| Artículos | 01 ENE 2007

Sistemas de detección de intrusos: IDS

Tags: Histórico
José M. Alarcón.
Los sistemas de su empresa albergan la información del negocio y son uno de sus activos más importantes. Su personal de sistemas los ha protegido con adecuadas políticas de seguridad, cortafuegos, antivirus. Están blindados y completamente seguros ¿verdad?: ¡No!

Todavía hay muchas cosas que pueden fallar. Y lo peor no es que falle la seguridad, sino que además no nos enteremos de ello. Por supuesto que es necesario utilizar sistemas como los mencionados, pero no es suficiente. Aunque tengamos las comunicaciones correctamente protegidas con un cortafuegos, puede que la brecha de seguridad esté en las aplicaciones que usamos y que los asaltantes entren a través de peticiones perfectamente lícitas. Es posible que un empleado instale sin querer un programa espía o un virus y que infecte a los demás o saque información de la empresa. Puede pasar cualquier cosa y no podemos confiar ciegamente en las medidas de seguridad adoptadas. Además, las estadísticas demuestran que un elevado porcentaje (cerca del 80 por ciento) de los fallos de seguridad y las pérdidas de información se deben a prácticas ilícitas o inadecuadas de los propios empleados de las empresas. Debido a ello es indispensable no sólo controlar las actividades sospechosas provenientes del exterior, sino que es tanto o más importante controlar las que se producen en el interior de nuestra empresa.
Los sistemas de detección de intrusos o IDS (su acrónimo anglosajón) complementan a los sistemas de seguridad tradicionales analizando todo lo que pasa en nuestros sistemas y en nuestra red para detectar actividades sospechosas que pudieran denotar un peligro de seguridad o una violación de los sistemas de defensa.
Puede resultar útil realizar un símil entre nuestros sistemas y una casa con jardín a la que hemos colocado una valla y algunos dispositivos de vigilancia. La valla que la rodea e impide el acceso salvo en ciertos puntos (las puertas) sería nuestro cortafuegos. La valla impide que la gente tenga acceso a la finca, pero tiene limitaciones. Si alguien excava un túnel por debajo o la corta no nos enteraremos. Y si alguien entra saltándose los controles de la puerta, una vez que esté dentro, la valla no hará nada por avisarnos de que tenemos un intruso. Si alguien que vive en casa nos roba o usa las instalaciones de manera indebida no tendremos forma de saber quién ha sido, o peor aún, no nos enteraremos de que lo ha hecho.
Evidentemente todas las medidas de seguridad que pongamos (la valla, una alarma, cámaras...) serán de gran ayuda para estar protegidos, pero no son infalibles y se pueden eludir los controles.
Siguiendo con nuestro símil, un IDS sería como el perro guardián de la finca. Él sí que será capaz de detectar a los intrusos que se saltan la valla y avisarnos con sus ladridos. Incluso podrá disuadirlos mordiéndoles un poco los pantalones. Sin embargo, el perro no tiene que ser efectivo siempre. Debe recibir un buen entrenamiento (el IDS debe configurarse y “aprender” con el tiempo), no tiene que ladrar cada vez que entra cualquiera o cuando un extraño pasa por delante de la valla pero fuera de la finca (falsos positivos), y sobre todo no debe dejarse engañar por un extraño con una longaniza (actualizaciones continuas y buenos motores de análisis de tráfico en los IDS). Tampoco sirve de nada que ladre si no hay nadie que lo escuche.

Técnicas de detección de intrusos
La detección de intrusos consiste en determinar las actividades anómalas, ilegales, nocivas o inapropiadas que se están llevando a cabo en un sistema de comunicaciones. Entre éstas se encuentran el uso no autorizado de recursos del sistema desde el exterior y desde el interior de la red, suplantaciones de usuarios, uso de protocolos y aplicaciones no autorizadas, ataques que se están produciendo...
Las técnicas utilizadas para descubrir estas condiciones anómalas son muy variadas e incluyen el análisis de tráfico de datos, el reconocimiento de ataques conocidos o la comprobación de integridad de archivos.
La mayoría de los IDS se basan en la utilización de dos técnicas para realizar su función:
· Análisis de firmas de ataques: el IDS dispone de plantillas de las operaciones que un atacante realizaría para llevar a cabo ataques conocidos. De este modo si se detecta una serie de paquetes y operaciones en el tráfico de red que coinciden con lo que se describe en dichas plantillas (llamadas firmas de ataque), el sistema envía una alerta al administrador indicando qué tipo de ataque cree que se está produciendo y cómo se puede intentar detener. Los sistemas más avanzados incluso toman medidas preventivas para atajarlos sin intervención humana. Es evidente que la efectividad de este tipo de sistemas depende en gran medida de la frecuencia con la que se actualizan las bases de datos de firmas. Continuamente aparecen nuevos tipos de ataques y fallos en los productos a los que hay que estar muy atento.
Análisis estadístico: Se monitoriza la actividad del sistema y de la red durante un período de tiempo suficiente, tratando de determinar cuáles son los niveles habituales de tráfico, cuáles son los tipos de protocolos usados, quién los usa y cuándo, el tipo y la cantidad de los datos que circulan por la red... Con esta información estadística se generan perfiles para cada usuario de la red y posteriormente se comparan con la actividad real. Si se detecta una discrepancia significativa se advierte inmediatamente al administrador. Por ejemplo, puede que sea normal que un programador esté utilizando su ordenador para acceder al servidor de bases de datos a las dos de la madrugada, pero si el que lo está haciendo a esas horas es una persona de marketing que sale siempre temprano, se trata cuando menos de una excepción extraña y conviene avisar de ello.
La historia de los IDS se remota al año 1980, es decir, el concepto ya tiene más de 25 años. En este año se presenta un influyente estudio realizado para el gobierno estadounidense, titulado “Computer Security Threat Monitoring and Surveillance” (aún se puede leer en-línea desde http://csrc.nist.gov/publications/history/ande80.pdf). En él su autor, James Anderson, presenta por primera vez la idea del análisis de tendencias en el uso de la red por parte de los usuarios y su empleo en la detección de situaciones anómalas o peligrosas. Es la base de los modernos sistemas IDS.
Tras varios proyectos experimentales (la mayoría gubernamentales) que poco a poco hacen evolucionar el concepto y mejoran la base tecnológica, se dan las condiciones para la existencia de productos comerciales IDS dirigidos a empresas. Unos diez años más tarde, a comienzos de la década de los 90, es cuando aparecen los primeros IDS dirigidos al sector privado. La primera empresa llamada Haystack ofrece su producto Stalker, y otras como SAIC o The Wheel Group incorporan nuevos sistemas de detección de intrusos al mercado. No es hasta finales de la década que el mercado realmente “explota” y estos productos se popularizan. En esta época se dan multitud de fusiones, compras e inversiones en estas compañías. Por ejemplo, Cisco Systems adquiere tecnología IDS de The Wheel Group y la incorpora directamente a sus conocidos cortafuegos Catalyst, popularizando este tipo de sistemas y otorgándole la importancia que me

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información