| |
|
|
| |
-
Seguridad Informática - Análisis forense - Incident detection
-
Detectar anomalías en el sistema (incident detection)
Es una realidad que muchas agresiones no son notadas. A menudo, los síntomas no son evidentes. A esto se agrega
que en una red insuficientemente protegida los mecanismos de vigilancia son inadecuados.
Síntomas en la red
El aumento del tráfico en la red puede ser indicio de que desde los sistemas propios, se realice un ataque a un
tercero o que un proceso interno envía datos a un agresor. Incluso es posible que algunos sistemas hayan sido modificados
por el agresor en un servidor FTP ilegal para programas pirateados o tools de ataque, lo que provoca un aumento desmesurado
del volumen de tráfico.
Otro indicio puede ser el incremento significativo de señales de alarma del Firewall, el que indica la violación
de las reglas establecidas.
En el caso de que el Firewall externo esté bien configurado y no permita indiscriminadamente conexiones con el Internet,
el aumento de la violación de esta regla es un indicio de que en un servidor interno hay un servicio activo sospechoso.
A menudo es posible encontrar rastros de estas actividades en los archivos "log" del "WWW-Proxie central".
Síntomas en servidores
Aquí pueden presentarse mensajes de error o quejas de usuarios y administradores, los cuales deben ser examinados con
detenimiento.
- Procesos desconocidos
La aparición inespera de nuevos procesos de sistema o "cronjobs", debe provocar alerta. Particularmente
sospechosos resultan ser los procesos con nombre parecidos a los normales del servidor y a los archivos del sistema. Para
reconocerlos ha de conocerse bien el sistema y mantenerse informado sobre cuales son sus funciones normales.
- Usuario desconocido
Se encuentra un usuario desconocido en el sistema. Esto puede indicar que un agresor instaló una "puerta trasera".
Esto resulta particularmente llamativo, si el nuevo usuario tiene derechos administrativos.
- Archivos desconocidos
Si se encuentran archivos o carpetas con derechos especiales o inusuales, o en lugares inesperados, debe iniciarse una investigación
al respecto. Lo mismo debe hacerse con archivos o carpetas que ostenten nombres inusuales o llamativos.
- Sobrecarga inusual del sistema
De notarse sobrecargas del sistema en horarios no acostumbrados, puede constituir un indicio, de que el sistema fue agredido o
está siendo agredido.
- Servicios dejan de trabajar repentinamente
El primer indicio de la infección del sistema con un "gusano" es que se desactiven servicios ("Code Red"
– servicio WWW). Muchos servicios son terminados al ser agredidos.
- Registro inesperado en el sistema
Alguien se da de alta en el sistema a horarios inesperados, un usuario o administrador. Esto debe ser verificado e incluso si las
actividades ejecutadas son las normales para ese personal. Lo mismo ocurre si el registro en el sistema se produce en un sistema
que no es el regular para ese personal.
Sistema de detección de intrusión
IDS (Intrusion Detection System) ofrece muchas posibilidades para reconocer tempranamente, una agresión o un modelo de
agresión, como pueden ser:
- reconocimiento de agresiones en el trafico de red con su
correspondiente función de alerta
- comprobación de actuaciones conformes con el
"Policy"
- vigilancia del funcionamiento e integridad de los sistemas
y componentes
- observación amplia y permanente del sistema
- mejoramiento de la transparencia de la seguridad del sistema
- aseguramiento (protección) de las evidencias
- reconocimiento general de averías en el sistema
- de ser necesario, se activarán automáticamente
reacciones
Un IDS no evitará un ataque, pero bien concebido y empleado ayudará al reconocimiento de indicios de ataques y a la
captura de evidencias.
 |
|
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
|
|
|
|
