CIENTEC - Respuestas Rápidas, Soluciones Permanentes




	Claves y Componentes de la Inteligencia de Negocios

	EDA: Una Nueva Generación de Aplicaciones

	UWB: La Nueva Ultra Banda Ancha

	CMMI: Mejorando Procesos en Forma Integrada


	MIME: Haciendo del E-Mail Una Herramienta Universal


	XML:El estándar de los negocios electrónicos

	P3P: Tras la privacidad en la red

	UML: Un Lenguaje Modelo


	ANÁLISIS MIMO: Wireless Más Inteligente

	ANÁLISIS SOA: Creando empresas flexibles

	ANÁLISIS El poder de ajax

	ANÁLISIS MPLS: La Nueva Generación de Redes Privadas Virtuales


Ver Todas

ANÁLISIS
SISTEMAS DE DETECCIÓN DE INTRUSOS: HAY ALGUIEN ALLÁ AFUERA

Ver Análisis Resumido

Las noticias de los últimos días tienen más alerta que nunca a los especialistas y los encargados de la seguridad de una red. Sin embargo, estos mismo sucesos demuestran que no deben ser las crisis las que alerten de las vulnerabilidades de los sistemas computacionales y sus redes. Lo idea es no descansar, estar concientes de que siempre hay alguien afuera y que el prestar atención con ayuda de herramientas como los IDS es hoy fundamental.

El Papa Juan Pablo II puede dormir en calma. Nadie saltará así como así los muros de la Ciudad del Vaticano para atentar contra su tranquilidad. La famosa y llamativa Guardia Suiza, levantan sus lanzas cada vez que alguien sin audiencia o autorización previa intenta penetrar a la casa de los sucesores de San Pedro. Esto, por supuesto unido a un fuerte contingente de seguridad que rodea al prelado desde el atentado que sufrió en los '80.

Un aparato de seguridad tan fuerte como este se replica en el mundo de los bits y bytes para evitar que los más de 10.000 virus al mes y 30 "hackers" (piratas informáticos) que atacan la página web del Vaticano diariamente no ingresen a la red de la Santa Sede.

Seguridad... un milagro?

Según afirma Claudio Celli, secretario de la Administración del Patrimonio de la Santa Sede, afortunadamente, hasta ahora, nadie ha logrado penetrar en la página del Papa, gracias a un eficiente equipo de expertos encargados de interceptar a los piratas informáticos. Obvio, la seguridad de las redes no es un milagro.

Incluso, frente noticias de virus informáticos inundando las últimas semanas las páginas de los medios o el caso de un precoz adolescente condenado por entrar a los sistemas informáticos de un laboratorio de física en Estados Unidos para "guardar unos archivos", las medidas informáticas del Vaticano pueden parecer pocas.

Un firewall o cortafuegos, listas de acceso o software antivirus es un enfoque simplista, para lo que actualmente pueden mostrar como armas los hackers y crakers, según expertos ya que no toma en cuenta que en muchos de los casos los controles no pueden proteger de un ataque.

Quienes conocen de cerca el problema de la seguridad informática aseguran que hoy se requiere de medidas importantes que incluyan sistemas capacitados para detectar las intrusiones o los intentos de intrusión, llamados Sistemas de Detección de Intrusiones (Intrusion Detection Systems, IDS) o, Sistemas de Detección de Intrusos.

Un Sistema de Detección de Intrusos (IDS, para sus siglas en inglés), tiene la tarea de inspeccionar todos los vínculos de una red -entrantes o salientes- e identificar de esta forma patrones de comportamiento sospechosos que puedan indicar ataques a un sistema o red de alguien que intenta destruir o comprometer un sistema. Es decir, como decía el general chino Sun Tzu, conocer al enemigo y así ganar la batalla.

De esta forma, el primer paso es conocer cómo y quiénes comúnmente atacan una red o un sistema. Algunas veces se hace una distinción entre detección de intrusos o mal uso de los recursos de una red: El término intrusión es utilizado para describir ataques desde fuera, mientras el mal uso (misusing) de los recursos describe un ataque que se origina desde el interior de la red.

Los afuerinos

Quienes ingresan a las redes o sistemas desde afuera y por lo general atacan la presencia externa de una organización o compañía, deformando los servidores de web, reenviando spam a través de los servidores de correo o atentando contra máquinas que son parte de una red interna, son el primer tipo de intrusos. Estos ingresan a los sistemas a través de Internet, líneas telefónicas, quiebres físicos de una red o de redes de proveedores y clientes entre otros que conviven con la red de una empresa.

Durmiendo con el enemigo

Por otro lado, quienes legítimamente usan una red y atentan contra esta, son considerados intrusos internos y son los que protagonizan el "mal uso" o misusing.

Este grupo da un mal uso a sus privilegios o suplanta a una persona con mayores privilegios. Algunas cifras responsabilizan de un 80% de las caídas de las redes a estos enemigos que conviven dentro de una organización.

Los intrusos y sus tácticas

Las formas en que un intruso puede entrar a un sistema se pueden clasificar en:

Intrusión física: Cuando los individuos tienen acceso físico a una máquina ya sea a través del teclado o con la posibilidad de desmontar un sistema. Por lo general se incluyen en este grupo a quienes tienen rango de técnicos en una empresa y que poseen privilegios especiales para operar un sistema.

Intrusión en el sistema: Este tipo de "haqueo" asume que el intruso ya ha tenido un bajo nivel de privilegios como usuario. Si el sistema no tiene los últimos parches de seguridad para protegerse de ataques, esta es una buena oportunidad para que se produzca este tipo de incidentes y quien los perpetra pueda adquirir capacidades administrativas especiales.

