Análisis de la seguridad de una red de computadores, basado en sistemas de decepción (HoneyPots).

Transcripción

1 Análisis de la seguridad de una red de computadores, basado en sistemas de decepción (HoneyPots). Edgar Hernando Criollo Velásquez. Maestría en ingeniería Electrónica. Pontificia Universidad Javeriana Bogota. Colombia. I. Conceptos Básicos. Sistema informático. Un sistema informático típico emplea una computadora que usa dispositivos programables para capturar, almacenar y procesar datos o información. [WEB1]. Ataque informáticos. Método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (computador, red, etcétera). [WEB1]. IDS. Sistemas de detección de intrusos. Es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers o sistemas que usan herramientas automáticas. [WEB 4]. DDoS. Ataque de denegación de servicio. Es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, normalmente provocando la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. [WEB1]. Firewall. Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. [WEB21]. DMZ. Zona Desmilitarizada: Es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa. [WEB24]. II. Siglas. IEC: International Electrotechnical Commission. IETF: Internet Engineering Task Force. ISO: International Organization for Standardization. III. Abstract. La información se ha convertido en uno de los activos más importantes para las organizaciones, ya que en ésta se representa o almacena muchos de sus procesos de funcionamiento. Debido al gran valor de la información y al gran

2 impacto que tiene sobre las organizaciones, el riesgo en su integridad es un punto muy importante en la agenda de todas las organizaciones. El concepto de seguridad informática consiste en asegurar que la información administrada por una organización sea utilizada de manera adecuada y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización, asegurando su confiabilidad, su integridad y su autenticidad [WEB23]. Algunos modelos o herramientas comunes de seguridad informática son: Antivirus, Firewall, IDS, etc. Estos sistemas pertenecen al tipo de seguridad defensiva, actúan sobre ataques informáticos en proceso. Las nuevas formas y herramientas para la ejecución de ataques informáticos requieren nuevos métodos que permitan optimizar la seguridad de los sistemas de comunicación. En el siguiente artículo describiremos en profundidad la historia, características, tipos y generalidades de los sistemas de decepción (Honeypots). Estos son un intento de conocer al atacante desde dentro, conocer sus técnicas, herramientas y motivaciones proporcionándole un entorno controlado pero interactivo en el que pueda atacar mientras es vigilado. IV. Introducción. Se denomina sistemas de decepción al software o conjunto de servidores cuya intención es atraer atacantes o intrusos, simulando ser sistemas vulnerables o débiles a los ataques informáticos. Son una herramienta de seguridad informática diseñada para recoger y analizar información sobre las vulnerabilidades de los equipos informáticos, sus atacantes y las técnicas que estos usan. Los sistemas de decepción pueden mantener a los atacantes lejos de los sistemas informáticos principales o de producción, y advertir rápidamente al administrador de seguridad sobre vulnerabilidades en los equipos informáticos para que este pueda tomar las prevenciones necesarias del caso. El sistema de decepción debe ser preferiblemente uno o varios servidores configurados para imitar el comportamiento de verdaderos equipos informáticos de producción, consiguiendo así ser un sistema de interés para un atacante, debe hacer que sea difícil, pero no imposible vulnerarlo, tener las herramientas necesarias para capturar, procesar y analizar la información obtenida a partir de la vigilancia al atacante y principalmente garantizar que los mismos no deben enterarse que están siendo vigilados. Los sistemas de decepción no solucionan ningún problema de seguridad, son una herramienta que sirven para conocer los métodos que los atacantes utilizan a la hora de vulnerar un sistema informático, sin embargo, en la actualidad los sistemas de decepción están fuertemente ligados a los sistemas de defensa de la red de producción (firewall, IDS, etc.) esta interacción e intercambio de información garantiza que las políticas de seguridad del sistema de defensa estén actualizadas y acorde con los riesgos a los que están expuestos nuestros sistemas. V. Historia.

