Este documento describe los sistemas de detección de intrusos (IDS) y su importancia para la seguridad en Internet. Explica que existen dos tipos principales de IDS: basados en red y basados en anfitrión. También describe los objetivos de un IDS y los tipos de errores a los que se enfrentan, como falsos positivos y falsos negativos. Finalmente, resalta la necesidad de reducir los errores para que los IDS sean una herramienta efectiva de detección de amenazas.
0 calificaciones0% encontró este documento útil (0 votos)
27 vistas4 páginas
Este documento describe los sistemas de detección de intrusos (IDS) y su importancia para la seguridad en Internet. Explica que existen dos tipos principales de IDS: basados en red y basados en anfitrión. También describe los objetivos de un IDS y los tipos de errores a los que se enfrentan, como falsos positivos y falsos negativos. Finalmente, resalta la necesidad de reducir los errores para que los IDS sean una herramienta efectiva de detección de amenazas.
Este documento describe los sistemas de detección de intrusos (IDS) y su importancia para la seguridad en Internet. Explica que existen dos tipos principales de IDS: basados en red y basados en anfitrión. También describe los objetivos de un IDS y los tipos de errores a los que se enfrentan, como falsos positivos y falsos negativos. Finalmente, resalta la necesidad de reducir los errores para que los IDS sean una herramienta efectiva de detección de amenazas.
Este documento describe los sistemas de detección de intrusos (IDS) y su importancia para la seguridad en Internet. Explica que existen dos tipos principales de IDS: basados en red y basados en anfitrión. También describe los objetivos de un IDS y los tipos de errores a los que se enfrentan, como falsos positivos y falsos negativos. Finalmente, resalta la necesidad de reducir los errores para que los IDS sean una herramienta efectiva de detección de amenazas.
Sistemas de Detección de Intrusos (Ids), Seguridad en Internet Polibits, núm. 34, 2006, pp. 31-33 Instituto Politécnico Nacional Distrito Federal, México
Número completo Sistema de Información Científica Más información del artículo Red de Revistas Científicas de América Latina, el Caribe, España y Portugal Página de la revista en redalyc.org Proyecto académico sin fines de lucro, desarrollado bajo la iniciativa de acceso abierto Sistemas de Detección de Intrusos (IDS), Seguridad en Internet
Sistemas de Detección de Intrusos (Ids), Seguridad en Internet M. en C. Mauricio Olguín Carbajal Introducción Intrusiones anómalas.- Se basa M. en C. Israel Rivera Zárate Ing. Patricia Pérez Romero en la observación de desviaciones de Profesores del CIDETEC-IPN los patrones de uso normales del sis- Se considera a un intruso como tema. Estas intrusiones son difíciles de cualquier persona que intente inte- detectar, ya que no hay patrones fijos y
E l aumento y la gravedad de los rrumpir o hacer mal uso del sistema; permanentes; se pueden usar métricas ataques en la Internet, hacen los sistemas informáticos se apoyan en que calculan parámetros del sistema que los sistemas de detección los Sistemas de Detección de Intrusos, disponibles, tales como el promedio de intrusos sean una parte indispensa- para prepararse del mal manejo y del de carga del CPU, número de conexio- ble de la seguridad en las empresas, uso indebido de la información de nes de la red por minuto, número de por lo que se tienen buenas razones una organización. Esta meta se logra procesos por usuario y cualquier otro comerciales y legales para establecer recopilando la información de una tipo de medida que describa un cierto políticas de seguridad sólidas; por esta gran variedad de fuentes del sistema consumo de recursos en un periodo razón, es esencial instalar un Sistema y de la red, analizando la información definido; el inconveniente es que si de Detección de Intrusos (IDS). que contribuye a los síntomas de los estas métricas cambian, porque así problemas de seguridad de la misma, y lo exige el sistema por sobrecarga de Los sistemas de detección de in- permitiendo que el usuario especifique trabajo, se interpretará erróneamente trusos no son precisamente nuevos, las respuestas en tiempo real a las como una intrusión. el primer trabajo sobre esta materia violaciones. Es muy importante que, data de 1980; no obstante, este es ante estos posibles ataques, se pueda Los objetivos que debe tener un uno de los campos con mayor auge responder a ellos en tiempo real. sistema de detección de intrusos son desde hace algunos años dentro de la los siguientes: seguridad informática. La capacidad para detectar y responder ante los Desarrollo 1. Vigilar y analizar la actividad de intentos de ataque contra los sistemas los usuarios y del sistema. es realmente interesante; durante este tiempo, cientos de investigadores de En general hay 2 tipos de intru- 2. Revisar las configuraciones del todo el mundo han desarrollado, con siones sistema y de las vulnerabilidades. mayor o menor éxito, sistemas de detección de todo tipo, desde simples Intrusiones para mal uso.- Son 3. Evaluar la integridad de los archivos procesadores de archivos históricos ataques en puntos débiles conocidos críticos del sistema. (logs), hasta complejos sistemas dis- que pueden ser detectados haciendo tribuidos, especialmente vigentes con un análisis y revisión en la infor- 4. Reconocimiento de los modelos el auge de las redes de computadoras mación de auditoría y reportes del de la actividad que reflejan ataques en los últimos años. sistema; por ejemplo, un intento de conocidos. crear un archivo inválido, puede ser descubierto examinando los mensajes 5. Análisis estadístico para los mo- en los archivos históricos (bitácoras) delos anormales de la actividad, que son resultado de las llamadas al aunque esto no siempre es exitoso, sistema. debido a que los promedios pueden cambiar.
