Detección de tráfico anómalo en servidores autoritativos del DNS mediante sistemas de reglas y clasificadores bayesianos

Transcripción

1 Detección de tráfico anómalo en servidores autoritativos del DNS mediante sistemas de reglas y clasificadores bayesianos por Ing. Gustavo Lozano Ibarra Tesis Presentada al Programa de Graduados en Tecnologías de Información y Electrónica como requisito parcial para obtener el grado académico de Maestro en Ciencias especialidad en Sistemas Inteligentes Instituto Tecnológico y de Estudios Superiores de Monterrey Campus Monterrey Diciembre de 2006

2 Instituto Tecnológico y de Estudios Superiores de Monterrey Campus Monterrey División de Tecnologías de Información y Electrónica Programa de Graduados Los miembros del comité de tesis recomendamos que la presente tesis de Gustavo Lozano Ibarra sea aceptada como requisito parcial para obtener el grado académico de Maestro en Ciencias, especialidad en: Sistemas Inteligentes Comité de Tesis: Dr. Arturo Galván Rodríguez Asesor de la tesis Dr. Jorge Carlos Mex Perera Sinodal Dr. José Raúl Pérez Cázares Sinodal Dr. Graciano Dieck Assad Director del Programa de Graduados Diciembre de 2006

3 Detección de tráfico anómalo en servidores autoritativos del DNS mediante sistemas de reglas y clasificadores bayesianos Gustavo Lozano Ibarra, M.C. Instituto Tecnológico y de Estudios Superiores de Monterrey, 2006 Asesor de la tesis: Dr. Arturo Galván Rodríguez El sistema de nombres de dominio o DNS por sus siglas, es una tecnología fundamental para el correcto funcionamiento de Internet. Gracias, a su diseño distribuido, el sistema de nombres de dominio ha logrado escalar a millones de nombres de dominio con un desempeño adecuado. Al ser una pieza fundamental en el funcionamiento de Internet, los servidores que proporcionan el servicio de DNS son blanco constante de ataques y abusos. Expertos en seguridad escudriñan entre miles de paquetes del DNS buscando nuevas vulnerabilidades, trabajo que podría ser más eficiente con un clasificador computacional que permitiera al experto en seguridad enfocarse a los paquetes más sospechosos. Los clasificadores bayesianos han demostrado su efectividad en la lucha contra el correo electrónico no deseado y en la siguiente tesis se analiza la utilización de los mismos en la clasificación de paquetes del DNS. El prototipo del sistema de clasificación creado para comprobar si un clasificador bayesiano se puede utilizar en el problema de clasificar paquetes del DNS demostró tener grandes posibilidades de convertirse en una herramienta útil en la defensa de servidores del DNS.

4 Índice general Resumen IV Capítulo 1. Introducción 1 Capítulo 2. Marco Teórico Detección de intrusos Modelo OSI Modelo TCP/IP Sistema de nombres de dominio Historia Descripción del DNS Redes Bayesianas Utilización de clasificadores bayesianos para catalogar correo no solicitado Capítulo 3. Definición del Problema 35 Capítulo 4. Solución propuesta mediante clasificacíón bayesiana de paquetes de DNS Antecedentes Metodología utilizada Variables utilizadas en la clasificación v

5 Dirección de IP de origen Cantidad de consultas desde la misma IP de origen Sección consulta RR type poco usados Clases poco usadas Tamaño del dominio Tamaño total de la consulta Cantidad de consultas repetidas desde la misma IP Comandos Cabecera Intento de realizar actualizaciones dinámicas Intento de realizar transferencias de zonas Consultas sobre TLDs que no son.mx Tamaño de consulta igual a cero Resultados Capítulo 5. Cosas aprendidas y recomendaciones para trabajos posteriores Comportamiento por Active Directory Servidores de NIC México como servidores recursivos Recomendaciones para trabajos posteriores Capítulo 6. Conclusión 58 Bibliografía 60 Apéndice A. Bloques reservados por IANA 64 Apéndice B. Librería libpcap 68 vi

6 Apéndice C. IDMEF 75 Apéndice D. Software utilizado en la solución propuesta 79 D.1. Clasificador Bayesiano D.2. Procesamiento de archivos binarios libpcap D.3. Herramienta de captura de tráfico Vita 81 vii

7 Capítulo 1 Introducción La utilización de sistemas de cómputo en todos los aspectos de la vida diaria del hombre crece día con día creando una dependencia en los mismos. De igual forma, los ataques a estos sistemas han crecido en los últimos años según lo demuestran las estadísticas de incidentes de seguridad (ver figura 1.1) reportados al Centro de respuesta a incidentes de cómputo (CERT[5], por sus siglas en inglés) y en la actualidad las pérdidas ocasionadas por estos ataques ascienden a millardos de dólares; sin embargo, un ataque a un sistema de cómputo no solamente puede ocasionar pérdidas económicas, basta con imaginar el costo humano al atacar los sistemas de control de vuelo aéreo, por ejemplo. Aunado al crecimiento de incidentes de seguridad, existe un crecimiento de vulnerabilidades críticas reportadas por el CERT[5] en sistemas operativos, aplicaciones y dispositivos usados en Internet. Existe una gama de herramientas y dispositivos creados para asegurar los sistemas informáticos. Dentro de estas herramientas encontramos los sistemas de detección de intrusos. El proceso de detección de intrusos se basa en monitorear los eventos que ocurren en una computadora o red y analizarlos en búsqueda de ataques que pueden en un momento dado comprometer la confidencialidad, integridad o accesibilidad de la información; el origen de estos ataques proviene del exterior de la red corporativa (Internet) y de la misma red corporativa (usuarios internos). Por su parte, un sistema de detección de intrusos (IDS, por sus siglas en inglés) automatiza este proceso ayudando 1

