Sistema de detección de Intrusos de alerta temprana en la red UCLV

Texto completo

(1)UNIVERSIDAD CENTRAL “MARTA ABREU” DE LAS VILLAS FACULTAD DE INGENIERÍA ELÉCTRICA DEPARTAMENTO DE ELECTRÓNICA Y TELECOMUNICACIONES. Sistema de Detección de Intrusos de alerta temprana en la red UCLV. Tesis presentada en opción al Título Académico de Máster en Telemática. Maestría en Telemática Autor: Ing. Carlos Miguel Bustillo Rodríguez Tutor: MSc. Ing. Manuel Oliver Domínguez. Santa Clara, Cuba, 2015.

(2) RESUMEN La dinámica actual en las redes de computadoras requiere de inteligencias capaces de analizar, correlacionar y tomar decisiones sin la presencia de inmediata de humanos. Los Sistemas de Detección y Prevención de Intrusos garantizan la seguridad e integridad de los datos mediante alertas tempranas que permiten al administrador conocer incidentes y corroborar que el mismo no es un falso positivo, así como tomar acciones de forma automatizada. En el presente trabajo se explica el funcionamiento, las clasificaciones más comunes, diferencias entre ambas tecnologías y vulnerabilidades que presentan, así como las implementaciones más usadas. Se mencionan las buenas prácticas empleadas para su correcto despliegue y puesta en marcha; además de un estudio de los entornos de aplicación. Las herramientas propuestas son basadas en software libre por lo que la propuesta recae en AlienVault OSSIM, el único sistema SIEM de este tipo. Se procede a caracterizar dicha herramienta, así como explicar sus componentes funcionales, arquitectura, herramientas que la componen, consideraciones de despliegue. Finalmente se explica el proceso de instalación y administración, incluido la buenas prácticas de configuración a seguir; personalización de las reglas de detección y políticas de seguridad, análisis de activos; detección de amenazas entre otras tareas comunes a realizar. Con la implementación de dicho sistema se logró alcanzar en la UCLV un mayor nivel de detección de amenazas, así como prevención de las mismas a corto plazo ya que el equipo de seguridad cuenta con una plataforma que correlaciona y gestiona todos los eventos de seguridad de forma centralizada.. Palabras Clave: IDS, IPS, Sistemas de Detección de Intrusos, Sistemas de Prevención de intrusos, Seguridad en redes, OSSIM.

(3) ÍNDICE RESUMEN .............................................................................................................................. 2 ÍNDICE ................................................................................................................................... 3 INTRODUCCIÓN .................................................................................................................... 1 CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS................................................ 4 1.1. Introducción a la Seguridad Informática .................................................................... 4. 1.1.1. Principales estándares y regulaciones ............................................................... 5. 1.1.2. Detección de intrusos ........................................................................................ 6. 1.2. Introducción a los Sistemas de Detección de Intrusos .............................................. 6. 1.2.1. Definición de IDS ............................................................................................... 7. 1.2.2. Importancia del uso de IDS................................................................................ 7. 1.2.3. Arquitectura de los IDS ...................................................................................... 8. 1.2.4. Clasificación de los IDS ................................................................................... 10. 1.2.5. Herramientas y complementos para IDS ......................................................... 12. 1.3. Sistemas de Prevención de Intrusos ....................................................................... 13. 1.4. Diferencias entre IDS e IPS .................................................................................... 14. 1.5. Seguridad en entornos virtualizados ....................................................................... 15. 1.6. Limitaciones de los IDS/IPS .................................................................................... 16. 1.7. Despliegue y ubicación de IDS/IPS ........................................................................ 17. 1.8. Soluciones actuales para IDS/IPS .......................................................................... 19. 1.8.1. Soluciones comerciales ................................................................................... 20. 1.8.2. Soluciones no comerciales .............................................................................. 21. 1.9. Conclusiones .......................................................................................................... 23. CAPÍTULO 2. IMPLEMENTACIÓN DE UN IDS/IPS ........................................................... 24 2.1. Selección de las soluciones adecuadas.................................................................. 24. 2.1.1. Redes cableadas ............................................................................................. 24. 2.1.2. Redes inalámbricas ......................................................................................... 25. 2.1.3. Sistemas de Gestión de Información y Eventos de Seguridad ......................... 26.

(4) ÍNDICE 2.1.4 2.2. Selección del candidato ................................................................................... 28. Gestión de Información de Seguridad basada en Código Abierto (OSSIM) ............ 29. 2.2.1. Características................................................................................................. 29. 2.2.2. Componentes funcionales de OSSIM .............................................................. 30. 2.2.3. Capas de OSSIM ............................................................................................. 33. 2.2.4. Proceso de Detección...................................................................................... 34. 2.2.5. Arquitectura ..................................................................................................... 36. 2.3. Herramientas integradas en OSSIM ....................................................................... 37. 2.4. Requerimientos ...................................................................................................... 38. 2.4.1. Requerimientos de hardware ........................................................................... 38. 2.4.2. Requerimientos de red .................................................................................... 39. 2.5. Despliegue de Componentes de OSSIM ................................................................ 40. 2.5.1. Servidor ........................................................................................................... 40. 2.5.2. Framework ...................................................................................................... 40. 2.5.3. Base de Datos ................................................................................................. 41. 2.5.4. Sensor ............................................................................................................. 42. 2.6. Consideraciones de despliegue en las ubicaciones ................................................ 43. 2.7. Combinaciones comunes de configuración de componentes .................................. 43. 2.7.1. All-in-One ........................................................................................................ 44. 2.7.2. Un solo Servidor, múltiples Sensores .............................................................. 44. 2.7.3. Múltiples Servidores, múltiples Sensores......................................................... 45. 2.8. Ubicación física y lógica.......................................................................................... 45. 2.8.1 Instalación de la plataforma .................................................................................. 47 2.9. Administración ........................................................................................................ 47. 2.9.1. Administración vía web .................................................................................... 47. 2.9.2. Administración vía consola SSH ...................................................................... 48. 2.10. Conclusiones .......................................................................................................... 50. CAPÍTULO 3. CONFIGURACIÓN Y ANÁLISIS DE LOS RESULTADOS ........................... 51 3.1. Configuración a través del asistente de inicio ......................................................... 51. 3.1.1. Configuración de las interfaces de red ............................................................. 52. 3.1.2. Descubrimiento de activos en la red ................................................................ 53. 3.1.3. Despliegue de HIDS en los servidores............................................................. 54.

