En el presente artículo se analiza los sistemas de detección-prevención-gestión de ataques-intrusiones, una tecnología vital que constituye una contramedida técnica clave en la actualidad para hacer frente a la violación de otras medidas técnicas de seguridad instaladas (como firewalls, antivirus, controles de acceso físicos y lógicos, etc. ) tanto en la red como en los sistemas finales.

Algunas razones de la necesidad de los IDS/IPS son hacer frente a las pérdidas de propiedad intelectual, de integridad de datos, de control de procesos, al espionaje industrial, etc. posibilitan el registro de secuencias de eventos.

La vida diaria se encuentra cada día más influenciada por Internet, por ejemplo, permite realizar de forma sencilla tareas como las transferencias bancarias, las ventas o viajes, las relaciones con las administraciones públicas, con sanidad, etc. Pero el beneficio de Internet está acompañado por el peligro de las amenazas de fraude y del uso indebido. Por ejemplo, el phishing, que es una forma de fraude por Internet, permite el robo de información valiosa como los números de tarjetas de crédito, los números de seguridad social, los identificadores y contraseñas de usuarios, etc. causando sólo en USA en el 2007 un daño de tres billones de dólares (ver informe de diciembre del 2007 en http:/www.gartner.com).
Paralelamente a la dependencia creciente en Tecnologías de la Información (más concretamente ICT, Information and Communication Technology) por parte de la economía mundial, las estructuras de estado, las comunicaciones, la industria, los negocios y la sociedad en general, se observa un incremento significativo del riesgo relacionado con las intrusiones dominantes en el espacio electrónico. Se puede detectar actualmente que los agentes maliciosos de intrusión a través de vectores de amenazas logran superar los sistemas de protección (firewalls, antivirus, sistemas de gestión de identidad, sistemas de control de acceso, etc.) diseñados para limitar los accesos a los recursos de redes de computadores de las instituciones instalados en bancos, empresas y organizaciones en general. Para poder reducir el riesgo y las consecuencias posibles es muy importante identificar las intrusiones en una etapa temprana de su realización y responder a ellas de forma adecuada. Para este propósito es necesario aplicar sistemas de detección-prevención de intrusiones y el caso más avanzado son los sistemas de gestión de intrusiones. Un IDS/IPS adecuadamente configurado y actualizado es un componente integral de una solución de defensa en profundidad.
Un IDS (Intrusion Detection System) es un sistema de protección diseñado para identificar y responder a las actividades maliciosas dirigidas contra los computadores y recursos de red. Es importante que el IDS pueda procesar todos los paquetes que se transmiten sin importar el nivel de uso que se haga de la red, se necesita por tanto el mínimo de paquetes excluidos de la detección, esto se puede realizar con esquemas de balanceo de carga y mecanismos de redundancia con funcionalidades de alta disponibilidad.

Algunos parámetros de tráfico de red comúnmente utilizados son: (i) Número de paquetes-datagramas IP, por ejemplo 7,5 millones, clasificados por tipo de protocolo encapsulado, indicando su proporción, por ejemplo: tcp-86%, udp-11%, icmp-1%, igmp, etc. (ii) Tasa media de transmisión de datos medida en Mbps. (iii) Tamaño medio de los paquetes medido en bytes, por ejemplo 720 bytes. (iv) Número medio de paquetes por segundo, por ejemplo 114.765 pps. (v) Duración, medida en unidades de tiempo, en el sistema internacional en segundos. La seguridad de la información es el proceso de proteger la información (datos, programas, conocimiento) de un amplio grupo de amenazas (en continuo crecimiento) al objeto de asegurar la continuidad del negocio, minimizar el daño en los negocios y maximizar el ROI y las oportunidades y objetivos de negocio, por tanto la seguridad de la información no es una moda, ni una tendencia, es una necesidad y una inversión con rentabilidad.

Problema de seguridad. Categorías-métodos de violaciones. Niveles de medidas de seguridad amenazas

La seguridad de la información debe considerar todo el entorno tanto de la red como de sus sistemas finales (PCs, PDAs, servidores, etc.) y proteger sus recursos y la información. Los intrusos intentan romper la seguridad. Una amenaza es una violación potencial de la seguridad utilizando alguna vulnerabilidad (el número de vulnerabilidades es infinito aunque las vulnerabilidades conocidas cada día van en aumento). Un ataque es un intento de romper la seguridad. Un ataque puede ser accidental o malicioso. Es más fácil protegerse de ataques accidentales que maliciosos de uso indebido. Las violaciones de seguridad se pueden clasificar en categorías como las siguientes: romper la confidencialidad, romper la integridad, romper ladisponibilidad, robo de servicios y denegación de servicios.

