Sistema de detección de intrusos IDS

Con el crecimiento explosivo de Internet y particularmente de las aplicaciones de comercio electrónico, los ataques informáticos se han vuelto más comunes y sofisticados. Las redes demandan medidas de protección más elaboradas para garantizar que éstas operen seguras y dar continuidad a los servicios críticos. De ahí que se han diseñado los sistemas de detección de intrusos como uno de los sistemas para cumplir tales medidas, con el fin de:

Prevenir ataques que las otras medidas de seguridad no son capaces de detectar.

En caso de ataque poder saber por qué se ha producido, y así evitar futuros ataques del mismo tipo.

Detectar y tratar las acciones previas a un ataque. Recolectar información sobre los ataques, para después poder

compartirla con el resto de gente. Así en el futuro será más complicado poder perpetrar las defensas de otras organizaciones.

Introducción a IDS

Según el diccionario, intruso es alguien que ingresa a un sitio sin autorización o invitación.

En el caso de redes ,se puede definir una intrusión como un conjunto de acciones deliberadas dirigidas a comprometer la integridad (manipular información), confidencialidad (acceder ilegítimamente a información) o la disponibilidad de un recurso (perjudicar o imposibilitar el funcionamiento de un sistema).

¿ Que es un Intruso ?

Un IDS o sistema para Detección de Intrusos es una herramienta o sistema de seguridad que monitorea el tráfico de una red y los eventos ocurridos en un determinado sistema informático, para así poder identificar los intentos de ataques o amenazas que puedan comprometer la seguridad y el desempeño de dicho sistema. El desempeño de los IDS se basa en la búsqueda y análisis de patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa.

¿Qué es un sistema de detección de intrusos?

Los objetivos que ha de tener un buen sistema de detección de intrusos son los siguientes:

Vigilar y analizar la actividad de los usuarios del sistema.

Reconocimiento de los modelos de la actividad que reflejan ataques conocidos.

Análisis estadístico para los modelos anormales de la actividad.

Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización.

Objetivos de los IDS

Para que un IDS pueda funcionar correctamente en una red establecida detectando posibles amenazas o intrusiones, este sistema de seguridad se compone de los siguientes elementos:

Fuentes de recolección de datos: Su propósito es conseguir de una manera eficiente todos los datos necesarios durante el proceso de detección de intrusos. Estas fuentes pueden ser un log (registro de actividad de un sistema que generalmente se guarda en un fichero o base de datos y al que se le van añadiendo información a medida que se realizan acciones sobre el sistema) o el software de base de datos.

Reglas de contenidos de datos: Contienen los patrones para detectar anomalías de seguridad en el sistema.

Funcionamiento

Filtros: Para analizar y comparar el tráfico monitoreado en la red de acuerdo a las reglas de contenido de datos.

Detectores de eventos anormales en el tráfico de red: Permite al IDS desempeñar su función como detector de intrusos y amenazas para que posteriormente se evite algún ataque a la red.

Dispositivo generador de informes y alarmas: El IDS cuenta con sensores y dispositivos que le permiten avisar al administrador de la red sobre posibles amenazas que puedan afectar el desempeño y funcionamiento de los elementos en la red.

Detrás del firewall: Al colocar un IDS después de un Firewall, el firewall

funciona como una barrera que controla el flujo de tráfico.

Dada esta colocación del IDS se facilita su desempeño puesto que el sistema cuenta con un filtro (firewall) que anticipa posibles amenazas. Por otra parte se reduce así la cantidad de paquetes a procesar para el mismo sistema de detección de intrusos siéndole más fácil identificar y procesar el tráfico que sea no considerado como amenaza (flechas negras) o posibles amenazas o intrusiones (flechas rojas).

Ubicación del IDS:

Detrás del firewall:

Delante del firewall: Lo que conseguiremos será capturar todo el

tráfico que circule por la red, con lo que seguramente obtendremos muchas falsas alarmas. De este modo también podremos detectar ataques cuyo objetivo sea el firewall principal. No obstante la colocación del IDS delante del firewall, nos aporta una serie de inconvenientes:

En esta localización suele haber gran cantidad de tráfico, un detector mal configurado puede saturarse, descartando parte de la información.

Una situación como esta no nos ofrece ninguna protección. El IDS puede convertirse en un blanco fácil si algún atacante logra identificarlo.

