- Seguridad Informática - Detección de intrusos -

La actividad de seguridad en un sistema tiene dos niveles; el nivel activo y el pasivo.
El nivel de seguridad activo de un sistema consiste en la protección ante posibles intentos de comprometer los componentes que lo integran. Un firewall es un ejemplo de seguridad activa, filtra el acceso a ciertos servicios en determinadas conexiones para bloquear el intento de ataque desde alguno de ellos.

El nivel de seguridad pasiva se refiere al conjunto de medidas implementadas en los sistemas, las cuales alerten a los administradores sobre incidencias que comprometan la seguridad. Su objetivo no es proteger el sistema, mas bien pretende dar a conocer que un acontecimiento sospechoso esta sucediendo. En esta categoría de seguridad pasiva se encuentra la detección de intrusos o un sistema de detección de intrusos.

La detección de intrusos es el área aplicada de la seguridad informática encargada de informar de eventos que puedan tener lugar en un sistema informático que sean considerados como parte de un intento de intrusión.
Como intrusión se entiende la realización de un acto no autorizado, como pueda ser el acceso a un sistema, la ejecución de programas no autorizados o el ataque a una red informática.

El concepto de intrusión está cercano al de un ataque dirigido, pero algunas de las tareas previas a un ataque, como pueda ser la recopilación de información o la búsqueda de servicios no está directamente tipificada como ataque.

Un sistema de detección de intrusos ha de distinguir entre un acceso normal y habitual al sistema que puede surgir de la puesta en marcha de servicios ofrecidos al exterior (entendiendo como exterior cualquier otro sistema ajeno al que ofrece los servicios), de un intento de vulnerar de algún modo dichos servicios, e incluso de aquellos que no debieran ser públicos, como parte del ataque a dicho sistema.

Es, por tanto, un sistema de detección de intrusos aquél capaz de advertir al administrador de todas aquellas situaciones que puedan ser consideradas como elementos o fases de una intrusión. El objetivo de dicho sistema es proporcionar conocimiento de la puesta en marcha de un ataque sobre el sistema antes de que dicho ataque tenga éxito. Se ha de considerar, por tanto, como un mecanismo previo de alarma que está indisolublemente unido al mecanismo de respuesta. De esta forma se podrán poner en marcha las medidas necesarias para mitigar el impacto.

El sistema de detección de intrusos permite obtener información de diversas fuentes de la red para alertar de un posible ataque a uno de sus componentes. La alerta no se limita al intento de acceso, sino que incluye el modo en el que este se está realizando y en algunos casos por parte de quién lo esta efectuado. Un sistema de detección de intrusos es un control de auditoria que apoya el análisis y la toma de decisiones ante acontecimientos en la red.

Estos sistemas se encargan de chequear la red constantemente buscando alguna señal que indique un incidente de seguridad e inmediatamente se producirá una alarma (sistemas en tiempo real). Por otra parte, hay sistemas de detección de intrusos que se usan cuando existe la sospecha de que se ha producido un incidente, haciéndose necesaria la búsqueda de información del tipo y alcance de este, generalmente sobre registros o informaciones del sistema.

La monitorización de incidentes en la red por estos sistemas puede clasificarse, partiendo de los medios que utilizan, en cuatro grupos:
- los de host, los cuales registran informaciones del sistema para realizar un análisis de las posibles incidencias pero siempre desde el punto de vista del propio sistema y con sus recursos.
- los de red, que observan el tráfico en la red buscando algún indicio de un ataque conocido. Generalmente un interfaz en modo promiscuo registrando datos sobre una red (suelen ser sistemas en tiempo real).
- los de aplicación, los cuales registran datos de una aplicación activa en el sistema (por ejemplo los logs, etc.) y buscan evidencias en estos datos. La diferencia con los basados en host es que en estos los propios recursos son detectores de intrusos y en el caso de aplicación los datos han de ser filtrados para ser tratados como alarmas.
- los de objetivo, basados en salvaguardar la integridad del objetivo que podría ser cualquier recurso del sistema (por ejemplo el sistema de archivos).

Estructura de los sistemas de detección de intrusos:
- Fuentes de recogida de datos de aplicaciones. Punto de recogida de datos para el análisis inmediato o posterior que bien puede ser una red, el sistema o elementos que se encuentren en el propio sistema.
- Reglas. Estas reglas en muchos casos son las que caracterizan las violaciones que pueden ser cometidas y contra las que se contrastan los datos obtenidos en el punto anterior.
- Filtro. Esta parte se encarga de comparar las reglas con los datos obtenidos.
- Detectores de anomalías. En los casos de análisis por anomalías son aquellos que detectan eventos sospechosos en el sistema o los recursos monitorizados.
- Generador de informes o alarmas. Una vez que se han procesado los datos, de existir la sospecha de que se ha vulnerado o intentado vulnerar la seguridad del sistema, esta parte del detector de intrusos informa al administrador de este hecho (mediante correo, mensajes a móviles (SMS), avisos acústicos, etc.).

Limitaciones.
La técnica tradicionalmente aplicada a la detección de intrusos, en todos sus ámbitos, consisten generalmente en el uso de reconocimientos de patrones para determinar ataques conocidos. De igual forma que la tecnología aplicada a la detección de virus, basada en la introducción de firmas más algunos heurísticos para detectar ligeras desviaciones, la detección de intrusos habitualmente busca en patrones que permiten discriminar un ataque de algo que no lo es.
Sin embargo, los problemas de la aplicación de esta técnica se pueden resumir en:
- La incapacidad de detectar nuevos ataques, es decir, nuevos patrones. Esto deriva en que dichas herramientas han de ser actualizadas continuamente y que, además, siempre existirán ataques aún no descubiertos que no podrán identificarse.
- La aparición de "falsos positivos". Esto es, la detección de ataques que realmente no lo son debidos a que algunos patrones pueden ser, en realidad, accesos legítimos a los servicios.
- Los "falsos negativos". Corresponden estos sucesos a ataques que pasan desapercibidos para el sistema de detección de intrusos.
Cabe destacar que el segundo de estos problemas es, sin embargo, difícil de resolver completamente debido a que, independientemente de la técnica empleada, siempre existirá un margen de error no nulo a la hora de clasificar un determinado evento como ataque o no.

vea también "Sistemas de vigilancia en redes".

previo
Imprimir..
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
próximo