Siguiente: Implementación Arriba: Sistemas de Detección de Intrusiones Previo: Complementos y casos especiales
Capítulo 5
"La
invencibilidad está en uno mismo,
la vulnerabilidad en el adversario"
El arte de la guerra, Sun Tzu
La falta de conocimiento en torno a los sistemas de detección de intrusiones provoca a veces que sean malinterpretados. Esto crea ciertas confusiones con respecto a lo que realmente pueden hacer y lo que no. A pesar de que son de gran ayuda en materia de seguridad, no son la solución definitiva.
Por esta y otras razones, se resumirán a continuación algunos de los aspectos más relevantes de estos sistemas.
Estas son algunas de las funciones y ventajas asociadas a los IDSs [1]:
· Monitorización: Cuentan con métodos para monitorizar y analizar tanto los eventos de sistema, como el comportamiento de los usuarios.
· Claridad: Extraen los datos más relevantes de entre grandes cantidades de datos de eventos de auditoría, lo que facilita el trabajo del auditor de seguridad. Para ello suelen utilizar diversos métodos, como la reducción de auditoría, o técnicas de filtrado estadísticas.
· Registro: La mayoría de los IDSs proporciona no sólo métodos para registrar su propia actividad, sino que permiten emitir informes sobre los eventos más importantes ocurridos en un determinado período de tiempo.
· Comprobación continua: Crean un modelo sobre el estado del sistema, y comparar los cambios posteriores con respecto a ese modelo. En este aspecto se incluyen los casos en que se utilizan algoritmos de cifrado para determinar si ha habido cambios en el sistema de ficheros (verificadores de integridad).
· Correlación: Aunque de forma limitada, pueden establecer patrones de relación entre ataques o comportamientos similares, mostrados desde distintas máquinas para así determinar por ejemplo, si el atacante es la misma persona, o si se trata de un ataque coordinado.
· Ataques conocidos: Los IDSs basados en la detección de usos indebidos, pueden reconocer ataques que coincidan con los patrones que almacenan en su base de conocimiento.
· Ataques no conocidos: Normalmente utilizan técnicas estadísticas para elaborar patrones de actividad y contrastarlos con la actividad normal, detectando posibles anomalías. Aunque poco desarrollado en la práctica, este enfoque tiene ilimitadas posibilidades. Los métodos basados en redes neuronales, algoritmos genéticos, minería de datos o los relacionados con el sistema inmune biológico, son tan sólo algunos de los utilizados en la detección de anomalías. Todos ellos han dado resultados satisfactorios.
· Fallos de seguridad: Los analizadores de vulnerabilidades, considerados como un caso especial de IDS (enfoque estático), permiten comprobar la seguridad de la configuración de un sistema. En ocasiones esto se hace lanzando ataques conocidos contra el objetivo, para evaluar sus reacciones. Otra de las formas de descubrir vulnerabilidades consiste en repasar automáticamente la configuración del sistema, en busca de debilidades en las políticas de seguridad.
· Tiempo real: La mayoría de los productos de detección de intrusiones actuales utilizan mecanismos de análisis y registro en tiempo real.
· Alarmas: Comunican alarmas a los responsables cuando se produce una situación anormal, como una intrusión. Las opciones para hacer esto son bastante variadas, pudiéndose por ejemplo, registrar un evento de sistema, o enviar una notificación vía correo electrónico o mensajes SMS ("Short Message Service").
· Sencillez de uso: Las características de detección automática así como contar con una interfaz fácil de usar, hace que muchos IDSs permitan incluso a usuarios no expertos en seguridad, mejorar de forma sensible la seguridad de sus sistemas.
· Seguridad básica: Proporcionan información sobre las políticas de seguridad por defecto, así como métodos para corregir los posibles errores de configuración de forma automática.
· Actualización: La mayoría de los productos de detección de intrusiones basados en patrones de ataques contemplan la posibilidad de actualizar con frecuencia sus bases de conocimiento. Muchos de ellos permiten programar este proceso, que suele realizarse periódicamente mediante comunicación cifrada.
Estas son algunas de las cosas que los IDSs no hacen, además de varios de sus inconvenientes:
· Solución definitiva: Los problemas de seguridad pueden originarse por múltiples motivos. No existe ninguna solución única que los resuelva todos. Los sistemas de detección de intrusiones no son una excepción. No obstante, aportan una serie de características únicas que los convierten en herramientas de gran ayuda en muchos entornos.
· Falsos positivos: Uno de los inconvenientes más populares entre la detección de intrusiones es el de las falsas alarmas; falsos positivos y falsos negativos. Los falsos positivos consisten en aquellas alarmas que tienen lugar cuando en realidad no se está produciendo ninguna intrusión. Existen códigos, algunas de cuyas partes coinciden con patrones de ataque de desbordamiento de búfer, que son detectados como intrusiones, cuando en realidad no lo son. Por otra parte, los detectores de anomalías pueden reconocer como hostil la aparición de un nuevo tipo de tráfico, provocado por la reciente instalación de un nuevo servicio, cuando en realidad la situación es perfectamente normal. Lo más negativo de esta cuestión es que la continua aparición de falsos positivos puede hacer que un administrador acabe ignorando las alarmas, que es igual de negativo que no recibirlas.
· Falsos negativos: Son uno de los tipos de falsas alarmas, y se producen cuando no se emite el correspondiente aviso cuando sucede realmente un ataque o intrusión. Este tipo de situaciones, por razones obvias, también representa un problema. Cuando un atacante utiliza una técnica nueva, un ataque modificado basado en alguno ya existente, un ataque especializado contra este tipo de sistemas, o cuando un detector de anomalías es "entrenado" de forma progresiva por un intruso, para que interprete una acción hostil como normal, son sólo algunos ejemplos en los que pueden ocurrir falsos positivos.
