jueves, 11 de abril de 2013

Deteccion de intrusos


  • Concepto de Intruso
    Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.

    • 1.2 Tipos de Intrusos
    Los intrusos se clasifican principalmente de acuerdo al lugar al que pertenecen en:
    Intrusos de Fuera.
    La mayoría de las personas piensan que el mundo exterior es la amenaza más grande a su seguridad; debido a que ha sido difundido por los medios de comunicación un miedo hacia los “hackers” que entran a través de Internet. La realidad, es que los hackers representan una pequeña parte de las amenazas reales a las que se enfrenta una compañía.
    Intrusos de Adentro.
    Estudios realizados por el FBI han revelado que el 80% de las intrusiones y de los ataques provienen de dentro de las organizaciones. Es muy lógico si se piensa que una persona de adentro conoce el esquema del sistema, donde se encuentran la información valiosa y la localización de puntos y sistemas de seguridad.
    Por lo anterior hay que desechar la idea de que la mayoría de las medidas de seguridad deben estar puestas para proteger al interior de un “malévolo” exterior, ya que realmente gran parte de las intrusiones ocurren desde adentro de las organizaciones. Es necesario un mecanismo que detecte ambos tipos de Intrusos, los externos y los internos. Un sistema detector de intrusos efectivo detecta ambos tipos de ataques en un alto grado.
    1.3 Políticas de seguridad para evitar intrusiones
    Una Política de Seguridad define lo que se permite y lo que se niega en un sistema. Hay dos filosofías básicas detrás de cualquier política de seguridad:
  • Prohibitiva.- En esta política todo aquello que no esta expresamente permitido es negado

  • Permisible.- En esta política todo lo que no esta negado expresamente es permitido

    • Generalmente, un lugar que es más paranoico sobre seguridad toma la primera opción. Se usara una política que detalla exactamente los funcionamientos u operaciones que se permite en un sistema. Cualquier otra operación que no este detalla en éste documento de la política será considerada como ilegal dentro del sistema. Es claro que este tipo de políticas se prestan bien para un ambiente militar, y estos tipos de políticas son raros en establecimientos civiles.
    La segunda filosofía está más ligada al espíritu de la informática. Los usuarios de computadoras siempre han intentado usar el potencial de las computadoras al máximo, aun cuando esto signifique violar las reglas. Esto era aceptable con tal de que el trabajo se realizara bien y completo en el tiempo necesario, y nadie resultaba afectado.
    Desgraciadamente, esta filosofía no funciona bien en los ámbitos de trabajo actuales. El espíritu competitivo tiende a nublar la ética profesional cuando un usuario se entromete con los archivos de otro usuario. De hecho, el sabotaje puede ser una norma de conducta en algunos ambientes laborales donde la supervivencia se logra con una competencia extrema.
    La mayoría de los usuarios se comportará según un conjunto de reglas "sociales". Estas reglas los animan a respetar la privacidad y el trabajo de los demás. Semejante población de usuarios tiene una alianza de funcionamiento basada en la confianza, y la confianza es fácil subvertir. Una población de usuarios confiables es contaminada fácilmente por un usuario “malévolo”, que intente emplear mal los sistemas.
    1.4 Detección de Intrusiones
    Antes de hablar sobre la detección de intrusiones es necesario definir que es una intrusión.
    Intrusión.- Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.
    Las intrusiones se clasifican de la siguiente manera:
  • Intrusiones para mal uso.- son ataques en puntos débiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos.

  • Intrusiones anómalas.- se basa en la observación de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado.

