MundoInformática » Sistemas de detección de Intrusos: Completa tus herramientas de seguridad

Tiempo estimado de lectura 4:06 min. rellotge

Sistemas de detección de Intrusos: Completa tus herramientas de seguridad

Todo empezó cuando, en la década de los cincuenta, la empresa americana “Bell Telephone System” decidió automatizar el proceso de registro de eventos en sus máquinas.

El ordenador era capaz de almacenar cronológicamente los eventos más importantes que iban ocurriendo en sus entrañas. A esto se le llamó EDP (Electronic Data Process, o proceso electrónico de datos) y supuso una pequeña revolución en el cada vez más pujante mundo de la informática.

Antes de esto, todos los informes sobre los eventos acaecidos en un ordenador, eran cuidadosamente registrados y entregados por esforzados técnicos en papel físico. Desde entonces todo sistema operativo cuenta con un sistema de almacenamiento de logs (registros) que registra los eventos más importantes del sistema. En concreto los de seguridad, permiten conocer las posibles vulnerabilidades y ayudar a prevenirlas.

Pero no fue hasta 1980 cuando James P. Anderson estudió el problema del análisis de logs e ideó un mecanismo que automatizara la ardua tarea de revisión de registros. Su sistema se basaba en la comparación con estadísticas generadas a partir de la observación. Durante un periodo de desarrollo, se estudiaba el uso, por ejemplo, que el usuario hacía de una cuenta. A partir de esa observación, se creaban patrones estadísticos que definían el comportamiento tipo del usuario. El “detector de intrusos” podía entonces detectar si se había raptado una cuenta a partir de la comparación de comportamientos cada vez que “alguien” tenía acceso a esa cuenta. Si se notaba actividad inusual que se salía de los patrones generados previamente, se podía sospechar de que la cuenta no estaba siendo utilizada por su legítimo dueño. Esta idea marcaría el desarrollo de los futuros sistemas de detección de intrusos (IDS; Intrusion Detection System).

Luego vinieron más y más mejoras, desde la inclusión del tiempo real en el análisis hasta la incorporación de tráfico de red en el objetivo de la vigilancia, pasando por la capacidad de respuesta, pero las bases ya habían sido marcadas. Y es que un sistema de detección de intrusos no deja de ser un “gran hermano” con licencia para vigilar, que conoce el sistema, que analiza todo lo que pasa, en busca de algo extraño, como el policía que lentamente pasea por la calle, observando, mientras distraídamente da vueltas a la porra, loco por usarla sobre alguno que se parezca a cualquiera de las fotografías de sospechosos que mantiene en la cartera.

En resumen, un sistema de detección de intrusos hace exactamente eso. Detectar “posibles” intrusiones. Específicamente, pretende detectar ataques o abusos al sistema, alertando con los pormenores del ataque en sus propios registros. Proporciona una seguridad parecida a la que un sistema de alarma instalado en casa puede suponer. Mediante varios métodos, ambos detectan si un intruso, atacante o programa está ejecutando o intercambiando algún tipo de información sensible con nuestro sistema (escaneando puertos, atacando vía CGI…), y en consecuencia disparan una alarma, que puede ser sonora, pero que normalmente se limita a incluir el evento en una base de datos o registro especial.

Pero para que un IDS sea realmente eficaz, es necesario entrenarle, indicándole los patrones que se sospechan pueden llegar a ser peligrosos. Normalmente estos patrones deben ser actualizados a menudo, pues surgen ataques nuevos cada día, varían los existentes o ganan en efectividad. También cabe la posibilidad de configurar específicamente el detector para que nos mande un correo urgente, o envíe un mensaje corto al móvil. En estos casos, recomiendo definir con cautela lo que puede resultar un ataque y lo que no, pues puede causar muchos falsos positivos y relajarnos en exceso ante tantas falsas alarmas. Los falsos negativos, hablando de IDS, ocurren cuando el detector no detecta un ataque y lo deja pasar, esto es, cuando no cumple uno de sus objetivos marcados.

Los sistemas de detección de intrusos proporcionan tres funciones esenciales de seguridad: monitorizan, detectan y responden a la actividad que consideran sospechosa. Veamos un poco más en detalle qué significa cada acción.

Monitorizan: El IDS mantiene siempre un ojo en la red, observando y escudriñando el tráfico en busca de cualquier paquete susceptible de contener código no deseado. Qué visita quién y cuándo lo hace en nuestra red, quién viene desde el exterior y qué busca… etc. En este sentido actúa exactamente igual que un sniffer. De hecho, cabe la posibilidad de utilizarlos como tal. Para llevar a cabo esta tarea, debe interceptar todos los paquetes de información y consultar los campos de destino, origen, puertos, etc.

Detectan: Usan políticas (reglas totalmente configurables) para definir los actos sospechosos de todo ese tráfico que provocarán una alarma si coinciden. Las reglas deben ser actualizadas cada poco tiempo, pues el tráfico sospechoso varía según se descubren nuevas vulnerabilidades.

Responden: Esta alarma puede venir en forma de ejecución de archivos en el sistema, páginas html dinámicas con gráficos o incluso correos con la información necesaria. También podría incluir la expulsión de un usuario del sistema, el aislamiento de la máquina mediante la desconexión de la tarjeta de red… etc. Normalmente, se instala un sistema web protegido con contraseña, donde el administrador puede consultar desde cualquier lugar con conexión a Internet qué está ocurriendo en tiempo real en su sistema.

Sistemas de detección de Intrusos los hay para todos los gustos, desde carísimos sistemas combinados con hardware, hasta programas de código libre y abierto gratuitos, que han demostrado una eficacia que nada tiene que envidiar a sus hermanos comerciales. El más conocido, se llama “snort” (bufar, roncar…) y se puede encontrar más información sobre él en www.sonort.org. junto con toda la documentación necesaria para manejar a la perfección este programa.