Siguiente: Aspectos legales Arriba: Sistemas de Detección de Intrusiones Previo: Capacidades y limitaciones

6     Implementación   119

6.1     Sistemas de Detección de Intrusiones de red   119

6.1.1      Delante del cortafuegos externo   120

6.1.2     Detrás del cortafuegos externo   121

6.1.3     Redes principales  122

6.1.4     Subredes de valor crítico   122

6.1.5     Máquinas  123

6.2     Sistemas de Detección de Intrusiones de máquina  124

6.3     Alarmas  125

6.4     Referencias  125

 


Capítulo 6

               Implementación

"- Buenos... Días... Doctor... Chandra... Aquí... Hal... Estoy...
Listo... Para... Mi... Primera... Lección... De... Hoy..."
2001 Una odisea espacial, Arthur C. Clarke

                El nivel de seguridad y la gestión ofrecida por los Sistemas de Detección de Intrusiones, los hace casi imprescindibles en muchas de las organizaciones que cuentan con importantes infraestructuras de red.

                Como ya se apuntó en el capítulo anterior que estos sistemas, aunque tienen muchas ventajas, no son perfectos. Por otra parte, muchos administradores carecen de los conocimientos adecuados para aprovechar al máximo sus características. Esto hace que la implementación de estos sistemas requiera un proceso previo de planificación, preparación, fase de pruebas, y formación especializada. Cada solución debe adaptarse a las necesidades particulares de cada caso, analizando entre otras características, las políticas de la organización, el nivel de desarrollo y los recursos de red.

                Los requisitos de sistema de los IDSs dependen de los objetivos y recursos de cada organización. Por lo general, suele ser recomendable alcanzar una solución basada en el uso conjunto de IDS de red (NIDS) y de "host" (HIDS).

                Por otra parte, si se acomete la implementación de forma escalonada, añadiendo de forma progresiva cada IDS, los propios administradores irán adquiriendo más experiencia con cada adición. Normalmente se empieza con la instalación de IDS basados en red, más sencillos de instalar y gestionar. Posteriormente, se instalan IDS basados en "host" en las máquinas críticas.

                Una planificación de estas características debe completarse con el uso regular de analizadores de vulnerabilidades sobre los IDSs y otros elementos de seguridad. De esta manera, se ayuda a mantener la estabilidad y confianza de estos mecanismos.

                En caso de implementar sistemas o redes trampa, es necesario contar con personal especializado en temas de seguridad y redes, y ubicar dichos sistemas en entornos altamente protegidos. Además, hay que asesorarse previamente en temas legales relacionados con estos elementos.

                A continuación se describirán las características más comunes del establecimiento de detectores de intrusiones basados en red y en máquina. [1]

6.1          Sistemas de Detección de Intrusiones de red

                Los agentes de un IDS basado en red monitorizan el tráfico de red para enviar los datos al motor de análisis. Estos elementos de monitorización pueden colocarse en distintos puntos de la arquitectura.

                Uno de los objetivos de los agentes es el de no ser reconocido por atacantes, así como no interferir en el rendimiento de la red. Para ello, se suelen conectar al medio utilizando dispositivos de escucha. La interfaz de red dedicada a la monitorización se configura de forma que no tenga dirección IP. En algunas ocasiones, estos dispositivos se conectan a la red mediante un cable de sólo recepción o un "network tap" (dispositivo de escucha de red).

                El abanico de productos de detección de intrusiones basados en red es muy extenso. Entre ellos destaca por su popularidad Snort, un potente detector de intrusiones de red, escrito en código abierto, basado en reglas, que incorpora algunas funciones de detección de anomalías [2]. Algunos ejemplos más de productos de este tipo son: Bro, escrito por Vern Paxson [3]; Firestorm, de John Leach y Gianni Tedesco [4]; Tiny Personal Firewall (cortafuegos personal con capacidades de IDS), de Tiny Software Inc. [5]; o el IDS híbrido (basado en máquina y en red) Prelude, distribuido bajo licencia GPL y desarrollado por Yoann Vandoorselaere [6].

                A continuación se describirán las localizaciones más comunes en las que se puede implementar un NIDS. Cada una tiene sus propias ventajas e inconvenientes.