Los principales métodos de violación de seguridad son: mascarada (romper la autenticación), ataque de repetición (modificación de mensajes), ataque MITM/Man-In-The-Middle (para la suplantación de entidades) y robo de sesiones. Los cuatro principales niveles de medidas de seguridad son: físico, humano (evitar ingeniería social, phishing, dumpster diving), sistema operativo y red. No podemos olvidar que la seguridad es siempre tan débil como el eslabón más débil de la cadena. Algunas de las principales amenazas a los programas son troyanos, puertas traseras, bombas lógicas, stack and buffer overflow, virus (de ficheros, de boot, de macro, de código fuente, polimórficos, cifrados, sigilosos, de túnel, multiparte, con blindaje). Algunas amenazas relevantes al sistema y red son los gusanos, el escanéo de puertos y la DoS/DDoS.

Amenazas a la seguridad de red
La seguridad de red hace referencia a la protección de los recursos de la red, en particular los sistemas de computación (PCs, servidores, PDAs, etc.) y la información-datos-conocimiento. Respecto a cuales son los diferentes riesgos a los recursos de red se pueden identificar en relación a los sistemas de computación los que tienen que ver con la disponibilidad-tolerancia a fallos y los que están relacionados con el acceso no autorizado y en relación a la información-datos los que tienen que ver con el acrónimo CIA (Confidentiality, Integrity, Availability). Respecto a donde se encuentran los riesgos, se pueden delimitar tres áreas: los que tienen que ver con las personas de dentro en relación a las de fuera, los que están relacionados con la red, por ejemplo las escuchas clandestinas y los que tienen que ver con los computadores como las vulnerabilidades de los sistemas, el control de acceso y la seguridad física.

Las principales amenazas actuales a la seguridad son: (i) Las utilizadas para comprometer la seguridad de los sistemas: escanear/explorar otros sistemas para encontrar puertas traseras para obtener acceso no autorizado y los ataques del tipo DoS (Denial of Service). (ii) Malware. Como virus informáticos, spyware, troyanos, gusanos, etc. (iii) Spamming. Sistemas utilizados para enviar correos electrónicos no solicitados.

Detección-prevención de intrusiones. Funciones tecnologías-métodos de un IDS. Prevención de intrusiones
Una intrusión es cualquier evento intencional a través del cual un intruso que gana acceso compromete la confidencialidad, integridad o disponibilidad de los computadores, las redes o de los datos-información-conocimiento que reside en ellos. Un atacante o adversario o intruso o hacker puede engañar a un firewall y robar ficheros secretos situados en un servidor, la solución es utilizar algún tipo de sistema de detección-prevención-gestión de intrusiones que puede contemplarse como una cámara de TV con el papel de informante.

El IDS detecta los comportamientos intrusivos de una forma automatizada. En un IDS se pueden identificar las siguientes funciones: (i) Monitorización de eventos en el tráfico de red y en los computadores o hosts. (ii) Análisis de eventos en tiempo real en busca de signos de intrusión. (iii) Registro de información en un registro de auditoría. (iv) Notificación de alertas, por ejemplo utilizando mensajes de correo electrónico, SMS, activando alarmas sonoras o luminosas, etc. (v) Produ-ciendo informes a medida personalizados de los eventos de interés.

Básicamente se pueden identificar dos tecnologías en relación a los IDSs: HIDS (Host-based IDS) y NIDS (Network-based IDS). Así mismo se pueden identificar dos métodos de detección: Detección basada en firma (identifica secuencias conocidas de eventos que indican comportamiento intrusivo) y Detección basada en anomalías (busca comportamientos anormales con lo cual es probable detectar ataques desconocidos).
La prevención de intrusiones es la capacidad para detectar un evento e intentar detener los posibles incidentes. Un IPS (Intrusion Prevention Systems) previene los intentos de intrusión detectados por el IDS. Por tanto: IPS = (IDS + módulo de prevención). El IPS actúa como un “policía de tráfico de red” que automatiza la respuesta. Un IPS utiliza diversas técnicas de respuesta: (i) Detiene el ataque en sí, bloqueando el acceso a la víctima, terminando la conexión de red. (ii) Cambia el entorno de seguridad, reconfigurando dispositivos de red como firewall, router (L3), switch-bridge (L2). (iii) Cambia los contenidos del ataque, eliminando por ejemplo un fichero infectado adjunto a un correo electrónico, modificando el contenido de un datagrama UDP de forma inline, etc. (iv) Redirige el tráfico a un Honeypot/PaddleCell y envía traps SNMP.

