Instituto Politécnico Nacional Escuela Superior de Ingeniería
Mecánica y Eléctrica
“Sistema Detección de Intrusos para una Red
Inalámbrica de una PyME”
T E S I S
QUE PARA OBTENER EL TÍTULO DE:
INGENIERO EN COMUNICACIONES Y ELECTRÓNICA
PRESENTAN:
AGUILAR MARTINEZ GUSTAVO
MARTINEZ PIÑA ALEJANDRO
MORALES CASTILLO VICTOR
Asesores:
M. en C. Héctor Becerril Mendoza Ing. Wilfrido Ángeles Quiroz
México D.F. 2007
iii
ÍNDICE
Introducción 1
Objetivos 5
Justificación 6
CAPITULO I. SEGURIDAD EN REDES INALAMBRICAS
Vulnerabilidades en redes WLAN 8
Principales Ataques a las redes WLAN 10
Ataques pasivos 10
Ataques activos 11
Ataques de negación de servicios 11
Soluciones de seguridad en WLAN 12
Plan de Implementación de Seguridad WLAN 14
802.1X 14
Acceso Protegido Wi-Fi 15
802.11i 15
Otras Consideraciones de Seguridad 15
Soluciones de seguridad física 16
En general 16
Ventajas 18
Desventajas 18
Proxies transparentes 19
Reverse Proxy 19
Proxy NAT (Network Address Translation) / Enmascaramiento 20
Firewall 20
Tipos de Firewall 21
Ventajas de un firewall 21
Sistemas de caja Negra 22
Desventajas 23
Ín
iv
Soluciones de seguridad lógica 23
Servidores de seguridad 25
Servidor Proxy 26
CAPITULO II. ESTADO DEL ARTE.
Sistema de Detección de Intrusos 28
¿Qué es un Sistema de Detección de Intrusos? 28
¿Por qué utilizar un IDS? 28
Prevenir problemas al disuadir a individuos hostiles 28
Detectar ataques y otras violaciones de la seguridad que
no son prevenidas por otras medidas de protección 29
Detectar preámbulos de ataques
(Normalmente pruebas de red y otras actividades) 29
Documentar el riesgo de la organización 29
Proveer información útil sobre las intrusiones que.
se están produciendo 30
Adaptative Intrusion Detection System – AID 30
Arquitectura de los IDSs 30
CIDF (Common Intrusion Detection Framework) 30
CISL (Common Intrusion Specification Language) 31
Arquitectura de IDWG (Intrusion Detection Working Group) 32
Fuentes de información 32
¿Dónde colocar un IDS? 32
Organización 33
IDS en un entorno Switcheado 34
Gestión centralizada de múltiples IDS 36
ISP 37
Inserción 38
Evasión 38
Evasión e inserción en el mundo real 39
Adaptative Intrusion Detection System – AID 40
Arquitectura y funcionalidad 41
Rendimiento 42
Agentes Autónomos para la Detección de Intrusiones 42
v
Enfoque del grupo 42
La arquitectura AAFID 43
Implementación de AAFID 45
CAPITULO III. ALTERNATIVAS DE SOLUCION PARA LA DETECCION DE INTRUSOS
Tipos de sistemas de detección de intrusos 46
Soluciones existentes software 46
SNORT 47
Decodificador de paquetes 47
Motor de detección 47
Subsistema de alerta y log 48
NFR NID 48
EMERALD 49
DIDS 49
AAFID 50
Dragon - Enterasys Networks 51
Cisco Secure IDS Sensors 51
Internet Security Systems – Real Secure R 51
Real Secure R Network Sensor 52
Shadow 52
CIDF (Common Intrusion Detection Framework) 52
CISL (Common Intrusion Specification Language) 52
Fuentes de información 53
IDSs basados en red (NIDS) 53
Ventajas 53
Desventajas 54
Limitaciones de los NIDSs 54
IDSs basados en host (HIDS) 56
Ventajas 56
Desventajas 56
Análisis de eventos 57
Detección de abusos o firmas 57
Ventajas 57
Desventajas 57
vi
Detección de anomalías 57
Ventajas 58
Desventajas 58
Respuesta a ataques 58
Respuestas pasivas 59
Respuestas activas 59
Herramientas y complementos 59
Sistemas de valoración y análisis de vulnerabilidades 59
File Integrity Checkers
(Controladores de la integridad de los ficheros) 59
Honeypots 60
Detección de intrusiones basada en grafos
(GrIDS - Graph-based Intrusion Detection System) 61
