NIDS: IDS de red Francisco Javier Cervigon Ruckauer

NIDS: IDS de red

Los IDS de red, NIDS, monitorizan la actividad de las redes a las que están conectados. Los NIDS analizan tanto las cabeceras como el contenido de los paquetes, buscando tanto anomalías como firmas.
En el caso de las firmas, buscan patrones que identifican intentos de intrusión. Por ejemplo, pueden buscar la cadena "../../etc/passwd" en conexiones HTTP y así detectar un intento de acceso a información sensible del servidor (un típico ataque de path traversal).
Por otra parte, la búsqueda de anomalías supone tanto la realización de un análisis general, muchas veces estadístico, del tráfico de red, como un análisis a nivel de protocolo.
  • Análisis de tráfico de red. Se detectan los intentos de intrusión por cambios en el patrón de tráfico de red. Por ejemplo, una máquina que intenta conectarse a otra con la que habitualmente no intercambia información, una máquina que genera mucho más tráfico del habitual...
  • Análisis de protocolos. Se detectan desviaciones respecto al protocolo esperado. Una posibilidad es el envío de órdenes mal formadas o con un formato rebuscado con la intención de causar un comportamiento no esperado en el otro extremo (servidor o cliente). Otra posibilidad es hacer pasar un tipo de tráfico por otro, para tratar de aprovechar los tipos permitidos en cortafuegos. Por ejemplo, establecer una conexión SSH saliente para controlar remotamente una máquina usando el puerto 80 como destino, aprovechando que suele estar permitido en muchos casos.

El NIDS más conocido y utilizado es Snort, que es que se utiliza para los ejercicios prácticos; aunque más recientemente también está adquiriendo fuerza Suricata.

Estructura de los NIDS

Aunque sería perfectamente posible utilizar un único nodo como NIDS, esta solución tendría múltiples limitaciones, entre las que se pueden destacar las siguientes:
  • Falta de escalabilidad. Debido a que un NIDS debe analizar todo el tráfico de las redes que protege, es necesario que su capacidad de análisis pueda crecer al mismo ritmo que la capacidad de dichas redes, algo que no ocurre si se utiliza un único nodo.
  • Punto único de fallo. En caso de mal funcionamiento del único nodo, se pierde toda la capacidad de detección de intrusiones. No hace falta que sea necesariamente debido a un ataque, basta con un problema de hardware o un bug en el software.

Por estos motivos, es habitual utilizar una estructura distribuida como la que se muestra en la figura. 
Como puede observarse, hay varios elementos que forman parte de la estructura de NIDS: las sondas, la consola del analista y la red de gestión del NIDS.
  • Las sondas son máquinas cuya finalidad es capturar y analizar el tráfico de una red (o de un conjunto de ellas, aunque en la figura se ha usado una sonda por red).  La propuesta incluye en cada sonda dos interfaces de red, una conectada a la red a monitorizar, que se utiliza para poder monitorizar el tráfico, y la otra a la red de gestión del NIDS, que se utiliza para enviar alertas y para permitir la gestión de las sondas.
  • La consola del analista es la máquina que recibe las alertas de las diferentes sondas, las almacena y permite su análisis por la persona responsable. En realidad, dependiendo de la infraestructura, es habitual que se separen en máquinas diferentes, por una parte, la recepción y almacenamiento de las alertas y, por otra, la aplicación (habitualmente gráfica) que permite la explotación y análisis de los datos.
  • La red de gestión del NIDS es una red dedicada que conecta entre sí las sondas y la consola del analista.

Una estructura como la propuesta presenta numerosas ventajas respecto a un único nodo, tal y como se discute a continuación.
  • Con esta configuración, la interfaz de la sonda conectada a la red supervisada no necesita estar configurada, es decir, no necesita tener asignada una red IP. Esto dificulta la detección de la sonda, pues no participa en los protocolos de red y, precisamente por ello, también dificulta la realización de ataques dirigidos a la propia sonda.
  • Al utilizar una red separada, se evita que las sondas analicen el tráfico generado por otras sondas. Esto reduce la carga sobre ellas y, además, elimina los falsos positivos que podría causar este tipo de tráfico.
  • La red dedicada también dificulta a los atacantes la obtención y/o manipulación de los datos del NIDS.
  • La utilización de múltiples sondas aumenta la escalabilidad del sistema, pues cada una solamente debe analizar una parte del tráfico total.
  • Las diferentes sondas pueden ser configuradas y ajustadas al tráfico esperado en las redes que supervisan, reduciendo así tanto los falsos positivos como los falsos negativos.