Estrategias de control IDS/IPS. Tipos de despliegue de NIDS/NIPS
Un IDS puede implementarse utilizando una de las tres estrategias básicas de control: (1) Centralizada. Todas las funciones de control IDS se implementan y gestionan desde una localización o consola central. (2) Totalmente distribuida. Todas las funciones de control se aplican en la localización física de cada componente IDS. (3) Parcialmente distribuida. Combina las dos anteriores; mientras los agentes individuales pueden analizar y reportar amenazas locales, reportan a una estación central jerárquica para permitir que la organización detecte ataques generales.

El NIST (National Institute of Standards and Technology, ver http://www.nist.gov) recomienda cuatro localizaciones para colocar los sensores NIDS: (i) Detrás de cada firewall externo en la red DMZ. (ii) Fuera del firewall exterior. (iii) En los backbones o troncales principales de red. (iv) En las subredes críticas. Otras posibles ubicaciones son: en la DMZ (Zona Desmilitarizada), delante y detrás del firewall (esta combinación permite detectar ataques al firewall y pueden ayudar a refinar el conjunto de reglas del firewall), en los segmentos de red de los servidores, en los segmentos de red con usuarios de “potentes”, detrás del servidor RAS (Remote Access Server), entre las unidades de negocios, entre la red corporativa y las redes de los socios corporativos.

Medida de la efectividad de los IDS/IPS
Dos métricas dominantes utilizadas para evaluar IDS/IPS son: (1) Los administradores evalúan el número de ataques detectados sobre un conjunto conocido de pruebas. (2) Los administradores examinan el nivel de utilización en cada IDS con fallo. La evaluación de un IDS puede expresarse de la siguiente forma, por ejemplo a 1000 Mbps un IDS puede detectar el 97% de ataques dirigidos. Debido a que desarrollar esta recogida puede ser tedioso, la mayor parte de fabricantes de IDS proporcionan mecanismos de test para verificar que los sistemas están rindiendo como se espera de ellos. Algunos de estos procesos de test permitirán al administrador: (i) Registrar y retransmitir paquetes desde escaners de virus o gusanos reales. (ii) Registrar y transmitir paquetes desde escaners de virus y gusanos reales con conexiones de sesión TCP incompletas (perdiendo paquetes SYN). (iii) Realizar un escaneo de virus o gusanos reales contra un sistema invulnerable.

Clasificación e inconvenientes d elos IDS/IPS
Tres criterios utilizados a la hora de clasificar los IDS/IPS son:
(1) De acuerdo a las tecnologías o métodos utilizadas para detectar las intrusiones. Se pueden identificar:
(i) Los basados en firmas de ataques. Los utilizan los NIDS que emplean firmas de ataque pre-identificadas.
(ii) Los basados en anomalías. Utilizan métodos estadísticos, se basa en encontrar actividades irregulares que difieren del patrón de base normal.
(iii) Uso indebido del protocolo del sistema. Monitorizan las desviaciones del protocolo normal. Este método es útil para detectar intentos por parte de un usuario o aplicación de intentar ganar acceso no autorizado a un sistema.
(2) De acuerdo a la implementación práctica del sistema, es decir, de acuerdo al objetivo monitorizado. Se pueden identificar tres grandes grupos:
(i) Los basados en host o HIDS (ejemplos son: Tripwire, ISS RealSecure OS Sensor y Axent Intruder Alert) y todos los IDS relacionados, como los basados en aplicación o AIDS y los basados en protocolo o PIDS. Los HIDS son pequeños programas software denominados agentes que residen en un computador; monitorizan métricas como acceso y modificación de ficheros, inserción de unidades de disco removibles USB/CDs/DVDs, rendimiento de la CPU, etc. Los AIDS residen en un computador y monitorizan métricas como las terminaciones de procesos, las salidas anómalas, las colas de mensajes, etc.
(ii) Los basados en red o NIDS (por ejemplo Snort 2.8.0, Netpowler de Axent, Cybercop Monitor de NAI, RealSecure Network Sensor de ISS, Secure IDS de Cisco) y todos los IDS relacionados como los basados en protocolo o PIDS. Un NIDS reside en una appliance separada, monitoriza el tráfico de red, los dispositivos anómalos y los ataques internos. Un PIDS puede residir sobre un NIDS o sobre un computador, se encarga de monitorizar el uso del protocolo de comunicaciones entre los sistemas.
(iii) Los IDS híbridos o IDS distribuidos. Combinan las dos ubicaciones de actuación, pudiendo detectar intrusiones tanto internas en los sistemas de computación finales (HIDS) como externas en el tráfico de red con o sin switch (NIDS).
(3) Clasificación funcional. Atendien-do a su funcionalidad: (i) Capturador de paquetes y comparador de patrones o firmas. (ii) Analizador de logs. (iii) Comprobador de integridad de ficheros. (iv) Monitor de actividad. (v) Firewall de host.
Algunos estilos de detección de intrusiones están basados en: firmas conocidas (sintaxis), uso indebido conocido (puede incluir semántica), detección de anomalías (debe operar en el dominio), especificación (se define lo permitido y se prohíbe el resto), comportamiento (evidencia contextual, por ejemplo “unset HISTFILE”.).
Los principales inconvenientes de los IDS son: (i) El volumen de alarmas falsos positivos es enorme. (ii) El número de eventos no notificados. (iii) La mayor parte de soluciones de sniffing de paquetes son libres de contexto. No tienen ni idea si un ataque es relevante. (iv) Sólo son entidades que informan, son agentes reactivos. (v) Elevada carga de trabajo para el administrador del IDS. (vi) Respuesta manual a los eventos. (vii) No capacidad preventiva.