(5) ÍNDICE 3.1.4. Administración de Logs ................................................................................... 55. 3.1.5. Configuración de OTX ..................................................................................... 55. 3.2. Configuración adicional .......................................................................................... 56. 3.2.1. Configuración de un proxy para las actualizaciones del sistema ..................... 57. 3.2.2. Integración de OSSIM con MS AD/Samba4 AD............................................... 57. 3.2.3. Configurar el sistema para el envío de correos ................................................ 59. 3.3. Administración de Activos ....................................................................................... 59. 3.3.1. Aspectos a tener en cuenta ............................................................................. 60. 3.3.2. Interfaz de Activos ........................................................................................... 61. 3.4. Análisis de Vulnerabilidades ................................................................................... 62. 3.4.1. Ejecución y programación de los análisis de vulnerabilidades ......................... 62. 3.4.2. Análisis de reportes ......................................................................................... 63. 3.4.3. Actualización de las firmas de vulnerabilidades ............................................... 64. 3.5. Detección de Amenazas ......................................................................................... 65. 3.5.1. Detección de intrusiones en redes ................................................................... 65. 3.5.2. Detección de intrusiones en estaciones ........................................................... 67. 3.5.3. Reportes detallados de amenazas................................................................... 68. 3.5.4. Análisis de eventos de IDS .............................................................................. 69. 3.5.5. Interfaz de Alarmas.......................................................................................... 70. 3.6. Configuración de Políticas, Acciones y Directivas de Correlación ........................... 71. 3.6.1. Políticas personalizadas .................................................................................. 72. 3.6.2. Descarte de eventos ........................................................................................ 73. 3.6.3. Configuración de acciones............................................................................... 74. 3.6.4. Envío de correos generados por directivas de eventos .................................... 75. 3.6.5. Envío de alertas desde la plataforma OTX ...................................................... 75. 3.6.6. Configuración de Directivas de Correlación y Correlación Cruzada ................. 76. 3.7. Comportamiento del monitoreo ............................................................................... 78. 3.7.1. Configuración de NetFlow................................................................................ 79. 3.7.2. Configuración del dispositivo externo y validación ........................................... 80. 3.8. Mantenimiento del sistema ..................................................................................... 81. 3.8.1. Respaldo del sistema y restauración ............................................................... 81. 3.8.2. Actualización del sistema................................................................................. 82.

(6) ÍNDICE 3.9. Análisis de los resultados en la red UCLV .............................................................. 82. 3.10. Conclusiones .......................................................................................................... 84. CONCLUSIONES ................................................................................................................. 85 RECOMENDACIONES ......................................................................................................... 86 BIBLIOGRAFÍA ..................................................................................................................... 87 GLOSARIO ........................................................................................................................... 92 ANEXOS............................................................................................................................... 95 Anexo I: Network Tap. ....................................................................................................... 95 Anexo II: Características físicas del servidor Dell PowerEdge 1950. ................................. 97 Anexo III: Instalación avanzada en versiones superiores a la 4.2 de AlienVault OSSIM. ... 98 Anexo IV: Proceso de instalación de AlienVault USM 4.8 (64 Bit). .................................... 99 Anexo V: Ventana principal y áreas. Componentes. ........................................................ 105 Anexo VI: Script alienvault_ossim_bkp.sh ....................................................................... 111 Anexo VII: Script alienvault_ossim_restore.sh ................................................................. 112.

(7) INTRODUCCIÓN Las organizaciones dependen cada vez más de sistemas informáticos para su funcionamiento diario. La existencia de atacantes, tanto internos como externos, que pretenden acceder ilegítimamente a sistemas informáticos, con el objetivo de sustraer información confidencial, modificar o eliminar información, sea con un interés concreto o por simple entretenimiento, hace que la seguridad informática evolucione constantemente. La cantidad de intentos de accesos no autorizados a la información que existe en Internet ha crecido durante estos últimos años. Muchas compañías, normalmente por motivos de coste, han migrado información clave a Internet, exponiéndola hacia el exterior. Además, para comodidad de los trabajadores que solicitan teletrabajo, las compañías han tenido que "abrir sus puertas" para permitir la conexión a la intranet de la empresa desde sus casas. Desafortunadamente, cuando los atacantes comprometen los sistemas de entrada, también ganan acceso a datos de la organización. La incorporación de firewalls y redes privadas virtuales (VPN) para permitir de forma segura que los usuarios externos se puedan comunicar con la intranet de la organización ha aliviado un poco el problema; un firewall con una política correcta puede minimizar el que muchas redes queden expuestas. Sin embargo, los ataques han evolucionado y aparecen nuevas técnicas como los Troyanos, gusanos y escaneos silenciosos que atraviesan los firewalls tradicionales mediante protocolos permitidos como HTTP, ICMP o DNS. Los atacantes buscan vulnerabilidades en los pocos servicios que el firewall permite y enmascaran sus ataques dentro de estos protocolos, quedando la red expuesta de nuevo. [1] En la década del 80 del siglo pasado comenzaron los primeros desarrollos de programas que monitoreaban el uso de sistemas y redes. En los últimos años se han producido grandes avances en esta área, y la mayoría de las empresas dedicadas a la seguridad ofrecen productos para la detección de intrusos [2]. Los sistemas de detección de intrusos (IDS, de sus siglas en inglés Intrusion Detection System) están constantemente vigilando, e incorporan mecanismos de análisis de tráfico y de análisis de sucesos en sistemas operativos y aplicaciones que les permiten detectar accesos no permitidos en tiempo real. Aunque muchos análisis de red y técnicas de ataques son conocidos desde hace varias décadas, no ha sido hasta hace poco tiempo que las herramientas para producir análisis sofisticados a redes han llegado a estar disponibles para el público en general. Por ejemplo, el análisis de puertos que estaba públicamente disponible en la década del 90 del siglo pasado, consistía simplemente en intentos de conexiones hacia todos los puertos potencialmente activos [2]. Sin embargo, los escáneres modernos incluyen modos de identificación del sistema operativo, pueden escanear rangos de direcciones IP enteros de forma aleatoria y oculta, e incluso enviar “escaneos señuelo” para hacer más difícil al objetivo el identificar quién es realmente el origen de la agresión..

(8) INTRODUCCIÓN Los atacantes también intentan forzar a los sistemas de detección de intrusos, ya sea saturándolos de tráfico a analizar o bien mediante herramientas que les proporcionan información falsa de lo que pasa por la red. El hecho de que los atacantes estén incorporando técnicas anti-IDS a su arsenal, los coloca en situación más ventajosa frente a organizaciones que ni siquiera disponen de un IDS. [3] Se ha demostrado que las instituciones que no emplean sistemas de alerta temprana, son más fáciles de atacar y vulnerar, ya que no es posible avisar al personal de seguridad durante el ataque o prevenirlo de forma automática. La Universidad Central “Marta Abreu” de Las Villas (UCLV) cuenta con una gran red de computadoras interna que abarca todo el campus universitario, interconecta las sedes universitarias así como el Colegio Universitario de Formación Básica (CUFB); además posee una red inalámbrica que brinda servicio a todos los usuarios que se encuentran registrados. Las conexiones de la UCLV con el mundo externo son mediante el canal nacional del Ministerio de Educación Superior (MES) e Internet, siendo éste último por donde más se reportan ataques informáticos. Actualmente no existe en la institución una solución centralizada y automatizada que sea capaz de detectar y alertar sobre los diferentes ataques informáticos que se producen en el nodo central, aunque si se cuenta con soluciones y herramientas aisladas que permiten minimizar los ataques y enviar alertas, pero en ocasiones puede llegar a ser tedioso para los especialistas en seguridad informática detectar el origen del evento dada la cantidad de información generada. Por lo que surge la siguiente interrogante: ¿Cómo desplegar un sistema de detección de intrusos en la red UCLV con políticas propias que garanticen de forma eficiente la gestión y alerta temprana de intrusiones? El presente trabajo tiene como objetivo general: Implementar un sistema de detección y prevención de intrusos en la red UCLV. Así como los siguientes objetivos específicos:  Describir los antecedentes y características de los sistemas de detección y prevención de intrusiones.  Seleccionar una herramienta viable que se adecue a las condiciones de la red UCLV.  Desarrollar políticas propias de detección que posibiliten la generación de alarmas fiables.  Evaluar el funcionamiento del sistema a partir de la propuesta seleccionada. Para lograr los objetivos anteriores se llevaron a cabo las siguientes tareas: 1) La realización de un estudio de las principales implementaciones de sistemas de detección de intrusos. 2) El estudio profundo del tema y de los elementos teóricos que incluyen el mismo. 2.