8 Figura 1.1: Crecimiento anual de incidentes reportados al CERT. al personal encargado de la seguridad informática a monitorear un mayor rango de dispositivos. El estudio de crimen y seguridad computacional [20] del FBI de los Estados Unidos de América revela que los IDS son la tercera tecnología más utilizada por los especialistas de seguridad. El campo de investigación sobre IDS es muy joven, y la mayoría de la investigación se llevó a cabo entre 1980 y La mayoría de los IDS comerciales basan su funcionamiento en la búsqueda de ataques conocidos en bases de datos de firmas, las cuales tienen que ser actualizadas cuando se descubren nuevos ataques. El tiempo transcurrido desde la aparición de nuevos ataques hasta su identificación e incorporación a las bases de datos de firmas es crucial y en ocasiones puede demorar días. Aunado a la demora por parte de las casas de software para actualizar sus bases de datos de firmas encontramos el problema de que estas actualizaciones no son incorporadas a los productos debido a: problemas de conexión de red, administradores inexpertos o la 2

9 falta de una política de seguridad adecuada. Investigadores alrededor del globo buscan alternativas para lograr IDS cada vez más poderosos, con la capacidad de identificar ataques no conocidos en tiempo real. La incorporación de técnicas de inteligencia artificial a los sistemas de detección de intrusos promete la detección temprana de ataques no conocidos con la posibilidad de crear sistemas que trabajen con autonomía bloqueando accesos para controlar ataques en el momento que estos ocurren. La presente tesis analiza la utilización de redes bayesianas en la búsqueda de tráfico anómalo que pueda indicar ataques no conocidos en servidores autoritativos del sistema de nombre de dominios. Se describen en detalle los beneficios esperados al incorporar redes bayesianas así como el proceso de investigación necesario para la creación del sistema. Recordemos que por la naturaleza del problema es fundamental que exista aprendizaje computacional conforme el sistema es utilizado. 3

10 Capítulo 2 Marco Teórico El presente capitulo describe la arquitectura y diseño detrás del DNS, los tipos de sistemas de detección de intrusos, la utilización de redes bayesianas para generar clasificadores y los modelos de interconexión abierta de sistemas (OSI, por sus siglas en inglés) y del protocolo de control de transmisión y protocolo de Internet (TCP/IP, por sus siglas en inglés). La información de este capitulo presenta la teoría necesaria para el desarrollo de la implementación que valida la hipótesis de la presente tesis Detección de intrusos La búsqueda de intrusos en informática es un campo en constante evolución y desarrollo; la utilización cada vez mayor del Internet ha traído como consecuencia que los ataques a redes corporativas se vuelvan algo cotidiano y un virus como el código rojo logre afectar las comunicaciones a una escala global. Estos incidentes cuestan a las compañías millardos de dólares en pérdidas por incapacidad para realizar funciones, pérdida de información, negación de servicio e inclusive demandas por usuarios o clientes que son afectados indirectamente. Un simple virus como el código rojo costó a las empresas norteamericanas 2.6 millardos de dólares en dos meses [9]. Los IDS tienen como finalidad detectar ataques que se presentan en un sistema 4

11 computacional, los mismos son parte de la línea defensiva que las empresas utilizan para proteger sus activos informáticos. Los firewalls y otros sistemas basados en listas de control evitan el acceso a partes de una red, sin embargo, generalmente es necesario dejar expuesta alguna sección de la red porque la empresa ofrece algún servicio en línea mediante Internet, o porque existe una relación empresarial y se necesita compartir datos o simplemente porque los usuarios de la compañía necesitan conectarse remotamente. Un sistema de detección de intrusos trata de llenar el vació que dejan los firewalls al exponer las secciones de la red que deben estar accesibles desde el exterior. Un IDS como su nombre lo indica trata de detectar intrusos que buscan hacer uso indebido de un recurso computacional. La mayoría de los IDS comerciales utilizan una base de datos sobre ataques que tiene que ser actualizada conforme se descubren nuevos hoyos de seguridad en los sistemas. Este modelo ha mostrado su principal punto de falla en la rapidez con la que las empresas que desarrollan el producto generan las nuevas definiciones y la posterior incoproración de éstas a las bases de datos de IDS instalados. El objetivo de esta tesis es explorar si un clasificador bayesiano es capaz de clasificar tráfico malicioso en servidores autoritativos del DNS, creando con esto la base para un IDS inteligente que pudiera detectar ataques no conocidos en servidores autoritativos del DNS. Al diseñar un IDS, se debe elegir entre dos formas de obtención de datos para análisis. Una forma es obtener los datos directamente de la infraestructura de red y el otro paradigma es obtener los datos de los servidores o host. Un IDS que opera en el servidor es llamado host IDS y busca eventos poco usuales así como comportamiento anómalo en el sistema operativo que pueda indicar que existe una intrusión. Un host IDS es frecuentemente utilizado en servidores compartidos por usuarios como aquellos utilizados por instituciones financieras. 5

12 La detección de intrusos en red, llamada network IDS (NIDS, por sus siglas en inglés), resulta más apropiada en el caso de un servidor autoritativo del DNS. Un NIDS se coloca en la sección de red donde se encuentran los servidores que se desean proteger; la ventaja principal es que se realiza una captura pasiva de tráfico y por lo tanto no es necesario afectar el funcionamiento del servidor en cuestión. Un host IDS puede verse afectado si el atacante logra capturar el servidor, además de que el sistema operativo puede por su complejidad inherente ocultar actividades maliciosas al host IDS. Una vez obtenidos los datos es necesario realizar la detección de intrusos propiamente. Existen diferentes modelos de análisis y detección, los principales están descritos en [26]. Modelos principales de análisis y detección de intrusos. 1. Modelo de detección de uso no correcto: el IDS detecta intrusos al buscar actividad sospechosa que corresponde a firmas de ataques bien identificados con anterioridad. 2. Modelo de detección de anomalías: el IDS detecta intrusos mediante la búsqueda de comportamiento anómalo. La detección de uso no correcto. 1. Sistemas expertos: contienen un conjunto de reglas que describen los ataques. 2. Verificación de firmas: donde los escenarios de ataques son traducidos a secuencias de eventos que pueden ser auditados. 3. Redes de Petri: los ataques son representados mediante redes de Petri. 4. Diagramas de estado de transición: los ataques son representados como un conjunto de metas y transiciones. 6