Comparativa entre HIDS y NIDS: (a) HIDS. Dos métodos comunes de implementarlos son el basado en agente y el analizador de logging. El despliegue basado en agente necesita instalar en el sistema host programas especializados. La implementación del análisis de logging depende de los logs del host que se meten o extraen a un sistema de logging. Los HIDS son mejores que los NIDS para tratar información cifrada. (b) NIDS. Se colocan en uno o varios puntos a lo largo de la red. El agente sniffer analiza los paquetes de red que contienen datos, incluyendo el mensaje y cabecera que identifica las partes emisora y receptora. Los ataques de red como el IP spoofing, la inundación de paquetes y la denegación de servicios son detectados mejor a través de un examen de paquetes NIDS que utilizando un HIDS.

Criterios a la hora de elegir un IDS/IPS. Problemas potenciales
A la hora de elegir un IDS se pueden considerar las siguientes directrices o criterios de valoración: (1) Firmas de ataque utilizadas. Se debe valorar su calidad y el organismo que las crea; se debe examinar la tasa de falsos positivos, de falsos negativos así como la BRF (Base Rate Fallacy). Así mismo, se debe considerar la frecuencia de su actualización (si es mayor de ocho horas puede ser peligroso). Además es conveniente valorar el mecanismo de actualización (si está protegido y en qué consiste). (2) Escalabilidad. Se debe valorar la capacidad de gestión y manipulación de tráfico se debe observar si cuenta con funcionalidades de balanceo de carga para horas punta. Así mismo en HIDS las plataformas soportadas. Otro aspecto para poder valorar con criterio es el tipo de mecanismo de shutdown (para apagar) utilizado.

(3) El tipo de plataforma hardware utilizada. Por ejemplo sobre un PC o sobre un appliance switch con procesadores de propósito general como procesadores basados en Intel (por ejemplo Intel Core 2 Quad), bien basada en procesadores sparc, bien basada en hardware ASIC (Application-Specific Integrated Circuits, circuitos integrados que realizan un conjunto de instrucciones codificadas en hardware sobre los datos que pasan), bien basada en hardware FPGA (Field Programmable Gate Arrays, circuitos integrados que pueden programarse para realizar ciertas operaciones sobre los datos que pasan). (4) Capacidad de administración o gestionabilidad. Se pueden examinar si incorpora funcionalidades como: capacidad de examen de log, referencias cruzadas, capacidad de archivo, existencia de consola centralizada. Algunos de los problemas potenciales que presentan los IDS/IPS: la calidad de las firmas de ataque; la gestión de tráfico cifrado SSL, los túneles IPSEC/PPTP, los adjuntos PGP en correo electrónico; el uso de LANs con switch (múltiples dominios de colisión) frente a LANs con hub (un dominio de colisión) exige realizar conexiones a través del puerto de spanning/mirroring de switch para monitorizar todo el tráfico, posible degradación del rendimiento; el despliegue en redes de muy alta velocidad puede darse la no monitorización de todo el tráfico.