    • Mientras las intrusiones de mal uso sigan patrones bien definidos pueden ser detectadas haciendo un análisis y chequeo en la información de auditoria y reportes del sistema. Por ejemplo, un intento de crear un archivo invalido puede ser descubierto examinando los mensajes en los Logs que son resultado de las llamadas al sistema.
    Las intrusiones anómalas son descubiertas observando desviaciones significantes del comportamiento normal del sistema. El modelo clásico para el descubrimiento de la anomalía fue propuesto por Denning. En el se propone la construcción de un modelo que contiene métricas que se derivan del funcionamiento del sistema.
    Una métrica se define como: una variable aleatoria x que representa una medida cuantitativa acumulada durante un periodo.
    Estas métricas se calculan de los parámetros del sistema disponibles como promedio de carga del CPU, número de conexiones de la red por minuto, número de procesos por usuario y cualquier otro tipo de medida disponible que describa un cierto consumo de recursos en un periodo definido.
    Una anomalía puede ser un síntoma de una posible intrusión. Dado un conjunto de métrica que definen el uso normal del sistema, podemos asumir que la explotación de las vulnerabilidades de un sistema involucra el uso anormal del sistema, por consiguiente, ser pueden descubrir violaciones al sistema a partir de patrones anormales del uso del sistema.
    El descubrimiento de anomalías también se realiza por medio de otros mecanismos, como redes neuronales, técnicas de clasificación de maquinas que aprenden (machine learning), e incluso sistemas que imitan la inmunidad biológica.
    Las intrusiones anómalas son más difíciles de detectar. No hay patrones fijos que puedan ser monitoreados. Idealmente nos gustarían un sistema que combine la capacidad de las personas de localizar patrones y la vigilancia que brinde un programa de computadora. Así siempre se estaría supervisando el sistema para detectar las intrusiones potenciales, pero podría ignorar las intrusiones falsas, si ellas resultaran ser acciones legítimas de usuarios.
    Muchos sistemas de detección intrusiones basan sus operaciones en el análisis de los rastros de accesos al Sistema Operativo. Estos datos forman una huella del uso del sistema en un cierto tiempo. Es una fuente conveniente de datos y es fácilmente disponible en la mayoría de los sistemas. De estas observaciones, los Sistemas de Detección de Intrusiones calcularán métrica sobre el estado total del sistema, y decidirán si está ocurriendo una intrusión.
    Un sistema de detección de intrusiones deberá también realizar su propio monitoreo del sistema. Puede ir incrementando las estadísticas que dan el perfil de uso del sistema. Esta estadística se puede derivar de una variedad de fuentes tales como uso de la CPU, entradas y salidas del disco, uso de la memoria, actividades por usuario, número de conexiones hechas, etc. Las estadísticas se debe actualizar continuamente para reflejar el estado actual del sistema. Además se debe correlacionar con un modelo interno que permita que el sistema detector de intrusiones determinen si una serie de acciones constituyen una intrusión potencial.
    SISTEMA DE DETECCIÓN DE INTRUSIONES
    2.1 Concepto
    Los sistemas informáticos se apoyan en los Sistemas de Detección de Intrusiones (IDS -de sus siglas en inglés) para prepararse y ocuparse del mal manejo y del uso indebido de la información de una organización. Logran esta meta, recopilando la información de una gran variedad de fuentes del sistema y de la red y analizando la información que contribuye a los síntomas de los problemas de seguridad de la misma, y permiten que el usuario especifique las respuestas en tiempo real a las violaciones.
    Los productos de detección de intrusos son aplicaciones que monitorean activamente los sistemas operativos y el tráfico de red, con el objeto de detectar ataques y violaciones a la seguridad.
    Es decir, los IDS son herramientas de seguridad en red que recopilan información de una variedad de fuentes del sistema, analizan la información de los parámetros que reflejan el uso erróneo o la actividad inusual, responden automáticamente a la actividad detectada, y finalmente informan el resultado del proceso de la detección.
  • Objetivos

    • Para el buen funcionamiento de los Sistemas de Detección de Intrusiones, es necesario que cumplan con los objetivos que tienen asignados, estos consisten en el cumplimiento de los siguientes puntos:
    • Vigilar y analizar la actividad de los usuarios y del sistema.
    • Revisar las configuraciones del sistema y de las vulnerabilidades.
    • Evaluar la integridad de los archivos críticos del sistema y de los datos.
    • Reconocimiento de los modelos de la actividad que reflejan ataques conocidos.
    • Análisis estadístico para los modelos anormales de la actividad.
    • Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de las violaciones de la actividad del usuario respecto a la política establecida.
    • Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización.
    La combinación de estas características hace que sea más fácil para los encargados del sistema, vigilar la intervención y la evaluación de sus sistemas y redes. Esta actividad en curso de la intervención y de la evaluación, es una práctica necesaria de una sana gerencia de seguridad.
  • Tipos