13 La implementación común de un IDS de uso no correcto es la detección mediante firmas, donde un sistema detecta ataques previamente identificados al buscar la firma invariable dejada por estos ataques. Estas firmas son encontradas al auditar archivos, el servidor o mediante sistemas de captura y análisis de paquetes ubicados en la parte externa e interna de una red. Limitantes de la detección de uso no correcto. 1. Frecuente detección de ataques inexistentes causando falsas alarmas. 2. La necesidad de especificar la firma del ataque, y tener que actualizar estas firmas de ataques en cada IDS. La firma de un nuevo ataque es comúnmente difícil de descubrir. La detección anómala. 1. Detección de actividad anormal: donde el IDS busca encontrar intrusos al buscar comportamientos anormales del CPU, sistema de archivos o saturación de la red. 2. Medición estadística de valores históricos. 3. Medición mediante reglas utilizando sistemas expertos. 4. Algoritmos no lineales como redes neuronales y algoritmos genéticos. La implementación común de detección de anomalías utiliza el análisis estadístico donde el comportamiento del usuario o sistema son medidos mediante variables en el tiempo. Estas variables pueden ser la fecha y hora de entrada así como la fecha y hora de salida de cada sesión y la cantidad de recursos utilizados durante la sesión. La mayor limitación para esta implementación es encontrar los valores de las variables que describen la utilización correcta del sistema minimizando las falsas alarmas. 7

14 Un servidor DNS, a diferencia de un servidor compartido por usuarios, generalmente solo ejecuta un proceso, que es el servicio de resolución de nombres y no existen usuarios compartiendo el servidor además de que generalmente son ubicados en secciones desmilitarizadas de un firewall por lo cual estos servidores están expuestos al exterior. La solución propuesta en esta tesis se basa en el paradigma de obtención de datos en red (NIDS), ya que resulta más apropiado por la naturaleza del problema. La detección de intrusos es realizada mediante el modelo de detección anómala utilizando un clasificador bayesiano para detectar el tráfico anómalo y posteriormente los posibles ataques Modelo OSI A principio de los años 80, la Organización Internacional de Estándares (ISO, por sus siglas en inglés) reconoció la necesidad de crear un modelo estándar de red; un estándar que permitiera crear sistemas de red interoperables [32]. De esta necesidad surge en 1984, el modelo OSI. El modelo OSI (ver figura 2.1) describe cómo la información fluye de una aplicación a otra a través de un medio físico como una red computacional. El modelo OSI divide un problema complejo en siete problemas pequeños. Cada uno de estos siete problemas es resuelto de forma independiente por una de las capas de las que se compone el modelo OSI. Las siete capas que componen al modelo OSI son: 1. Física. 2. Enlace. 3. Red. 8

15 Figura 2.1: Modelo de referencia OSI. 4. Transporte. 5. Sesión. 6. Presentación. 7. Aplicación. Las dos capas inferiores del modelo son implementadas en hardware y software. Las cinco capas superiores generalmente son implementadas solo en software. Ventajas de la solución por capas: Reducción de la complejidad. Facilidad en su aprendizaje. Ingeniería modular. Evolución acelerada. Tecnología interoperable. Interfaces estándares. 9

16 Capa de aplicación La capa de aplicación es la capa superior del modelo OSI, su función principal es proveer servicios a los programas de aplicación fuera del alcance del modelo OSI. Sus funciones son: Identificar e iniciar la comunicación con el destino. Sincronizar a la aplicación emisora y receptora. Establecer los procedimientos para manejo de errores y control de integridad de datos. Determina si existen los recursos suficientes para que la comunicación exista. Capa de presentación La función principal de la capa de presentación es asegurar que la información enviada de una capa de aplicación de un sistema se legible por la capa de aplicación de otro sistema. Esta capa provee un formato común para la transmisión de datos a través de varios sistemas, de tal forma que pueda ser entendida, sin importar los diferentes tipos de maquinas involucradas. La capa de presentación, además de validar el formato y representación de los datos de los usuarios, se encarga de la estructura de datos usados por los programas. La capa de presentación negocia la sintaxis de transferencia de datos para la capa de aplicación. Capa de sesión La capa de sesión controla las sesiones o conexiones lógicas entre los dispositivos de red. Una sesión consiste de un diálogo, o conversación de datos entre dos entidades de presentación. Los diálogos pueden ser: simples. 10

17 unidireccionales. bidireccionales. Las conversaciones simples o simplex son raras en una red. Las conversaciones unidireccionales o half duplex requieren un complejo control en la capa de sesión, porque el inicio y fin de cada transmisión necesita ser delimitado y monitoreado. La mayoría de las redes son capaces de transmisiones bidireccionales o full duplex, sin embargo, la mayoría de las conversaciones son unidireccionales. Capa de transporte La capa de transporte se puede visualizar como la frontera entre los protocolos superiores e inferiores, esta capa provee el transporte de datos permitiendo que las capas superiores no necesiten implementar sistemas para verificar la confiabilidad de la conexión. La capa de transporte provee mecanismos para: Multiplexado de las capas superiores. Establecimiento, mantenimiento y transmisión adecuada de los circuitos virtuales de comunicación. Control de flujo de información. Detección y recuperación de problemas de transporte. Capa de red La capa de red envía los paquetes de la red origen a la red destino. Provee servicios consistentes de envió y recepción de paquetes punto a punto para el usuario. En una red de área amplia como el Internet, dos redes pueden ser comunicadas a través de distintos puntos intermedios. Estos puntos intermedios son llamados ruteadores. 11