Intrusión remota: este tipo de agresión involucra a quienes atentan para penetrar un sistema remoto a través de la red. El intruso no tiene privilegios o capacidades administrativas especiales y tiene variadas formas de ocurrir. Esta suele ser la principal preocupación de un sistema de detección de intrusos o IDS.

Asimismo, el IDS tiene distintas formas de categorizarse:

Detección de mal uso vs. detección de anomalía: En una detección de mal uso el IDS analiza la información reunida con grandes bases de datos que almacenan signos de ataques. Así, el IDS busca un ataque en específico que se documentó anteriormente. Pero tal como un sistema de detección de virus, el software para la detección de mal uso es sólo tan bueno como la base de datos con señales de ataque sea.

En la detección de anomalías en cambio el administrador de sistemas define la base o el estado normal del tráfico de las redes, sus caídas, protocolos y el tamaño típico de los paquetes de datos. Este sistema detector monitorea segmentos de redes para comparar su estado con las bases normales, buscando de esta forma las anomalías.

Sistemas basados en red vs. sistemas basados en host: En un sistema basado en redes o NIDS se analiza el flujo de paquetes individuales a través de una red.

Estos sistemas pueden detectar paquetes maliciosos que están diseñados para ser pasados por alto a través de reglas de filtro simples de un firewall. En un sistema basado en host, el IDS examina la actividad de cada host o computador por separado.

Sistemas pasivos vs. sistemas reactivos: En un sistema pasivo, el IDS detecta una potencial ruptura del sistema de seguridad guarda la información y señala una alerta. En un sistema reactivo, el IDS responde a actividades sospechosas desconectando al usuario o reprogramando el firewall para bloquear el tráfico de la red desde la fuente supuestamente maliciosa.

Aunque ambos se relacionan con la seguridad de las redes, un IDS difiere de un firewall en que este último busca intrusiones en orden de detenerlas antes de que ocurran. El firewall limita el acceso entre redes en orden de prevenir intrusiones y no señala un ataque desde dentro de la red. Un IDS evalúa una intrusión sospechosa una vez que ya ha ocurrido y muestra una alarma. Estos sistemas también vigilan ataques originados desde un sistema.

Cómo son detectadas las intrusiones

La forma más común de detectar una intrusión es por medio de anomalías estadísticas. La idea es manejar una base de estadísticas que incluyan datos como utilización de la CPU, actividad del disco, login de los usuarios, actividad de los archivos y así muchos más. De esta forma, el sistema puede gatillarse cuando hay una desviación de esta base.

El beneficio de este acercamiento es que puede detectar las anomalías sin tener que entender las causas subyacentes bajo éstas.

Otra forma de acercarse a un sistema de detección de intrusos es examinando el tráfico en búsqueda de patrones de ataque, de hecho la mayoría de las soluciones se basan en esta técnica. Esto significa que por cada táctica de un hacker, los ingenieros a cargo de la seguridad de la red, codifican estas en el sistema.

Medidas complementarias

Además de un sistema de detección de intrusos -y como siempre se resalta- un sistema de seguridad debe ser una completa política capaz de cubrir todos los frentes.

Así, siempre serán bienvenidas las medidas complementarias como por ejemplo poseer un firewall o cortafuegos. La mayoría de la gente piensa que un firewall debe ubicarse en su "primera línea de defensa". Esto significa, según expertos en seguridad de redes, que si un intruso descubre como traspasar el firewall, este será libre de moverse dentro de la red. Una mejor solución es pensar en éste como la última línea de defensa: estando bien seguros de la correcta configuración de los computadores y de que el sistema de detección de intrusos esta operativo, se puede ubicar el firewall justo para evitar la entrada de los hackers.

Otras medidas son reforzar la autenticación y utilizar VPN (redes privadas virtuales) para acceder de forma remota a los servidores de la empresa. Asimismo, se incluye la encriptación de datos y la creación de cebos o honeypots que son programas que funcionan como si estuvieran en servicio y actúan como emuladores o a través de la creación de una subred.

Dentro de una red o un sistema existen diferentes ubicaciones donde poner el sistema de detección de intrusos, estos incluyen los servidores de la red, el perímetro de ésta, en el backbone de la WAN, en las granjas de servidores en los backbones de las redes LAN, entre otros.

En resumen, un firewall no es el sistema defensivo dinámico que los usuarios se imaginan que es. En cambio un IDS es sin duda un sistema mucho más dinámico y flexible, ya que dentro de todas sus características ya mencionadas un IDS reconoce ataques contra una red que un firewall es muchas veces incapaz de ver.

Otro problema de los cortafuegos es que solo pueden ubicarse en el límite de la red. Cerca de un 80% de las pérdidas financieras provocadas por hacker vienen desde dentro de la red. Un firewall en el perímetro de la red no puede ver nada de lo que ocurre dentro, solo ve el tráfico que pasa entre la red interna y la Internet.

Por esta razón, los expertos en seguridad de redes recomiendan instalar un sistema de detección de intrusos en el firewall que, además de posibilitar un doble chequeo de los cortafuegos mal configurados, son capaces de atrapar los ataques que el firewall permite entrar a la red, detiene los atentados de falla de los sistemas y los hackeos desde adentro entre otros.

Dentro de los consejos que dan los expertos de seguridad -que algunas veces han sido tentados o han actuado como hackers- son:

-Una fuerte defensa y la paranoia son los mejores amigos

-Los hackers son mucho más capaces de lo que se piensa, mientras más defensas tenga... mejor y así y todo aún no lo protegerán de la determinación de los hackers. Sin embargo, subirán la barra de la determinación de las necesidades de los hackers.

Volver