    • Es importante mencionar antes de describir el funcionamiento de un IDS, los tipos más comunes de estos sistemas en el mercado actual.
    La meta de un IDS es proporcionar una indicación de un potencial o de un ataque verdadero. Un ataque o una intrusión es un acontecimiento transitorio, mientras que una vulnerabilidad representa una exposición, que lleva el potencial para un ataque o una intrusión. La diferencia entre un ataque y una vulnerabilidad, entonces, es que un ataque existe en un momento determinado, mientras que una vulnerabilidad existe independientemente de la época de la observación. Otra manera de pensar en esto es que un ataque es una tentativa de explotar una vulnerabilidad (o en algunos casos, una vulnerabilidad percibida). Esto nos conduce a categorizar varios tipos de IDS.
    Hay cinco diversas categorías de las identificaciones. No todas estas categorías representan la "detección clásica de la intrusión" pero desempeñan un papel en la meta total de intrusiones de detección o de prevención en una red corporativa. Las categorías son:
    • IDS Network-based
    • IDS Host-based
    • IDS Híbridos
    • Inspector de la Integridad del Archivo
    • Explorador de la vulnerabilidad de la Red
    • Explorador de la vulnerabilidad del Host
    Los tres primeros puntos son tipos de IDS y los tres puntos restantes son herramientas de detección de vulnerabilidad.
    Una intrusión, explota una vulnerabilidad específica y debe ser detectada cuanto antes, después de que comience. Por esta razón, las herramientas de la detección de la intrusión deben de ejecutarse con más frecuencia que los exploradores de vulnerabilidad. Los sistemas de la detección de la intrusión (IDS) examinan el sistema o la actividad de la red para encontrar intrusiones o ataques posibles.
    Como mencionamos anteriormente, hay dos tipos básicos de sensores de IDS: network-based host-based. Los sensores network-based se encargan de monitorear las conexiones de red, observar el tráfico de paquetes TCP, y así poder determinar cuando se está realizando un ataque. Los sensores host-based se ejecutan en los sistemas -servidores, workstations o en las máquinas de usuarios - y localizan alguna actividad sospechosa en el nivel del sistema. Buscan las cosas que pueden indicar actividad sospechosa, tal como tentativas de conexión fallidas. Los encargados de los IDS actúan como un centro centralizado de vigilancia, recibiendo datos de los sensores y accionando alarmas.
    IDS basados en Red
    Los sistemas network-based actúan como estupendos detectores, es decir, ellos observan el tráfico en las capas del TCP/IP y buscan modelos conocidos de ataque, como los que generalmente realizan los hakers o los ataques al web server. Tales sistemas hacen frente a desafíos significativos, especialmente en los ambientes cambiantes donde los detectores no ven todo el tráfico en la red. Además, la mayoría de los sistemas network-based pueden buscar solamente los modelos de abuso que se asemejan al estilo de los ataques de los hackers, y esos perfiles están cambiando constantemente. Los sistemas network-based son también propensos a los positivos falsos. Por ejemplo, si el web server tiene sobrecarga de trabajo y no puede manejar todas las peticiones de conexión, los IDS quizá pueden detectar que el sistema está bajo un ataque, aunque en realidad, no lo sea. Típicamente, un sistema basado en red no va a buscar la otra actividad sospechosa, tal como que alguien de su entorno de trabajo, intente tener acceso a los datos financieros de su compañía. Por supuesto, los detectores de la red se pueden adaptar para buscar apenas sobre cualquier tipo de ataque, pero es un proceso laborioso. Los sistemas network-based son los más comunes, y examinan el paso del tráfico de la red para las muestras de la intrusión.