· Recursos: El proceso de registro de datos y análisis (especialmente en tiempo real) hace que los sistemas de detección tengan importantes requerimientos de recursos de sistema, como tiempo de proceso o espacio de almacenamiento en bases de datos. Esto se hace especialmente necesario durante la monitorización de redes de alta velocidad.
· Autosuficiencia: No pueden compensar las debilidades o ausencia de otros sistemas de seguridad de la infraestructura, como contraseñas de baja calidad, cortafuegos, antivirus, etc.
· Sobrecarga: No pueden detectar, analizar y enviar alarmas frente a ataques de forma instantánea cuando hay demasiada carga de trabajo (excesivo tráfico de red, actividad de sistema) [2]. Estos sistemas llegan a descartar paquetes de red o segmentos de información de actividad de sistema, cuando la situación de sobrecarga es crítica.
· Defensa ante nuevos ataques: En la mayoría de los casos, no pueden detectar ataques de reciente aparición, o variantes de ataques existentes. Esto ocurre con mayoría de productos comerciales, que suelen utilizar detección de usos indebidos, basada en reglas o patrones de ataques. La detección de anomalías, dada la naturaleza de este tipo de análisis, permite ampliar el rango de detección de este tipo de ataques, pero no los reconoce todos.
· Defensa ante ataques sofisticados: Como ya se ha comentado, estos sistemas son de gran ayuda a la hora de simplificar las tareas de auditoría de seguridad. Pueden detectar con cierta eficacia ataques comunes, o de relativa simplicidad. Filtran grandes cantidades de información, destacando datos que pueden estar relacionados con posibles intrusiones. Sin embargo, no deben ser sobrevalorados. Aún no están preparados para identificar ataques demasiado sofisticados, realizados por atacantes expertos, que en algunas ocasiones utilizan técnicas de fragmentación de paquetes o incluso protocolos propios. En ese aspecto, sigue siendo necesaria la intervención humana.
· Defensa ante ataques directos: Al igual que ocurre con otros productos, como antivirus, o cortafuegos, no son capaces de bloquear ataques diseñados para evitar o inutilizar específicamente estos sistemas. Estas acciones son siempre realizadas por atacantes con amplios conocimientos sobre este tipo de sistemas.
· Investigación automática: Realizan tareas de análisis, y envían alarmas en caso de reconocer intrusiones o acciones hostiles. No obstante, la labor de investigación de cada ataque realizado la debe realizar un humano. Esto tipo de acciones conlleva ciertas responsabilidades y habilidades de las que carecen estos sistemas.
· Conocimiento de cada situación: Estos sistemas no conocen de antemano las particularidades de cada entorno en que son implementados. Es el responsable de seguridad quien debe configurarlos, y adaptarlos a cada situación progresivamente.
· Calidad de los datos: No pueden compensar errores producidos por el uso de datos de mala calidad. Hay ataques que consisten en saturar a los IDSs con información redundante, o simplemente ruido. Cada fuente de datos adicional incrementa las posibilidades de obtener información contaminada por un atacante. Trabajar con datos carentes de utilidad, invalida los resultados obtenidos.
· Calidad de los protocolos: No compensan las debilidades asociadas al diseño de un protocolo. Por ejemplo, TCP/IP y muchos otros protocolos no fueron creados para realizar mecanismos robustos de autenticación. Cuando alguien realiza un ataque, la dirección origen de los paquetes involucrados no tiene por qué ser necesariamente la del atacante. Esto dificulta la identificación y persecución de los culpables mediante procesos legales y judiciales.
· Entornos conmutados: Los detectores de intrusiones basados en red no trabajan bien en entornos de red que utilicen conmutadores ("switched enviroments"). Estos dispositivos sólo les envían el tráfico de red que va destinado a ellos mismos, dificultando las tareas de monitorización de tráfico de red global.
· Encriptación: El uso de comunicaciones cifradas (como SSH, SSL, IPSec, etc.) puede inhabilitar la utilidad de un detector de intrusiones basado en red, ya que no puede interpretar lo que está monitorizando. Aún en el caso de que pudiera interpretar lo que percibe, tener que descifrar los datos supondría una carga adicional de proceso. Esto no sólo incrementaría sus requerimientos de recursos, sino que podría hacer esta labor casi imposible en entornos con grandes cargas de tráfico. Para evitar este problema, los detectores se suelen instalar en los puntos extremos de la comunicación, para examinar los datos descifrados por las máquinas ("hosts").
· IPv6: Muchos detectores de intrusiones comerciales son incapaces de interpretar el protocolo IPv6, sucesor del ampliamente utilizado en Internet: IPv4. El protocolo IPv6 no está siendo adoptado por igual en todo el mundo, teniendo mayor acogida en los países asiáticos. Sin embargo, incluso en entornos en los que se trabaja únicamente con IPv4, el protocolo IPv6 permite crear túneles sobre IPv4. Esto impide a los detectores de intrusiones reconocer aquellos ataques que lo utilizan. Esta situación se puede corregir añadiendo capacidades de análisis de este protocolo a los motores de detección.
[1] Bace, Rebecca and Peter Mell. Intrusion Detection Systems. [en línea] [consultado en marzo, 2003]. Disponible en <http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf>.
Siguiente: Implementación Arriba: Sistemas de Detección de Intrusiones Previo: Complementos y casos especiales
Sistemas de
Detección de Intrusiones, versión 1.01. Julio,
2003.
Diego González Gómez