(9) INTRODUCCIÓN 3) El análisis de la infraestructura de red que posee la UCLV, así como del equipamiento para lograr la implementación del proyecto. 4) La selección de la tecnología de detección de intrusos que se adecue a la red UCLV. 5) La creación de políticas propias para la detección de intrusiones específicas. 6) La creación de una metodología que permita implementar y aplicar reglas en el sistema de detección de intrusos seleccionado. 7) La evaluación de los resultados obtenidos en la propuesta del proyecto. Como hipótesis de la investigación se espera mejorar los niveles de seguridad en el backbone de la UCLV y desarrollar políticas propias que mejoren los niveles de detección de intrusiones. La investigación se desarrolló sobre los siguientes métodos científicos:  Histórico-lógico. Se utilizó para indagar en el desarrollo histórico del tema, su génesis y su evolución.  Analítico-Sintético. Permitió analizar detalladamente la documentación relacionada con el tema desde su nacimiento hasta su desarrollo actual. Dio la posibilidad de llegar a conclusiones de las teorías y las metodologías estudiadas sobre el tema y las principales implementaciones.  Inductivo-Deductivo. Posibilitó establecer generalidades en cuanto al diseño de políticas que permitieron incrementar los niveles de detección. Con el desarrollo de la presente tesis se espera aportar: 1) Una propuesta tecnológica y económica que garantice un nivel aceptable de detección de irregularidades. 2) Un mejor nivel de seguridad del backbone de la UCLV ante ataques procedentes de redes externas. 3) Un material de estudio de referencia para la correcta implementación de sistemas de detección de intrusos en las instituciones y universidades cubanas.. 3.

(10) CAPÍTULO 1.. SISTEMAS DE DETECCIÓN DE INTRUSOS. El presente capítulo define qué son los sistemas de detección de intrusos y la importancia de los mismos. Se explican la arquitectura que poseen los IDS; además se expone la clasificación existente teniendo en cuenta los criterios de diferentes autores. Finalmente se mencionan las soluciones existentes actualmente para implementar un IDS en redes de computadoras.. 1.1 Introducción a la Seguridad Informática La seguridad en los sistemas informáticos es una cuestión de gran importancia que viene siendo objeto de estudio desde 1970. El concepto de seguridad hace referencia a las medidas y al control destinados a la protección contra la negación de servicio y la ausencia de autorización (ya sea de forma accidental o intencionada) para descubrir, modificar o destruir datos o sistemas. [4] En muchas ocasiones el término “seguridad” se sustituye por el de “fiabilidad”, debido a la dificultad y según la mayoría de estudios e investigaciones, a la imposibilidad de garantizar esta característica en los sistemas operativos o redes de computadores. Se define la fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de él. Así pues, se habla de sistemas fiables en lugar de sistemas seguros. De forma general, se entiende que mantener un sistema seguro, o fiable, consiste básicamente en garantizar cuatro aspectos: confidencialidad, integridad, disponibilidad y no repudio. La confidencialidad, requiere que la información sea accesible únicamente por aquellos que estén autorizados. La integridad, que la información se mantenga inalterada ante accidentes o intentos maliciosos. La disponibilidad significa que el sistema informático se mantenga trabajando sin sufrir ninguna degradación en cuanto a accesos y ofrezca los recursos que requieran los usuarios autorizados cuando éstos los necesiten. Por último, el no repudio garantiza al emisor que la información fue entregada y ofrece una prueba al receptor del origen de la información recibida. [4] La seguridad informática como concepto ha venido evolucionando a lo largo del tiempo. Inicialmente fue una disciplina dominada por la élite de los profesionales especializados en el tema, pero desde comienzos del presente siglo se propone una visión más abarcadora de la seguridad de la información, que vincula de manera formal elementos como la tecnología, el individuo y la organización, enfatizando en el estudio de estos y sus relaciones, para repensar la seguridad informática más allá de la experiencia tecnológica tradicional. [5] Según varios autores [5, 6], la seguridad informática ha transitado en la historia a través de cuatro etapas o periodos. La primera etapa se caracterizó por el aspecto técnico, la segunda estuvo relacionada con el enfoque de gestión, donde aspectos como políticas y procesos comenzaron a ser tenidos en cuenta. El tercer periodo se caracterizó por la estandarización y comenzaron a aparecer documentos de buenas prácticas y certificaciones. Temas como la.

(11) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS cultura de seguridad informática, la evaluación y la supervisión comenzaron a ser importantes. La última etapa ha sido impulsada por las regulaciones, donde la seguridad informática ha pasado a ser un aspecto clave para los directivos de las organizaciones y por tanto es atendida desde el primer nivel de dirección.. 1.1.1 Principales estándares y regulaciones Actualmente existen una serie de estándares y regulaciones que permiten definir parámetros generales que garanticen niveles de seguridad adecuados. Estos deben de ser de estricto cumplimiento, aunque muchos países hacen adaptaciones de las mismas como la Resolución 127/2007 del Ministerio de la Informática y la Comunicaciones de Cuba, la cual constituye “reglamento de seguridad para las tecnologías de la información” en el país. ISO/IEC 27001 y 27002 La Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) han elaborado un grupo de estándares que constituyen una referencia a nivel mundial en la temática de seguridad de la información. La serie ISO/IEC 27000 está destinada completamente a la seguridad informática, donde los estándares ISO/IEC 27001 y 27002 abordan el tema de manera general, y el resto trata temas específicos que complementan a los anteriores. El proceso de gestión de la seguridad informática se encuentra descrito en el estándar ISO/IEC 27001, el cual constituye una norma certificable a nivel internacional. Esta norma ofrece un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). Se plantea la utilización del modelo PDCA (Plan - planificar, Do - hacer, Check – verificar, Act - actuar), para llevar a cabo estos objetivos. [5] NIST SP 800-53 La división de seguridad del Instituto Nacional de Estándares y Tecnologías de EEUU (NIST) posee gran prestigio a nivel internacional y desarrolla un grupo de especificaciones técnicas, procedimientos y estándares sobre seguridad de la información. Las publicaciones especiales (SP) en su serie 800 están destinadas completamente a esta temática. En ellas se presentan varías guías y estándares resultantes de un trabajo colaborativo entre la industria, el gobierno y organizaciones académicas. A pesar de que el estándar NIST SP 800-53 constituye una regulación solo en EEUU, esta publicación es muy utilizada y referenciada a nivel internacional por el prestigio que normalmente poseen los estándares del NIST. El estándar contiene una recomendación de controles de seguridad informática que pueden servir en general para diferentes organizaciones y toda la documentación pueden ser obtenida sin costo alguno. En este caso se especifican 18 dominios de seguridad y 198 controles, clasificados en técnicos, operacionales y de gestión.. 5.