 

Figura 6‑1 - Situaciones de implementación de un IDS

 

6.1.1       Delante del cortafuegos externo

                Colocar los agentes delante del cortafuegos externo (A), permite:

·         Monitorizar el número y tipo de ataques dirigidos contra la infraestructura de la organización.

·         Detectar ataques cuyo objetivo es el cortafuegos principal.

                Por otra parte, esta posición también presenta algunos inconvenientes:

·         No permite detectar ataques que utilicen en sus comunicaciones algún método para ocultar la información, como algoritmos de encriptación, o esteganografía (1).

·         En esta localización suele haber gran cantidad de tráfico de red. Un detector de intrusiones mal diseñado puede saturarse, descartando parte de la información que percibe, si no ha sido bien diseñado.

·         Una situación como esta no ofrece ninguna protección. El NIDS puede convertirse en un blanco fácil si algún atacante logra identificarlo.

6.1.2      Detrás del cortafuegos externo

                Esta localización (B), situada entre Internet y la red interna, se denomina DMZ (Zona Desmilitarizada). Se utiliza para proporcionar servicios públicos sin tener que permitir acceso a la red privada de la organización.

                En esta subred se suelen ubicar los servicios principales de la infraestructura (servidores HTTP, FTP, SMTP, DNS, etc.). Normalmente está protegida por cortafuegos y otros elementos de seguridad.

                Algunas de las ventajas de este caso son:

·         Se monitorizan intrusiones que logran atravesar el cortafuegos principal.

·         Se pueden detectar ataques dirigidos contra los servidores que ofrecen servicios públicos situados en esta subred.

·         En caso de no detectar ataques con éxito, pueden reconocer algunas consecuencias de los mismos, como intentos de conexiones salientes, realizadas desde los servidores comprometidos.

·         La identificación de los ataques y escaneos más comunes permite mejorar la configuración del cortafuegos principal.

                A continuación se enumeran algunos de las desventajas de esta localización:

·         Al igual que en el caso anterior, no permite identificar ataques que utilicen métodos para ocultar la información contenida en sus comunicaciones, como algoritmos de encriptación.

·         La cantidad de tráfico existente normalmente en este segmento de red, puede hacer que el NIDS no pueda analizarla toda, descartando datos. Es importante diseñar un sistema capaz de responder ante situaciones críticas.

·         La seguridad del NIDS mejora con la inclusión del cortafuegos que lo separa de la red exterior. Sin embargo, esto no excluye de tomar medidas adicionales para evitar que pueda ser comprometido por atacantes.

6.1.3      Redes principales

                Cuando se monitoriza el tráfico de red en las redes con mayor actividad (C) se obtienen estas ventajas:

·         Al haber más cantidad de tráfico, hay también más posibilidades de encontrar posibles ataques. Este hecho se cumple siempre que la cantidad de tráfico no supere la capacidad del NIDS.

·         Se pueden detectar ataques producidos desde dentro de la propia red, como los realizados por personal interno.

                Las desventajas relacionadas con esta posición son, entre otras:

·         Al igual que en los casos anteriores, esta localización no permite detectar ataques que utilicen algoritmos de encriptación en sus comunicaciones.

·         No pueden evitar problemas asociados al uso de conmutadores en la red. Las características de estos dispositivos podrían impedir la monitorización de los miembros de la red.

·         Esta situación hace que estos sistemas sean especialmente vulnerables ante ataques provenientes, no ya del exterior, sino del interior de la propia infraestructura. Es vital tener este aspecto en cuenta a la hora de implementar un detector de intrusiones en esta localización.

6.1.4     Subredes de valor crítico

                A veces, los servidores y recursos más importantes de una red son situados en una subred, separada de la red principal mediante dispositivos como cortafuegos (D). Para protegerlos debidamente, es necesario implementar detectores de intrusiones basados en red en estas subredes privadas.

                Algunas de las ventajas de hacer esto son:

·         Detectar ataques realizados contra elementos críticos de la red.

·         Dedicar especial atención a los recursos más valiosos de la infraestructura.

                A continuación se enumeran algunas desventajas del uso de esta opción:

·         Como ya se comentó en las situaciones anteriores, este caso no permite detectar ataques que utilicen algoritmos de cifrado en sus comunicaciones.

·         No evitan problemas de monitorización relacionados con el uso de conmutadores.

·         No están estratégicamente bien situados ante ataques de origen interno.