XVII 1 34 polibits 31 Sistemas de Detección de Intrusos (IDS), Seguridad en Internet
6. Búsqueda de rastros de interven- a los positivos falsos; por ejemplo, si * Los errores positivos falsos con- ción al sistema operativo, con el el servidor Web tiene sobrecarga de ducirán a los usuarios del IDS a reconocimiento de las violaciones trabajo y no puede manejar todas las no hacer caso de su salida, pues de la actividad del usuario respecto peticiones de conexión, los IDS quizá clasifican acciones legítimas como a la política establecida. pueden detectar un ataque inexistente. intrusiones. Las ocurrencias de Típicamente, un sistema basado en este tipo de error se deben reducir 7. Vigilar el cumplimiento de políticas red no va a buscar otras actividades al mínimo; si muchos positivos y procedimientos de seguridad en sospechosas, como podría ser que al- falsos se generan, los operadores la organización. guien de su entorno de trabajo intente no haran caso de la salida del tener acceso a los datos financieros sistema en un cierto plazo, lo que La meta de un IDS es proporcionar de la compañía. puede conducir a una intrusión una indicación de un ataque poten- real que es detectada, pero que no cial o de uno verdadero; un ataque Los sistemas basados en anfitrión es considerada por los usuarios, o una intrusión son acontecimientos emplean diversos procedimientos esto es un ejemplo de lo que se transitorios, mientras que una vulne- para buscar a los malos usuarios; estos mencionó anteriormente. rabilidad representa una exposición, sistemas dependen, generalmente, que lleva el potencial para un ataque de los registros del sistema operativo * Un error negativo falso ocurre o una intrusión. La diferencia entre para detectar acontecimientos, y no cuando procede una acción, aun- un ataque y una vulnerabilidad es pueden considerar ataques a la capa que sea una intrusión. Los errores que un ataque existe en un momento de red mientras que estos ocurren. negativos falsos son más serios determinado, mientras que una vulne- En comparación con los IDS basados que los errores positivos falsos, rabilidad existe independientemente en red, estos sistemas obligan a porque dan un sentido engañoso de la época de la observación. Esto definir lo que se considera como acti- de la seguridad. Permitiendo que nos conduce a categorizar varios vidades ilícitas, y a traducir la política todas las acciones procedan, una tipos de IDS: de la seguridad a reglas del IDS. Los acción sospechosa no será atraí- IDS basados en anfitrión se pueden da a la atención del operador. El * IDS basado en red. también configurar para buscar tipos IDS ahora es un defecto, pues la * IDS basado en anfitrión (host). específicos de ataques. seguridad del sistema es menor * IDS híbridos. que la anterior a que el IDS fuera * Inspector de la Integridad del Los sistemas relacionados al instalado. Archivo. anfitrión (host) se despliegan de la * Explorador de la vulnerabilidad de misma forma que los buscadores de * Los errores de cambio son más la red. los antivirus o las soluciones de ad- complejos: un intruso podría * Explorador de la vulnerabilidad del ministración de red: se instala algún utilizar conocimientos sobre los host. tipo de agente en todos los servidores mecanismos internos de un IDS y se usa una estación de gestión para para alterar su operación, permi- Los tres primeros puntos son tipos generar informes. tiendo posiblemente que el com- de IDS, mientras que los tres siguien- portamiento anómalo proceda; tes son herramientas de detección de Los vendedores observaron las el intruso podría entonces violar vulnerabilidad. limitaciones que presentan los IDS de las necesidades operacionales de red y los basados en anfitrión, y han la seguridad del sistema. Esto se Los sistemas basados en red ac- combinado ambos para mejorar sus puede descubrir por un operador túan como detectores, es decir, ellos capacidades; estos sistemas híbridos humano que examina los registros observan el tráfico en las capas del reunen las mejores características de del detector de la intrusión, pero TCP/IP y buscan modelos conocidos los dos en una configuración del sensor parecería que el IDS aún trabaja de ataque, como los que generalmente del IDS; como ejemplos se tienen Real correctamente. realizan los hackers; la mayoría de los Secure de Internet Security Systems sistemas basados en red pueden bus- (ISS) y, CyberCop de Network As- Otro aspecto a considerar al car solamente los modelos de abuso sociates (NAI). adquirir un sistema de detección de que se asemejan al estilo de estos intrusos es que a veces se invierte en ataques, y esos perfiles están cam- A continuación se desglosan los un sistema de detección de intrusos biando constantemente. Los sistemas errores que puede tener el sistema: difícil de soportar, ya que reporta de- basados en red también son propensos masiados falsos positivos, y no puede