(12) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS. 1.1.2 Detección de intrusos Dentro del proyecto de evaluación de detección de intrusos DARPA, Kendall [7], desarrolló una base de datos de ataques similares, que se puede encontrar en los conjuntos de datos de evaluación de detección de intrusos DARPA. En esta base de datos, utilizada actualmente como elemento evaluador y comparativo de los sistemas de detección desarrollados por los investigadores, los ataques se clasifican en cuatro grupos principales, utilizando como criterio el tipo de ataque. A continuación se describen dichos ataques: . Denegación de Servicio (DoS). Estos ataques tratan de detener el funcionamiento de una red, máquina o proceso; en caso contrario denegar el uso de los recursos o servicios a usuarios autorizados. Hay dos tipos de ataques DoS: 1) por un lado ataques de sistema operativo, los cuales tratan de explotar los fallos en determinados sistemas operativos y pueden evitarse aplicando los respectivos parches; y 2) ataques de red, que explotan limitaciones inherentes de los protocolos e infraestructuras de red.. . Indagación o exploración (probing). Este tipo de ataques escanea las redes tratando de identificar direcciones IP válidas y recoger información acerca de ellas (servicios que ofrecen, sistemas operativos que usan). A menudo, esta información provee al atacante una lista de vulnerabilidades potenciales que podrían ser utilizadas para cometer ataques a los servicios y a las máquinas. Estos ataques son los más frecuentes, y a menudo son precursores de otros ataques.. . R2L (Remote to Local). Este tipo de ataque se produce cuando un atacante no dispone de cuenta alguna en una máquina, logra acceder (tanto de usuario como root) a dicha máquina. En la mayoría de los ataques R2L, el atacante entra en el sistema informático a través de Internet.. . U2R (User to Root). Este tipo de ataque se da cuando un atacante que dispone de una cuenta en un sistema informático es capaz de obtener mayores privilegios explotando vulnerabilidades en los mismos, un agujero en el sistema operativo o en un programa instalado en el sistema.. Ante estos tipos de amenazas surgió la necesidad de implementar sistemas que fueran capaces de garantizar la confidencialidad, integridad, disponibilidad y el no repudio de la información.. 1.2 Introducción a los Sistemas de Detección de Intrusos La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red y la dependencia hacia los sistemas de información.. 6.

(13) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS. 1.2.1 Definición de IDS Un IDS puede ser un dispositivo hardware autocontenido con una o varias interfaces, que se conecta a una o varias redes; o bien una aplicación que se ejecuta en una o varias máquinas y analiza el tráfico de red que sus interfaces ven y/o los eventos generados por el sistema operativo y las aplicaciones locales. [4] Para hablar sobre detección de intrusos hay que definir qué se entiende por intromisión. Las intromisiones se definen en relación a una política de seguridad: una intromisión es una violación de la política de seguridad establecida. A menos que se conozca lo que está permitido o no en un sistema, no tiene sentido hablar de detección de intrusos [8]. De manera más concisa se puede definir una intromisión como un conjunto de acciones deliberadas dirigidas a comprometer la integridad (manipular información), confidencialidad (acceder ilegítimamente a información) o disponibilidad de un recurso (perjudicar o imposibilitar el funcionamiento de un sistema). [9, 10] Un IDS puede compartir u obtener información de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras máquinas de la red. Esta característica de los IDS recibe el nombre de interoperabilidad. Otra característica a destacar en los IDS, es la correlación, que consiste en la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.. 1.2.2 Importancia del uso de IDS Los IDS han ganado aceptación como una pieza fundamental en la infraestructura de seguridad de la organización. Hay varias razones para adquirir y usar un IDS:. 7. . Prevenir problemas al disuadir a individuos hostiles. Al incrementar la posibilidad de descubrir y castigar a los atacantes, el comportamiento de algunos cambiará de forma que muchos ataques no llegarán a producirse.. . Detectar ataques y otras violaciones de la seguridad que no son prevenidas por otras medidas de protección. Un IDS puede detectar cuando un atacante ha intentado penetrar en un sistema explotando un fallo no corregido. De esta forma, el administrador es notificado para llevar a cabo un respaldo del sistema inmediatamente, evitando así que se pierda información valiosa.. . Detectar preámbulos de ataques (normalmente pruebas de red y otras actividades). Una red bajo la supervisión de un IDS presenta una mayor dificultad a atacante. Aunque éste puede examinar la red, el IDS observará estas pruebas, las identificará como sospechosas, podrá activamente bloquear el acceso del atacante al sistema.

(14) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS objetivo y avisará al personal de seguridad de lo ocurrido para que tome las acciones pertinentes. . Documentar el riesgo de la organización. Cuando se hace un plan para la gestión de seguridad de la red o se desea redactar la política de seguridad de la organización, es necesario conocer cuál es el riesgo de la organización a posibles amenazas, la probabilidad de ser atacada o si incluso ya está siendo atacada.. Proveer información útil sobre las intrusiones que se están produciendo. Incluso cuando los IDS no son capaces de bloquear ataques, pueden recoger información relevante sobre éstos. Esta información puede, bajo ciertas circunstancias, ser utilizada como prueba en actuaciones legales. También se puede usar esta información para corregir fallos en la configuración de seguridad de los equipos o en la política de seguridad de la organización.. 1.2.3 Arquitectura de los IDS Durante el transcurso de los años surgieron varias propuestas para definir la arquitectura de los IDS, en la medida de las posibilidades y ventajas que brindaban fueron empleadas por uno u otro fabricante, lo que aseguró la interoperabilidad entre ellos. A continuación se presentan las principales. CIDF (Common Intrusion Detection Framework) Fue un primer intento de estandarización de la arquitectura de un IDS. No logró su aceptación como estándar [11], pero estableció un modelo y un vocabulario para discutir sobre las intromisiones. Muchos de los que trabajaron en el proyecto original están fuertemente involucrados en los esfuerzos del Intrusion Detection Working Group, IDWG del Internet Engineering Task Force [12]. El CIDF contempla cuatro tipos básicos de equipos (Figura 1.1):. 8. . Equipos E: conocidos como generadores de eventos, son los sensores. Su trabajo es detectar eventos y lanzar informes.. . Equipos A: reciben informes y realizan análisis. Pueden ofrecer una prescripción y un curso de acción recomendado.. . Equipos D: son componentes de bases de datos. Pueden determinar si se ha visto antes una dirección IP o un ataque por medio de correlación y pueden realizar análisis de pistas.. . Equipos R: o equipos de respuesta, pueden tomar el resultado de los equipos E, A y D y responder a los eventos..

(15) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS. Figura 1.1: Diagrama en bloques del CIDF.. CISL (Common Intrusion Specification Language) Ante la necesidad de unir los cuatro tipos de equipos anteriores surge el CISL (Common Intrusion Specification Language); los diseñadores de éste pensaron que el lenguaje debería ser capaz al menos de transmitir los siguientes tipos de información: . Información de eventos en bruto. Auditoría de registros y tráfico de red. Sería el encargado de unir equipos E con equipos A.. . Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques detectados. Uniría equipos A con D.. . Prescripciones de respuestas. Detener determinadas actividades o modificar parámetros de seguridad de componentes. Encargado de la unión entre equipos A y R.. Al ser un lenguaje un poco complicado, no tuvo gran aceptación en la comunidad de seguridad. Arquitectura de IDWG (Intrusion Detection Working Group) El IETF rechazó el enfoque de CIDF, debido a su complejidad, y creó un grupo de trabajo llamado IDWG (Intrusion Detection Working Group) que tenía como objetivo el de definir formatos y procedimientos de intercambio de información entre los diversos subsistemas del IDS. Los resultados de este grupo de trabajo comprenden [12]: 1) Documentos que describan los requerimientos funcionales de alto nivel para la comunicación entre sistemas de detección de intrusos y sus sistemas de gestión. 2) Un lenguaje común de especificación que describa el formato de los datos.. 9.

