedan ocurrir en un sistema de detección de intrusos, se pueden categorizar como: - Falsos positivos: Es un término aplicado a un fallo de detección en un sistema de alertas. Sucede cuando se detecta la presencia de una intrusión en el sistema que realmente no existe. - Falsos negativos: es un término que hace referencia a un fallo en el sistema de alertas. Sucede cuando un intruso intenta acceder a nuestro sistema y se le es permitida la entrada por el sistema de alertas. La familia de los falsos positivos la podemos agrupar en cinco tipos, dependiendo de la naturaleza de su origen: - Reactionary traffic alarms: Se detecta un comportamiento sospechoso como consecuencia de tráfico generado anteriormente. Por ejemplo, la detección de muchas respuestas procedentes de un router porque el equipo destino no se encuentra operativo en esos momentos. - Equipment-related alarms: Las alarmas del NIDS detectan paquetes dentro del tráfico de la red que identifica como no usuales. - Protocol Violations: Estos avisos se producen por software mal programado o que implementan de forma incorrecta algunas partes de los protocolos de Internet. - True False Positives: Todos aquellos falsos positivos que no se encuadren en ninguna de las categorías anteriores. - Non Malicious Alarms: Alarmas producidas al detectar rastros de comportamientos maliciosos pero que en ese contexto determinado no lo son. Los ejemplos de falsos negativos son más difíciles de detectar, generalmente suelen producirse por: - Configuración deficiente de los recursos de la red: Por muchos elementos de seguridad que posea la red, esto no implica que sea segura. Si estos elementos están mal configurados, no podemos asegurar la red. - Ataques desde dentro: Para intentar evitar eso se tendrían que tener controles internos para poder detectar a este tipo de atacantes. - Equipos no parcheados y víctimas de los últimos exploits : Se tiene que intentar tener el equipo totalmente actualizado, de lo contrario el sistema será propenso a ser atacada. Vanessa Viñes Sanjuan 20