32 polibits 2006 Sistemas de Detección de Intrusos (IDS), Seguridad en Internet
responder con la velocidad de la red. el esfuerzo que tradicionalmente se
Para reducir las posibilidades de que exige del personal de seguridad para Conclusiones esto suceda, las empresas deben tomar darle tiempo a que realice un trabajo en cuenta los siguientes criterios al de investigación, en lugar de pasar evaluar un sistema de detección de horas examinando los registros de Este articulo presenta de manera intrusos IDS: eventos no correlacionados. breve lo que es un IDS, y algunos criterios para su elección, así como • Un Sistema de detección de • Un sistema IDS debe recoger una recomendación a las empresas intrusos debe ir más allá de la simple los datos importantes de detección que aún no han invertido en un soft- notificación, proporcionando res- directamente de los conmutadores ware de detección de intrusos para puestas automatizadas, basadas en de redes, lo que reduce la cantidad considerar la adquisición de uno; políticas para proteger los sistemas de sensores que se necesita instalar aplazar esta inversión supone para la y ofreciendo tiempo y tranquilidad y administrar en toda la red, a fin de empresa un riesgo no únicamente de al personal de seguridad. Cuando reducir el Costo Total de Propiedad. modificación, destrucción y robo de es necesario localizar el origen de Muchas empresas no se dan cuenta la información, sino de ser objeto de un ataque (frecuentemente se ataca de que la ampliación de los sistemas demandas legales. El sistema IDS que con una dirección falsa), el enfoque IDS diseñados específicamente para la empresa adopte en última instancia, tradicional ha sido interrogar manual- redes conmutadas de alta velocidad debe proporcionar un método muy mente a los enrutadores y encontrar cuesta menos que la de los sistemas bien coordinado para administrar los el flujo relevante de los datos; este es tradicionales. Una instalación tradi- asuntos de seguridad, desde la identifi- un ejercicio agotador que puede llevar cional requiere de un sensor para cación de robos en la red y obtención muchas horas o días, incluso para un cada segmento de la red, además del de información adicional solicitada, ingeniero de redes experimentado. costo del hardware, software y de la hasta responder rápidamente y tomar Una empresa debe a cambio escoger administración del sistema. las medidas adecuadas. un IDS que pueda rastrear los ataques rápida y automáticamente, incluso Cuando una compañía necesita aquellos con referencias falsas, o que expandirse para tener cobertura Referencias se reflejan de regreso al punto de de red total, los costos asociados ingreso de la red. Esto permitirá a la al financiamiento de los sensores, [1] http://www.infosecuritymag. empresa reaccionar rápida y eficien- hardware, software y administración com/newsletter/ temente para bloquear los ataques del sistema serán comparables a los de negación de servicio que pueden costos de aquellos componentes de la [2] http://www.guardiacivil.org/ afectar la disponibilidad del ancho de instalación inicial; por el contrario, un kio/seg/sld001.htm banda y del servicio. sistema IDS diseñado para funcionar en redes conmutadas de alta velocidad, [3] http://www.idsdetection. • Un sistema IDS debe manejar permite una cobertura máxima sin el com/ los escenarios de instalación más costo agregado de la administración grandes y exigentes, incluyendo el del sistema. [4] www.icsa.net monitoreo de los múltiples segmentos de la red. Un sistema IDS con la herramienta [5] http://www.cisco.com/warp/ de localización puede compararse a public/cc/cisco/mkt/security/ • Un sistema IDS debe tener un un grupo de cámaras de seguridad nranger/index.shtml motor de análisis y correlación que almacenadas convenientemente; analice los numerosos eventos que sin embargo, a diferencia de dichas suceden en la red y los evalúe en su cámaras, el sistema IDS debe tener contexto. El tiempo y el conocimiento la inteligencia para saber que ha son críticos para lanzar una respuesta ocurrido un incidente, para continuar rápida y efectiva a los ataques contra recogiendo datos y alertar al adminis- los activos empresariales de misión trador del sistema. Con este tipo de crítica en el momento en que se pro- sistema, los ahorros empresariales duzcan. La acumulación de eventos en tan sólo en concepto de soporte, tiempo real, la correlación y el aná- instalación y mantenimiento pueden lisis pueden reducir dramáticamente ser significativos.