    Los sistemas basados en red son un poco diferentes: se diseñan empleando una arquitectura de consola-sensor y suelen ser totalmente pasivos. Este tipo de detección integrada a la red "husmea" el cable y compara los patrones de tráfico, en vivo, con listas internas de "rúbricas" de ataque.
    IDS basados en Host
    Los sistemas host-based emplean un diverso procedimiento para buscar a los malos individuos. No característico de los detectores, los sistemas host-based dependen generalmente de los registros del sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red mientras que ocurren. En comparación con los IDS basados en red, estos sistemas obligan a definir lo que se considera como actividades ilícitas, y a traducir la política de la seguridad a reglas del IDS. Los IDS host-based se pueden también configurar para buscar tipos específicos de ataques mientras que no hace caso de otros. Pero otra vez, el proceso de templar un sensor puede ser desperdiciador de tiempo. Es decir, los sistemas host-based observan al usuario y la actividad del proceso en la máquina local para las muestras de la intrusión.
    Los sistemas relacionados al host se despliegan de la misma forma que los escáners antivirus o las soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa una consola de gestión para generar informes.
    Ambas formas de detección pueden reaccionar cuando identifican un ataque. Los dos enfoques tienen puntos fuertes y débiles. Los sistemas basados en red casi no se hacen notar y son independientes de la plataforma; se pueden desplegar con poco o ningún impacto sobre las redes de producción. Sin embargo, estos sistemas tienen que superar varios obstáculos importantes. Por ejemplo, la tecnología se basa en la capacidad del sensor para ver todo el tráfico de red. En un entorno conmutado, esta situación complica demasiado la vida, ya que es preciso utilizar espejos de puertos. Pocos sistemas basados en red pueden manejar una línea de 100 Mbps saturada, y ya no hablemos de velocidades de gigabits.
    Los sistemas basados en host no tienen problemas de ancho de banda; no obstante sólo pueden reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores que usan un sistema operativo no reconocido, el administrador no habrá ganado nada. Sin embargo, las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen los sistemas basados en red, como verificación de integridad binaria, análisis sintáctico de logs y terminación de procesos no válidos. 
    IDSs Híbridos
    Los vendedores han observando las limitaciones que presentan los IDS network-based y los IDS host-based, y han concluido en combinar ambos sistemas para mejorar su capacidades. Estos sistemas híbridos combinan las mejores características de ambos en una configuración del sensor del IDS. RealSecure de Internet Security Systems (ISS), CyberCop de Network Associates (NAI) y CMDS de ODS son ejemplos de soluciones que han adoptado este acercamiento híbrido de IDS.
    RealSecure, por ejemplo, originalmente se basaba en un sensor network-based, pero ahora tiene detección host-based de la intrusión también. CyberCop ofrece actualmente solamente las IDS host-based, pero se está moviendo hacia una nueva configuración de la " fusión " que incorpore detectores de red IDS host-based. Y CMDS trabaja con la red y la información de IDS host-based para buscar ataques.
  • Características

