PDF de programación - Propuesta de modelo para un Sistema Inteligente de Detección de Intrusos en Redes Informáticas (SIDIRI)

Escuela de Ingeniería de Antioquia. Arroyave, Herrera, Vásquez. SIDIRI.



1

Propuesta de modelo para un

Sistema Inteligente de Detección de Intrusos en

Redes Informáticas

(SIDIRI)

Arroyave, Juan David., Herrera, Jonathan y Vásquez, Esteban.



{ifjuar, ifjoher, ifesvas}@eia.edu.co
Escuela de Ingeniería de Antioquia



Resumen—

SIDIRI es una propuesta de un modelo que utiliza
sistemas inteligentes, en particular redes neuronales
artificiales, como motor de análisis (A-box) de IDS
con el fin de obtener una respuesta inteligente y
proactiva a las necesidades de seguridad en las
redes telemáticas del mundo de hoy.


Índice de Términos—IDS, Redes Neuronales

Artificiales, Seguridad, Intrusos, Redes Informáticas


INTRODUCCIÓN

L

a información es la base de las actividades
humanas, del desarrollo social y económico. Ya
no nos mueve la rueda, nos mueve el impulso de
unos y ceros, es el conocimiento y su posesión lo
que hace girar al mundo de hoy, la bien llamada era
de la información. Y así como con el crecimiento de
la red mundial de comunicaciones, la aparición y
rápido desarrollo del comercio electrónico y la
migración de los antiguos sistemas a plataformas de
servicios en línea se hace cada vez más patente la
necesidad de mantener la información segura,
íntegra, y disponible, una labor no muy fácil.

Las empresas tienen que pensar en proteger a sus
empleados, a sus socios y clientes y sobretodo la
información que mantiene el negocio, ya que la
internet es desde cualquier punto de vista una
pasarela de información indispensable para obtener
ventajas competitivas, desarrollar y mantener
nuevos mercados y crecer como organización,
conocer entonces a quienes pueden atentar contra la



VII Jornada Nacional de Seguridad Informática ACIS 2007

seguridad de la información y tener medios para
impedirlo es una obligación.

I. LAS AMENAZAS

Después de tener claro cuál es la importancia de la
información para empresas y particulares, se debe
comprender que existen innumerables factores que
pueden poner en riesgo dicha información, el estar
conectados al mundo nos hace blanco fácil de
personas malintencionadas, virus, e incluso en
algunos casos nosotros mismos somos la amenaza.
Es por esta razón que conocer dichos factores nos
permitirá estar preparados, tener herramientas y
saber usarlas para defender la integridad de nuestra
información. No conocer al enemigo es darle
ventajas en su intento por hacernos daño y no estar
preparados para sus eventuales ataques es como
dejar la puerta de nuestra casa abierta a mitad de la
noche.

A. Enemigos


Hackers:
Un hacker es una persona con altos conocimientos
en diferentes ramas de la computación, en especial
lo relacionado con las tecnologías de información,
redes y sistemas operativos, especialista en entrar en
sistemas ajenos sin permiso.

Sin entrar en conflictos ideológicos con respecto a
lo que significa ser hacker y la nueva llamada ética
hacker, y si bien existen intrincados desarrollos
sociales alrededor de la cultura hacker en donde se
diferencian "hackers buenos"
(white hats) y
crackers (black hats) en sus valores morales,
sociales y políticos, nuestro interés al interior de la

Escuela de Ingeniería de Antioquia. Arroyave, Herrera, Vásquez. SIDIRI.


red es estar seguros de que nuestra información sea
confiable,
íntegra, que esté disponible y que
ninguno de estos personajes acceda a nuestra red.

Script Kiddies:

Persona que posee bajos conocimientos sobre
informática y que trata de violar sistemas ajenos,
generalmente se relaciona con crackers inexpertos
ya que para lograr romper la seguridad de los
sistemas usa generalmente exploits y programas
creados por terceros.

tipo de personas representan una gran
Este
amenaza, en especial para redes pequeñas y
cibernautas desprevenidos que son sus principales
blancos por tener herramientas de seguridad poco
desarrolladas.

Personal descontento y/o desprevenido:

El propio personal al interior de las empresas puede
representar una de las mayores amenazas para la
seguridad de la información. Ya sea por error o por
descontento en su trabajo, un empleado puede
causar grandes perjuicios a un sistema informático.
Desde perder un password o dárselo a la persona
equivocada de manera desprevenida hasta atentar
contra la infraestructura de la red misma. Es aquí
donde se las políticas y la gestión para el manejo de
la seguridad de nuestra red cobran importancia, ya
que no solo debemos defendernos de los ataques de
afuera, pues de nada sirve estar a salvo de los
piratas informáticos al otro lado del mundo si
nuestra clave de tarjeta de crédito está en manos de
una secretaria inescrupulosa.


