Documente Academic
Documente Profesional
Documente Cultură
Presentado por:
Gustavo Cortes Ballén
Presentado a:
Nixon Duarte Acosta
Los IDS pueden ser clasificados en dos grandes grupos, atendiendo al tipo de
analizador o procesador de eventos: IDS basados en usos indebidos e IDS
basados en anomalías.
JUSTIFICACION
La implementación de un sistema de detención de intrusos es una extensión de la
seguridad para una organización y que a su vez consiste en detectar actividades
inapropiadas o incorrectas desde el exterior e interior de un sistema informático. El
presente proyecto nace a raíz del aumento considerado de ataques informáticos
que se producen en internet y del avance tecnológico, y a que en la Ferretería
Corintios no se cuenta actualmente con una herramienta de defensa ante los
intentos de intrusión desde el interior o exterior de la red. Este Sistema de
Detección de Intrusos IDS, permitirá a la ferretería corintio estar a la vanguardia en
la seguridad tecnológica con respecto a ferreterías vecinas de la ciudad, lo cual
implicara tener un control del acceso e implementación de las políticas de
seguridad para reconocer ataques, mantener un registro y tomar las acciones
correctiva necesarias. Además con este sistema se reducirán los gastos
administrativos ya que para su implementación solo necesitaremos de un
computador sin muchos requerimientos. La implantación del Sistema de Detección
de Intrusos no solo beneficiara a la alta gerencia sino también al personal
administrativo y/o al personal encargado del área de sistema; ya que le permitirá
administrar y mantener un historial de intentos de intrusiones en la red, además
tendrá acceso en tiempo real ante un posible ataque. La decisión de la elaboración
del trabajo de grado con Snort, es que este es un sistema IDS basado en red
(NIDS). El cual, tiene como característica analizar y capturar paquetes en busca
de alertas, registro y cualquier anomalía que presente la red, con la finalidad de
evitar las vulnerabilidades que presente dicha información de la organización. Por
esta razón se hace necesario implementar un IDS ya que con el desarrollo de este
se pretende utilizar los mecanismos necesarios que justifiquen su validez y
ejecución beneficiando el manejo de la información en cuanto a seguridad e
integridad de la información y así dar pautas o recomendaciones para implementar
un IDS en la Ferretería Corintios, implementando la herramienta de detección de
intrusos para la red que permita proteger los activos reales de la información
digitalizada.
TECNICAS DE DETECCION DE ANOMALIAS EN UNA RED A PARTIR DE LAS
TRAZAS DE EJECUCION DE LOS SERVICIOS.
Se tomó como caso de estudio el análisis de las trazas de ejecución del servicio
que se utiliza como intermediario para la navegación por Internet en la red de la
Universidad, Este es el servicio de proxy conocido con el nombre de Squid.
SQUID
Entre sus características más importantes se encuentran: Permite la navegación a
través de sitios HTTP, HTTPS, FTP y GOPHER con la capacidad de acelerar los
pedidos a través de un cache Web. Es posible establecer relaciones jerárquicas
entre varios servidores Squid. Estas pueden ser relaciones de padre/hijo o
relaciones entre hermanos. Brinda un conjunto amplio de directivas para
instrumentar restricciones de acceso. Estas permiten establecer políticas de
control centralizado, simplificando la administración de la red. Squid, como la
mayoría de las aplicaciones que instrumentan servicios de redes, genera durante
su ejecución información referente a las actividades que va realizando.
Trazas de ejecución Squid crea varios archivos de trazas. Los tres ficheros de
trazas más importantes de Squid son: cache.log, store.log y access.log. De los
tres ficheros se seleccionó para el trabajo el tercero debido a que es el que
permite conocer información acerca de cada solicitud realizada al servicio de proxy
de Squid.
May 27 03:08:27 rosita sshd[5562]: User toni, coming from anita, authenticated.