    • Las características de un buen IDS deben tratar las siguientes cuestiones, sin importar en que mecanismo se basen:
  • Debe ejecutarse continuamente sin la supervisión humana. El sistema debe ser bastante confiable y permitir que se ejecute en el fondo del sistema que es observado. Sin embargo, no debe ser un "rectángulo negro". Es decir, sus funcionamientos internos deben ser observables desde el exterior.

  • Debe ser tolerante a fallos, en el sentido de que debe mantenerse ante un fallo del sistema, además no debe de poder reiniciar el sistema.

  • Debe resistir el cambio. El sistema puede vigilarse para asegurarse de que no ha sido alterado.

  • Debe imponer los gastos mínimos para el sistema.

  • Debe observar desviaciones del comportamiento normal.

  • Debe ser adaptado fácilmente al sistema en cuestión. Cada sistema tiene un diverso modelo de uso, y el mecanismo de la defensa debe adaptarse fácilmente a estos modelos.

  • Debe hacer frente a comportamiento del sistema que cambia en un cierto periodo de tiempo, mientras que se están agregando las nuevas aplicaciones. El perfil del sistema cambiará en un cierto plazo, y el IDS debe poder adaptarse.

  • Finalmente, debe ser difícil engañar.

    • Algunos sistemas proporcionan ciertas características adicionales, incluyendo:
    • La instalación automática de correcciones lógicas al software.
    • Instalación y operación de los servidores que registran la información de intrusos.
    Los tipos de errores que probablemente puedan ocurrir en el sistema, se pueden categorizar cuidadosamente como:
    • Positivo falso
    • Negativa falsa,
    • Errores de cambio.
    Un positivo falso ocurre cuando el sistema clasifica una acción como anómala (una intrusión posible) cuando es una acción legítima. Una negativa falsa ocurre cuando ha ocurrido una acción intrusa real pero el sistema permite que pase como no intruso. Un error de cambio, ocurre cuando un intruso modifica la operación del detector de la intrusión para forzar a que ocurran negativas falsas. Los errores positivos falsos conducirán a los usuario del IDS a no hacer caso de su salida, pues clasificará acciones legítimas como intrusiones. Las ocurrencias de este tipo de error se deben reducir al mínimo (puede no ser posible eliminarlas totalmente), para proporcionar la información útil a los operadores. Si muchos positivos falsos se generan también, los operadores vendrán no hacer caso de la salida del sistema en un cierto plazo, que puede conducir a una intrusión real que es detectada pero no hecha caso por los usuarios.
    Un error negativo falso ocurre cuando procede una acción aunque es una intrusión. Los errores negativos falsos son más serios que errores positivos falsos porque dan un sentido engañoso de la seguridad. Permitiendo que todas las acciones procedan, una acción sospechosa no será traída a la atención del operador. El IDS ahora es un defecto, pues la seguridad del sistema es menor que la que era antes de que el IDS fuera instalado. Los errores de cambio son más complejos Un intruso podría utilizar conocimientos sobre los mecanismos internos de un IDS para alterar su operación, permitiendo posiblemente que el comportamiento anómalo proceda. El intruso podría entonces violar los apremios operacionales de la seguridad del sistema. Esto se puede descubrir por un operador humano que examina los registros del detector de la intrusión, pero parecería que el IDS todavía trabaja correctamente.
    El uso del término "detección de intrusos" está proliferando en todos lados. Los medios de comunicación y la gente de mercadotecnia utilizan la frase a diestra y siniestra. A cualquier tipo de herramienta se le describe como sistema de detección de intrusos, desde analizadores de logs de web hasta productos de administración de activos.
    Los sistemas de detección de intrusos pueden ayudar a los administradores a mantener vigilados los sistemas y las redes, estos productos pueden, en tiempo real, percatarse de cuándo está ocurriendo un ataque. Esto ofrece al administrador la oportunidad de reaccionar ante las agresiones o incluso marcarles el alto -lo cual es mucho mejor que recibir a las cuatro de la mañana una llamada telefónica de alguien que dice que el sitio web se ve un poco diferente--. En muchos casos, el costo de un sistema de detección de intrusos se puede justificar tan sólo por su valor "forense". Si un sistema fue violado y sus logs están contaminadas, este tipo de sistemas pueden ahorrar a los administradores los días que llevaría averiguar qué pasó exactamente.
    Los sistemas de detección de intrusos son excelentes adiciones al arsenal de seguridad; sin embargo, no son el factor que permitirá ganar la guerra. Si una compañía posee redes de alta disponibilidad o muy expuestas, la tecnología podría resultar muy valiosa. No obstante, si la empresa todavía está batallando con políticas, procedimientos y bloqueos de hosts, será necesario dejar para después la detección de intrusos y ocuparse primero de lo básico.
  • Ventajas y Desventajas

    • Cada nuevo mercado sufre de la exageración y de la idea falsa, algunas de las demandas hechas en materia de comercialización son razonables y otras son engañosas. Los Sistemas de Detección de Intrusiones, tienen sus ciertas ventajas y desventajas, mismas que se analizan en los siguientes párrafos.
    Ventajas
  • Pueden prestar un mayor grado de integridad al resto de su infraestructura de seguridad. Los IDS proporcionan capas adicionales de protección a un sistema asegurado. La estrategia de un atacante del sistema incluirá a menudo los dispositivos de seguridad que atacan, que anulan o que protegen. Los IDS la intrusión pueden reconocer estos primeros sellos de ataque, y potencialmente responden a ellos, atenuando daños Además, cuando estos dispositivos fallan, debido a la configuración, al ataque, o al error del usuario, los IDS puede reconocer el problema y notificar a la gente adecuada.