Delante del firewall:

Algunos administradores van más allá y colocan un IDS delante y otro detrás del firewall, así tiene un mejor control de los tipos de ataques que recibe nuestra red y así también analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.

Esto depende de que tipo de IDS es y donde esta situado en la red.

Según su ubicación se clasifican en : Network-Based Intrusion Detection System

(NIDS) se sitúan en segmentos de la red.

Host-Based Intrusion Detection System (HIDS) se sitúan en las maquinas.

¿ Que esta mirando un IDS ?

Monitorean un segmento de la red o subred. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Hay que configurarlo teniendo en cuenta los recurso con que se cuenta.Si escaneo una línea que tiene 20 puertos a 100MBbs.Tengo que poder scanear 5GBbs.

NIDS:IDS de red

Basándose en estos paquetes sospechosos, un IDS basado en la red puede escanear su propia base de datos de firmas de ataques a la red y asignarles un nivel de severidad para cada paquete.

Si los niveles de severidad son lo suficientemente altos, se enviará un correo electrónico de advertencia a los miembros del equipo de seguridad para que ellos puedan investigar la naturaleza de la anomalía.

NIDS:IDS de red

NIDS:IDS de redVentajas Un IDS protege varias máquinas (y es

independiente del SO) Con varios distribuidos pueden monitorizar

redes muy grandes Puesta en marcha sin interrumpir servicios (son

pasivos).Desventajas

Rendimiento limitado (pocos pueden analizar un segmento cargado)

Es capaz de ver muchos ataques pero no de saber si han tenido éxito Alarma y que decida el administrador/encargado de seguridad

Protege solo la maquina en la que esta ubicado.

Consultan diferentes tipos de registros de archivos (sistema, servidores, red, cortafuegos, y más) y comparan los registros contra una base de datos interna de peculiaridades comunes sobre ataques conocidos.

El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

HIDS:IDS de Host

Ventajas

Son capaces de detectar si el ataque ha tenido éxito (menos falsos positivos).

No necesitan hardware adicional.

Un sistema en cada host, no tan sensible a la carga de la red

HIDS:IDS de Host

Se clasifican en dos tipos:

1)Detección de malos usosLos detectores de abusos analizan la actividad del sistema buscando eventos que coincidan con un patrón predefinido o firma que describe un ataque conocido.

‣ Un NIDS busca paquetes con contenidos conocidos o que van puertos peligrosos (reglas y alarmas como los firewalls) ‣ Un HIDS modificaciones en ficheros concretos o ataques a llamadas al sistema concretas

Según el modo de análisis empleado

Ventajas Muy efectivos y generan pocos falsos positivos ,

detectan los ataques de un modo muy preciso Generalmente conocen además de los patrones

de ataques, información sobre las consecuencias, como detectar el ataque, cómo responder, etc lo cual resulta de gran utilidad (sistema experto) Desventajas

No son capaces de detectar ataques que no conocen Ataques de día cero (zero-day exploits)

Ataque que se detecta al mismo tiempo que se hace publica la vulnerabilidad

2)Detección de anomalías.

Intentan aprender el comportamiento/tráfico “normal” de usuarios y aplicaciones y avisan cuando se producen anomalías.

Diferentes técnicas: estadísticas, detección de umbrales, inteligencia artificial... Son aun campo de investigación

Según el modo de análisis empleado

Detección de anomalías

Ventajas Puede detectar ataques que no conoce Pueden generar información de patrones que debe

buscar un detector de malos usos Desventajas

La detección es poco precisa Alarma: “Ha pasado algo raro” pero el administrador debe averiguar que ha ocurrido

Gran número de falsos positivos Su utilización requiere gran trabajo de

parametrización y en general mayores conocimientos que los IDSs de detección de malos usos

Los sistemas comerciales más avanzados utilizan una combinación de las dos técnicas

Se clasifican en:‣ De respuesta pasiva ‣ De respuesta activa / Inline

De respuesta pasiva Recopilan información Generan alarmas que se guardan o se

envían a sistemas de gestión Las alarmas pueden disparar mensajes al

administrador por correo electrónico o SMS. El administrador debe reaccionar

Según la respuesta proporcionada

De respuesta activa

Es un software diseñado para detectar y actuar contra intentos no deseados de acceder o manipular sistemas informáticos.