18 La capa de red es el dominio de los ruteadores. Los protocolos de ruteo seleccionan las rutas óptimas a través de una serie de redes interconectadas. La función principal de la capa de red por consiguiente es la determinación de rutas. Capa de enlace La capa de enlace provee tránsito de datos a través del medio físico. En la capa de enlace los bits que llegan de la capa física son convertidos en segmentos de datos. Los segmentos están divididos en campos de bits que en conjunto tienen un significado y representación. La capa de enlace tiene las siguientes responsabilidades: Direccionamiento físico. Topología de red. Disciplina de la línea. Notificación de errores. Envío en orden de los segmentos. Control de flujo. La capa de enlace está divida en dos subcapas: Subcapa de control de enlace lógico (LLC, por sus siglas en inglés). Subcapa de control de acceso al medio (MAC, por sus siglas en inglés). La supcapa LLC provee soporte para: Conexiones entre aplicaciones corriendo en una red de área local. Control de flujo hacia las capas superiores a través de códigos de permiso para transmisión y recepción. 12

19 Control de secuencia. La subcapa MAC provee acceso ordenado al medio permitiendo que varios dispositivos usen un medio compartido mediante el control de colisiones. Capa física La primera capa del modelo OSI es la capa física. La capa física es la interfaz al medio de transmisión. La tarea principal de la capa física es la transmisión de datos al medio como una secuencia de bits. Variables que utiliza la capa física para su funcionamiento: Nivel de voltaje. Distancias máximas de transmisión. Conectores físicos. El tiempo de cambio en el voltaje Modelo TCP/IP En la actualidad el modelo OSI es utilizado como marco teórico para explicar las diferentes capas así como las interfaces entre las mismas que al trabajar en conjunto permiten la comunicación a través de redes computacionales. El modelo OSI es difícilmente mapeado a los protocolos utilizados en la actualidad, debido a esta dificultad nace el modelo de referencia TCP/IP. El modelo de cuatro capas de TCP/IP (ver figura 2.2) también conocido como el modelo de Internet nació a partir de la creación del protocolo TCP/IP actualmente utilizado como el protocolo dominamente para la comunicación en Internet. El modelo TCP/IP es el modelo utilizado para la creación de protocolos de Internet y por lo mismo tiene mayor aplicación práctica que el modelo OSI. El modelo es 13

20 Figura 2.2: Modelo de referencia TCP/IP. estudiado en tratados sobre TCP/IP como [30], sin embargo, en esta tesis utilizamos como referencia el modelo TCP/IP descrito por la compañía CISCO Systems en [31] debido a su enfoque practico. Las redes basadas en transmisión paquetes han permitido la creación de redes tan importantes como el Internet. El protocolo TCP/IP es el protocolo dominante en la actualidad y el modelo de capas surgido a partir de este protocolo es, por su simplicidad, utilizado para entender las interfaces que existen entre los protocolos hoy en día. Es importante conocer el modelo TCP/IP, debido a que la solución desarrollada para comprobar la hipótesis de la presente tesis obtiene información de las capas de interconexión de redes y aplicación. Las cuatro capas del modelo TCP/IP, descrito a detalle en [31], se muestran en la figura 2.2: Capa de aplicación La capa superior del modelo de TCP/IP es la capa de aplicación. Esta capa interactúa directamente con las aplicaciones utilizadas por el usuario y los protocolos en esta capa están diseñados para una función en particular. La mayor 14

21 cantidad de la información utilizada para probar la hipótesis de esta tesis proviene de esta capa y del protocolo del DNS en particular. La capa de aplicación es especificada por el protocolo en cuestión, existen cientos de protocolos en la actualidad, sin embargo, el protocolo del DNS es uno de los protocolos más utilizados y es la base para uno de los servicios de infraestructura que existen en una red IP. El protocolo del DNS es descrito en la sección de esta tesis; en esta sección se detalla la información obtenida a partir del protocolo y que es utilizada en la solución propuesta de la presente tesis. Capa de transporte de dispositivo a dispositivo Esta capa es la responsable de guardar la integridad de datos de un punto a otro de la red. Los protocolos en esta capa intercambian información de inicio, estado aceptable y fin de comunicación que permiten conocer el correcto estado de la conexión. Esta capa implementa el servicio de conexión o circuito virtual. Los protocolos más importantes de esta capa son el protocolo de control de transmisión (TCP, por sus siglas en inglés) y el protocolo de datagramas del usuario (UDP, por sus siglas en inglés): El protocolo TCP provee un servicio de conexión confiable, asegurando que la información es retransmitida en caso de existir errores. De igual forma el protocolo TCP permite mantener múltiples conexiones simultáneas. El protocolo UDP provee un servicio de conexión no confiable que permite obtener un mayor nivel de desempeño porque no es necesario el intercambio de mensajes de control. La mayoría de las consultas en el DNS utilizan el protocolo UDP. Capa de interconexión de redes Esta capa es responsable de enrutar los paquetes a través de las redes que conforman el Internet o cualquier otra red basada en el protocolo TCP/IP. En esta capa encontramos los dispositivos llamados ruteadores, cuya función es pasar paquetes de datos o datagramas entre redes interconectadas. 15