(16) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS 3) Un marco de trabajo que identifique los mejores protocolos que se pueden usar para la comunicación entre los IDS y que defina cómo se mapean en éstos lo formatos de datos. Actualmente no está aprobado como un estándar.. 1.2.4 Clasificación de los IDS Existen varias formas de clasificar los IDS, donde la más aceptada y completa es la mostrada en la Figura 1.2; mientras la más conocida es la basada en el origen de datos: NIDS (Network Intrusion Detection System), HIDS (Host Intrusion Detection System) e Híbridos. Cada uno de ellos se caracteriza por diferentes aproximaciones de monitoreo y análisis, así como distintas ventajas y desventajas.. Figura 1.2: Clasificación de los IDS.. En las siguientes secciones se explican en qué consiste el NIDS y el HIDS. IDS basados en red (NIDS) La mayor parte de los sistemas de detección de intrusos están basados en red. Estos IDS detectan ataques mediante la captura y análisis de paquetes de la red. A través de escucha en un segmento, un NIDS puede monitorizar el tráfico que afecta a múltiples estaciones que están conectados a ese segmento de red, protegiéndolas de esta forma. Desventajas:. 10. . Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho tráfico y pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto.. . Los IDS basados en red no analizan la información cifrada. Este problema se incrementa cuando la organización utiliza cifrado en el propio nivel de red (IPSec) entre estaciones, pero se puede resolver con una política de seguridad más relajada (por ejemplo, IPSec en modo túnel)..

(17) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS . Los IDS basados en red no saben si el ataque tuvo o no éxito, lo único que pueden saber es que el ataque fue lanzado. Esto significa que después de que un NIDS detecte un ataque, los administradores deben manualmente investigar cada estación atacada para determinar si el intento de penetración tuvo éxito o no.. . Algunos NIDS tienen problemas al tratar con ataques basados en red que viajan en paquetes fragmentados. Estos paquetes hacen que el IDS no detecte dicho ataque o que sea inestable e incluso pueda llegar a caer.. IDS basados en estaciones (HDIS) Los HIDS fueron el primer tipo de IDS desarrollados e implementados. Operan sobre la información recogida desde dentro de una computadora, ejemplo los archivos de auditoría del sistema operativo. Esto permite que el IDS analice las actividades que se producen con una gran precisión, determinando exactamente qué procesos y usuarios están involucrados en un ataque particular dentro del sistema operativo. A diferencia de los NIDS, los HIDS pueden ver el resultado de un intento de ataque, al igual que pueden acceder directamente, supervisar los archivos de datos y procesos del sistema atacado. Ventajas: . Los IDS basados en host, al tener la capacidad de monitorizar eventos locales a un host, pueden detectar ataques que no pueden ser vistos por un IDS basado en red.. . Pueden a menudo operar en un entorno en el cual el tráfico de red viaja cifrado, ya que la fuente de información es analizada antes de que los datos sean cifrados en el host origen y/o después de que los datos sean descifrados en el host destino.. Desventajas:. 11. . Los IDS basados en estaciones son más costosos de administrar, ya que deben ser gestionados y configurados en cada estación supervisada. Mientras que con los NIDS se tiene un IDS por múltiples sistemas supervisados, con los HIDS se emplea un IDS por sistema supervisado.. . Si la estación de análisis se encuentra dentro de la estación supervizada, el IDS puede ser deshabilitado si un ataque logra tener éxito sobre la máquina.. . No son adecuados para detectar ataques a toda una red (por ejemplo, análisis de puertos) puesto que el IDS sólo ve aquellos paquetes de red enviados a él.. . Pueden ser deshabilitados por ciertos ataques de DoS.. . Usan recursos de las estaciones que están supervisan, lo que influye en el rendimiento del mismo..

(18) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS. 1.2.5 Herramientas y complementos para IDS La utilidad de un sistema de detección de intrusos debe ser evaluada mediante la relación que existe entre la probabilidad que tiene el sistema de detectar un ataque y la probabilidad de emitir falsas alarmas. Teniendo en cuenta el gran número de alertas que se generan y la gran cantidad de falsas alarmas producidas, la gestión o revisión de éstas se convierte en una tarea muy complicada y la carga de trabajo se multiplica para los administradores de sistemas. Son pues, sistemas que requieren de un mantenimiento y una supervisión constante. [13] Actualmente, hay herramientas gráficas que permiten visualizar los datos almacenados por los sistemas de detección y los presentan en distintas interfaces permitiendo encontrar y analizar detalles, tendencias y problemas que a simple vista no son fáciles de identificar. El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el análisis de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento. [14] Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, en el punto por donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. [15] Las herramientas de análisis de vulnerabilidades determinan si una red o estación es vulnerable a ataques conocidos. La valoración de vulnerabilidades representa un caso especial del proceso de la detección de intrusiones. Los sistemas que realizan valoración de vulnerabilidades funcionan en modo de lotes (batch) y buscan servicios y configuraciones con vulnerabilidades conocidas en la red. [16] Los Comprobadores de Integridad de Archivos (File Integrity Checkers) son otra clase de herramientas de seguridad que complementan a los IDS. Utilizan resúmenes de mensajes (message digest) u otras técnicas criptográficas para hacer un compendio del contenido de archivos y objetos críticos en el sistema y detectar cambios, de tal forma que para cualquier cambio del contenido del archivo el compendio sea totalmente distinto y que sea casi imposible modificar el archivo de forma que el compendio sea igual al original [17]. El uso de estos controladores es importante, puesto que los atacantes a menudo alteran los sistemas de archivos una vez que tienen acceso completo a la máquina, dejando puertas traseras que más tarde facilitan su entrada al sistema de forma silenciosa. Los Honeypots son sistemas que pueden ser empleados como IDS ya que están diseñados para ser atacados y capturan de forma silenciosa todos los movimientos de los atacantes. Se 12.

(19) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS usan ampliamente para investigar sobre nuevos ataques, y facilitan la incorporación de nuevas firmas en los IDS. Poseen las siguientes funcionalidades: evitan que el atacante acceda a sistemas críticos; recogen información sobre la actividad del atacante y permiten al administrador recabar pruebas de quién es el atacante y responda ante su Equipo de Respuesta ante Emergencias Informáticas (Computer Emergency Response Team, CERT) o al administrador del sistema origen de la agresión. [18]. 1.3 Sistemas de Prevención de Intrusos Desde el inicio, los desarrolladores de IDS no querían limitarse a monitorear y reportar incidencias. Así como la detección de intrusiones, la prevención de intrusiones ha sido largamente practicada por los administradores de red como parte de su rutina diaria. Ejemplos comunes de controles de prevención de intrusiones abarcan controles de acceso, establecimiento de contraseñas, análisis en tiempo real de antivirus, actualización de parches e instalación de firewalls perimetrales. Los controles de prevención de intrusiones, así como de IDS, implican contramedidas en tiempo real contra amenazas específicas. Por ejemplo el IDS puede notificar un ataque ping flood y denegar todo el tráfico que se genere en el futuro desde la IP detectada como origen del ataque. De forma alternativa, un HIDS puede detener un programa maliciosos que está intentando modificar archivos del sistema. [19] Los IDS de segunda generación son clasificados como Sistemas de Prevención de Intrusiones (Intrusion Prevention System, IPS). Las respuestas que proporcionan estos sistemas son acciones automatizadas tomadas cuando se detectan ciertos tipos de intrusiones, como detener el ataque o interactuar con un sistema externo para desarticularlo. [14] Si el IPS es colocado como se muestra en la Figura 1.3, puede monitorear el tráfico en tiempo real. Este tipo de configuración es conocida como en línea (inline), los IPS en línea pueden denegar paquetes, resetear conexiones y redireccionar el tráfico sospechoso hacia áreas de cuarentena para su inspección por parte del equipo de seguridad. Si el IPS no es en línea y sólo está inspeccionando el tráfico, puede darle instrucciones a otro sistema de red perimetral para detener el ataque. Para que un IPS coopere con un dispositivo externo, deben de compartir un leguaje de scripting común, API o algún otro mecanismo de comunicación. Aunque esta nueva tecnología se encuentra en constante evolución, todavía está muy lejos de poder proporcionar el análisis y el juicio de una persona o de un sistema inteligente. Estos sistemas no poseen motores inteligentes, sino que se basan en mecanismos de respuesta muy simples [4]. Por lo que se debe de tener mucho cuidado a la hora de definir las reglas y las acciones a tomar, ya que puede interrumpir el tráfico de la red ante un falso positivo.. 13.