Recolección de información adicional, modificando el número de eventos almacenados, para analizar y hacer frente al ataque , como soporte para emprender acciones legales contra el agresor.

Alternativas

Para poner en funcionamiento, un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.

  Basados en hardware

◦ Cisco Pix Basados en software

◦ Snort

Implementación de un IDS

Preguntas a evaluar al momento de decidir que producto implementar:

Qué equipo especializado se requiere? Es un producto de red o es basado en host? Qué cantidad de ataques puede el producto detectar? Cómo y cada cuánto se hacen las actualizaciones? Es capaz de responder automáticamente a los ataques? Cuál es el precio? Qué tipo de infraestructura se debe crear para

implementar y manejar el producto? 

El sensor Cisco Secure IDS 4230 es un miembro de la familia de productos Cisco Secure IDS, líder del mercado.

El sensor Cisco Secure IDS 4230 es un "dispositivo" de seguridad de red que detecta la actividad no autorizada que la atraviesa, como por ejemplo ataques por parte de hackers, mediante el análisis del tráfico en tiempo real, y permite a los usuarios responder con rapidez a las amenazas de seguridad. Cuando se detecta una actividad no autorizada, el sensor puede enviar alarmas a la consola de administración con detalles de la actividad y puede controlar otros sistemas, como los routers, para terminar las sesiones no autorizadas.

 

Cisco Secure

Aplicación

El sensor Cisco Secure IDS 4230 se ha optimizado para el control de los entornos de 100 Mbps y resulta ideal para el control del tráfico de puertos y segmentos Fast Ethernet.

Los sensores pueden colocarse en lugares en los que otros dispositivos de seguridad no son útiles, por ejemplo:

Segmentos internos de red Delante de un firewall Detrás de un firewall Detrás de un servidor de modems para acceso telefónico En conexiones extranet

Los sensores pueden colocarse en casi todos los segmentos de la red de la empresa donde se requiera visibilidad de la seguridad.

En caso de alejarse demasiado del presupuesto inicial, siempre existen alternativas económicas y algunas gratuitas como el SNORT

Cisco Secure

Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.

Snort

La característica más apreciada de Snort, además de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se está actualizando constantemente y a la cual se puede añadir o actualizar a través de la Internet. Los usuarios pueden crear 'firmas' basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que así todos los usuarios de Snort se puedan beneficiar. Esta ética de comunidad y compartir ha convertido a Snort en uno de los IDSes basados en red más populares, actualizados y robustos.

Snort

Snort puede funcionar en:

Modo sniffer: permite escuchar todo el tráfico de la red y mostrarlo en pantalla. Una vez que finaliza el modo sniffer nos muestra una estadística del tráfico.

Modo packet logger (registro de paquetes):escucha todo el tráfico de la red y lo registra en un determinado directorio.

Modo IDS: Es la opción más completa y configurable. Permite analizar el tráfico en busca de intrusiones a partir de los patrones de búsqueda (rules) definidos por el usuario.

Snort

Utilización de Snort en bajo un entorno Windows

Utilizando la consola CMD de Windows, una vez posicionado en la carpeta de instalación, con el comando snort se ejecuta el programa C:\Snort\bin>snort

Utilizando el comando Snort -? Es posible despegar la lista de opciones USAGE: snort [-options] <filter options>

Snort

Con esta opción -v iniciamos snort en modo sniffer visualizando en pantalla las cabeceras de los paquetes TCP/IP, es decir, en modo sniffer.

Si queremos, además, visualizar los campos de datos que pasan por la interface de red, añadiremos –d.

Añadiendo la opción -e, snort nos mostrará información más detallada. Nos mostrará las cabeceras a nivel de enlace.

Snort

Con estas opciones y dependiendo del tráfico en nuestra red, veremos gran cantidad de información pasar por nuestra pantalla, con lo cual sería interesante registrar, guardar estos datos a disco para su posterior estudio. Entraríamos entonces en snort como packet logger o registro de paquetes.

C:\Snort\bin>snort -dev -l ./log La opción -l indica a snort que debe guardar los logs en un directorio determinado

Snort

El modo detección de intrusos de red se activa añadiendo a la línea de comandos de snort la opción -c snort.conf.

En este archivo, snort.conf, se guarda toda la configuración de las reglas, preprocesadores y otras configuraciones necesarias para el funcionamiento en modo NIDS.

