Sunteți pe pagina 1din 6

La historia y evolucin de deteccin de intrusiones

" El mundo de la informacin es verdaderamente electrnica - que no hay vuelta atrs. " - Winn
Schwartau
Durante los ltimos cinco aos, la seguridad de la red informtica se ha convertido en la corriente
principal en la mayor parte de la vida de todos . Hoy en da , la mayora de los debates sobre la
seguridad informtica se centra en las herramientas o tcnicas utilizadas en la proteccin y
defensa de las redes . El objetivo de este trabajo es examinar los orgenes de la deteccin, anlisis
y presentacin de informes de actividad maliciosa , donde est hoy y donde parece dirigirse en el
futuro. Algunas de las muchas tcnicas y herramientas que se utilizan actualmente en la defensa
de la red se estudiarn tambin.
Hay una gran variedad de herramientas que proporcionan un cierto nivel de comodidad con
riesgos aceptables utilizados en la defensa y la vigilancia de las redes informticas . Defensa a
Fondo es un trmino que abarca la formacin integral analista , hardware desplegado en
posiciones estratgicas y una fuerte poltica de seguridad necesarias para el logro de este objetivo.
Todos los das, tenemos las herramientas a nuestra disposicin para alcanzar este objetivo. La
agregacin de los datos proviene de routers , el propio anfitrin, cortafuegos, antivirus y una
herramienta estrictamente diseada para atrapar ataques conocidos ; un sistema de deteccin de
intrusiones ( IDS) .
Qu es la deteccin de intrusiones ?
Una definicin simple: Se trata de los intentos activos implacables en descubrir o detectar la
presencia de actividades intrusivas .
Deteccin de Intrusiones (ID ) en lo relacionado con las computadoras y la infraestructura de red
abarca un mbito mucho ms amplio . Se refiere a todos los procesos que se utilizan en el
descubrimiento de los usos no autorizados de dispositivos de red o computadoras. Esto se logra a
travs de software diseado especficamente con un nico propsito de detectar la actividad
anormal o inusual .
El principio
Un documento USAF publicado en octubre de 1972 escrito por James P. Anderson esboz el hecho
de que la USAF haba " vuelto cada vez ms conscientes de los problemas de seguridad
informtica. Este problema se sinti prcticamente en todos los aspectos de las operaciones y la
administracin de la USAF " .
Durante ese perodo de tiempo , la USAF tena la ingente tarea de proporcionar compartida
utilizada de sus sistemas informticos , que contenan diversos niveles de clasificacin en un
entorno sin necesidad de conocer con una base de usuarios de la celebracin de los distintos
niveles de autorizacin de seguridad . Hace treinta aos , esto cre un grave problema que an
est con nosotros hoy. El problema sigue siendo : Cmo asegurar con seguridad dominios
clasificacin separados en la misma red sin seguridad comprometer 1 ?
En 1980 , James P. Anderson public un estudio delineando las formas de mejorar la auditora de
la seguridad informtica y la vigilancia en las instalaciones del cliente . La idea original detrs de ID
automatizada se acredita a menudo con l por su papel en " Cmo utilizar los archivos de auditora
contable para detectar
SANS Institute 2001 , autor conserva todos sus derechos Huella de clave = AF19 FA27 2F94 998D
FDB5 DE3D F8B5 06E4 A169 4E46
Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
SANS Institute 2001 , como parte de la Sala de Lectura de Seguridad de la Informacin. Autor
retiene todos los derechos.
Chico Bruneau - GSEC Version 1.2f
acceso no autorizado " . Este estudio ID allan el camino como una forma de deteccin de mal uso
de la unidad central systems.2
La primera tarea consisti en definir qu amenazas exista. Antes de disear un IDS , fue necesario
entender los tipos de amenazas y ataques que podran ser montados contra los sistemas
informticos y cmo reconocido en un conjunto de datos de auditora. De hecho, l se refiere
probablemente a la necesidad de un plan de evaluacin de riesgos para comprender la amenaza (
cules son los riesgos o vulnerabilidades , lo que los ataques podran ser o los medios de
penetraciones ) siguiendo as con la creacin de una poltica de seguridad para proteger el
sistemas en el lugar .