3 A finales de 1999 varios expertos en seguridad desarrollaron el primer proyecto que involucra sistemas de decepción. En junio de 2000 el sistema fue atacado y comprometido por un famoso grupo de hackers, lo que permitió el estudio del comportamiento de este grupo y validó la viabilidad y utilidad de esta nueva herramienta de seguridad informática. Este conocido incidente propicio el incremento en la popularidad del concepto de sistema de decepción (Honeypot) y lo posiciono como la última tendencia en seguridad de redes [TEXT01]. A inicios de 2001 este grupo se convirtió en una organización si ánimo de lucro dedicada al estudio de los hackers que actualmente está compuesta por más de 30 miembros permanentes [WEB02] [WEB03]. VI. Clasificación. La clasificación de los sistemas de decepción se determina mediante su nivel de interacción con los atacantes o su finalidad. Así: Nivel de interacción con el atacante. Bajo nivel. Estos se caracterizan por ser emulaciones de servicios. El atacante cree que se encuentra vulnerando un servidor cuando realmente es una aplicación escrita para hacerse pasar por tal. No existe un sistema operativo sobre el cual el atacante pueda interactuar. Recoge poca información. Son sencillos de instalar y el riesgo de intrusión real es menor, por la emulación de los servicios. [WEB26]. Alto nivel. Cuentan con un sistema operativo real instalado permitiendo interacción total con el atacante, presentan un mayor riesgo de intrusión real, son más atractivos para ser atacados, se obtiene mayor y mejor información sobre los atacantes. [WEB26]. Finalidad. Últimamente se esta presentando una clara tendencia hacia el uso de sistemas de decepción especializados en un protocolo, un servicio, etc. Por ejemplo, existen proyectos de sistemas de decepción que simulan proxys abiertos, aplicaciones web, servicios ftp. [WEB26]. VII. Campos de aplicación. Los principales campos en donde se utilizan los sistemas de decepción son: La investigación en seguridad informática y la seguridad en de redes informáticas de producción, en cada uno de estos campos la implementación de los sistemas de decepción ha traído diversas ventajas. A continuación se describen las principales: A. En el campo de Investigación. Son implementados con la finalidad de recolectar información sobre las acciones de los atacantes. Por lo general son administrados por instituciones educativas sin fines de lucro, organizaciones de investigación. Se utilizan para tener una visión más clara sobre las operaciones, las estrategias, los motivos de ataques, estudiar patrones de ataque y amenazas de todo tipo. El objetivo principal es identificar las amenazas y encontrar el modo de tratar con estas de una manera eficaz. Estos son difíciles de manejar y desplegar, pero son capaces de reunir una gran cantidad de información [WEB05].

4 Conocer nuevas tendencias de ataques, vulnerabilidades de los protocolos y herramientas que se utilizan para los ataques. Obtener mayor conocimiento de los atacantes (objetivos, actividades) y tendencias. Cuáles son los sistemas mas atacados, qué tipo de información busca, cuál es su motivación?, etc. Desarrollar nuevas técnicas de detección de intrusos IDS. Detectar nuevas formas de comunicación encubierta. Detectar y analizar nuevas formas y herramientas de DDoS. Desarrollar nuevas técnicas de análisis forense computacional. B. En el campo de Producción. Esta diseñado principalmente para la seguridad y defensa de las redes. No han sido diseñados para recoger información sobre las actividades de hacking, se implementa de manera colateral a las redes de datos o infraestructuras en ambientes reales y son utilizados para proteger a las organizaciones. Este tipo de Honeypot está sujeta a ataques constantes [WEB05]. Distraer al atacante del objetivo real (Ganando tiempo para proteger los sistemas de producción). Desarrollar sistemas de vigilancia que generen automáticamente alarmas de seguridad. Recolectar evidencia suficiente contra un atacante. Se debe tener en cuenta las implicaciones legales de este punto. Desarrollar herramientas que actualicen automáticamente los sistemas de defensa de la red (seguridad proactiva), manteniendo sus políticas de seguridad al día y acordes a los riegos a los que esta expuesta. VIII. Componentes. Un sistema de decepción puede ser un conjunto de muchas herramientas interactuando entre si con el fin de almacenar y procesar información de un ataque informático al mismo, a continuación se presenta las principales componentes de un sistema de decepción, dejando claro que no son las únicas, pero si las fundamentales [WEB 22]: Modulo Sensor: Encargado de recopilar toda la información de las actividades y herramientas utilizadas por el atacante cuando vulnera el sistema de decepción. Análisis de Alertas: Encargado de generar alertas basado en las diferentes políticas de seguridad establecidas por el administrador de la red de producción. Motor de acción: Gestiona las acciones que deben tomarse de acuerdo con la política de seguridad. Añade en el firewall las reglas de seguridad necesarias para bloquear al atacante y futuros ataques similares. Herramientas de colaboración: Interactuar con otros posibles sistemas de decepción que estén en nuestra red Herramientas de control de datos. Encargado de minimizar los riesgos de nuestro sistema de decepción.

