Archivo

Archivo para la Categoría "Sistema de Detección de Intrusos"

Sistemas de Detección de Intrusiones

21 diciembre 2009 Deja un comentario

Historia

Cuando la gente oye hablar de Sistemas de Detección de Intrusiones, generalmente los asocia a “alarmas de ladrones para ordenadores o redes”. Es fácil entender un concepto como este usando comparaciones sencillas. En realidad, la explicación es bastante aproximada, y los usuarios que no se dedican a la seguridad no necesitan saber más. Sin embargo, los expertos en seguridad no pueden cometer el error de conformarse con algo tan trivial, sin tener conocimiento alguno sobre la historia de estos sistemas.

La detección de intrusiones es el fruto de la aplicación del Procesamiento Electrónico de Datos (EDP) a las auditorías de seguridad, utilizando mecanismos de identificación de patrones y métodos estadísticos. Es una parte imprescindible en las modernas tecnologías de seguridad de redes.

Antes de la detección de intrusiones existían las auditorías de seguridad. La auditoría es el proceso de generar, almacenar y revisar eventos de un sistema cronológicamente.

La Figura 1‑1 muestra un esquema simple del funcionamiento de un sistema de auditorías. Los eventos de sistema son capturados por los generadores de auditorías, que llevan los datos al elemento encargado de guardarlos en un fichero de “logs”. El analizador, en base a unas políticas de seguridad, emite los resultados a través de un terminal.

Figura 1‑1 – Sistema de Auditorías Básico

Durante los comienzos de la historia de los ordenadores, estas máquinas eran relativamente escasas y muy caras. Su uso estaba restringido a técnicos e ingenieros especializados. Los primeros sistemas de auditorías tenían como propósito medir el tiempo que dedicaban los operadores a usar los sistemas que monitorizaban, con una precisión de milésimas de segundo, y servían entre otras cosas para poder facturarles el mismo.

Auditorías: el comienzo

A mediados de los años 50 la empresa “Bell Telephone System”, de Estados Unidos, creó un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en el futuro en el negocio de las empresas de telefonía. Este equipo estableció la necesidad de utilizar auditorías mediante el Procesamiento Electrónico de Datos (EDP), rompiendo con el anterior sistema basado en los tradicionales informes de papel. Esto hizo que a finales de los 50 la “Bell Telephone System” se embarcara en el primer sistema a gran escala de facturación telefónica controlada por ordenadores. [1]

El Departamento de Defensa de EEUU empleó numerosos recursos en los años 70 para la investigación de políticas de seguridad, directrices y pautas de control de lo que denominaban “sistemas de confianza”. Estos esfuerzos culminaron con la Iniciativa de Seguridad de 1977.

Los Sistemas de Confianza son aquellos “sistemas que emplean los suficientes recursos hardware y software para permitir el procesamiento simultáneo de una variedad de información confidencial o clasificada”. [2]

En estos sistemas se albergaban distintos tipos de información repartida en niveles, que correspondían a su grado de confidencialidad.

En un principio, los desarrolladores no tenían claro si las auditorías jugaban un papel importante en la seguridad de un sistema de confianza. Más tarde, se terminó incluyendo un apartado sobre los mecanismos de las auditorías en el “Trusted Computer System Evaluation Criteria” o TSCSEC [3] (Libro Naranja), como un requisito para cualquier sistema de confianza de clase C2 o superior. La serie de documentos del Departamento de Defensa de EEUU sobre Sistemas de Confianza se conoce como la “serie Arco Iris” (“Rainbow series”) debido a los colores de las tapas de los libros que publicaban.

El documento que trata el tema de las auditorías está incluido en el “Libro Marrón” titulado “A Guide to Understanding Audit in Trusted Systems” [4]. En este libro se enumeran los cinco objetivos de un mecanismo de auditoría:

·         Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protección del sistema.

·         Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.

·         Permitir el descubrimiento de la transición de usuario cuando pasa de un menor nivel de privilegios a otro mayor (elevación de privilegios).

·         Permitir el bloqueo de los intentos de los usuarios por saltarse los mecanismos de protección del sistema.

·         Servir además como una garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones será suficiente para controlar los posibles daños ocasionados en el sistema.

Los primeros Sistemas de Detección de Intrusiones

A medida que el número de ordenadores crecía, el número de eventos de sistema a analizar era tal que esta tarea se volvía humanamente imposible. Las autoridades militares de norteamericanas se dieron cuenta de que el uso cada vez más masivo de ordenadores en sus instalaciones requería algún mecanismo que facilitara la labor de los auditores.

James P. Anderson fue la primera persona capaz de documentar la necesidad de un mecanismo que automatizara la revisión de los eventos de seguridad. Describió el concepto de “Monitor de Referencias” en un estudio encargado por las Fuerzas Aéreas de EEUU, y redactó un informe en 1980 que sería el primero de los futuros trabajos sobre detección de intrusiones. Uno de los objetivos de este informe era la eliminación de información redundante o irrelevante en los registros de sucesos.

Anderson propuso un sistema de clasificación que distinguía entre ataques internos y externos, basado en si los usuarios tenían permiso de acceso o no al ordenador. Estos eran los principales objetivos de los mecanismos de auditoría de seguridad:

Leer más…

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.