6.1.5      Máquinas

                Otra de las posibles formas de instalar este tipo de sistemas es en las propias máquinas (E), convirtiéndolas rastreadores de red. Los IDSs basados en red implementados de esta forma se denominan IDS de nodo de red (NNIDS) ("Network Node IDS").

                La mayoría de los productos de detección basados en red nombrados antes se pueden implementar de esta forma. Cualquier detector basado en red, que permita la instalación de uno de sus agentes en una máquina, puede ser utilizado de esta forma.

                Esta localización proporciona ventajas únicas:

·         Se evitan los inconvenientes de la encriptación de las comunicaciones, presentes en las localizaciones anteriores. El NNIDS deja de recibir cifrado el tráfico originado o destinado a la máquina en la que está instalado. No obstante, seguirá percibiendo cifradas el resto de las comunicaciones.

·         Es una forma de solventar problemas derivados del uso de conmutadores. Como ya se apuntó en el apartado 3.1.2 "Fuentes de información basadas en red", este tipo de dispositivos dificultan la monitorización del tráfico red, realizando tareas de encaminamiento, cosa que no hacen los concentradores. Situar un detector en una máquina permite al menos, examinar sus propias comunicaciones.

                Por otra parte, este enfoque también tiene inconvenientes:

·         La visión del sistema de detección está claramente limitada tanto por la situación de la máquina, como por la arquitectura de la red. Por ejemplo, si se utilizan conmutadores, sólo puede analizar el tráfico relacionado con la máquina anfitriona. No obstante, si se hace uso de concentradores, analizaría además el tráfico del resto de los miembros de la red, actuando como un rastreador.

·         El NIDS está compartiendo los mismos recursos que la máquina que monitoriza. Esto reduce los recursos de la misma, afectando evidentemente a su rendimiento final.

·         Que la máquina anfitriona sea comprometida puede tener graves consecuencias. El detector no sólo perdería toda eficacia, sino que además, podría ser controlado por el atacante para llevar a cabo sus fines. Obtener información sobre la infraestructura de la organización, o enviar falsas alarmas que distrajeran la atención del responsable de seguridad, son sólo algunos ejemplos de lo que un intruso podría hacer en dicha situación.

6.2              Sistemas de Detección de Intrusiones de máquina

                Como se comentó al principio del capítulo, en una estrategia de implementación general, los detectores de intrusiones basados en máquina ("host") se suelen instalar después de los basados en red. Esto se hace así ya que, dadas sus características, son más complicados de instalar.

                Este tipo de sistemas necesita ser configurado de forma individual en cada máquina, y utiliza como fuente de datos la información obtenida del sistema.

                La mayoría de los detectores de intrusiones incluyen, entre otras funciones, mecanismos de verificación de integridad de archivos. Esto les permite, mediante el uso de algoritmos de cifrado como funciones resumen, reconocer cambios en los ficheros más importantes del sistema.

                Aunque la situación ideal es la de contar con uno de estos sistemas en cada una de las máquinas de la red, lo cierto es que el procedimiento más extendido a seguir es el de instalarlos primero en los servidores más importantes. Una vez que los responsables se han acostumbrado a esta situación, se pueden ir implementando en el resto de los equipos.

 

Figura 6‑2 - Implementación progresiva de HIDS

 

                Es muy importante que los administradores de estos sistemas se acostumbren a la forma de trabajar de estos sistemas, afinando la configuración para adaptarla a su situación particular, y aprendiendo a distinguir entre las falsas alarmas y los verdaderos problemas de seguridad.

                Los informes emitidos por los detectores basados en máquina deben ser revisados de forma periódica. No siempre es posible ir examinando individualmente cada detector. Por ello, muchos productos facilitan mecanismos de centralización de registros, que permiten gestionar las alarmas de una forma más cómoda, rápida y eficiente.

                Algunos de los productos más conocidos, que se utilizan como detectores de intrusiones basados en host son: GFI LANguard S.E.L.M, de GFI Software Ltd. [7]; Tripwire [8], LogCaster, de Enterprise International [9]; o el ya mencionado IDS híbrido, Prelude [6].

                Algunas de las ventajas del uso de estos sistemas son:

·         Trabajan con el sistema de ficheros, y con registros de sistema operativo locales, por lo que pueden detectar ataques que no identificados los detectores basados en red.

