Sistemas de detección de intrusos Francisco Javier Cervigon Ruckauer

Sistemas de detección de intrusos

Concepto de sistema de detección de intrusos (IDS)

Los sistemas de detección de intrusos (IDS, Intrusion Detection Systems) son las herramientas informáticas que se encargan de llevar a cabo la detección de intrusiones. Para ello, estas herramientas monitorizan el comportamiento de los sistemas a proteger y se activa en caso de actividad sospechosa. Todos los IDS son capaces de generar alertas ante una posible intrusión y, en muchos casos, también son capaces de responder automáticamente de forma activa (respuesta activa), cambiando la configuración el sistema. Por ejemplo, cambiando las reglas de filtrado para impedir el acceso desde ciertas direcciones IP.
Otro tipo de sistemas relacionados son los sistemas de prevención de intrusiones(IPS, Intrusion Prevention Systems). Estos sistemas se caracterizan por ser capaz de evitar que el ataque llegue a producirse (por eso se habla de prevención). Para ello deben estar integrados en el camino de acceso del posible intruso. Por ejemplo, hablando de redes, sería necesario que fuera parte del encaminador y/o del sistema de filtrado de paquetes, de forma que pueda impedir incluso ataques que puedan realizarse mediante un único paquete. En cambio, un IDS con respuesta activa deja abierta una ventana de tiempo en que el ataque puede tener éxito (aunque sea detectado) si es suficientemente rápido. Esta ventana se extiende desde el momento en que se inicia el ataque hasta que la respuesta (por ejemplo, cambio de las reglas de filtrado) es efectiva.
Algunos IDS pueden funcionar como IPS, pero es conveniente tener presente que el enfoque es diferente, aunque complementario. Efectivamente, un IPS, al estar en el camino crítico del acceso al sistema debe ser especialmente rápido, mientras que los IDS habitualmente usan sistemas dedicados fuera de este camino crítico y, por tanto, pueden realizar análisis más complejos.

¿Qué buscan los IDS?

Los IDS, aunque se pueden apoyar en tecnologías muy diferentes, se basan en dos enfoques complementarios: la búsqueda de anomalías y la búsqueda de patrones.
En el primer caso, la búsqueda de anomalías, el IDS parte de un comportamiento esperado y detecta desviaciones con respecto a dicho comportamiento. Por ejemplo, una máquina que repentinamente comienza a usar el procesador con mucha más intensidad de lo habitual, u otra que de pronto se conecta a máquinas a las que habitualmente no accede... El comportamiento esperado puede ser determinado mediante ficheros de configuración en los que el administrador establece algunos parámetros predeterminados o puede ser obtenido automáticamente por el IDS en una fase previa de aprendizaje, en el que "observa" el comportamiento "normal" del sistema. Evidentemente, en este segundo caso es imprescindible asegurarse de que el sistema está libre de intrusos durante el aprendizaje.
En el segundo, la búsqueda de patrones, el IDS incluye una serie de reglas que permiten detectar ataques conocidos. Por ejemplo, por la existencia de determinados ficheros, paquetes de red con cierto contenido... En este caso será necesario una actualización frecuente de las reglas para ir añadiendo los nuevos tipos de ataque a medida que se descubren, se analizan y se aprende cómo detectarlos.

¿Cuáles son las limitaciones principales?

Las limitaciones principales de los IDS son las siguientes:
  • Falsos positivos. Los IDS son propensos a generar alertas que no están relacionadas con intentos de intrusión. Si se buscan anomalías, es posible que un cambio en la carga de trabajo (por ejemplo, acercarse a la finalización de un proyecto o comenzar uno nuevo) genere una alarma. Igualmente, si se buscan patrones, es posible que se encuentren las firmas en ficheros o paquetes de red legítimos, especialmente cuando se trata de hacer las firmas lo más específicas posibles. Además, si se activa la respuesta automática, estos falsos positivos pueden generar la interrupción del servicio a usuarios legítimos. De hecho, una posible vía de ataque de denegación de servicio consiste en hacer saltar la respuesta automática falsificando la IP de origen.
  • Falsos negativos. Otra limitación importante de los IDS es que pueden dejar de detectar intentos reales de intrusión, especialmente si se llega demasiado lejos a la hora de tratar de evitar los falsos positivos. Además, los atacantes tratarán de camuflar su actividad como legítima, tratando de seguir los patrones habituales de comportamiento de los usuarios autorizados.
  • Técnicas de evasión de IDS. Los atacantes dedican tiempo a comprender el funcionamiento de los diferentes IDS y desarrollan técnicas para evitar que su actividad sea detectada. Por ejemplo, tratarán de ocultar los ficheros que creen en directorios con actividad frecuente, como un directorio temporal, utilizando nombres similares a ficheros habituales. O tratarán de dividir el tráfico de red en paquetes separados o fragmentos, de forma que al IDS le resulte difícil localizar un cierto patrón. Lógicamente, éste es un proceso continuo, en el que los IDS se refinan y, a su vez, también lo hacen las técnicas de evasión.
  • Seguridad del IDS. Otra limitación inherente a todos los IDS es que, a su vez, pueden ser atacados. Un IDS comprometido no solamente no será efectivo, sino que, peor aún, generará una sensación de falsa seguridad, ya que la ausencia de alertas se interpretará como que no se están produciendo intentos de intrusión.

Tipos de IDS

Los dos principales tipos de IDS son los de nodo (HIDS, Host-based IDS) y los de red (NIDS, Network IDS). Además, también se pueden utilizar como IDS los tarros de miel (honeypots y honeynets) que, aunque su objetivo va más allá de la propia detección, constituyen una valiosa herramienta de detección.
  • HIDS: IDS de nodo (Host-based IDS). Monitorizan la actividad del sistema en que están instalados. Es necesario instalar un HIDS en cada nodo a proteger.
  • NIDS: IDS de red (Network IDS). Monitorizan la actividad de las redes a las que están conectados.
  • Tarros de miel: honeypots honeynets. Son entornos trampa, diseñados para ser atacados y ser comprometidos. Su efectividad como IDS radica en que, al no ofrecer ningún servicio legítimo, toda la actividad que ocurra en el tarro de miel es sospechosa y, por tanto, interesante. Permiten aprender mucho sobre los atacantes, incluyendo técnicas desconocidas previamente. No obstante, solamente capturan lo que va dirigido a ellos, por lo que no deben ser el único IDS presente. Además suponen un riesgo, puesto que al ser vulnerables por definición, pueden ser usados para atacar a otros sistemas desde dentro.
Francisco Javier Cervigon Ruckauer
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)