22 Prefijo Desde Hasta 10/ / / Cuadro 2.1: Lista de direcciones IP privadas. Dentro de la información que podemos obtener de esta capa se encuentra la dirección origen y destino de los datagramas. El protocolo mas conocido de interconexión de redes es el protocolo de Internet (IP, por sus siglas en inglés), el cual provee el servicio básico de envío de paquetes. El protocolo IP define un sistema de direccionamiento basado en identificadores de 32 bits en la versión 4 y 128 bits en la versión 6 del protocolo. Todo paquete que viaja por una red IP esta encapsulado en un paquete IP. La información principal que se obtiene de un paquete de IP es la dirección IP origen y destino del paquete. Actualmente existen dos versiones del protocolo IP, la versión 4 (IPv4) y 6 (IPv6). La mayor parte de la comunicación en la actualidad utiliza la versión 4 del protocolo y es la versión analizada en este documento. Las direcciones IP usadas en Internet son asignadas en bloques. Los bloques de direcciones de IPv4 son asignados a usuarios finales mediante una estructura administrativa jerárquica cuya raíz es Internet Assigned Numbers Authority[13] (IANA, por sus siglas en inglés). IANA asigna bloques del tipo A o /8 a los registros regionales (ARIN que abarca Norteamérica, LACNIC que abarca Latinoamérica y el Caribe, RIPE que abarca Europa, APNIC que abarca Asia y Australia y AfriNIC que abarca Africa). Los registros regionales a su vez asignan bloques más pequeños a usuarios finales. Existen bloques /8 que no han sido asignados y a los mismos se les conoce como el pool libre de direcciones. La lista de bloques /8 no asignados por IANA hasta el 31 de Septiembre/2006 se muestra en la tabla A. Existen direcciones de IPv4 reservadas para utilizar dentro de intranets o redes internas. Estas direcciones son descritas en el RFC 1918[27] (ver tabla 2.3). 16

23 A continuación se detallan los bloques de direcciones de IPv4 de uso especial: /8 tiene un número de propiedades únicas, las cuales han sido implementadas en los stacks de TCP/IP usados en Internet /32 o una dirección IP con únicamente ceros ha sido usada y es reconocida históricamente como la dirección de broadcast. Este uso es obsoleto y el código moderno configura la dirección de broadcast como aquella en la que existen solamente unos para la mascara de red. Es una práctica común usar para codificar la idea de la red por omisión /8 se le conoce como la red de loopback. La mayoría de las implementaciones de stack de TCP/IP solo utiliza la dirección /32 como dirección de loopback /24 es la llamada red de pruebas. Este prefijo esta reservado para documentación y código de ejemplo /16 es utilizada como el segmento de red para una tarjeta de red que no ha sido autoconfigurada vía DHCP. La clase D y E. La clase D es utilizada para multicast y por lo tanto no encontraremos consultas con la dirección IP de origen de la clase D. El uso de la clase E todavía se encuentra como desconocido. Capa de acceso a la red La capa de acceso a la red es la capa inferior del modelo TCP/IP. Esta capa contiene los protocolos que el dispositivo utiliza para enviar los paquetes de datos a través de la infraestructura de red. La capa de acceso a red permite que cuando nuevas tecnologías de transmisión de datos son desarrolladas no exista la necesidad de reescribir los protocolos de capas superiores. Otra función realizada por esta capa incluye la traducción entre el esquema de direccionamiento IP y el esquema de 17

24 direccionamiento del protocolo de acceso a red en cuestión. Un ejemplo de los protocolos que podemos encontrar en esta capa es el caso de Ethernet, utilizado en gran parte de las redes locales de la actualidad. El direccionamiento en las redes Ethernet se basa en un identificador único representado por 48 bits asignado a cada interfaz conectada al segmento de red Sistema de nombres de dominio Historia A finales de los 60s, la Agencia de Proyectos Avanzados de Investigación Avanzada del Departamento de Defensa de Estados Unidos (DARPA, por sus siglas en inglés) patrocinó la creación de ARPAnet, una red de área amplia experimental que conectaba a organizaciones de investigación en los Estados Unidos explica [1]. La finalidad original de ARPAnet fue permitir a contratistas del gobierno compartir recursos computacionales sumamente escasos en ese tiempo. Desde el principio los usuarios utilizaron ARPAnet para colaborar creando lo que en un futuro se conocería como Internet. El protocolo TCP/IP fue desarrollado a principios de los 1980 y rápidamente se convirtió en el protocolo estándar para intercomunicación en la ARPAnet. La red creció de un número pequeño de nodos a miles y miles de conexiones a nivel mundial. La red ARPAnet se convirtió en el backbone de una confederación de redes locales y regionales basadas en TCP/IP, llamada Internet. En 1988, DARPA decidió que el experimento debía del culminar y la red original ARPAnet fue reemplaza por NFSNET, una nueva red patrocinada por la Fundación Nacional de Ciencias de Estados Unidos (NSF, por sus siglas en inglés). En los años 70, ARPAnet era una red pequeña y amigable de algunos cientos de nodos. Un archivo llamado HOSTS.TXT contenía toda la información necesaria para 18