5 IX. Arquitectura. La arquitectura de los sistemas de decepción se define por el lugar de la red en donde son ubicados, así: A. Fuera del perímetro de protección. (Antes del firewall). El sistema esta expuesto a cualquier ataque sin restricción alguna. Puede darnos valiosa información para nuestra investigación, sin embargo corre un alto riesgo de convertirse en una plataforma de ataque hacia otros sistemas informáticos. Figura 1. [TEXT03]. Figura 1. [WEB05] B. Dentro del perímetro de protección. (Después del firewall). El acceso al sistema esta regido por el filtrado del firewall, su ubicación permite la detección de atacantes internos, firewall mal configurados, virus, etc. Figura 2. [TEXT03]. Figura 2. [WEB05] C. En la zona desmilitarizada DMZ. Es la zona ideal, ya que permite detectar ataques externos e internos con una adecuada configuración del firewall. Figura 3. [TEXT03].

6 Figura 3. [WEB05] X. Problemas de implementación. Es importante tener presente la peligrosa posibilidad que el atacante se aproveche de las debilidades que muestra el sistema de decepción, y pueda utilizarlo como plataforma de ataque hacia los propios sistemas de producción o hacia otros sistemas externos, sin embargo con una buena topología de red (celdas aisladas) y la adecuada configuración del sistema de decepción se puede reducir esta probabilidad y garantizar que el sistema está fuera del alcance de ésta utilización. A nivel legal en el país no se ha registrado ningún hecho o noticia concreta acerca del uso de esta clase de sistemas, en [NORM1] podemos encontrar una referencia. Sin embargo en otros países existen algunos precedentes legales en contra de su uso. El uso deliberado de los sistemas de decepción pueden ser un problema, ya que implica tres tipos de posibles delitos: Primero. Espionaje electrónico o violación a la privacidad [NORMAS02]. Por ningún motivo, causa o razón ninguna persona puede vigilar, almacenar o procesar información generada por un tercero, aunque esta sea ilícita, sin embargo, no hay evidencia de la prohibición explícita del tema. En Colombia en la ley de delitos informáticos [NORMAS01] tampoco es muy clara. Segundo. Negligencia. Dejar un sistema con un nivel de seguridad bajo, publicar sus debilidades para atraer e identificar posibles atacantes puede ser un claro caso de negligencia y se puede acusar de promover actuaciones de los atacantes. La imagen de ser una trampa para hackers confundida como una provocación. Tercero. Responsabilidad. El mayor problema a la hora de implementar un sistema de decepción es que un atacante basado en las facilidades que este proporciona logre acceso al sistema y lo use como plataforma para atacar a sistemas de producción externos, esto representa un problema legal para la empresa que lo hubiera configurado (o aceptado la responsabilidad de usarlo) y puede ser un claro caso de responsabilidad [NORMAS03]. XI. Proyectos Vigentes. A continuación se presentan algunos de los casos de éxito en la implementación de sistemas de decepción:

7 Brazilian Honeypots Alliance. Distributed Honeypots Project. El objetivo de este proyecto es aumentar la capacidad de detección de ataques, relación de eventos y determinación de ataques a redes de computadores realizados en el espacio de Internet brasilero [WEB17]. UK Honeynet Project fundado en 2002, es una organización investigativa sin fines de lucro. Sus objetivos son: Proporcionar información acerca de las actuales amenazas y vulnerabilidades de seguridad en las redes de computadores del Reino Unido, obtener información acerca de las herramientas, tácticas y motivos de los ataques, compartir los conocimientos adquiridos en las investigaciones con la comunidad interesada en el tema, implementaciones de equipos de investigación de seguridad en las redes de computadores [WEB18]. Internet Systematics es un organismo de investigación en redes (ISlab) con sede en Atenas, Gracia que trabaja en el área del conocimiento de los sistemas de Internet. En la última década se han dedicado por la investigación e implementación de las tecnologías honeypots que le permita observar los ataques a las redes de computadores en un ambiente controlado. Su principal objetivo es la observación y estudio de las técnicas empleadas por los hackers para atacar a las redes de computadores [WEB19]. El proyecto Honeynet de la Universidad Nacional Autónoma de México (UNAM) está conformado por un grupo de profesionales de seguridad informática sin fines de lucro, dedicados a la investigación de seguridad en redes y tecnologías honeypot, que pertenece al equipo de respuesta a incidentes de seguridad en cómputo de la Universidad (UNAM-CERT) [WEB20]. XII. Presentación detallada de la problemática. Un sistema de decepción presta servicios referentes a la investigación de necesidades en seguridad informática, basado en el análisis de la información obtenida mediante la vigilancia de ataques a sistemas de decepción, Los sistemas de seguridad y defensa tradicionales (ejecución defensiva: Firewalls, antivirus, IDS, etc.) actúan estrictamente al momento en que se está realizando el ataque sobre los sistemas informáticos de producción, neutralizando las acciones de los atacantes. Los sistemas de decepción buscan optimizar la utilización de técnicas de monitorización para registrar y analizar posibles ataques a los sistemas informáticos de producción, tratando de aprender y obtener información de la procedencia, las formas o tipos de ataques. Con la información obtenida se puede realizar una completa investigación de cómo se comportan los elementos de seguridad y defensa implementados en los sistemas de producción, y así lograr desplegar medidas mas efectivas de seguridad sobre los mismos.

8 XIII. Problemas por resolver. Investigación de las necesidades de seguridad informática, en ambiente académico con fines de conocimientos y en ambientes corporativos con fines de aseguramiento de la información. Investigación en las vulnerabilidades de sistemas operativos, protocolos, hardware, software, etc. Descubrimiento de las nuevas tendencias en crimen informático, los hacker que perpetúan dichos crímenes, sus herramientas, motivaciones, etc. Seguridad informática proactiva. Se supera el concepto de defenderse cuando se es atacado, se pasa al concepto de atraer al atacante, vigilar sus actos, aprender de él y estar preparado para sus futuros ataques en sistemas informáticos de producción reales XIV. Conclusiones. Los sistemas informáticos se pueden proteger mejor por medio del aprendizaje de sus vulnerabilidades, técnicas y herramientas de vulneración. La tecnología de los sistemas de decepción combina distintas disciplinas y áreas de investigación virtualización, análisis de tráfico, análisis forense computacional, etc. A nivel corporativo los sistemas de decepción nos brindan protección, prevención, detección y respuesta a los posibles ataques sobre los sistemas informáticos. A nivel investigativo los sistemas de decepción son útiles para las investigaciones forenses de inteligencia que permitan analizar la actividad del atacante. XV. Normas Técnicas para la administración de seguridad informática. A. RFC Site Security HandBook. IETF. Ofrece una guía práctica para quienes intentan asegurar servicios e información. Este manuscrito es una guía para el desarrollo de políticas de seguridad computacional y recomendaciones para redes que están conectadas a Internet, proporcionan un gran rango de técnicas para seguridad en redes y respuestas a incidentes. [TEXT02][WEB07] B. BS7799. Estándar de seguridad de información, creada por British Standards Institution (BSI) como un conjunto de controles de seguridad y de metodologías para su correcta aplicación. El conjunto de controles requeridos por la norma brinda a los profesionales de tecnología de la información un método eficaz para el desarrollo e implementación de políticas y procesos de seguridad informática en todo el ámbito de las organizaciones. Ayuda a identificar, administrar y minimizar la variedad de amenazas a las cuales está expuesta regularmente la información en las empresas. [TEXT02] [WEB08] C. IT Baseline Protection Manual. Manual de protección de IT (Alemania). La agencia Federa Para Seguridad en Información en Alemania genero este documento con el fin de presentar un conjunto de estandares de seguridad recomendados. [TEXT02][WEB09].