Detección de intrusos para redes con un gran número de hosts 62
Spoofing 63
CAPITULO IV. IMPLANTACION DE SEGURIDAD EN UN CASO DE PRUEBA
IMPLANTACION DEL SISTEMA 67
Requerimientos 67
Auditoria de la red 68
Densidad de usuarios 69
Selección de la tecnología 70
Elección de la base de datos 71
Elección de software adicional 71
Presupuesto 72
IMPLEMENTACIÓN 72
Diseño de opciones de seguridad 77
Autentificación del usuario 77
Creación de una política de seguridad 78
Protección del equipo 78
INSTALACIÓN DE SNORT 78
Configuración de Snort 80
Configuración de reglas 80
vii
Configuración de salida 80
Configuración para la integración con la base de datos 81
Incluir archivos especiales 81
Probar configuración 82
INSTALACION DE MYSQL 83
Configuración 84
IIS 88
ACID 89
Administración de la Red 90
Active Directory 90
Políticas de grupo 91
Organización de Políticas 91
La configuración del equipo 92
La configuración de usuario 92
Documentación 94
Características del edificio que ocupa nuestra empresa 94
CAPITULO V. PRUEBAS Y RESULTADOS
Presentación de resultados 98
Pruebas de conexión 98
Análisis de resultados 99
Análisis de tráfico real 99
Ejecución de Snort 100
Modelo de referencia 101
Pruebas de puntos de acceso 102
Snort+MySQL 103
viii
CAPITULO VI.- CONCLUCIONES Y TRABAJO A FUTURO
Conclusiones 106
Trabajo Futuro 108
Glosario de términos 111
Referencias 125
ix
ÍNDICE DE FIGURAS
INTRODUCCIÓN CAPITULO I Fig. 1 Figura de red WLAN 3 CAPITULO II Fig. 2.1. Diagrama de bloques de la arquitectura CIDF 31 Fig. 2.2. Localización de un IDS dentro de una organización 33 Fig. 2.3.1. Spannigs Ports y TAPS 34 Fig. 2.3.2. TAPS 35 Fig. 2.3.3. TAPS con IDS 35 Fig. 2.4. Distribución de los sensores dentro de un ISP 37 Fig. 2.5. Ataque de inserción 38 Fig. 2.6. Ataque de evasión 39 Fig. 2.7. Arquitectura de un Sistema AID 41 Fig. 2.8. Representación física y lógica de un ejemplo de sistema AAFID 43 CAPITULO III Fig. 3.1.a. Inicio de un grafo de gusano 61 Fig. 3.1.b. Una vista más extensa del mismo gusano 61 Fig. 3.2. Escaneo de trabes de un de un cambio de estado 64 Fig. 3.3. Observación indirecta 64 Fig. 3.4. Observación indirecta avanzada 65 Tabla. 3.1. Características de IDS estudiados 65
Ín
x
CAPITULO IV Tabla. 4.1. Tabla de Aplicaciones y necesidades 68 Tabla. 4.2. Tabla de distribución del nuevo sistema 69 Diagrama. 4.1. Diagrama de red 70 Fig. 4.1. Figura de instalación del Snort 79 Fig. 4.2. Figura de instalación del Snort 79 Fig. 4.3. Comprobación de configuración 82 Fig. 4.4. Instalación de MySQL 84 Fig. 4.5. Configuración del MySQL 86 Fig. 4.6. Configuración del IIS 88 Fig. 4.7. Consola para análisis de instrucción de ACID 90 Fig. 4.8.1. Tercer piso S1 SWITCH 1 94 Fig. 4.8.2. S2 SWITCH 2 94 Fig. 4.8.3. SWITCH 3 W 95 Fig. 4.8.4. SWITCH 4 95 Fig. 4.8.5. SWITCH 6 95 Fig. 4.8.6. SWITCH 7 96 Fig. 4.8.7. SWITCH 8 W 96 Fig. 4.8.8. SWITCH 9 W 97 Fig. 4.8.9. SWITCH 10 W 97
xi
CAPITULO V Fig. 5.1. Pruebas de conexión 99 Fig. 5.2. Pruebas de conexión 99 Tabla. 5.1. Tabla de paquetes capturados 100 Tabla. 5.2. Tabla de Alertas 101 Grafica. 5.1. Transito de Snort 102 Grafica. 5.2.1. Comportamiento del tráfico en días en específico 103 Grafica. 5.2.2. Comparación entre tráfico entrante y procesado 103
Grafica. 5.2.3. Gráfica comparativa entre el tráfico entrante
y el descartado en Snort+MySQL 104
Tabla. 5.3. Snort- MySQL 105 Grafica. 5.3. Proceso en memoria con respecto a paquetes descartados 105
1
INTRODUCCIÓN
En EEUU las redes para WLAN para Internet, en donde hay más de 4.000 zonas de
acceso, y en Europa es previsible que pronto se extiendan.
