Seguridad
Páginas: 11 (2731 palabras)
Publicado: 28 de junio de 2011
CONSIDERACIONES PARA LA INSTALACIÓN DE UN SISTEMA DE DETECCIÓN DE INTRUSIONES EN TIEMPO REAL
Manuel Humberto Santander Peláez
Analista de Soporte Técnico
Empresas Públicas de Medellín E.S.P.
Medellín, Antioquia, Colombia
Junio 22 de 2001
Abstract
La detección de intrusos en las redes corporativas está tomando cada vez más fuerza. Aunque una máquina tenga varios controles de seguridadimplementados, el software que ésta tiene instalado puede tener problemas de seguridad y conducir a una posible intrusión. Ni siquiera los firewalls, dentro de su conjunto de reglas, no pueden asegurar que un cracker no logre realizar una intrusión al interior de la red. Suponiendo que el firewall o la máquina pueden protegerse de un ataque, el cracker puede generar una cantidad enorme de logs,haciendo virtualmente inutilizable esta información, dado a la incapacidad de extraer de allí la información clave. Por esto se hace necesario un Sistema de Detección de Intrusiones (IDS), el cual puede proteger tanto una máquina como una red y de acuerdo a la gravedad del incidente, avisar al administrador de red por diversos medios, tales como el correo electrónico y beepers. El IDS para redes escapaz de monitorear todo el tráfico de paquetes IP y de niveles superiores, buscando información sospechosa que pueda significar una posible intrusión. El IDS para máquinas monitorea todo el comportamiento de la misma, en busca de eventos anormales que puedan significar una intrusión.
Palabras claves: Intrusos, Seguridad, Crackers, Negación del servicio, Portscan, Portscanners,
1.Introducción
La detección de ingresos de personal no autorizado a las redes de computadores a tiempo es un problema que cada vez está tomando más fuerza. Aunque la protección principal de un sistema en caso de intrusión es sus propios controles de acceso, el procedimiento de manejo de las claves y en general de los procedimientos de acceso autorizado por parte de los usuarios y de la misma organizaciónno es el mejor y en muchas de las ocasiones estos medios de acceso autorizado terminan en manos de terceros. Adicionalmente, los programas que se instalan en los computadores para brindar servicios de acceso a información tienen numerosas vulnerabilidades de seguridad. Incluso los sistemas más seguros, pueden llegar a ser abusados por los privilegios que posean los usuarios autorizados. Esto,teniendo en cuenta que encontrar las fallas de seguridad y arreglarlas en un software en específico no es tarea fácil y que diseñar programas libres de estos errores es difícil, se hace necesario tener otros tipos de controles fuera de las máquinas que refuercen los controles de acceso tomados al interior de las mismas.
Uno de los medios que puede ayudar a este fin son los logs de auditoría[1]tanto al interior de cada una de las máquinas como en el tráfico de la red. Para la generación de estos registros en las máquinas, los distintos sistemas operativos proveen medios para obtenerlos; para inspeccionar el tráfico de la red, podemos utilizar firewalls, los cuales con base en un conjunto predefinido de reglas permite o niega el paso de tráfico al interior ó al exterior de la respectiva redcorporativa.
De aquí surge un interrogante: ¿Cómo darse cuenta de la intrusión a una máquina o red de computadores cuando se hace a través de tráfico que el dispositivo de seguridad permite pasar?
Por ejemplo, si un intruso desea atacar un sitio web de una empresa y posee solamente un Firewall del tipo Stateful Packet Filter[2], podría pasar cualquier ataque al sitio web y los logs deauditoría reportarían que se realizó un acceso autorizado a dicho servidor WEB. Si tenemos en cuenta que el servidor web tiene servicios instalados y que estos pueden tener vulnerabilidades de seguridad, los accesos que este atacante realice pueden llegar a no quedar registrados en los logs de auditoría del sistema operativo, con lo cual las posibilidades de encontrar a quien hizo la intrusión pueden...
Manuel Humberto Santander Peláez
Analista de Soporte Técnico
Empresas Públicas de Medellín E.S.P.
Medellín, Antioquia, Colombia
Junio 22 de 2001
Abstract
La detección de intrusos en las redes corporativas está tomando cada vez más fuerza. Aunque una máquina tenga varios controles de seguridadimplementados, el software que ésta tiene instalado puede tener problemas de seguridad y conducir a una posible intrusión. Ni siquiera los firewalls, dentro de su conjunto de reglas, no pueden asegurar que un cracker no logre realizar una intrusión al interior de la red. Suponiendo que el firewall o la máquina pueden protegerse de un ataque, el cracker puede generar una cantidad enorme de logs,haciendo virtualmente inutilizable esta información, dado a la incapacidad de extraer de allí la información clave. Por esto se hace necesario un Sistema de Detección de Intrusiones (IDS), el cual puede proteger tanto una máquina como una red y de acuerdo a la gravedad del incidente, avisar al administrador de red por diversos medios, tales como el correo electrónico y beepers. El IDS para redes escapaz de monitorear todo el tráfico de paquetes IP y de niveles superiores, buscando información sospechosa que pueda significar una posible intrusión. El IDS para máquinas monitorea todo el comportamiento de la misma, en busca de eventos anormales que puedan significar una intrusión.
Palabras claves: Intrusos, Seguridad, Crackers, Negación del servicio, Portscan, Portscanners,
1.Introducción
La detección de ingresos de personal no autorizado a las redes de computadores a tiempo es un problema que cada vez está tomando más fuerza. Aunque la protección principal de un sistema en caso de intrusión es sus propios controles de acceso, el procedimiento de manejo de las claves y en general de los procedimientos de acceso autorizado por parte de los usuarios y de la misma organizaciónno es el mejor y en muchas de las ocasiones estos medios de acceso autorizado terminan en manos de terceros. Adicionalmente, los programas que se instalan en los computadores para brindar servicios de acceso a información tienen numerosas vulnerabilidades de seguridad. Incluso los sistemas más seguros, pueden llegar a ser abusados por los privilegios que posean los usuarios autorizados. Esto,teniendo en cuenta que encontrar las fallas de seguridad y arreglarlas en un software en específico no es tarea fácil y que diseñar programas libres de estos errores es difícil, se hace necesario tener otros tipos de controles fuera de las máquinas que refuercen los controles de acceso tomados al interior de las mismas.
Uno de los medios que puede ayudar a este fin son los logs de auditoría[1]tanto al interior de cada una de las máquinas como en el tráfico de la red. Para la generación de estos registros en las máquinas, los distintos sistemas operativos proveen medios para obtenerlos; para inspeccionar el tráfico de la red, podemos utilizar firewalls, los cuales con base en un conjunto predefinido de reglas permite o niega el paso de tráfico al interior ó al exterior de la respectiva redcorporativa.
De aquí surge un interrogante: ¿Cómo darse cuenta de la intrusión a una máquina o red de computadores cuando se hace a través de tráfico que el dispositivo de seguridad permite pasar?
Por ejemplo, si un intruso desea atacar un sitio web de una empresa y posee solamente un Firewall del tipo Stateful Packet Filter[2], podría pasar cualquier ataque al sitio web y los logs deauditoría reportarían que se realizó un acceso autorizado a dicho servidor WEB. Si tenemos en cuenta que el servidor web tiene servicios instalados y que estos pueden tener vulnerabilidades de seguridad, los accesos que este atacante realice pueden llegar a no quedar registrados en los logs de auditoría del sistema operativo, con lo cual las posibilidades de encontrar a quien hizo la intrusión pueden...
Leer documento completo
Regístrate para leer el documento completo.