Fuente: SecurityFocus
Los sistemas de detección de intrusos se han convertido en un componente importante en la caja de herramientas de un buen administrador de seguridad.
23-01-2002 - Algunos aún no lo tienen claro, y piensan que un IDS (Intrusión Detection System) puede ser la panacea que nos lleve a la más absoluta tranquilidad y a una irreal sensación de seguridad, más peligrosa en muchos casos que la inseguridad en sí misma.
En resumen, un sistema de detección de intrusos hace exactamente eso. Detectar POSIBLES intrusiones. Específicamente, pretende detectar ataques o abusos al sistema, alertando con los pormenores del ataque. Proporciona una seguridad parecida a la que un sistema de alarma instalado en casa puede suponer. Mediante varios métodos, ambos detectan si un intruso, atacante o ladrón está presente, y en consecuencia disparan una alarma. Por supuesto, la alarma puede saltar sin motivo, al igual que el administrador puede no llegar a oírla. Ante estar irregularidades, solo resta estar atento y revisar frecuentemente con cautela los avisos recibidos.
Resulta imprescindible tomar más medidas complementarias al amparo de esta alarma que salta. Un cortafuegos añadido aporta en conjunto una seguridad bastante aceptable. Siguiendo la analogía de la casa, el cortafuegos sería la valla protectora o el vigilante de seguridad que controla en la puerta quién entra, adonde va y de donde viene. Los IDS por tanto no garantizan la seguridad, pero, dentro de una buena política que incluya autenticación de usuarios, control de acceso, cortafuegos, encriptación de datos y evaluación de vulnerabilidades, se puede aumentar enormemente las posibilidades de sus datos y su sistema, le sigan perteneciendo sólo a usted.
Los sistemas de detección de intrusos proporcionan tres funciones esenciales de seguridad: monitorizan, detectan y responden a la actividad que consideran sospechosa.
Monitorizan: Esto es, el IDS mantiene siempre un ojo en la red, observando y escudriñando el tráfico en busca de cualquier paquete susceptible de contener código no deseado. Qué visita quién y cuando lo hace en nuestra red, quién viene desde el exterior y qué busca... etc.
Detectan: Usan políticas (totalmente configurables) para definir los actos sospechosos de todo ese tráfico (gigantesco por pequeña que sea
la red) que provocarán una alarma si ocurren.
Responden: Esta alarma puede venir en forma de archivos en el sistema, páginas html dinámicas con gráficos o incluso correos con la información necesaria. También podría incluir la expulsión de un usuario del sistema... etc.
La necesidad de un IDS:
Los sistemas de detección de intrusos son un elemento integral y necesario en una infraestructura de información segura, representando el complemento ideal a los cortafuegos en las redes. De manera sencilla, los IDS permiten una completa supervisión de las redes, independientemente de la acción tomada, esa información siempre estará ahí y será necesaria para determinar la naturaleza del incidente y su fuente.
Las técnicas de un IDS para detectar intrusos:
Detección anómala: Diseñada para cubrir los patrones anormales de comportamiento de los paquetes. El IDS establece una norma base de paquetes ordinarios y sus usos, y todo lo que se desvíe de ahí, se toma como posible intrusión. Esta “normalidad” resulta muy relativa, pero existen ciertos axiomas que denotan un comportamiento cuando menos “extraño”, por ejemplo alguien que se conecta y desconecta 20 veces de una máquina en unos minutos, o una máquina usada a las 2 de la mañana, fuera del horario de trabajo. Otro tipo de alerta a un nivel superior, se produciría si alguien del departamento de gráficos de repente empieza a acceder a programas de compilación de código.
Detección de abusos o ‘Signature Detection’: Estos predicen los patrones de comportamiento que derivan en intentos similares. Estos patrones son llamados “firmas” o “signatures”. Un ejemplo es cuatro intentos fallidos de entrar en el ftp.
Monitorización de objetivos concretos: Esta técnica busca la modificación de ficheros específicos. Es más un control correctivo en vez de preventivo. Una forma es crear un hash criptográfico de antemano con los valores del archivo y compararlo a intervalos regulares (configurables) con otro hash que se hace en el instante de la comprobación para detectar si se ha producido un cambio en esos archivos (normalmente de sistema).
Además de estas técnicas, el sistema puede estar orientado al host individual o a la red, algo así como la diferencia entre tomar los acontecimientos como individuales o colectivos. En general, son más útiles los orientados a red (distribuidos), por tomar el tráfico como un todo del que entran y salen paquetes constantemente, en vez de tomar cada máquina como posible objetivo de ataque. Esto último es lo que se ha venido haciendo desde siempre en los logs que genera por ejemplo, un sistema operativo con respecto a los acontecimientos internos.
Sea como fuere, los IDS se han vuelto imprescindibles en cualquier red conectada al exterior y para los buenos administradores que quieren conocer las entrañas de su red, instalándole sistemas de alarma como una parte más de su política de seguridad.
Sergio de los Santos
s.delossantos@g2security.com