25 conocer todos los nodos existentes. El archivo contenía un mapeo de nombre de host a direcciones IP. El archivo HOSTS.TXT era mantenido por el Centro de Información de la Red de la Universidad de Stanford (SRI-NIC, por sus siglas en inglés) y distribuido a través de un servidor central. Los administradores de ARPAnet mandaban un mail con los cambios necesarios y el centro de información de red actualizaba el archivo que después era transferido por los usuarios de ARPAnet. El archivo HOSTS.TXT creció conforme crecía la red y el ancho de banda requerido para su transmisión creció de igual forma. El problema principal del archivo HOSTS.TXT es que no fue una solución escalable a través del tiempo aunado a los siguientes problemas: Tráfico y carga. El ancho de banda requerido para transmitir el archivo HOSTS.TXT así como el trabajo requerido para su actualización creció de manera exponencial creando un problema para los administradores del SRI-NIC. Colisiones de nombres. Existían diversas colisiones de nombres para los equipos, y debido a que el SRI-NIC no tenía autoridad para la asignación de nombres, se tornaban en conflictos que requerían tiempo y esfuerzo para su solución. Consistencia. Mantener la consistencia de un archivo en expansión se volvía más difícil con el transcurrir del tiempo. En 1984 la Internet Engineering Task Force (IETF, por sus siglas en inglés), entidad responsable de definir los estándares usados en Internet, asignó a Paul Mockapetris la definición de un sistema de nombres para sustituir el archivo HOSTS.TXT a partir de las discusiones que había tenido la IETF en sus reuniones de principios de los años 80. En 1984, Mockapetris escribió el RFC 882[21] y el 883[22] que describen el DNS. Un RFC es un documento estandarizado por la IETF y que describe un protocolo en 19

26 particular permitiendo a los desarrolladores crear sistemas que se pueden comunicar entre si. Estos RFC fueron después actualizados por los RFC 1034[23] y 1035[24], que conforman la especificación básica del DNS. Las metas de diseño del DNS son: Un espacio de nombres consistente que pueda ser utilizado para encontrar recursos. Para evitar problemas por codificaciones propias del sistema de comunicación utilizado, los nombres de dominio no deben de contener identificadores de red, rutas o información similar como parte del nombre. La base de datos debe mantenerse en una forma distribuida para obtener mayor redundancia y desempeño. De igual forma las herramientas y tecnologías para mantener actualizada la base de datos deben de seguir la filosofía de distribución de recursos. El dueño de la información o administrador de la porción de la base de datos debe de ser capaz de definir el balance entre el costo de obtener la información, la velocidad de las actualizaciones, y la exactitud de la información en los caches. La base de datos debe ser lo suficientemente flexible como para poder representar todo tipo de información, como direcciones IP, información sobre servidores de correo, etc. El espacio de nombres debe de mantenerse uniforme, y utilizar clases de datos para representar la información que cada familia de protocolos necesita. Las transacciones del DNS deben ser independientes del sistema de comunicación que se use como transporte. Actualmente las consultas realizadas vía Internet son las mayormente utilizadas. 20

27 Descripción del DNS El DNS es una base de datos distribuida[25]. Esto permite delegar el control de secciones de la base de datos a otras entidades, mientras que la información es accesible a todos los segmentos mediante un esquema cliente servidor. La replicación y almacenamiento temporal de información (caching) proveen robustez y rendimiento adecuados a la base de datos. En el sistema interactúan dos elementos principales: los clientes o resolvers que hacen peticiones y los servidores de nombres que tienen parte de la base de datos y atienden dichas peticiones. Los tres principales componentes del DNS son: El espacio de nombres de dominio y los registros de recursos intercambiados en las transacciones del DNS. Los servidores de nombres, que son programas que tienen la información sobre una porción de la base de datos. Los servidores de nombres deben ser capaces de contactar a otros servidores de nombres y obtener información que no se encuentre en su base de datos local. Se dice que un servidor es autoritativo para la información que se encuentra en su base de datos local. Los resolvers, que son programas utilizados para extraer información de los servidores de nombres. Los resolvers generalmente son funciones del sistema operativo que son invocadas cuando se requiere hacer uso del DNS. Estos tres componentes corresponden a las tres capas o vistas del DNS: Desde el punto de vista del usuario, el sistema de dominios es accedido a través de una simple función del sistema operativo. El espacio de nombre de dominios corresponde a un árbol sencillo y el usuario puede obtener información de cualquier sección del árbol. 21

28 Figura 2.3: Visualización en forma de árbol de una porción del DNS. Desde el punto de vista de un resolver, el DNS está compuesto de un número desconocido de servidores de nombres. Cada servidor de nombres tiene una o más piezas de la información del árbol del DNS. Desde el punto de vista del servidor de nombres, el DNS consiste en un conjunto de información local llamada zonas. Los servidores de nombres tienen copias de estas zonas. La base de datos del DNS se puede imaginar como un árbol (ver figura 2.3) en el cual las hojas son los nombres de hosts y cada nodo que no es hoja constituye un segmento de la base de datos. Los nodos que no son hojas son la raíz de lo que se encuentra dentro de su segmento y a la vez existe una raíz para todo el árbol representada con un.. Los servidores de nombres que tienen la información segmentada de la base de datos de nombres de dominios se dividen en dos tipos: 22

29 Figura 2.4: Ejemplo de resolución de nombres de dominio efectuado por un servidor recursivo. Servidores recursivos. Servidores autoritativos. Servidores Recursivos Los servidores recursivos tienen la tarea de recorrer el árbol para obtener alguna información en específico. La figura 2.4 ilustra el funcionamiento de un servidor recursivo: A continuación (ver figura 2.5) podemos observar el recorrido que realiza el resolver o servidor recursivo para obtener la respuesta de la consulta por El recorrido parte desde los servidores raíz o root servers. Los registros NS en este ejemplo son utilizados para guiar al resolver en su recorrido en el árbol del DNS: Los registros NS que podemos observar en este ejemplo son registros de referencia o referrals y permiten a un servidor recursivo recorrer el árbol del DNS. Este tipo de 23

30 Figura 2.5: Ejemplo de registros NS usados por un servidor recursivo para recorrer el árbol del DNS. respuestas componen la mayoría de las respuestas que envía un operador de registro o registry (ej. NIC México) de Internet. Servidores Autoritativos Un servidor autoritativo es de vital importancia en el DNS y es el servidor que tiene la información completa de un segmento de la base de datos. Estos servidores pueden tener información sobre las direcciones IP de un host (hoja del árbol) o bien pueden tener la información de qué servidores tienen la información de ramas inferiores en el árbol. Por ejemplo, los servidores raíz tienen la información de cuáles son los servidores que tienen la información sobre los nombres de dominio terminados en.com y a su vez estos servidores tienen la información de 24