9 XVI. Normas para la evaluación de la seguridad informática. A. ISO, junto con IEC han creado un Comité Técnico Conjunto (JTC-1) para abordar un amplio rango de estándares en tecnologías de la información, incluida la seguridad. Se han establecido varios subcomités para el desarrollo de estándares, de los cuales el SC27 (subcomité 27) tiene el protagonismo en técnicas de seguridad, si bien en al menos otros seis subcomités tienen especial relevancia los aspectos de seguridad. [WEB06][WEB10]. B. Orange Books (EE.U.U.). Documentos que delinean una serie de estándares de seguridad desarrollados en EE.U.U. El libro mas importante de esta serie es el Trusted Computer System Evaluation Criteria (TCSEC). [WEB06] [WEB11]. C. Information Technology Security Evaluation Criteria ( ITSEC ) (Reino Unido). Basado en la serie de libros Orange Books, pero con mayor especificación en los criterios de evaluación. [WEB6][WEB12]. D. Statewide STANDARD P800-S830 Rev 2.0. Government Information Technology Agency. TITLE: Network Security. [WEB13] E. En Colombia la norma mas aplicada es: ISO. Normas y su estructura para seguridad de la información. ISO/IEC 27001, [WEB14] Para ver más acerca de los estándares de evaluación en seguridad valla a [WEB6]. XVII. Normas Legales. A. Las normas legales de la seguridad informática en Colombia. Ley 1273 de Enero 5 [NORMAS01]. B. Argentina La ley vigente. Argentina sancionó el 4 de junio del 2008 la Ley (promulgada de hecho el 24 de junio de 2008) que modifica el Código Penal a fin de incorporar al mismo diversos delitos informáticos, tales como la distribución y tenencia con fines de distribución de pornografía infantil, violación de correo electrónico, acceso ilegítimo a sistemas informáticos, daño informático y distribución de virus, daño informático agravado e interrupción de comunicaciones. [NORMAS04] [WEB15]. Para ver más acerca de legislaciones sobre delitos informáticos valla a [WEB16] XVIII. Bibliografía. A. WEB. [1] [2] [3] [4]

10 [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] on_iso_27001.asp?codidioma=esp [15] [16] [17] [18] [19] [20] [21] [22] 32&Itemid=26&limit=1&limitstart=1&lang=es [23] [24] [25] [26] B. TEXT [01] Honeynet Project The. Know Your Enemy: Learning about Security Threats. No. 2nd Edition. Addison Wesley, 315 pages, ISBN [02] Lista de estandares de seguridad internacionales. Universidad Nacional de Colombia [03] VII Jornada nacional de Seguridad Informatica. Ing Armando Carvagal. Globaltek Security. Junio del C. NORMAS [01] Ley 1273 de Enero 5. D=834cfea003c32e32ea89945e7f6235d9 [02] Ley 1273 de Capítulo Primero De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. [03] Ley 1273 de Capítulo Segundo. De las atentados informáticos y otras infracciones [04] Ley de 2008 Junio 4.