PDF de programación - respuesta automática ante intrusiones

Respuesta automática ante

intrusiones

Antonio Villalón Huerta

[email protected]

TISSAT, S.A.

Respuesta automática ante intrusiones – p.1/31

Índice de materias (I)

Definiciones previas.

Sistemas de detección de intrusos.

Respuesta automática.

Esquema de funcionamiento.

Ejecución de la AR.

Respuesta automática vs. manual.

Tipos de respuesta.

Respuesta automática ante intrusiones – p.2/31

Índice de materias (II)

Peligros de la AR.

Minimización del riesgo.

Algoritmo de activación.

Algunos ejemplos.

Conclusiones.

Referencias.

Respuesta automática ante intrusiones – p.3/31

Definiciones previas

Intrusi ón: Conjunto de acciones que intentan

comprometer la integridad, confidencialidad o
disponibilidad de un recurso.

Detecci ón de intrusos: Análisis automático de
parámetros que modelan la actividad de un
entorno con el propósito de detectar e
identificar intrusiones.

Respuesta automática ante intrusiones – p.4/31

Sistemas de detecci ón de intrusos

El IDS no tiene por qué ser un programa o

producto concreto.

Habitualmente:

Network–based IDS, NIDS (vs. Host–based IDS, HIDS).

Detección de usos indebidos (vs. detección de

anomalías).

Detección distribuida.

Respuesta automática ante intrusiones – p.5/31

Sistemas de detecci ón de intrusos

¿Son necesarios? SÍ

Los sistemas cortafuegos no son mágicos.
Proporcionan conocimiento del entorno.
Alertas ante actividades sospechosas.
Registro adicional de incidentes. . . ¿Pruebas

judiciales?

. . .

Respuesta automática ante intrusiones – p.6/31

Sistemas de detecci ón de intrusos

¿Son suficientes? NO

Normalmente, sólo detectan ataques

conocidos.

Es posible (y a veces fácil) engañarlos.
¡IMPORTANTE!: Mecanismos de seguridad

pasivos.

. . .

Respuesta automática ante intrusiones – p.7/31

Respuesta automática

Nos interesa responder ante un ataque,
transformando el esquema de IDS en un
elemento activo.

Dos tipos de respuesta: manual y automática.
¿Por qué responder ante un ataque muchas

veces conocido?

Respuesta automática ante intrusiones – p.8/31

Respuesta automática

Respuesta automática (AR): Conjunto de acciones
que se ejecutan sin intervención humana al de-
tectar un evento, generalmente con el objetivo de
salvaguardar la integridad, disponibilidad o confi-
dencialidad de un determinado recurso.

Respuesta automática ante intrusiones – p.9/31

Esquema de funcionamiento

Respuesta automática ante intrusiones – p.10/31

Ejecución de la AR

Una intrusión – una respuesta.
Una intrusión – varias respuestas.
Varias intrusiones – una respuesta.
Varias intrusiones – varias respuestas.
. . .

Respuesta automática ante intrusiones – p.11/31

Respuesta automática vs. manual

Rapidez.

Respuesta automática ante intrusiones – p.12/31

Respuesta automática vs. manual

Rapidez.
Escalabilidad.

Respuesta automática ante intrusiones – p.12/31

Respuesta automática vs. manual

Rapidez.
Escalabilidad.
Registro.

Respuesta automática ante intrusiones – p.12/31

Respuesta automática vs. manual

Rapidez.
Escalabilidad.
Registro.
Integración.

Respuesta automática ante intrusiones – p.12/31

Respuesta automática vs. manual

Rapidez.
Escalabilidad.
Registro.
Integración.
Precio.

Respuesta automática ante intrusiones – p.12/31

Respuesta automática vs. manual

Rapidez.
Escalabilidad.
Registro.
Integración.
Precio.
¿Fiabilidad?

Respuesta automática ante intrusiones – p.12/31

Tipos de respuesta

Registro
Bloqueo
Ataque
Recuperación
Decepción

Respuesta automática ante intrusiones – p.13/31

Registro

Activación de registros adicionales.
Todavía es un mecanismo pasivo.
Útil para monitorización.
Ejemplo: activación del sistema de auditoría

de Unix ante un acceso sospechoso a
/etc/passwd

Respuesta automática ante intrusiones – p.14/31

Bloqueo

Suprime interacciones entre atacante y

atacado.

El esquema más habitual.
Mecanismos activos.
Ejemplos: bloqueo en cortafuegos

intermedio, suspensión de trabajos en un
host. . .

Respuesta automática ante intrusiones – p.15/31

Ataque

Acciones agresivas contra el pirata.
Mecanismos activos.
¿Es ética esta respuesta?
Ejemplo: lanzamiento de negación de

servicio contra el pirata ante un intento de
intrusión.