  • Los encargados del sistema, pueden tener fuentes de información a menudo obtusas del sistema, diciéndole lo qué realmente está sucediendo en sus sistemas. Los rastros de intervención del sistema operativo y otros registros de sistemas son información clave sobre lo que se está intentando realizar sobre sus sistemas. Son también a menudo incomprensibles. Los IDS permiten que los administradores y los encargados templen, que ordenen, y que comprendan lo que les dicen estas fuentes de información, a menudo revelando problemas antes de que ocurra la pérdida

  • Pueden rastrear la actividad del usuario de la punta de entrada a la punta de salida o del impacto. En el acontecimiento inverosímil que un intruso consigue más allá de un dispositivo de la defensa del perímetro, tal como un firewall, las identificaciones proporcionan una manera de coger sus acciones. Además, las identificaciones pueden detectar las acciones de un "mal individuo " ya dentro, un ataque ya iniciado o un camino previamente desconocido de la entrada a la red.

  • Pueden reconocer y señalar alteraciones a los archivos críticos del sistema y de datos. Las herramientas de integridad del archivo utilizan sumas de comprobación criptográficas fuertes por bloques, y en el caso de un problema, comprobar rápidamente el fragmento del daño.

  • Pueden manchar los errores de su configuración de sistema que tienen implicaciones de la seguridad, corrigiéndolas a veces si el usuario desea. Los productos de revisión de vulnerabilidad permiten la revisión y la diagnosis constantes de las configuraciones del sistema que pudieron causar problemas de la seguridad.

  • Pueden reconocer cuando su sistema parece ser vulnerable a los ataques determinados. Los productos de detección de vulnerabilidad también permiten que el administrador de un sistema se determine rápidamente lo que deben ser los ataques de preocupación.

    • La gran ventaja de utilizar productos de detección de intrusos es que proporcionan a los administradores una visión en tiempo real de lo que realmente está ocurriendo en la red. Sin monitoreo activo, muchos sitios están volando a ciegas. Pocas personas revisan sus logs de sistema y quienes lo hacen casi nunca las examinan en tiempo real. Peor aún, muy pocas organizaciones han instalado mecanismos de loggins seguros; si un host es violado en el nivel de raíz o de administrador, está a merced de las técnicas de borrado de logs. La consecuencia es una serie de posibles pesadillas, sin tener idea de cómo entraron los intrusos, qué hicieron ni qué tan lejos llegaron.
    Desventajas
  • La seguridad es un área compleja con posibilidades y dificultades innumerables. No hay soluciones mágicas a los problemas de la seguridad de la red, y los productos de la detección de la intrusión no son ninguna anomalía a esta regla. Sin embargo, como parte de una gerencia comprensiva de la seguridad saben desempeñar un papel vital en la protección de sus sistemas.

  • No pueden compensar para los mecanismos débiles de la identificación y de la autentificación. Una infraestructura de la seguridad que incluye la detección fuerte de I&A y de la intrusión es más fuerte de una que contiene solamente uno o la otra.

  • No pueden conducir investigaciones de ataques sin la intervención humana. Uno debe realizar la dirección del incidente. Uno debe investigar los ataques, determinarse, en lo posible, el partido responsable, después diagnosticar y corregir la vulnerabilidad que permitió que ocurriera el problema, señalando el ataque y los detalles a las autoridades donde se requiera.

  • No pueden intuir el contenido de la política organizacional de la seguridad. Los sistemas expertos de la detección de la intrusión aumentan de valor cuando se permiten funcionar como alarmas de hacker.

  • No pueden compensar para los problemas en la calidad o integridad de la información que el sistema proporciona. Es decir la " basura es basura " todavía se aplica.

  • No pueden analizar todo el tráfico en una red ocupada. La detección network-based de la intrusión es capaz de vigilar tráfico de una red, pero solamente a una punta.