B. Amenazas

Los principales ataques y daños a nuestros sistemas
de información pueden venir de algunas de las
fuentes antes mencionadas, pero el conocer los
enemigos es sólo el primer acercamiento a una red
segura, ahora es importante conocer que pueden
hacerle estos enemigos a nuestros sistemas. En
general los ataques a nuestra red se pueden
clasificar de tres grupos: ataques de reconocimiento,
ataques de acceso y ataques de denegación de
servicio (DoS).

VII Jornada Nacional de Seguridad Informática ACIS 2007

2

Ataques de reconocimiento: Son ataques que no
representan un daño inmediato, son el paso inicial
de otros ataques y lo que buscan es identificar
equipos y nodos de red, servicios y puertos activos
para encontrar vulnerabilidades que puedan ser
explotadas para acceder a un sistema determinado.
Ataques de acceso: Estos ataques buscan obtener
acceso remoto a determinado nodo de red para
obtener privilegios, ocultar huellas, atacar otros
nodos u obtener información.

Ataques DoS (Denegación de servicio): Ataque a un
sistema de ordenadores o red que causa que un
servicio o recurso sea inaccesible a los usuarios
legítimos. Normalmente provoca la pérdida de la
conectividad de la red por el consumo del ancho de
banda de la red de la víctima o sobrecarga de los
recursos computacionales del sistema de la víctima.
Se genera mediante la saturación de los puertos con
flujo de información, haciendo que el servidor se
sobrecargue y no pueda seguir prestando servicios,
por eso se le dice "denegación", pues hace que el
servidor no de abasto a la cantidad de usuarios. [1]

Remote to Local (R2L): Ataque en el cual usando
exploits, se ejecutan shellcodes que permiten
ejecución de código en una máquina remota1

II. EL PRESENTE DE LOS IDS2


Un sistema de detección de intrusos o IDS es un
programa que detecta
intrusiones a una red
determinada, es el guardián de nuestra red, la
alarma que nos indica los posibles ataques de los
cuales estamos siendo víctimas. Sus aplicaciones
como herramienta de seguridad son varias y el
implementarlas y mantenerlas como bastión para la
seguridad de nuestra
información constituyen
buenas prácticas en las redes telemáticas.

En la actualidad varios de los IDS existentes
utilizan la Arquitectura CIDF3 propuesta por el
Intrusion Detection Working Group,
ésta
arquitectura define un IDS como un conjunto de



1 Shellcode: Conjunto de órdenes programadas generalmente en lenguaje
ensamblador que se inyectan en la pila para conseguir que la máquina en la
que reside se ejecute la operación que se haya programado.

2 Intrusion Detection System
3 Common Intrusion Detection Framework

Escuela de Ingeniería de Antioquia. Arroyave, Herrera, Vásquez. SIDIRI.


componentes (unidades lógicas) independientes e
interconectados que se comunican entre ellos a
través de mensajes o eventos, pueden ser un solo
cluster o estar distribuidos. Entre las unidades
lógicas encontramos las siguientes:


3

ataques previamente conocidos, como paquetes
malformados,
y
comportamientos sospechosos en general.

escaneo

puertos

de

• Generador de eventos (E-box)
• Analizador de eventos (A-box)
• Base de dados de los Eventos (D-box)
• Unidades de respuesta (R-box)


Dichos componentes como su nombre lo indican
deben asegurar la obtención correcta de los eventos
que sucedan en el trafico de la red, analizarlos,
guardarlos y determinar una respuesta si dichos
eventos constituyen o no un ataque. [Ver Anexo 1]
Por lo general los bloques E, D y R funcionan de
manera muy similar en todos los IDS pero el bloque
A cuenta con múltiples variables dependiendo de
sus características funcionales, estructurales, de
comportamiento y origen de datos, algunos
ejemplos de los enfoques de IDS son:


Por función:
• Detectores de Anomalías
• Detectores de usos incorrectos



Por Origen de datos:
• HIDS4
• NIDS5
• Hybrid – IDS

Por comportamiento:
• Activos - IPS6
• Pasivos (Carecen de R-box)


Dado la gran variedad de tipos de IDS y el tipo de
sistema que se va a proponer en este articulo sólo
explicaremos el funcionamiento de los IDS de
Detección de usos incorrectos, el cual consiste en
que el IDS ha sido programado para detectar
patrones, para esto la mayoría de los IDS actuales
utilizan sistemas basados en firmas, los cuale