| Artículos | 01 ENE 2003

Sistemas de detección de intrusos

Tags: Histórico
Cómo descubrir a tiempo las intrusiones en su red
Gonzalo Alvarez.
Los sistemas de detección de intrusos se están volviendo cada vez más populares. Demostrada la ineficacia de los cortafuegos ante ciertos tipos de ataques, a los IDS les ha llegado el turno de demostrar lo que valen y si están a la altura del reto. Aprenda en este artículo qué son y cómo funcionan.

Se ha parado a pensar alguna vez en cómo se protege una finca? Se rodea de un muro, generalmente culminado por una verja de afiladas puntas. La casa cuenta con puertas y ventanas con cerrojos, algunas veces incluso blindadas y a lo mejor con rejas en los pisos bajos. Se instalan varios sistemas de alarma, que darán la voz de aviso si un intruso salta una cerca, abre una puerta o ventana, o traspasa un cierto umbral. Cámaras de TV de circuito cerrado vigilan silenciosamente todos los rincones de la finca y en algunos casos se llegan a utilizar sensores de movimiento o de temperatura para detectar la presencia de intrusos. Además, se contratan los servicios de una agencia de seguridad, cuyos guardas jurados patrullan la finca con perros o permanecen en sus garitas vigilando las cámaras y haciendo una ronda de vez en cuando.
Pues bien, las similitudes entre el sistema de seguridad de un inmueble físico y una red de ordenadores son lo suficientemente numerosas y profundas como para invitarnos a la reflexión. De la comparación de ambas se pueden inferir conclusiones muy aleccionadoras para la protección de una red informática.
Actualmente, la estrategia de control de intrusiones más utilizada es la perimetral, basada en la utilización de cortafuegos. Los cortafuegos actúan como las rejas con pinchos y las puertas con doce cerrojos. Sirven para mantener fuera a los intrusos, es decir, sirven al propósito de prevenir ataques o intrusiones en la red interna por ellos protegida. Pero una puerta blindada no impide que un ladrón se cuele por otro lado (una ventana, un conducto de ventilación, una tarta gigante con un gangster con ametralladora dentro, etc.) o que la propia puerta se use de forma negligente (las llaves debajo del felpudo, la puerta entreabierta para no tener que andar abriendo y cerrando a todo el que llega, un agujero debajo de la manilla y un cordel para poder abrir con facilidad, etc.). Lo peor de todo es que, orgulloso de su puerta de acero de cinco pulgadas, el propietario se siente protegido. ¡Falso! Sin una alarma y guardias de seguridad o vecinos comprometidos, la puerta le servirá de bien poco ante el ladrón profesional.
Pese a que innegablemente los cortafuegos proporcionan una eficaz primera línea de defensa frente a amenazas externas, igualmente pueden dar una falsa sensación de seguridad. Una mala configuración de sus reglas, errores en su software o hardware o una pobre política de seguridad que permita otros puntos de acceso a la red, pueden volver completamente inútil el mejor de los cortafuegos. Por ello se vuelve necesaria la utilización de sistemas de detección de intrusos (Intrusion Detection Systems, IDS) que vigilen la red en busca de comportamientos sospechosos. Los IDS funcionan como las alarmas de las casas: alertan de la realización de ataques con éxito e incluso de ataques en progreso. Es decir, avisan de que algo no va bien.

Qué son los IDS
Los sistemas de detección de intrusos permiten detectar actividad inadecuada, incorrecta o anómala dentro de un sistema informático integrado por un número variable de hosts (ordenadores, routers, pasarelas, servidores, etc.) interconectados en red. Por lo tanto, en su sentido más amplio, un buen IDS será capaz de detectar las acciones de atacantes externos (intrusiones propiamente dichas), así como la actividad anormal de atacantes internos dentro de la propia red protegida.
Ahora bien, ¿qué se entiende por actividad anormal? O dicho con otras palabras, ¿qué es lo que se considera una intrusión? Aunque en función del IDS utilizado la definición de intrusión puede variar, en general se consideran como tales las siguientes actividades:
Reconocimiento: los intrusos suelen explorar una red antes de intentar atacarla utilizando técnicas como barridos de ping, exploración de puertos TCP y UDP, identificación del SO, intentos de inicio de sesión por ataques de fuerza bruta o de diccionario, etc. Mientras que un cortafuegos puede limitarse a bloquear esos sondeos, el IDS hará saltar una alarma.
Explotación: una vez que la fase de reconocimiento ha permitido identificar con exactitud el objetivo a atacar, el intruso pasará a ensayar agujeros en servidores web, agujeros en aplicaciones web propietarias o comerciales ejecutándose en servidores web, agujeros en sistemas de bases de datos (conectadas o no a Internet), agujeros en los navegadores de los usuarios, agujeros en otros servicios como envío de correo (SMTP), lectura de correo (POP3 e IMAP), enmascaramiento de IP, desbordamientos de búfer, ataques DNS, etc. Muchos de estos ataques le pasarán completamente desapercibidos al cortafuegos, mientras que el buen IDS alertará de ellos.
Denegación de servicio: se trata de un ataque capaz de dejar sin servicio a la máquina víctima. Normalmente se utilizan técnicas como el ping de la muerte, inundación SYN, Land, WinNuke, smurf, ataques distribuidos, etc. Algunos IDS podrán detectarlos antes de que los servidores bajo ataque dejen de funcionar.

¿No basta con un cortafuegos?
Uno podría preguntarse: ¿para qué necesito un IDS si ya tengo un cortafuegos?, ¿no bloquea éste todos los ataques? En rea-lidad, los cortafuegos están más orientados a proteger una red de ataques externos que de ataques procedentes de la propia red.
Un cortafuegos bien configurado bloquea el acceso a todos los puertos y protocolos excepto a unos cuantos especificados por el administrador, en los cuales se desea ofrecer ciertos servicios, como por ejemplo el servicio web en el puerto TCP 80. Esto significa que se permitirá la entrada de tráfico dirigido a esos puertos, dándolo por bueno.
El primer problema estriba en la capacidad de atacar a un servidor a través de puertos permitidos. Sin ir más lejos, el gusano Nimda se propagó explotando un agujero en IIS en servidores Windows 2000, enviando comandos para su ejecución en el servidor ¡a través del puerto 80! Por tanto, estaba permitido su paso a través del cortafuegos. Un IDS se habría dado cuenta de que algo estaba ocurriendo.
El segundo problema radica en que, normalmente, las reglas del cortafuegos bloquean el tráfico de entrada, pero no el de salida. Precisamente, Nimda establecía sesiones de TFTP desde dentro de la red protegida por el cortafuegos hacia fuera, burlando la protección de éste. Según las estadísticas de ataques, alrededor del 80% de los ataques se producen desde el interior de la empresa (empleados desleales, descontentos o topos), circunstancia en la que el cortafuegos resulta de poca ayuda, ya que no se entera de nada de lo que está pasando dentro de la periferia que protege. No ocurre así con un IDS, que habría alertado puntualmente de esta actividad.
Por consiguiente, un buen IDS responderá eficientemente ante ataques internos y ataques externos a través de rutas legítimas que explotan reglas permitidas por el cortafuegos.
A continuación se examinan los dos tipos más importantes de IDS: los basados en red (NIDS) y los basados en host (HIDS).

IDS basados en red (NIDS)
Los sistemas de detección de intrusos basados en red son aplicaciones que, conectadas a la red a través de a

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información