Consideraciones para la instalación de un sistema de detección de intrusiones en tiempo real
Enviado por Pablo Turmero
Objetivo Dar a conocer a los participantes de la I Jornada Nacional de Seguridad Informática las herramientas de detección de intrusos en tiempo real, como un elemento que permite reforzar la seguridad sea en una DMZ (con salida a Internet) o en la red corporativa.
Introducción La detección de intrusos a tiempo de personal no autorizado a las redes de computadores es un problema que cada vez está tomando más fuerza. Aunque existen medios para realizar este tipo de protecciones, no son suficientes. Esto debido a las debilidades inherentes a dichos controles.
Introducción
Introducción Por esto, se hace necesario un mecanismo que sea capaz de verificar los sucesos que pasan al interior de las redes y las máquinas, para así dar aviso oportuno a los administradores respectivos en caso de presentarse una intrusión.
Generalidades sobre los IDS Se instala en una máquina con una o más interfaces de red, la cual se encargará de revisar todo el tráfico que pasa a través del segmento de red y de acuerdo con un conjunto de reglas que tiene programado, toma acciones al respecto. Se instala en una máquina y en esta se monitorea todas y cada una de las actividades que ocurran, tales como la creación de procesos, la modificación, creación y acceso de archivos especiales, entre otros. Pueden cumplir dos funciones:
Generalidades sobre los IDS
Generalidades sobre los IDS Los IDS instalados para vigilar segmentos de red son capaces de detectar ataques que vengan contenidos en los paquetes IP abarcando todos los protocolos de los niveles superiores, tales como TCP, UDP e ICMP. Los IDS instalados para vigilar máquinas se encargan de verificar la mayoría de actividades que realiza el sistema operativo al interior de la máquina, tales como uso de CPU, uso de correo electrónico, entre otros.
Tipos de ataques y cómo reacciona el IDS ante ellos TCP Connect() scanning: Este se realiza utilizando la llamada al sistema connect(), la cual realiza una conexión a un servidor usando los tres pasos básicos. Para los IDS de red tenemos: Portscan: Este tipo de ataques son sumamente importantes de detener, pues normalmente es la primera técnica que aplica un cracker para intentar realizar una intrusión a una máquina con base en los servicios que esta tenga abiertos. Tenemos los siguientes, entre otros:
Tipos de ataques y cómo reacciona el IDS ante ellos TCP SYN scanning: Se basa en el envío de paquetes TCP con el bit de SYN puesto y la espera de otro con SYN y ACK puesto, indicando que el puerto está abierto. TCP FIN scanning: Se basa en el envío de un paquete TCP con el bit de FIN puesto, esperando otro con el bit de RST puesto, indicando que el puerto está abierto. FTP Bounce attack scanning: Se basa en el uso de comando PORT del RFC del FTP, el cual hace portscan tipo TCP SYN scanning al interior de la red.
Tipos de ataques y cómo reacciona el IDS ante ellos UDP Scanning: Se basa en el envío de un paquete UDP a un puerto, esperando un paquete ICMP_PORT_UNREACH, indicando que el puerto está cerrado. Ataques a nivel de aplicación: Ya que todos los firewalls sólo verifican encabezados IP, se hace necesario que los IDS sean capaces de verificar el campo de datos del paquete IP en busca de mensajes sospechosos que puedan servir para realizar intrusiones en alguna máquina.
Tipos de ataques y cómo reacciona el IDS ante ellos Consumo ilimitado de recursos: Este ataque consiste en consumir todos los recursos de memoria y CPU, de tal manera que ninguna tarea se pueda ejecutar y así causar un DoS. Cuando el IDS detecta este tipo de conductas, procede a matar el proceso ofensivo y de esta manera retorna la integridad de trabajo al sistema de cómputo. Para los IDS de máquina tenemos:
Tipos de ataques y cómo reacciona el IDS ante ellos Acceso no autorizado a archivos: Si un usuario autorizado abusa de sus privilegios y trata de ejecutar tareas que no debería estar ejecutando, el IDS puede proceder a terminar la sesión de trabajo, bloquear su cuenta e informar al administrador del sistema. Modificación de la estructura del sistema de archivos: Si por algún motivo un usuario llega a conseguir privilegios de administrador de manera ilegal e intenta realizar cualquier modificación al sistema de archivos, el IDS consultará dentro de sus reglas si está autorizado. Si no lo está, puede proceder a terminar la sesión de trabajo, bloquear su cuenta e informar al administrador del sistema.
Conclusión Esta herramienta es valiosa para el administrador de red, pues le ayuda a mejorar la gestión de seguridad. Es importante revisar el conjunto de reglas de estos, para que puedan detectar el mayor número de ataques posible y así se minimice la posibilidad que se realicen intrusiones.