Al leer este registro, un sistema experto comprobaría si el usuario toni ya tiene una
sesión abierta desde una máquina diferente de anita; si esta condición se cumple
(recordemos la forma genérica de las reglas del sistema experto, if-then) se
realizaría la acción definida en la regla correspondiente, por norma generar una
alarma dirigida al responsable de seguridad del sistema.
Por último, tenemos que hablar de los sistemas de detección de intrusos basados
en modelos ([GL91]); se trata de una aproximación conceptualmente muy similar a
la basada en la transición entre estados, en el sentido que contempla los ataques
como un conjunto de estados y objetivos, pero ahora se representa a los mismos
como escenarios en lugar de hacerlo como transiciones entre estados. En este
caso se combina la detección de usos indebidos con una deducción o un
razonamiento que concluye la existencia o inexistencia de una intrusión; para ello,
el sistema utiliza una base de datos de escenarios de ataques, cada uno de los
cuales está formado por una secuencia de eventos que conforman el ataque. En
cada momento existe un subconjunto de esos escenarios, denominado de
escenarios activos, que representa los ataques que se pueden estar presentando
en el entorno; un proceso denominado anticipador analiza los registros de
auditoría generados por el sistema y obtiene los eventos a verificar en dichos
registros para determinar si la intrusión se está o no produciendo (realmente, al
ser esos registros dependientes de cada sistema Unix, el anticipador pasa su
información a otro proceso denominado planner, que los traduce al formato de
auditoría utilizado en cada sistema). El anticipador también actualiza
constantemente el conjunto de escenarios activos, de manera que este estará
siempre formado por los escenarios que representan ataques posibles en un
determinado momento y no por la base de datos completa.
CONCLUSIONES
or desgracia, los piratas informáticos, los intrusos, están cada día más de moda;
sin duda alguna los problemas de seguridad que más `gustan' a la sociedad son
los relacionados con hackers, crackers o como esta semana los medios hayan
decidido llamar a los piratas informáticos: evidentemente, es mucho más
interesante y sensacionalista cualquier atacante que modifique la página web del
Pentágono que las investigaciones o los descubrimientos de gente como Marcus
Ranum, Gene Spafford o Ross Anderson, por poner sólo unos ejemplos. Es así de
triste: al contrario de lo que grandes expertos en seguridad han manifestado en
repetidas ocasiones mucha gente considera a los intrusos como héroes, como
jóvenes inteligentes que utilizan sus ordenadores para poner en jaque a grandes
organizaciones - políticas, empresariales, militares...- con un simple teclado, sin
disparar ni un solo tiro, sin quemar autobuses o sin lanzar piedras desde una
barricada; seguramente nadie se ha parado a pensar que ese pirata al que hoy
admira mañana puede entrar en el PC de su casa y formatearle el disco duro
simplemente porque le apetecía.
La simpatía social hacia los piratas es tal que incluso existen empresas que se
jactan de contratar a estas personas, y mucho mejor - más publicidad - cuanto
más `malos' hayan sido en el pasado o cuanto más eleet haya sido o sea su
apodo (muy pocos contratarían a un pirata que se haga llamar `Manolo', pero si
su alias era `Z3roK00l' tiene más posibilidades ;-); así lo pueden disfrazar de
arrepentido, como alguien que cambia de bando (`hacking ético' es la palabra que
a los departamentos de marketing les gusta utilizar para hablar de esta tendencia).
Seguramente, de las personas que dejan auditar sus entornos informáticos a
piratas (ex-piratas, perdón), muy pocos dejarían una parcela de bosque de su
propiedad al cuidado de un pirómano (de nuevo, ex-pirómano), y eso a pesar de
que, siguiendo la teoría que han aplicado a sus redes y a sus sistemas, nadie
conocerá mejor que un antiguo pirómano los secretos de las tácticas de
provocación de incendios forestales, por lo que nadie mejor que él para evitar que
se produzcan verdad? Por supuesto, todos podemos haber cometido errores en el
pasado, pero si no existe un claro cambio de conducta por su parte, alguien que
haya sido un pirata es muy probable que lo siga siendo, aunque ahora cobre por
ello.
BIBLIOGRAFIA