Respuesta automática ante intrusiones – p.16/31

Recuperación

Detectan cambio en el estado de un recurso
atacado y lo devuelven a su estado anterior.

Mecanismos activos.
Ejemplo: sistema que restaura el contenido

de una página web si detecta una
modificación.

En muchas ocasiones, difíciles de implantar

(p.e. actualización frecuente de páginas web).

Respuesta automática ante intrusiones – p.17/31

Decepción

‘Decepcionan’ al atacante.
Mecanismos activos.
Partidarios vs. detractores: ¿Sirve de algo la

decepción?

Ejemplos: ‘Sonria a la cámara oculta’, PHF. . .

Respuesta automática ante intrusiones – p.18/31

Peligros de la AR

Subversión del sistema.
Respuestas inadecuadas.
. . .

Negaci ón de servicio

Respuesta automática ante intrusiones – p.19/31

Minimización del riesgo (I)

Diferentes aproximaciones. Tres de ellas
(básicas):

Limitación de respuestas por u.t.
Actores protegidos.
Probabilidad de falso positivo.

Respuesta automática ante intrusiones – p.20/31

Minimización del riesgo (II)

Limitación de respuestas por u.t.

IDEA: Determinar un número máximo de

respuestas por unidad de tiempo, superado el
cual el sistema no actúa.

OBJETIVO: Evitar negaciones de servicio

masivas.

¡
umbral universal!

Respuesta automática ante intrusiones – p.21/31

Minimización del riesgo (III)

Actores ‘protegidos’

IDEA: Establecer elementos contra los que

nunca se actúa.

OBJETIVO: No dañar recursos controlados o

vitales para el correcto funcionamiento de
una plataforma.

Respuesta automática ante intrusiones – p.22/31

Minimización del riesgo (IV)

Probabilidad de falso positivo

IDEA: No todos los eventos son igual de

‘sospechosos’.

OBJETIVO: Ponderar cada actividad

sospechosa en función de su probabilidad de
ser un ataque real.

PROBLEMA: ¿Quién determina la
probabilidad de que una actividad
‘sospechosa’ sea realmente un ataque?

Respuesta automática ante intrusiones – p.23/31

Algoritmo de activación

ESTADO: {Detección ataque}

SI umbral de respuestas superado: FIN
SI NO

Comprobación actor atacante
SI es actor protegido: FIN
SI NO

Ponderación histórica de gravedad
SI umbral de gravedad superado: ACTUAR
SI NO

REGISTRAR

FSI

FSI

FSI

Respuesta automática ante intrusiones – p.24/31

Algunos ejemplos (I)

SNORT
http://www.snort.org/
NIDS, misuse detection (sistema experto),

tiempo real. . .

Sistema abierto: muchas herramientas de

terceros, incluida AR.

¡Libre (GNU)!

Respuesta automática ante intrusiones – p.25/31

Algunos ejemplos (II)

TripWire

Tripwire, Inc. (http://www.tripwire.com/).
Verificador de integridad basado en máquina.
No incorpora AR ‘de serie’, pero es fácil

integrarla en el sistema.

Respuesta automática ante intrusiones – p.26/31

Algunos ejemplos (III)

PHF

Sistema de decepción (honeypot) simple.
Emula vulnerabilidad BID #629 en el CGI phf

(1996), que permite ejecución remota.

Proporciona información falsa (pero creíble)

al atacante, mientras registra sus actividades.

Fichero único en PERL: efectivo, fácil de

instalar y gestionar.

Respuesta automática ante intrusiones – p.27/31

Conclusiones

La detección de intrusos es necesaria, pero

no suficiente.

La respuesta automática es necesaria, pero

peligrosa.

Se puede (y debe) minimizar el riesgo a la

hora de aplicar cualquier esquema de
respuesta automática.

Respuesta automática ante intrusiones – p.28/31

Finalmente. . .

Ni la detección de intrusos,
ni la respuesta automática,

ni los cortafuegos,

ni. . .

Al hablar de seguridad, no existe

la panacea

Respuesta automática ante intrusiones – p.29/31

Referencias

Intrusion Detection: Network Security beyond the Firewall.

Terry Escamilla. John Wiley & Sons, 1998.

Network Intrusion Detection: An Analyst´s Handbook.

Stephen Northcutt, Donald McLachlan, Judy Novak. New
Riders Publishing, 2000 (2nd Edition).

Intrusion Detection: Generics and State of the Art. NATO
Research & Technology Organisation. Technical Report
RTO–TR–049. NATO, 2002.

Respuesta automática ante intrusiones – p.30/31

¡Muchas gracias!

Respuesta automática ante intrusiones – p.31/31