Snort

Snort.conf

Prueba en modo IDS

Alert.ids

Existen diferentes herramientas que pueden ser utilizadas para completar y mejorar las funciones de los sistemas de detección de intrusión; de hecho muchas veces estas herramientas están integradas en los IDSs:

Herramientas de análisis de vulnerabilidades. Herramientas de comprobación de integridad de

ficheros. Padded Cell systems. HoneyPots.

Otras herramientas

Herramientas de análisis de vulnerabilidades:Son herramientas que permiten determinar si una red, un conjunto de hosts o un host son vulnerables a ataques conocidos. Lo ideal es ejecutar periódicamente estas herramientas para lograr obtener una “foto” del nivel de seguridad del sistema a modo de auditoría.

Herramientas de comprobación de integridad deficheros:Mediante este tipo de utilidades se puede verificar que ningún atacante haya modificado ninguno de los ficheros del sistema. Además, al tener una “foto” del sistema, cualquier recuperación es más fácil de realizar.

Padded Cell systems:

Son sistemas muy similares a los anteriores con la diferencia de que trabajan de un modo conjunto con los IDSs. Es decir, cuando un IDS detecta un atacante éste es redirigido a un entorno simulado (Padded Cell) ubicado en un host específico de manera que se puede monitorizar sus actividades sin riesgo para nuestros sistema.

Honeypot 

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Honeypot

Un honeypot puede ser tan simple como un ordenador que ejecuta un programa, que analiza el tráfico que entra y sale de un ordenador hacia Internet, “escuchando” en cualquier número de puertos.

Por otro lado, puede ser tan complejo como una completa red de ordenadores completamente funcionales, funcionando bajo distintos sistemas operativos y ofreciendo gran cantidad de servicios. Cuando algún sistema que está incluido en dicha red sea atacado de alguna forma, se advierte al administrador.

Otra opción muy utilizada es crear honeypots completamente virtuales, con el único fin de confundirlo o alimentar el ataque para analizar nuevos métodos. Si algo tienen en común los honeypots es que no guardan ninguna información relevante, muestran contraseñas, datos de usuario o información valiosa de usuario pero completamente ficticios.

Honeypot

Ventajas: Son fáciles de implementar. La información que proporcionan es muy fiable. No tienen coste de ejecución. Permiten recoger la información necesaria del intruso,

para poderle seguir a posteriori. Permite saber el nivel de conocimientos que tiene el

intruso. Da tiempo a los administradores para poder actuar ante

la intrusión, y que así esta no llegue a producirse nunca.

Honeypot

Desventajas: Muy raramente, un intruso experimentado, caerá

en la trampa. En muchas redes, es un coste innecesario. Sólo es útil en una red grande que requiera de

grandes medidas de seguridad.

Los IDSs son cada vez más necesarios conforme aumenta el número de incidentes en Internet. Son de gran ayuda para los administradores de una red, trabajando en conjunto con otras herramientas de seguridad, como los firewalls y analizadores de red. La información que dan nos ayuda a determinar los abusos que se producen en la red, su naturaleza y sus fuentes.

  Tanto si un IDS usa detección de firmas o detección de anomalías, si usa métodos

de reacción activos o pasivos, cae en una de estas dos categorías: basado en red (NIDS) o basado en host (HIDS), cada uno con sus ventajas e inconvenientes. Como solución general, es conveniente tener uno (o varios colocados adecuadamente) NIDS a la entrada y HIDS en los servidores principales (web, correo, FTP, ...). Pero la forma de atacar no es, generalmente, la de atacar a los servidores más importantes de nuestra red, sino que consiste en hacer un barrido de nuestra red para ver qué máquinas están corriendo un servicio. Este barrido se puede evitar mediante un firewall. Así, tan solo tendríamos que preocuparnos de los hosts accesibles desde fuera y correr en ellos un IDS, aunque, como hemos visto, esto puede degradar su rendimiento. En cualquier caso, se hace necesario redactar la política de seguridad de la organización. Esta política, entre otras cosas, dictará al firewall lo que debe dejar pasar y lo que no, y le dirá al IDS de qué nos tiene que avisar.

Conclusión

¿Qué es un IDS? ¿Qué entiende por intrusión? Diferencia entre HIDS y NIDS. ¿Cuáles son los modos de funcionamiento

de Snort? ¿Qué es un Honeypot?

Preguntas Sugeridas

FIN