-------------------------------------------------------------------------

Limitaciones de los NIDS

Uno de los riesgos principales de cualquier mecanismo de seguridad, y los NIDS no son una excepción, es que se produzca una falsa sensación de seguridad. Para evitar el posible exceso de confianza es conveniente tener en cuenta las siguientes limitaciones, inherentes a los NIDS.

No todo es observable

Aunque dependiendo de los sistemas usados y de su configuración es posible tener mayor o menor confianza en el sistema, hay que tener en cuenta que exiten diferentes causas por las que el NIDS puede no estar observando todo lo que ocurre:
  • Pueden ocurrir eventos en redes no monitorizadas. Existen varios motivos por los que se puede decidir no monitorizar ciertos segmentos de red: económicos, limitación de personal para analizar los incidentes, redes a las que no se tiene permitido ese tipo de acceso... Lo importante es tener en cuenta este hecho y revisar dichas decisiones cuando sea necesario.
  • El NIDS puede dejar de estar operativo. Tanto por problemas software como hardware, por causa accidental o provocada, puede haber parte del NIDS que deje de funcionar total o parcialmente. El hecho de usar múltiples sondas permite cierta tolerancia a fallos, especialmente si se combinan varios tipos de IDS y se utiliza el principio de seguridad en profundidad.
  • Las sondas pueden descartar paquetes. Cuando el tráfico excede la capacidad de procesamiento de una sonda, ésta pierde efectividad y comenzará a producir falsos negativos.

No todo es analizable

Aún con un NIDS plenamente funcional, es necesario analizar las alertas. Lógicamente, cuanto mejor configurado y ajustado el NIDS, menor será el número de falsos positivos. También será posible activar medidas de respuesta activa automáticas para ciertos casos. Pero, finalmente, el problema no desaparece completamente, y puede llegar un momento en que las alertas se produzcan y no puedan ser analizadas a tiempo por falta de disponibilidad de personal cualificado.

Los atacantes utilizan técnicas de evasión

Como con otros mecanismos de seguridad, los atacantes serán los primeros en estudiar y comprender los NIDS, especialmente los más utilizados.
Algunas de las técnicas más habituales se basan en dividir el tráfico en diferentes paquetes y éstos en fragmentos IP, de forma que el NIDS, si trabaja paquete a paquete o fragmento a fragmento,  no es capaz de identificar correctamente los patrones (porque el patrón está separado en partes, cada una en un paquete o fragmento diferente). Para evitarlo, los NIDS deben reensamblar los fragmentos y reconstruir el flujo de datos, de forma que la búsqueda de patrones no sea vulnerable a los ataques anteriores.
Un problema adicional es que no todos los sistemas reensamblan ciertos fragmentos y paquetes de la misma forma, por ejemplo, por ambiguedades en el estándar. Los atacantes usarán este hecho para separar la información tratando de conseguir que el NIDS reensamble de forma diferente al objetivo, de forma que el NIDS no detecte el patrón que sí procesará el destino final del tráfico. Por eso, los NIDS actuales permiten ajustar la forma de reensamblado en base al tipo de sistema al que va dirigido el tráfico (target-based).
Otra técnica habitual consiste en utilizar una codificación evasiva para evitar la detección. Por ejemplo, usando "%2e%2e%2f%2e%2e" en vez de "../..", para evitar que la cadena sea identificada por el NIDS como un intento de path traversal.  Para evitarlo, los NIDS deben normalizar las cadenas antes de buscar los patrones. Además, la normalización debe hacerse de la misma forma que lo hará el destino (nuevamente target-based) para que sea realmente efectiva.
Francisco Javier Cervigon Ruckauer
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)