(20) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS. Figura 1.3: IPS configurado para denegar los paquetes maliciosos antes que entren en la red interna.. La detección y prevención de intrusiones pueden haber pasado a segundo plano en los últimos años ya que la tecnología ha sido asimilada en soluciones de seguridad para redes complejas. Pero los sistemas de prevención de intrusiones siguen avanzando con características de última generación para hacer frente a inspecciones completas de pila y añadir más inteligencia a la funcionalidad estándar, tales como la correlación de eventos y análisis contextual de la información sobre amenazas, según la firma de investigación de mercado, Gartner. La detección avanzada de amenazas es otra característica de los IPS de nueva generación. Según Gartner, muchos productos de IPS añadirán alguna forma de inteligencia de amenazas. Al mismo tiempo los proveedores de estas tecnologías se están moviendo a ofrecer soluciones que abarquen la detección y prevención de intrusos. [20]. 1.4 Diferencias entre IDS e IPS Según el experto Puneet Mehta [21] de TechTarget: A simple vista la diferencia consiste en que los IDS están diseñados para informar que algo intenta acceder al sistema donde los IPS deben prevenir el acceso. Los IDS e IPS están diseñados para propósitos diferentes pero sus tecnologías son similares. Un IDS es más usado en situaciones donde hay necesidad de explicar que ha pasado en el ataque, mientras que los IPS detienen los ataques. Un sistema IDS recolecta una gran cantidad de información que no es manejable desde la perspectiva de un IPS, como los análisis de puertos y tipos de reconocimientos. El IDS analiza el tráfico mediante la comparación de firmas (signatures) en su base de datos, esto permite detectar exploits conocidos. Si algún tráfico coincide con alguna de las muestras en la base de datos, el IDS envía una alerta a un administrador que puede tomar una acción para prevenir el exploit o minimizar los daños. EL IPS opera de forma similar al IDS con una diferencia importante: puede bloquear el ataque por sí solo; mientras que un IDS se ubica fuera de la línea de tráfico y observa, el IPS se sitúa directamente en la línea de tráfico. Cualquier tráfico identificado por el IPS como malicioso es bloqueado.. 14.

(21) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS A pesar de estas diferencias son pocas las solucionas actuales de IDS que no incorporan las habilidades de los IPS, por lo que una solución más completa incluye ambas ya que es importante la supervisión por parte de un administrador y conocer qué está atacando la red, pero un control automatizado permite prevenir o minimizar el ataque.. 1.5 Seguridad en entornos virtualizados La virtualización ha permitido explotar al máximo los recursos de hardware con los que se cuenta, además permite salvas de forma rápida, despliegue de sistemas de alta disponibilidad, entre otros. En un sistema virtualizado sea un switch, router, servidor o red los IDS tradicionales no funcionan como se espera, por ejemplo los HIDS funcionan bien, pero pueden consumir recursos excesivos lo que atenta contra el rendimiento del sistema virtualizado. Algunas soluciones de switch virtualizado no permiten la creación de puertos espejos o SPAN (Switched Port Analyzer), lo que imposibilita que el tráfico sea copiado a los sensores de los IDS. Algo similar ocurre con los IPS lo que hace que no sea fácil de desplegar. Actualmente existen varias soluciones en el mercado, algunas libres que permiten monitorear un sistema de tráfico virtualizado [22]: Una solución fácil y rápida se puede encontrar en los switches virtuales de VMware Inc. Este permite a un grupo de switches o puertos operar en "modo promiscuo", donde un sensor virtual de IDS puede ver el tráfico en el mismo segmento virtual. De forma alternativa el tráfico puede ser enviado hacia una interfaz física que esté conectado a un sensor físico de IDS. Existe una gran cantidad de switches virtualizados gratis o de terceros que pueden operar como los tradicionales. Para implementaciones de KVMs de Citrix Systems Inc., y la plataforma Oracle Corp.'s VirtualBox, el proyecto Open vSwitch ofrece una solución completa de switch virtual que permite la creación de puertos SPAN para reflejar (mirroring) y monitorear tráfico. El switch comercial de Cisco, Nexus 1000v permite las mismas prestaciones y emplea la interfaz de comandos de Cisco IOS. Ambas soluciones soportan la captura y análisis de flujo de datos, el cual puede ser usado para analizar el comportamiento entre sistemas y redes. Muchos vendedores reconocidos como Sourcefire Inc., HP TippingPoint, e IBM ISS han adaptado sus plataformas de IDS e IPS a entornos virtuales, lo que permite integrarlos fácilmente en redes virtuales, analizar el tráfico entre las máquinas virtuales y entre las redes virtuales y físicas. Existen varias soluciones gratis a considerar como Snort y Shadow, estos IDS están disponibles como VMware Virtual Appliances. Pueden ser conectados dentro de los entornos virtuales de VMware para analizar y detectar intentos de intrusión. Esta es una ventaja notable de VMware sobre sus competidores. Otro ejemplo es el HIDS OSSEC, que ha sido verificado que trabaja dentro de máquinas virtuales, a pesar de que no hay garantía de rendimiento o estabilidad específicamente en entornos virtuales. 15.

(22) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS La mayoría de los agentes HIDS y HIPS comerciales son probados y modificados para que empleen pocos recursos en los sistemas virtuales, lo que evita la sobre carga del hypervisor. Aunque los dispositivos basados en estaciones todavía consumen muchos recursos y requieren una administración adicional. Según el experto Dave Shackleford [22] de TechTarget la pregunta clave que debe hacerse la mayoría de las organizaciones es: "¿Qué cantidad necesito monitorear?" Para muchos, las soluciones basadas en hardware pueden analizar hacia y desde redes virtuales, y actualmente se analiza poco.. 1.6 Limitaciones de los IDS/IPS Uno de los problemas más importantes de los NIDS es su incapacidad de reconstruir exactamente lo que está ocurriendo en un sistema que están monitorizando. Algunos de los ataques que los IDS pueden detectar, se pueden ver simplemente en el análisis de los paquetes IP; un intento de ocultar un ataque fragmentando paquetes IP se puede observar a través de un chequeo en el desplazamiento del fragmento dentro de su paquete IP correspondiente. La mayoría de los IDS comerciales implementan esta función. Otra técnica más depurada de anti-IDS se basa en los ataques con firmas polimórficas. En este caso, el ataque (por ejemplo, un exploit con un shellcode bien conocido) puede cambiar el juego de instrucciones en ensamblador con una funcionalidad idéntica, pero que generará una firma distinta y por lo tanto no será detectado por el IDS. Se puede dotar a la herramienta hacker de la suficiente inteligencia como para mutar automáticamente el shellcode lanzado en cada uno de sus ataques, haciendo inútil la tarea del detector de intrusos. Cada componente identificado por el modelo CIDF tiene implicaciones únicas de seguridad, y puede ser atacado de diferentes formas: a) Como único punto de entrada al sistema, las cajas E actúan como lo ojos y los oídos de un IDS. Un ataque que afecte a estas cajas E dejará al IDS incapaz de ver lo que realmente ocurre en los sistemas monitorizados. b) Por otra parte, un atacante que conozca el algoritmo de análisis que utiliza la caja A y descubra un fallo en su implementación será capaz de evadir la detección. c) Un atacante que pueda saturar de información los componentes D puede impedir que se almacene información sobre futuros ataques. d) Si se conoce como engañar a las cajas C, se podrá seguir atacando una red sin ningún tipo de contramedida. Los ataques de denegación de servicio también pueden dar al traste con una política de seguridad basada en un IDS. Es entonces cuando hay que decidir si el IDS será “fail-open” o “fail-closed” [23]. En el primer caso tenemos que cuando el IDS caiga, la red quedará. 16.