Entre 1984 y 1986 , Dorothy Denning y Peter Neumann investig y desarroll el primer modelo de
un IDS en tiempo real. Este prototipo fue nombrado el Sistema Experto de Deteccin de
Intrusiones ( IDES ) . Esta IDES fue inicialmente un sistema experto basado en reglas entrenados
para detectar actividad maliciosa conocida. Este mismo sistema se ha perfeccionado y mejorado
para formar lo que se conoce hoy en da como el Sistema de la prxima generacin de deteccin
de intrusiones de Expertos ( NIDES ) 0,3
El informe publicado por James P. Anderson y el trabajo sobre los IDES fue el comienzo de muchas
de las investigaciones sobre IDS lo largo de los aos 1980 y 1990 . Durante este perodo, el
gobierno de EE.UU. financi la mayor parte de esta investigacin. Proyectos como Discovery ,
Almiar, Multics Intrusion Detection System y Alerta ( MIDAS ), Director de Auditora de red y de
intrusiones Reporter ( NADIR ) fueron desarrollados para detectar intrusiones .
hoy
Para comprender mejor los trminos utilizados en la comunidad de usuarios y la investigacin de
identificacin, algunos de los trminos ms comnmente utilizados son :
Basado en host : Los datos de un solo host se usa para detectar signos de intrusin como los
paquetes de ingresar o salir del host.
Basados en la red : Los datos de una red es analizado en contra de una base de datos y lo marca a
aquellos que parecen sospechosos . Los datos de auditora de uno o varios anfitriones pueden ser
utilizados tambin para detectar signos de intrusiones .
Modelo de deteccin de anomalas : El IDS tiene conocimiento de un comportamiento normal por
lo que busca para el comportamiento anmalo o desviaciones de la lnea de base establecida .
Mientras ms evidente desventaja de la deteccin de anomalas es su alto falso positivo, s ofrece
detecciones de intrusiones desconocidas y nuevas hazaas.
Modelo de deteccin de mal uso : El IDS tiene conocimiento de un comportamiento sospechoso y
la actividad de las bsquedas que viole las polticas establecidas. Tambin significa buscar el
comportamiento malicioso o no deseado conocido. De hecho , sus principales caractersticas son
su eficiencia y comparativamente baja tasa de falsas alarmas .
SANS Institute 2001 , autor conserva todos sus derechos Huella de clave = AF19 FA27 2F94 998D
FDB5 DE3D F8B5 06E4 A169 4E46
Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
SANS Institute 2001 , como parte de la Sala de Lectura de Seguridad de la Informacin. Autor
retiene todos los derechos.
Chico Bruneau - GSEC Version 1.2f
En los ltimos aos , el campo de ID ha crecido considerablemente y por lo tanto un gran nmero
de IDS se han desarrollado para abordar needs4 especfica . Los sistemas de identificacin iniciales
fueron una vez las herramientas de deteccin de anomalas , pero las herramientas de hoy en da ,
el uso indebido de deteccin dominan el mercado . Con un nmero cada vez ms creciente de
sistemas informticos conectados a las redes , ID ha convertido en una necesidad . A mediados de
1990 , los productos comerciales surgieron para las masas. Dos de los IDS ms populares de
mediados de la dcada de 1990 eran NetRanger de Wheelgroup y RealSecure de Internet Security
Systems . Estas dos empresas comenz con IDS de red -base.
Wheelgroup se form en octubre de 1995 para la comercializacin de un producto de seguridad
inicialmente un prototipo por la Fuerza Area de los EE.UU. entonces llamado NetRanger . Este
producto " analiza el trfico para la " firma de un mal uso " , proporcionando alarma en tiempo
real y los detalles de los ataques furtivos que pueden plagar una red " 0.5 En febrero de 1998 ,
Wheelgroup fue adquirida por Cisco para eventualmente convertirse en una parte integral de la
arquitectura de seguridad de Cisco .
Internet Security Systems, Inc. (ISS ) fue fundada en abril de 1994 por Thomas Noonan y
Christopher Klauss , despus que el Sr. Klauss invent y lanz la primera versin de la Scanner.6
Internet El 9 de diciembre de 1996, ISS anunci el lanzamiento de una herramienta para aumentar
seguridad de la red con el reconocimiento de ataques en tiempo real llamado RealSecure . En el 19
de agosto 1997 , se anunci el primer comercial de lanzamiento de sus IDS llamado RealSecure 1.0
para Windows NT 4.0 un nuevo avance comercial.
Otro punto a considerar es lo ms comercialmente disponibles sistemas estn basados en el
conocimiento , lo que significa Firmas de ataques conocidos contra los cambios en los sistemas o
flujos de paquetes en una red. Sin embargo, sus principales debilidades son , a menudo se sienten
impotentes frente a nuevos ataques , por lo que deben actualizarse continuamente con nuevos
conocimientos para nuevas firmas de ataques . A pesar de estos falsos positivos son frecuentes
con IDS basados en la conducta , por lo que es su capacidad para detectar un ataque previamente
no declarada .
