PDF de programación - IDS

Sistemas de Detección de Intrusos

Emilio José Mira Alfaro

[email protected]

13 de Enero de 2002

1 Introducción a los IDS

1.1 ¿Qué es un IDS?

Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System) es una herramienta de seguri-
dad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de
intrusión.
Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad o
disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste.
Las intrusiones se pueden producir de varias formas:

Atacantes que acceden a los sistemas desde Internet.

Usuarios autorizados del sistema que intentan ganar privilegios adicionales para los cuales no están

autorizados.

Usuarios autorizados que hacen un mal uso de los privilegios o recursos que se les ha sido asignados.

Para diferenciar de forma clara lo que es intrusión de lo que no lo es, una organización debería establecer
una política de seguridad, donde se deje claro qué está permitido y qué no. Para más información sobre
este tema ver [5].

1.2 ¿Por qué utilizar un IDS?

La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que apare-
cen al incrementar la conectividad entre las redes. Los ataques de DoS (denegación de servicio) en febrero
de 2000 ante Amazon.com y E-Bay entre otras, revelaron la necesidad de herramientas efectivas para la
detección de intrusos, especialmente en empresas on-line públicas y de comercio electrónico.
Se estima que el 85% de los ataques que se producen en una red vienen desde dentro. El resto son ataques
externos en forma de ataques DoS o intentos de penetración en la infraestructura de la red. Los IDS han
ganado aceptación como una adición necesaria para toda infraestructura de seguridad de la organización.
Hay varias razones para adquirir y usar un IDS:

Prevenir problemas al disuadir a individuos hostiles:

Al incrementar la posibilidad de descubrir y castigar a los atacantes, el comportamiento de algunos cam-
biará de forma que muchos ataques no llegarán a producirse. Esto también puede jugar en nuestra contra,
puesto que la presencia de un sistema de seguridad sofisticado puede hacer crecer la curiosidad del atacante
por ver qué es eso que tanto intentamos proteger.

1

Detectar violaciones de seguridad que no pueden ser prevenidas:

Los atacantes pueden conseguir accesos no autorizados a muchos sistemas cuando vulnerabilidades cono-
cidas no son corregidas. Esta corrección no siempre es posible, ya sea por problemas de tiempo por parte
del administrador o simplemente por un fallo de configuración. Aunque un IDS NO puede detectar cuando
un atacante en un sistema ha tenido éxito explotando un fallo no corregido, sí que podríamos avisar al
administrador para que llevara a cabo inmediatamente un backup del sistema y evitar así que se pierda
información valiosa.

Detectar preámbulos de ataques.

Cuando un individuo ataca un sistema, lo hace típicamente en fases predecibles. En la primera fase, un
atacante hace pruebas y examina el sistema o red en busca de un punto de entrada óptimo. En sistemas o
redes que no disponen de un IDS, el atacante es libre de examinar el sistema con un riesgo mínimo de ser
detectado. Esto le facilita la búsqueda de un punto débil en nuestra red.

La misma red con un IDS monitorizando sus operaciones le presenta una mayor dificultad. Aunque el
atacante puede examinar la red, el IDS observará estas acciones, las identificará como sospechosas, podrá
activamente bloquear el acceso del atacante al sistema objetivo y avisará al personal de seguridad de lo
ocurrido para que tome las acciones pertinentes.

Documentar el riesgo de la organización.

Cuando se hace un presupuesto para la gestión de seguridad de la red, es necesario conocer cual es el riesgo
de la organización a posibles amenazas, la probabilidad de ser atacada o si incluso está siendo atacada.

Un IDS nos puede ayudar a conocer la amenaza desde fuera y dentro de la organización, ayudándonos a
hacer decisiones a cerca de los recursos de seguridad que deberemos emplear en nuestra red.

Proveer información útil sobre las intrusiones que ocurren.

Incluso cuando los IDSs no son capaces de bloquear ataques, pueden recoger información detallada y
relevante sobre éstos. Esta información puede, bajo ciertas circunstancias, ser utilizada como pruebas en
actuaciones legales. También se puede usar esta información para detectar fallos en la configuración de
seguridad o en la política de seguridad de la organización.

1.3 Arquitecturas de los IDSs

Existen varias propuestas sobra la arquitectura de los IDSs, pero ninguna de ellas se usa mayoritariamente.
Esto provoca que los productos de los fabricantes que trabajan con distinta arquitectura puedan difícilmente
interoperar entre sí.