(23) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS totalmente abierta a merced de cualquier ataque, mientras que en el segundo caso, el tráfico hacia el exterior y viceversa quedará bloqueado. Los NIDS son inherentemente “fail-open”. Los ataques anti-IDS que más estragos causan son los de inserción y evasión. El ataque de inserción se basa en que un IDS puede aceptar paquetes que luego un sistema final va a rechazar. Un ataque de inserción ocurre cuando el IDS es menos estricto en procesar un paquete que el sistema final. Una reacción obvia a este problema puede ser la de hacer al IDS tan estricto como sea posible en procesar paquetes leídos de la red; esto podría minimizar los ataques de inserción, sin embargo, al hacer esto puede darse con facilidad el ataque de evasión. El ataque de evasión provoca que el IDS vea un flujo diferente que el sistema final. Esta vez, sin embargo, el sistema final toma más paquetes que el IDS, y la información que el IDS pierde es crítica para la detección del ataque.. 1.7 Despliegue y ubicación de IDS/IPS La estrategia de despliegue de IPS e IDS es [24]: . Primeramente desplegar el dispositivo en modo IDS, sin bloquear tráfico.. . Después de evaluar el rendimiento del dispositivo en la red, cambiar lentamente las reglas para obtener resultados aceptables (ejemplo umbral bajo para falsos positivos) a partir de las reglas del IDS que simplemente producen alertas, a reglas de IPS que bloquean el tráfico del atacante.. Otras estrategias para el despliegue de IPS incluyen: . Ejecutar el IPS en modo "monitor" hasta que el sistema esté correctamente puesto en punta.. . Mantener el número de reglas de bloqueo a un valor bajo, hasta que logre una configuración correcta y así se evitan falso positivos.. . Considerar emplear un configuración "fail-open" ya que si el dispositivo falla, no se pierde flujo de tráfico en la red.. La colocación del IDS es el principal aspecto a tener en cuenta en la implementación de estos sistemas ya que de ello dependerá el software escogido y a su vez las características de hardware. Red empresarial o institucional En este caso existen tres posibles zonas para colocar el IDS (Figura 1.4).. 17.

(24) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS. Figura 1.4: Colocación de un IDS en una red empresarial o institucional.. Cada una de las zonas presenta diferentes características: . Zona roja: Esta es una zona de alto riesgo. El IDS debe ser configurado para ser poco sensible, puesto que verá todo el tráfico que entre o salga de la red y habrá más probabilidad de falsas alarmas.. . Zona verde: El IDS debería ser configurado para tener una sensibilidad un poco mayor que en la zona roja, puesto que ahora, el firewall deberá ser capaz de filtrar algunos accesos definidos mediante la política de la institución. En esta zona aparece un menor número de falsas alarmas que en la zona roja, puesto que en este punto sólo deberían estar permitidos accesos hacia los servidores internos.. . Zona azul: Esta es la zona de confianza. Cualquier tráfico anómalo que llegue hasta aquí debe ser considerado como hostil. En este punto de la red se producirán el menor número de falsas alarmas, por lo que cualquier alarma del IDS debe de ser inmediatamente estudiada.. Es importante destacar que la zona azul no es parte de la red interna. Todo lo que llegue al IDS de la zona azul irá hacia el firewall o hacia el exterior. El IDS no escuchará ningún tipo de tráfico interno dentro de red privada. En el caso de tener un IDS a la escucha del tráfico interno (por ejemplo, colocado entre una VLAN y su Router), las falsas alarmas vendrán provocadas en su mayor parte por máquinas internas al acceder a los servidores de la red privada, por servidores internos (DNS sobre todo) y analizadores de red, por lo que habrá que configurar el IDS para que no sea muy sensible. Proveedor de Servicios de Internet. 18.

(25) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS Para un ISP es posible que el tráfico a la entrada de éste sea demasiado grande como para que sea técnicamente imposible instalar un único IDS que lo analice todo. Para estos casos es necesario un sistema de detección de intrusos que pueda separar los sensores de la estación de análisis. Una posible solución podría ser la de instalar un sensor en cada uno de los nodos que conectan físicamente con las organizaciones a las que da servicio el ISP, y que estos sensores envíen las alertas generadas a la estación de análisis (Figura 1.5). [4]. Figura 1.5: Distribución de los sensores dentro de un ISP.. Esta transmisión debe realizarse de forma segura o sea cifrada y a intervalos regulares, puesto que si el sensor avisa de la alerta nada más que ésta se ha producido, un atacante podría monitorizar el tráfico que genera el sensor hacia la estación de análisis y deducir si un ataque ha sido detectado por el sensor o no. De forma general existen cuatro formas de colocar los sensores de los IDS para los entornos descritos anteriormente [25]: . Fuera del firewall principal de la organización.. . En la red DMZ (dentro del firewall principal, pero fuera del firewall interno).. . Detrás de los firewalls internos.. . En subredes críticas, donde datos y sistemas críticos residen.. 1.8 Soluciones actuales para IDS/IPS Actualmente en el mercado existe una gran variedad de productos para la detección y prevención de intromisiones. Las soluciones comerciales se destacan por brindar una gran cantidad de información y características que en las soluciones no comerciales pueden no estar disponibles o cueste un poco más de trabajo reproducirlas.. 19.

(26) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS. 1.8.1 Soluciones comerciales Según TechTarget los productos elegidos como ganadores en el año 2014 se encuentran [20]: Cisco FirePower Next-Generation IPS Es una solución de IPS de nueva generación que permite el análisis contextual amenazas potenciales o actividades sospechosas. Está diseñado para ofrecerles a los clientes una visibilidad completa del comportamiento de la red en la que se despliega. Además incluye datos de eventos para aplicaciones, dispositivos, sistemas operativos, servicios en la nube, archivos y amenazas potenciales. Posee un detector de intrusiones en modo pasivo para notificaciones de actividad sospechosa y un modo en línea de prevención de intrusiones para bloquear las amenazas.. Figura 1.6: Cisco FirePower Next-Generation IPS hardware.. El NGIPS puede generar políticas IT de lista blanca y reglas personalizadas de IPS. Las capacidades de análisis pueden ser expandidas mediante el uso de características opcionales como inspección de aplicaciones y el control de características para más de 1800 aplicaciones, filtrado de URLs para más de 280 millones de dominios y más de 80 categorías de tipos de dominios. Los dispositivos FirePower (Figura 1.6) son construidos con baja latencia para ofrecer un hardware con mayor capacidad. Fortinet Fortigate (Fortiguard IPS) Esta solución ofrece dispositivos de gestión unificada de amenazas (en inglés: unified threat management, UTM), con un potente hardware que puede administrar enlaces a 160 Gbps con un excelente throughput. El servicio de prevención de intrusiones de FortiGuard (FortiGuard Intrusion Prevention Service) puede ser desplegado en cualquier FortiGate Next Generation Firewall o dispositivo de seguridad inalámbrico FortiWiFi. El IPS emplea una base de datos personalizable con más de 8000 amenazas conocidas que permiten los dispositivos FortiGate y FortiWifi detener los ataques de evaden a los firewalls tradicionales. Además ofrece un comportamiento basado en heurística, lo que permite que el sistema reconozca las amenazas que no se han visto.. 20.