Para ayudar a resolver los problemas basados en el conocimiento , se han celebrado talleres cada
ao durante los ltimos cuatro aos para compartir informacin relacionada con ID.7 Los temas de
investigacin son muy variados todos los aos y cubren una amplia gama de temas tales como la
leccin aprendida , IDS y Derecho , Ataques de modelado , deteccin de anomalas , etc Estos
talleres principal objetivo es encontrar soluciones nuevas a problemas nuevos y difciles. Los
problemas , la comunidad de investigadores se enfrentan ahora son las redes de alta velocidad y
de conmutacin.
Hoy en da, ms vendedores estn anunciando que pueden procesar a velocidad gigabit . Para
nombrar unos pocos, Internet Security Systems (ISS ) , NetworkICE y Intrusion.com anuncian que
puedan analizar y alertar sobre el trfico gigabit . Como las redes se expanden y se vuelven ms
rpidos , la red IDS puede perder popularidad .
Para abordar este problema , los vendedores se han dirigido a la acogida. Cmo puede el
anfitrin ser parte de la ecuacin y proporcionar datos cuando se sondea directamente para
obtener informacin ? La solucin fue instalar IDS basado en host . Las ventajas de este tipo de
identificacin son: anlisis de la auditora o de registro de datos , en tiempo real y procesamiento
distribuido. Hay muchas formas, tales como ID basado en host, las envolturas TCP , Tripwire , y una
herramienta gratuita como Snort .
SANS Institute 2001 , autor conserva todos sus derechos Huella de clave = AF19 FA27 2F94 998D
FDB5 DE3D F8B5 06E4 A169 4E46
Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
SANS Institute 2001 , como parte de la Sala de Lectura de Seguridad de la Informacin. Autor
retiene todos los derechos.
Chico Bruneau - GSEC Version 1.2f
Snort se describe como un sistema de identificacin de peso ligero , con mltiples plataformas .
Este sistema de identificacin se puede utilizar en dos modos : host -based y basado en red . Sin
embargo, cuando primero lanzado por Marty Roesch el 22 de diciembre de 1998, que estaba
disponible slo para sistemas UNIX y tena capacidades limitadas . Mientras que ' Snort como un
sistema de identificacin realmente despeg durante Y2K con el lanzamiento de la versin 1.5 en
diciembre de 1999 , era capaz de realizar anlisis de paquetes en tiempo real y registro. Durante
este perodo , el uso incluye la presentacin de informes de la actividad anormal de clulas GIAC
de SANS . Este gran xito se llev a ser portado a Windows , por Michael Davis y publicado por
primera vez el 6 de junio de 2000.
El rpido incremento en el ancho de banda de red de megabits de gigabits por segundo es lo que
hace cada vez ms difcil en la realizacin de anlisis para la deteccin de ataques a la red de una
manera oportuna y precisa.
Uno de los retos principales ingenieros de redes se enfrentan hoy en da es que la mayora de las
organizaciones estn utilizando interruptores y completo a la red Ethernet duplex , lo que
complica la tarea de despliegue de red de sistemas de deteccin de intrusos ( NIDS ) . Solucin de
Cisco fue la invencin y la liberacin de una cuchilla , que se ajusta en su interruptor y informes
Catalizador a su Administrador de IDS de Cisco Secure . Esta hoja puede no ser la nica solucin
para los problemas tanto de conmutacin y velocidad Gigabit . El problema de la reduccin de
datos y la minera ? Cmo podemos hacer frente a este desafo ?
Otro problema que surgi durante los ltimos dos aos es cmo hacer frente a (DoS ) ataque de
denegacin de servicio contra las defensas del permetro ? Con las capacidades de los avances de
IDS , los atacantes estn encontrando nuevas maneras de detectar y eludir o desactivando los
sistemas de identificacin antes de intentar penetrar en objetivos ms valiosos (por ejemplo, web
o DNS del servidor ) . Un ejemplo sencillo sera una sonda dirigida al servicio DNS TCP contra un
bloque de clase B . El resultado sera el IDS alarma a la consola en cada sondas portuarias ,
generando ms de 65.000 alarmas. Usted puede ver por qu se abrumar a la consola , as como el
analista. Nos ocuparemos de esto ms adelante en la consolidacin de datos .
El objetivo es frustrar a los atacantes mediante el uso de una arquitectura de IDS invisible a los
medios normales de la cartografa de una red atacantes . La forma ms comn de llevar a cabo
esta "invisibilidad " es mediante la restriccin de la comunicacin permitida entre los diferentes
componentes de seguridad en una red privada.
Qu hay en el almacn para el futuro?