1.3.1 CIDF (Common Intrusion Detection Framework)

El Marco de Detección de Intrusos Común fue un primer intento de estandarización de la arquitectura de
un IDS. No logró su aceptación como estándar, pero estableció un modelo y un vocabulario para discutir
sobre las intrusiones. Mucha gente que trabajó en el esfuerzo original está fuertemente involucrada en los
esfuerzos del Grupo de Trabajo de Detección de Intrusos (Intrusion Detection Working Group, IDWG) del
Internet Engineering Task Force (IETF).

Los cuatro tipos básicos de componentes de un IDS que contempla el CIDF son los siguientes:

2

Equipos E, o generadores de eventos, también llamados sensores. Su trabajo es detectar eventos y

lanzar informes.

Equipos A, reciben informes y realizan análisis. Pueden ofrecer una prescripción y un curso de

acción recomendado.

Equipos D, son componentes de bases de datos. Pueden determinar si se ha visto antes una dirección

IP o un ataque y pueden realizar análisis de pistas.

Equipos R, o equipos de respuesta. Pueden tomar el resultado de los equipos E, A y D y responder

al evento o eventos.

Figura 1:Relación entre componentes CIDF

Estos componentes necesitan un lenguaje para comunicarse. Aparece entonces CISL (Common Intrusion
Specification Language). Los diseñadores de CISL pensaron que este lenguaje debería ser capaz al menos
de transmitir los siguientes tipos de información:

Información de eventos en bruto. Auditoría de registros y tráfico de red. Sería el encargado de unir
equipos E con equipos A.


Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques detectados.

Uniría equipos A con D.


Prescripciones de respuestas. Detener determinadas actividades o modificar parámetros de seguri-

dad de componentes. Encargado de la unión entre equipos A y R.

CISL es un lenguaje bastante complicado de sintaxis parecida a LISP.

3



1.3.2 AusCERT Autopost

A diferencia de CIDF/CISL, el CERT australiano desarrolló un sistema de trabajo sencillo que permitía
que se analizara y se agregara un informe en una base de datos con tan solo un par de líneas de Perl. La
forma de una detección podría ser la siguiente:

Source: 216.36.45.84
Ports:
Incident type:
re-distribute: yes
timezone:
reply:
Time:

GMT + 1300

no

tcp 111

Network_scan

Web 15 Mar 2000 at 14:01 (UTC)

Este sistema tiene una alta interoperabilidad y es muy sencillo de construir y analizar. El problema es que
los analistas a menudo necesitan un gran nivel de detalle (una fidelidad alta) acerca del evento (por ejemplo,
para análisis forense), y en este modelo, toda esa información se perdería.

1.3.3 IDWG (Intrusion Detection Working Group)

Por su parte, el IETF ha creado un grupo de trabajo llamado IDWG para conseguir la interoperabilidad de
diferentes sistemas de IDS estandarizando el formato y semántica de los mensajes que se intercambiarán
en dispositivos de diversos fabricantes

En estos momentos existen tres borradores esperando a ser aceptados como RFC (http://www.ietf.
org/ids.by.wg/idwg.html).

1.4 Clasificación de los IDSs

Existen varias clasificaciones posibles de los IDSs dependiendo de la característica en la que nos fijemos.
Las veremos a continuación:

1.4.1 Fuentes de información

Existen varias fuentes por las que un IDS puede tomar eventos. Algunos IDSs analizan paquetes de red,
capturados del backbone de la red o de segmentos LAN, mientras que otros IDSs analizan eventos genera-
dos por los sistemas operativos o software de aplicación en busca de señales de intrusión.

IDSs basados en red (NIDS)

La mayor parte de los sistemas de detección de intrusos están basados en red. Estos IDSs detectan ataques
capturando y analizando paquetes de red. Escuchando en un segmento de red, un NIDS puede monitorizar
el trafico de red que afecta a múltiples hosts que están conectados a ese segmento de red, protegiendo así a
estos hosts.

Los IDSs basados en red a menudo están formados por un conjunto de sensores localizados en varios
puntos de la red. Estos sensores monitorizan el trafico de la red, realizando análisis local de este trafico e
informando ataques a la consola de gestión. Como los sensores están limitados a ejecutar el IDS, pueden
ser mas fácilmente asegurados ante ataques. Muchos de estos sensores son diseñados para correr en modo
oculto, de tal forma que sea más difícil para un atacante determinar su presencia y localización.

Ventajas:

4

Un IDS bien localizado puede monitorizar una red grande.

Los NIDSs tienen un impacto pequeño en la red, siendo normalmente dispositivos pasivos que no

interfieren en las operaciones habituales de ésta.

Se pueden configurar para que sean muy seguros ante ataques haciéndolos invisibles dentro de la red.

Desventajas:

Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho trafico y
pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto. Algunos vendedores
están intentando resolver este problema implementando IDSs completamente en hardware, lo cual
los hace mucho más rápidos.

Los IDSs basados en red no analizan la información