(27) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS. Figura 1.7: Fortinet FortiGate FG-5060.. El Fortinet FortiGate FG-5060 (Figura 1.7), el cual soporta carrier-class throughput, es un conjunto de hardware Fortinet que ejecuta el FortiGuard IPS. Fortinet se destaca por ofrecer una actualización frecuente de las firmas, fácil de instalar y ofrecer un excelente soporte.. 1.8.2 Soluciones no comerciales AIDE - Advanced Intrusion Detection Environment AIDE realiza capturas (snapshot) del estado del sistema, registra hashes, tiempos de modificación y otros datos relacionados con los archivos definidos por el administrador. El “snapshot” es empleado para crear una base de datos y puede ser almacenada en un dispositivo externo para mayor seguridad. ACARM-ng (Alert Correlation, Assessment and Reaction Module - next generation) Es un software de alerta por correlación, el cual facilita análisis de tráficos de redes de computadoras. Es el responsable de recolectar y correlacionar alertas enviadas por los sensores de red y de estaciones, referidos como NIDS y HIDS respectivamente. El objetivo del proceso de correlación es reducir el número de mensajes que necesitan ser vistos por el administrador del sistema, agrupándolos en eventos similares que representan componentes lógicos de la actividad maliciosa. Bro NIDS Es un framework para el análisis de redes de código abierto para sistemas Unix. Es comparado a un NIDS, pero es mucho más. Es clasificado como un IDS basado en firmas y anomalías. Puede ser usado para recolectar métricas de redes, favorecer investigaciones forenses, entre otros usos. Es comparado a tcpdump, Snort, netflow y Perl, pero en uno solo. Fail2Ban Es una aplicación escrita en Python para la prevención de intrusos en un sistema, que actúa penalizando o bloqueando las conexiones remotas que intentan accesos por fuerza bruta. Fail2ban busca en los registros (logs) de los programas que se especifiquen las reglas que el usuario decida para poder aplicar una penalización. La penalización puede ser bloquear la aplicación que ha fallado en un determinado puerto, bloquearla para todos los puertos, etc. Las penalizaciones, así como las reglas, son definidas por el usuario. OSSEC HIDS 21.

(28) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS Es un HIDS de código abierto para sistemas Unix. Ejecuta análisis de logs, chequeos de integridad, monitoreo del registro de Windows, detecta rootkits, alertas en tiempo real y respuesta activa. Ofrece detección de intrusiones para la mayoría de los sistemas operativos como GNU/Linux, OpenBSD, FreeBSD, Mac OS X, Solaris y Windows. Posee una arquitectura centralizada de correlación que permite que múltiples sistemas puedan ser fácilmente monitoreados y administrados. Prelude Hybrid IDS Prelude es un SIEM (Security Information and Event Management) capaz de interoperar con todos los sistemas disponibles en el mercado. Es compatible de forma nativa con: AuditD, Nepenthes, NuFW, OSSEC, Pam, Samhain, Sancp y Snort, ofrece la posibilidad de escribir sensores propios o utilizar de terceros. La versión gratuita (Prelude OSS) está destinada para pruebas y propósitos educacionales, por lo que sus características son limitadas. Samhain Es un comprobador de integridad y un sistema de detección de intrusos de estaciones que puede ser usado en una sola estación así como en varias, en redes conectadas a sistemas Unix. Soporta monitoreo central y una poderosa capacidad de sigilo al ejecutarse en memoria sin ser detectado mediante la estenografía (ocultación de información). Snort Es un sniffer de paquetes y un detector de intrusos basado en red (monitoriza todo un dominio de colisión). Ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema de Detección y Prevención de Intrusos. No soporta interfaz gráfica por defecto por lo que se apoya en proyectos de terceros como Snorby, Base y Squil. Suricata Es un IDS/IPS de código abierto basado en Snort, tanto la sintaxis como las herramientas de configuración de Snort son compatibles en Suricata. Posee varias características que lo hacen superior a Snort: multihilo (puede ser ejecutado en cada uno de los núcleos de la CPU); permite aceleración de hardware (uso de GPU); extracción de archivos (permite analizar los archivos cuando alguien está bajando un malware); entre otras características. Kismet Sistema detector de redes inalámbricas 802.11, sniffer y detector de intrusiones. Kismet funciona con cualquier tarjeta de red inalámbrica que soporte el modo monitor (rfmon). Con el hardware apropiado puede analizar el tráfico 802.11b, 802.11a, 802.11g, y 802.11n. Soporta una gran variedad de complementos que le permiten analizar otros medios como DECT (Digital 22.

(29) CAPÍTULO 1. SISTEMAS DE DETECCIÓN DE INTRUSOS European Cordless Telecommunications). Mediante la recopilación pasiva de paquetes es capaz de detectar redes ocultas. Posee características básicas de IDS como la detección activa de sniffers de redes WIFI, incluyendo NetStumbler, así como un número significativo de ataques WIFI. OpenWIPS-NG Es un IDS/IPS con una arquitectura modular compuesta por un servidor, sensores e interfaces. Creado por el autor de Aircrack-NG, emplea la mayoría de las funciones y servicios de esta aplicación para el análisis, detección y prevención de intrusiones. OpenWIPS-NG permite la descarga de complementos que habilitan características adicionales. Es un proyecto relativamente nuevo en comparación con Kismet y actualmente se encuentra en fase beta. Security Onion Es una distribución de Linux basada en Ubuntu para el monitoreo de red y detección de intrusiones. La imagen puede ser distribuida como sensores dentro de la red para monitorear múltiples VLANs y subredes, funciona en VMware y entornos virtualizados. Actualmente no es posible configurarlo como IPS, pero si es posible ejecutarlo como HIDS y NIDS. Emplea servicios como Squil, Bro IDS y OSSEC para realizar las funciones de IDS. No posee buena documentación. Es una vía de tener varias herramientas integradas en un solo sistema de forma fácil. OSSIM - Open Source Security Information Management Es una colección de herramientas bajo la licencia GPL, diseñadas para ayudar a los administradores de red en la seguridad de las computadoras, detección de intrusos y prevención. El objetivo del proyecto es ofrecer una herramienta que ayude a la administración de eventos de seguridad mediante un motor de correlación y una colección detallada de herramientas de código abierto las cuales sirven al administrador para tener una vista de todos los aspectos relativos a la seguridad en su infraestructura.. 1.9 Conclusiones La implementación de sistemas de detección y prevención de intrusos permite proteger las redes perimetrales ante ataques externos lo que facilita la confidencialidad, integridad, disponibilidad y el no repudio de la información. Se debe tener en cuenta que estos sistemas no son infalibles por lo que siempre debe existir supervisión por parte del personal de seguridad. La colocación de los IDS/IPS es el aspecto fundamental a tener en cuenta durante el despliegue ya que esto definirá el software a emplear así como las características de hardware.. 23.