·         Su especialización les otorga ventaja a la hora de detectar ataques específicos de los sistemas que monitorizan.

·         Su posición privilegiada les permite identificar con precisión los elementos involucrados en un ataque, tales como procesos de sistema, ficheros o nombres de usuario.

·         Dada su naturaleza, este tipo de sistemas no se ve afectado por un entorno de red con conmutadores.

6.3        Alarmas

                Uno de los apartados más importantes de los IDSs es el relativo a las alarmas. Elaborar una arquitectura de los mecanismos de alarma y procedimientos de respuesta frente a ataques, antes de implementar estos sistemas, puede evitar muchos problemas en caso de ataque.

                Estos sistemas permiten enviar una alarma de muchas formas: añadiendo un evento en los registros de auditoría o sistema, un mediante correo electrónico, utilizando protocolos de gestión de red (SNMP), a través de mensajes a móviles ("Short Message Service" (SMS)), etc.

                Es recomendable dejar pasar unas semanas, antes de activar los mecanismos de alarma de un detector de intrusiones. Ese tiempo se debe dedicar para ajustar la configuración a cada escenario particular, reduciendo la aparición de falsas alarmas.

                Por otra parte, si se configuran respuestas automáticas que permitan responder ante acciones hostiles, como por ejemplo, bloqueando la dirección origen del atacante, es preciso seguir de cerca su funcionamiento, para impedir que un intruso se aproveche de estas funciones. De lo contrario, un atacante podría "falsificar" su dirección origen, utilizando las de otras entidades, que podrían incluso pertenecer a clientes de la empresa atacada o de la propia red privada, provocando evidentes problemas.

                Para asegurarse de que las alarmas llegan a su destino, se suelen utilizar técnicas de redundancia; se envía la misma alarma utilizando distintas métodos de comunicación. Este tipo de medidas se toma en casos de alarmas de nivel crítico.

6.4        Referencias

    [1]       Bace, R. and Peter Mell. Intrusion Detection Systems. [en línea] [consultado en marzo, 2003]. Disponible en <http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf>.

   [2]       Roesch, Marty et al. Snort.org. [en línea]. Actualizado semanalmente [consultado en marzo de 2003]. Disponible en <http://www.snort.org>.

   [3]       Vern, Paxon. Bro: A System for Detecting Network Intruders in Real-Time. Lawrence Berkeley National Laboratory, Berkeley, CA and AT&T Center for Internet Research at ICSI, Berkeley, CA. [en línea]. 14 de diciembre de 1999 [consultado en marzo de 2003]. Disponible desde Internet en <http://www.icir.org/vern/bro-info.html>

   [4]       Leach, John and Gianni Tedesco. Firestorm. [en línea]. 2002 [consultado en abril, 2003]. Disponible en <http://www.scaramanga.co.uk/firestorm/index.html>.

    [5]       Tiny Software Inc. Tiny Personal Firewall. [en línea]. Fecha no disponible [consultado en abril, 2003]. Disponible en <http://www.tinysoftware.com/>.

   [6]       Vandoorselaere, Yoann. Prelude Hybrid IDS. [en línea]. 1998 [consultado en abril, 2003]. Disponible en <http://prelude-ids.org/>.

   [7]       GFI Software Ltd. GFI Security Event Log Monitor. [en línea]. Fecha no disponible [consultado en abril, 2003]. Disponible en <http://www.gfi.com/>.

   [8]       Tripwire, Inc. Tripwire. [en línea]. Fecha no disponible [consultado en abril, 2003]. Disponible en <http://www.tripwire.com/>.

   [9]       Enterprise International. LogCaster. [en línea] 1997 [consultado en abril, 2003]. Disponible en <http://www.ei-europe.com/logcaster.htm>.

 


(1) Arte o ciencia de comunicar de manera oculta un mensaje, camuflando la información entre otro conjunto de datos para que pase desapercibida. Usualmente un texto, imagen, o archivo multimedia. Proviene de las palabras griegas steganós (cubierto) y graptos (escrito).

 


Siguiente: Aspectos legales Arriba: Sistemas de Detección de Intrusiones Previo: Capacidades y limitaciones

Sistemas de Detección de Intrusiones, versión 1.01. Julio, 2003.
Diego González Gómez