Acciones de respuesta de un IDS/IPS
Un IDS/IPS monitoriza y detecta comportamientos maliciosos e identifica patrones sospechosos que pueden comprometer la seguridad de la red/sistema de computación. El IDS es un sistema pasivo, detecta una brecha potencial de seguridad, registra la información y señala una alerta. El IPS es un sistema tanto reactivo, respondiendo a la actividad sospechosa reconfigurando los firewall para bloquear el tráfico de red o eliminando tráfico de la red como proactivo tomando medidas con anticipación en base a indicios detectados. Entre las posibles acciones de respuesta que puede realizar un sistema de gestión de intrusiones están: (1) Registrar en log: cabeceras de los paquetes IP y de los protocolos encapsulados, datos de aplicación relevantes, paquetes IP en bruto. (2) Alertar. Por medio de una consola a los administradores, por correo electrónico, por SMS, emitiendo mensajes traps SNMP a un sistema de gestión de red. (3) Terminación de conexiones intrusitas. Utilizando el comando kill TCP, empleando kernel drop. (4) Avisando o interaccionando con dispositivos de terceras partes en un entorno integrado: reconfigurando a los firewalls o a los router-L3 o a los switches-L2. (5) Utilizando script de usuario. Incrementando el nivel de log, enviando un mensaje a un módem para que lo haga llegar a un buscapersonas, enviando mensajes de correo electrónico para que envíen SMSs, redirigiendo el tráfico sospechoso a un honeypot o paddle-cell, poniendo el fichero o equipo infectado en una zona de cuarentena por ejemplo con VLAN. Dos estrategias de detección de intrusiones utilizadas: (i) Detección de política. Consiste en decidir con anticipación que tipo de comportamiento es indeseable y a través del uso de un permiso o denegación o política por defecto detectar intrusiones. (ii) Detección de anomalías. Consiste en declarar todo lo que es inusual para el sujeto (computador, usuario, etc.) sospechoso y merecedor de investigación adicional.

Estándares asociados a los IDS/IPS
Dos estándares utilizados en IDS/IPS son: (1) IDMEF (Intrusion Detection Message Exchange Format) del IETF. El objetivo del IDWG (Intrusion Detection Working Group) es definir el formato de datos, definir el procedimiento de intercambio y especificar un lenguaje de intrusión común. El IDMEF es un formato de datos estándar e interoperable que utiliza XML. Los típicos despliegues son las comunicaciones entre sensor y gestor, el almacenamiento en la base de datos, la interacción con la consola centralizada y el sistema de correlación de eventos. (2) CVE (Common Vulnerabilities and Exposures). Posibilita la interoperabilidad entre herramientas. Un ejemplo de nomenclatura es CVE-2000-0809, se trata de una entrada a la lista CVE que estandariza un problema de seguridad, en este caso un buffer overflow en la herramienta VPN-1/Firewall-1 v4.1 de CheckPoint.

Enfoque de defensa en profundidad para securizar un entorno
Es evidente la necesidad de un conjunto de diferentes niveles de defensa para poder reducir el riesgo a los niveles demandados por la alta dirección de una organización. Estos niveles son: (N1) Bloqueo de ataques basado en red. Se utilizan firewalls y sistemas de detección/prevención de intrusiones corporativos, herramientas NAC (Network Admisión Control), antispam-antivirus tipo security appliance. (N2) Bloqueo de ataques basado en computador. Se utilizan firewall personales, sistemas de detección/prevención de intrusiones basado en host, anti-virus, antispam-antiphishing. (N3) Eliminar las vulnerabilidades de seguridad. Se utilizan herramientas de gestión de vulnerabilidades, herramientas de gestión de parches/remedio de vulnerabilidades, herramientas de cumplimiento de configuración de seguridad, de leyes, de estándares y de normativas, herramientas de comprobación de la seguridad de aplicaciones. (N4) Soporte seguro de usuarios autorizados. Se utilizan herramientas de gestión de accesos e identidad, federación de identidades, sistemas de cifrado de ficheros, herramientas de VPN con clientes, SSL VPN sin clientes. (N5) Minimizar las pérdidas de negocio y maximizar su efectividad. Se utilizan herramientas de gestión de información de seguridad con cuadros de mando, herramientas de monitorización de integridad, herramientas de copias de seguridad, de recuperación de negocios, herramientas forenses, herramientas de desarrollo de skills (habilidades) de seguridad.

Consideraciones finales
Nuestro grupo de investigación ha trabajado activamente desde hace más de quince años en el desarrollo, análisis y evaluación de mecanismos, esquemas y sistemas de gestión de intrusiones a nivel de equipo de computación final y recursos de red. Ha desplegado por topologías muy variadas tanto en entornos poco como muy contaminados con interferencias electromagnéticas sistemas IDS/IPS con resultados muy satisfactorios en cuanto a efectividad. Ha analizado el rendimiento y la problemática de los errores. Ha dado soluciones en el área de los ataques retardados, sigilosos, con paquetes fragmentados y manipulados a nivel de cabeceras y campos de datos L2/L3/L4/L5.

Más información o presupuesto

Este artículo se enmarca en las actividades desarrolladas dentro del

proyecto LEFIS-APTICE (financiado por Socrates 2005-2007. European Commission).