  • No pueden ocuparse siempre de los problemas que implican ataques del nivel de paquete. Hay debilidades en sistemas la detección de la intrusión de la red. El corazón de las vulnerabilidades implica la diferencia entre la interpretación de IDS's del resultado de una transacción de la red (basada en su reconstrucción de la sesión de la red) y del nodo de destinación para la dirección real de esa sesión de la red de la transacción. Por lo tanto, un adversario bien informado puede enviar la serie de paquetes hechos fragmentos y de otra manera cuidados que eludan la detección, pero lanza ataques contra el nodo de destinación. Peor todavía, un adversario puede utilizar esta clase de manipulación del paquete para lograr una negación del ataque del servicio contra las identificaciones sí mismo por la memoria que desborda afectada un aparato para las coletas entrantes del paquete.

    • 2.6 IDS y Firewalls
    Una idea errónea pero generalizada acerca de los firewalls, es que garantizan la protección de una red. Aunque es indudable que esta tecnología es necesaria, por sí sola no determina que la red sea segura. Un firewall no posee poderes místicos; deja entrar algunos paquetes y bloquea el paso de otros. Lo que hay que recordar es que tan pronto como se dejan entrar algunos paquetes, aunque éstos hayan atravesado un firewall, la red de la empresa está en riesgo. Por tal motivo, es crucial contar con expertos que entiendan qué paquetes hay que dejar entrar y cómo minimizar los riesgos que implica el permitirles el acceso. Dado que el firewall está situado en un punto muy estratégico de la red, no es sorprendente que los fabricantes añadan otros servicios. Varios firewalls incluyen funciones de autenticación, capacidades VPN, filtrado de URL, escaneo de virus e incluso integración con sistemas de detección de intrusos.
    Axent Technologies, Check Point y Cisco se cuentan entre los fabricantes que han integrado software para detección de intrusos en los firewalls, el cual activa automáticamente filtros si el software cree haber detectado un ente extraño.
    La funcionalidad básica del firewall, que se concentra en filtrar paquetes con base en aplicaciones y direcciones IP; casi todos los productos cumplen su promesa. El problema radica en decidir qué servicios se deben ejecutar en el hardware de firewall, además del filtrado básico de paquetes. La tentación de añadir soluciones debe moderarse, en la inteligencia de que la ejecución de más programas podría hacer lento o desestabilizar al firewall.
    Por último, tenga presente que un firewall no se puede descartar que los paquetes que el firewall deja entrar en la red formen parte de un ataque.
    Una pregunta común es cómo la detección de la intrusión complementa firewalls. Una forma de caracterizar la diferencia es proporcionada clasificando la violación de la seguridad por fuente -- si vienen fuera de la red de la organización o de dentro. Acto de los firewalls re como barrera entre las redes (internas) corporativas y el mundo exterior (Internet), y tráfico entrante del filtro según una política de la seguridad.
    Esto es una función valiosa y sería suficiente protección era él no para estos hechos:
  • No todo el acceso de Internet ocurre a través del firewall

    • Los usuarios por diversas circunstancias instalaron en ocasiones conexiones desautorizadas del módem entre sus sistemas conectados con la red interna y los abastecedores de acceso de Internet del exterior u otras proveedoras de Internet. El firewall no puede atenuar el riesgo asociado a las conexiones que nunca considera.
  • No toda la amenaza se origina fuera del firewall.

    • Hay ocasiones que se ha detectado que los problemas se originan dentro de la organización Una vez más el firewall ve solamente tráfico en los límites entre la red interna y el Internet. Si la seguridad de reflejo del tráfico nunca práctica una abertura flujos más allá del firewall, no puede considerar los problemas.
    Actualmente más organizaciones utilizan la encripción para proteger sus archivos y las conexiones públicas de la red, el punto importante será proteger aquella información que no este protegida dentro de la red interna. Es aquí donde la detección de intrusiones toma parte ya que solo se ocupa del tráfico en la red interna.
    Por lo tanto, llegarán a ser aún más importantes como las infraestructuras de la seguridad se desarrollan.
  • Los firewalls están conforme a ataque ellos mismos

    • Una estrategia común del ataque es utilizar un túnel para desviar protecciones del firewall. El hacer un túnel es la práctica de encapsular un mensaje en un interior del protocolo (que se pudo bloquear por los filtros del firewall) un segundo mensaje.

    Publicado por en

    No hay comentarios:

    Publicar un comentario

    Suscribirse a: Enviar comentarios (Atom)