Ahora todo el mundo tiene dudas de que " los sistemas de deteccin de intrusos se han convertido
en un componente esencial de la seguridad informtica para detectar ataques que pueden ocurrir
a pesar de las mejores medidas preventivas . " 8 Implementacin de las herramientas adecuadas
para defender y proteger un permetro requiere horas de trabajo , la paciencia y el conocimiento .
La seguridad es ms compleja que una sola organizacin , procesos de negocio, o bien ver o
agenda de cualquier persona .
La comunidad de investigacin IDS est desarrollando mejores tcnicas de recogida y anlisis de
datos con el fin de manejar las intrusiones en grandes entornos distribuidos. A fin de tener
SANS Institute 2001 , autor conserva todos sus derechos Huella de clave = AF19 FA27 2F94 998D
FDB5 DE3D F8B5 06E4 A169 4E46
Huella de clave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
SANS Institute 2001 , como parte de la Sala de Lectura de Seguridad de la Informacin. Autor
retiene todos los derechos.
Chico Bruneau - GSEC Version 1.2f
ventaja de este trabajo, los sistemas de identificacin deben ser capaces de adaptarse
rpidamente a los nuevos componentes mejorados, y los cambios en el medio ambiente.
Despus de muchos aos en el campo de la seguridad , creo que hay un producto hoy o maana
va a resolver todas las necesidades de seguridad. Hay demasiadas variables a tomar en
consideraciones en conocer todo lo relacionado con la seguridad. Es por eso que existen los
equipos de seguridad como CERT /
especializacin. Cada miembro ofrece sus propias fortalezas y experiencias para complementarse
entre s . Con nuevas intrusiones que aparecen cada da , se ha convertido en una carrera entre la
mejora del sistema de deteccin de intrusos y atacantes de encontrar nuevas formas de llegar a
los distintos sistemas desplegados en una red.
Sin embargo, estos equipos de seguridad por lo general enfrentan desafos obvios . Organizaciones
recogen enormes cantidades de datos en sus operaciones diarias. Esta gran cantidad de
informacin es a menudo infrautilizados debido a razones econmicas (capacidad dbil o ninguna
bsqueda de base de datos ) tambin , la falta de personal capacitado para interpretar
correctamente los datos. Por lo tanto , con el fin de tamizar a travs de gran cantidad de datos
para descubrir pistas ocultas , la minera de datos (tambin conocida como Descubrimiento de
Conocimiento en Bases de Datos ) se puede utilizar para diseccionar la informacin .
La minera de datos ayuda a las relaciones reveladoras o tendencias para responder preguntas
especficas demasiado complejos para las herramientas de consulta y de informacin
tradicionales. Los ltimos aos han visto un aumento dramtico en la cantidad de informacin
almacenada en formato electrnico. Se ha estimado que la cantidad de informacin en el mundo
se duplica cada 20 meses y el tamao y el nmero de bases de datos estn aumentando an ms
rpido . El mundo empresarial ha dado un poco de investigacin y pruebas importantes mediante
la creacin de aplicaciones de bases de datos de descubrimiento de conocimiento diseados para
gestionar el crecimiento de los volmenes de datos en lnea.
Un IDS , un router , un firewall o un servidor pueden generar montaas de datos con muy pocos
medios para la fusin de los datos para extraer el centro y profundizar en el ataque. La pesadilla
de un analista de seguridad que enfrentan todos los das , es la cantidad de datos falsos positivos
recogidos por los sensores IDS . Ser capaz de reconocer sondas bajos y lentos de reconocimiento o
correlacin de la informacin cuando se fusionaron entre s. Por lo tanto , produciendo cantidad
significativa de la inteligencia es muy importante . Herramientas como Intellitactics ' Network
Security Manager9 , se pueden utilizar para profundizar la informacin correcta.
El enfoque Intellitactics ha tomado con respecto a la minera de datos y la manipulacin de
grandes volmenes de informacin brinda todo y dejar que el Network Security Manager ( NSM )
haga todo el trabajo . NSM utiliza un enfoque de seis pasos : recoleccin y consolidacin de datos (
proceso de la conciencia ) , se normalizan , clasifica los activos , dan prioridad ( la comprensin del
proceso) y el anlisis y respuesta ( proceso de respuesta adecuada ) .
Tmese un momento para evaluar las capacidades del atacante en la recoleccin de inteligencia
en la red protegida y defendida por usted. Est su IDS dejando una huella que lo hace vulnerable
a los de reconocimiento a travs de un Movimiento amplio de puerto ? (es decir, el atacante est
investigando en un puerto definido por el fabricante , de fcil identificacin del dispositivo).

S-ar putea să vă placă și