31 los servidores con autoridad o que tienen la información sobre el dominio o sección del árbol microsoft.com, por ejemplo. Los servidores autoritativos son blanco común de atacantes pues al interrumpir el servicio que ofrecen se pierden grandes secciones de la base de datos. Es de vital importancia proteger la infraestructura de los servidores autoritativos para evitar perder secciones de la base de datos del DNS y mantener este servicio de infraestructura funcionando adecuadamente. Registros de datos Si vemos al DNS como una base de datos, los registros serían los llamados Resource Records (RR, por sus siglas en inglés), y los campos serían los elementos que conforman un RR. De estos elementos el nombre del dominio es el campo llave usado para la realización de las búsquedas. Si vemos al DNS como un árbol entonces un nombre de dominio identifica a un nodo y cada nodo tiene un conjunto de recursos asociados y posiblemente subárboles. Un RR esta formado por el siguiente conjunto de elementos: owner: el nombre de dominio. type: valor numérico de 16 bits que especifica el tipo de recurso. Los tipos refieren a recursos abstractos. class: valor numérico de 16 bits que identifica a una familia de protocolos. TTL: valor numérico de 32 bits que indica en segundos cuanto tiempo dura el RR en el área de cache de los servidores recursivos. RDATA: los datos transmitidos mediante el RR. El formato del RDATA depende del tipo de RR. 25

32 Consultas estándares Las consultas o queries son enviadas a un servidor para provocar una respuesta. Las consultas pueden viajar por UDP o TCP en el caso de Internet, sin embargo, el transporte de UDP es generalmente utilizado debido a que es menos costoso de procesar ya que es un protocolo no orientado a conexión. Al recibir una consulta o query el servidor de nombres primero verifica sí la información está en sus zonas locales, en caso de no existir en sus zonas locales enviará la respuesta obtenida de su cache y en caso de no encontrar la información en su cache el servidor realizará una búsqueda en el sistema de DNS. Generalmente el usuario no genera consultas directamente, en su lugar realiza peticiones a un resolver local el cual envía una o mas peticiones a los servidores de nombres necesarios. Una consulta estándar especifica un nombre de dominio a buscar (QNAME), un tipo de consulta (QTYPE), y un tipo de clase o class (QCLASS). En Internet la clase IN es la más utilizada. Además de enviar los registros que son encontrados para esta terna de campos, el servidor puede enviar otros RR que permitan al servidor encontrar la información deseada en algún otro servidor de nombres. Mensajes del DNS Todas las comunicaciones que se realizan dentro del protocolo del DNS se realizan mediante mensajes. Los mensajes tienen un formato definido, y a continuación se presentan las capas que los conforman: Cabecera o Header siempre está presente. La cabecera incluye campos que permiten conocer cuales de las secciones restantes están presentes, y también especifica si el mensaje es una consulta o una respuesta. consulta o Question, es donde viaja la consulta que se esta realizando. Esta sección puede contener solamente un nombre de dominio, una clase y un tipo de registro. 26

33 Respuesta o Answer, es donde viaja la respuesta a la consulta y existe una gran cantidad de tipos de registros. Esta tesis no aborda el obtener variables a partir de la sección de respuesta. Autoridad o Authority, es donde viaja información sobre otros servidores de nombres que pueden tener la información sobre el dominio. Esta sección es utilizada para guiar a los servidores recursivos hacia otros servidores autoritativos en Internet. Adicional o Additional, es donde viaja información sobre glue records para la sección de authority. Cabecera La cabecera o Header es la sección que siempre esta presente en un mensaje del DNS. La información definida por la cabecera indica si el mensaje es una consulta o respuesta. En caso de ser una respuesta la cabecera indica si la consulta fue realizada con éxito o no. A continuación se muestra el formato de la cabecera: La tabla 2.2 muestra el formato de la cabecera, donde: ID, Un identificador de 16 bits asignado por el programa que genera la consulta. Este identificador es después copiado en la respuesta y puede ser usado por el programa que envía la respuesta para hacer match de los queries que ha enviado. QR, Un campo de un bit que especifica si el mensaje es una consulta (0), o una respuesta (1). OPCODE, Un campo de cuatro bits que especifica el significado de la consulta de ese mensaje en especifico. Los valores permitidos son: 0, una consulta standard (QUERY). 27

34 1, una consulta inversa (IQUERY). 2, una petición para conocer el tipo de servidor (STATUS). 3-15, reservado para uso futuro. AA, Respuesta autoritativa o Authoritative Answer, este bit especifica que el servidor de nombres es autoritativo para el nombre de dominio en la sección de consulta. TC, Truncado o Truncation, especifica que el mensaje fue truncado debido a que el tamaño es más grande que el permitido por el canal de transmisión. RD, Recursividad deseada o Recursion Desired, este bit indica que se desea que la consulta sea resuelta mediante recursión. RA, Recursividad permitida o Recursion Available, este bit es activado por el servidor que envía la respuesta, y especifica que el servidor puede realizar recursión. Z, Reservado para uso futuro. Debe ser 0 en todos las consultas y respuestas. RCODE, Código de respuesta o Response Code, este campo de 4 bits especifica el tipo de respuesta: 0, Condición de no error. 1, El servidor de nombres no fue capaz de interpretar la consulta. 2, El servidor de nombre no fue capaz de procesar esta consulta debido a un problema con el servidor de nombres. 3, Error de nombre, este tipo de respuestas solo tienen significado cuando un servidor de nombres es autoritativo para el nombre de dominios, este código significa que el dominio no existe. 28

35 ID QR OPCODE AA TC RD RA Z RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT Cuadro 2.2: Cabecera de un mensaje DNS. 4, El servidor no implementa soporte para este tipo de consulta. 5, El servidor de nombres se rehúsa a realizar la operación especificada por razones políticas. 6-15, Reservado para uso futuro. QDCOUNT, un campo de 16 bits que especifica el número de registros en la sección de consulta. ANCOUNT, un campo de 16 bits que especifica el número de registros en la sección de respuesta. NSCOUNT, un campo de 16 bits que especifica el número de servidores de nombres que se encuentran en la sección de autoridad. ARCOUNT, un campo de 16 bits que especifica el número de registros que se encuentran en la sección adicional Redes Bayesianas Un clasificador es una función que asigna a una instancia de un conjunto de atributos una clase. Los clasificadores bayesianos utilizan el teorema de Thomas Bayes que afirma que la probabilidad de que ocurra el evento A dado que el B ocurrió es: 29

36 Figura 2.6: Red Bayesiana para un clasificador simple o naive. P (A B) = P (B A)P (A) P (B) Uno de los clasificadores más efectivos es el clasificador bayesiano simple o naive, descrito en [11], [18] y [19]. Este clasificador aprende analizando datos de entrenamiento la probabilidad de cada atributo A i dado la clasificación C. La clasificación es realizada mediante la aplicación de la regla de Bayes para computar la probabilidad de C dado una instancia particular de A 1... A n, y después predecir la clase. Este cómputo es posible al asumir que existe una fuerte independencia: todos los atributos A i son condicionalmente independientes dado un valor de la clase C. La independencia es probabilística, y en la vida real muy pocas veces existente. A pesar de asumir la independencia probabilista entre los atributos, el clasificador simple tiene una buena exactitud, la estructura de red bayesiana de un clasificador simple se muestra en la figura 2.6. Las variables obtenidas a partir de un paquete del DNS no son independientes entre si. Un clasificador simple ofrece la posibilidad de realizar una clasificación adecuada para el propósito de validar la hipótesis de esta tesis, sin embargo, resulta pertinente 30

37 analizar los avances [12] en clasificación bayesiana que se han dado en los últimos años e incorporar los mismos a esta tesis. Las redes bayesianas se representan como un grafo acíclico que permite una representación eficiente y efectiva de la distribución de probabilidades entre un conjunto de variables aleatorias. Cada vértice en el grafo representa una variable aleatoria, y cada conexión entre vértices representa una correlación directa entre las variables. La red sigue un teorema básico: cada variable es independiente de sus no descendientes en el grafo dado el estado de sus padres. El generar redes bayesianas a partir de conjuntos de instancias para un conjunto de variables para después utilizarlas como clasificadores bayesianos es un campo estudiado en la actualidad, y algunas de las mejores soluciones para hacer minería de datos son resultado de estas investigaciones. Este es un tipo de aprendizaje no supervisado, en el sentido de que el modulo de aprendizaje no distingue la variable que define la clase de las variables atributos de los datos. El objetivo es inducir una red (o conjunto de redes) que describen de la forma mas adecuada la probabilidad de la distribución sobre los datos de entrenamiento. Este proceso de optimización es implementado en la práctica mediante el uso de técnicas heurísticas para encontrar el mejor candidato sobre un espacio de posibles redes de solución. El proceso de búsqueda depende en una función que da como resultado la eficiencia de cada red candidato. Considere un conjunto finito U = {X 1,..., X n } de variables discretas aleatorias donde cada variable X i debe tomar valores de un conjunto finito, denotado por V al(x i ). Finalmente, P es la distribución de probabilidad sobre las variables en U, cuando X, Y, Z son un subconjunto de U. Se dice que X y Y son condicionalmente independientes dado Z, si para toda x V al(x), y V al(y ), z V al(z), P (x z, y) = P (x z) P (y, z) > 0. Formalmente, una red bayesiana para U es un par B = {G, θ}. El primer componente, G, es un grafo dirigido acíclico donde los vértices corresponden a variables aleatorias X 1..., X n, y donde las aristas representan dependencias directas entre las 31

38 variables. En el grafo G, cada variable X i es independiente de sus no descendientes. El segundo componente del par que define a la red bayesiana, θ, representa el conjunto de parámetros que cuantifican la red. El problema de aprendizaje en una red bayesiana se puede describir informalmente como: dado un conjunto de aprendizaje D = {u 1,..., u N } de instancias de U, encuentre una red B que mejor se aproxima a D. La estrategia común para este problema es introducir una función de evaluación que evalúa cada red con respecto al conjunto de entrenamiento y después realiza una búsqueda por la mejor red de acuerdo a esta función. En general, este problema de optimización es intratable. Sin embargo, para ciertas clases de redes hay algoritmos eficientes que requieren tiempo polinomial dependiendo el número de variables en la red Utilización de clasificadores bayesianos para catalogar correo no solicitado La utilización de redes bayesianas y otros algoritmos de inteligencia artificial están siendo utilizados como clasificadores para lograr atacar la subjetividad que puede existir en los ataques de seres humanos a las redes computaciones. A continuación se analiza la utilización de redes bayesianas para la detección de correo no solicitado, también conocido como SPAM. El funcionamiento y filosofía detrás de los sistemas de detección de SPAM es similar al funcionamiento y filosofía del sistema creado en la presente tesis para comprobar la hipótesis de la efectividad de las redes bayesianas para detectar ataques no conocidos en servidores autoritativos del DNS. Las redes bayesianas se han convertido en un concepto de uso general y en el estándar para detectar SPAM gracias a su exactitud. En un principio se crearon bases de datos de direcciones de IPs donde se hospedaban servidores de correo que enviaban SPAM así como bases de datos con las firmas de 32