Las WLAN se encuadran dentro de los estándares desarrollados por el IEEE (Instituto de
Ingenieros Eléctricos y Electrónicos) para redes locales inalámbricas. Otro aspecto a
destacar es la integración de las WLAN en entornos de redes móviles de 3G (UMTS) para
cubrir las zonas de alta concentración de usuarios (los denominados hot spots), como
solución de acceso público a la red de comunicaciones móviles.
Como todos los estándares 802 para redes locales del IEEE, en el caso de las WLAN,
también se centran en los dos niveles inferiores del modelo OSI, el físico y el de enlace,
por lo que es posible correr por encima cualquier protocolo (TCP/IP o cualquier otro) o
aplicación, soportando los sistemas operativos de red habituales, lo que supone una gran
ventaja para los usuarios que pueden seguir utilizando sus aplicaciones habituales, con
independencia del medio empleado, sea por red de cable o por radio.
Otra tecnología de acceso inalámbrico en áreas de pequeña extensión (WPAN/WLAN
Personal Área Network) es la denominada Bluetooth, que aunque pueda parecer
competencia directa de las WLAN, es más bien complementaria a ella.
REDES LOCALES INALÁMBRICAS 802.11
El origen de las LAN inalámbricas (WLAN) se remonta a la publicación en 1979 de los
resultados de un experimento realizado por ingenieros de IBM en Suiza, consistente en
utilizar enlaces infrarrojos para crear una red local en una fábrica. En mayo de 1985, y
tras cuatro años de estudios, la FCC (Federal Communications Comisión), la agencia
federal del Gobierno de Estados Unidos encargada de regular y administrar en materia de
telecomunicaciones, asignó las bandas ISM (Industrial, Scientific and Medical) 902-928
MHz, 2,400-2,4835 GHz, 5,725-5,850 GHz para uso en las redes inalámbricas basadas
en Spread Spectrum (SS), con las opciones DS (Direct Séquense) y FH (Frequency
Hopping). Desde 1985 hasta 1990 se siguió trabajando ya más en la fase de desarrollo,
I
2
hasta que en mayo de 1991 se publicaron varios trabajos referentes a WLAN operativas
que superaban la velocidad de 1 Mbit/s, el mínimo establecido por el IEEE 802 para que
la red sea considerada realmente una LAN, con aplicación empresarial.
Las redes WLAN se componen fundamentalmente de dos tipos de elementos, los puntos
de acceso y los dispositivos de cliente. El uso más popular de las WLAN implica la
utilización de tarjetas de red inalámbricas, cuya función es permitir al usuario conectarse a
la LAN empresarial sin la necesidad de una interfaz física.
En 1992 se crea Winforum, consorcio liderado por Apple y formado por empresas del
sector de las telecomunicaciones y de la informática para conseguir bandas de frecuencia
para los sistemas PCS (Personal Communications Systems). En 1993 también se
constituye la IrDA (Infrared Data Association) para promover el desarrollo de las WLAN
basadas en enlaces por infrarrojos. En 1996, finalmente, un grupo de empresas del sector
de informática móvil (mobile computing) y de servicios forman el Wireless LAN
Interoperability Forum (WLI Forum) para potenciar este mercado mediante la creación de
un amplio abanico de productos y servicios intel operativos. Por otra parte, WLANA
(Wireless LAN Association) es una asociación de industrias y empresas cuya misión es
ayudar y fomentar el crecimiento de la industria WLAN a través de la educación y
promoción.
WLAN 802.11
En junio del año 1997 el IEEE ratificó el estándar para WLAN IEEE 802.11, que
alcanzaba una velocidad de 2 Mbit/s, con una modulación de señal de espectro
expandido por secuencia directa (DSSS), aunque también contempla la opción de
espectro expandido por salto de frecuencia, FHSS en la banda de 2,4 GHz, y se definió el
funcionamiento y la interoperabilidad entre redes inalámbricas.
El 802.11 es una red local inalámbrica que usa la transmisión por radio en la banda de 2.4
GHz, o infrarroja, con regímenes binarios de 1 a 2 Mbit/s. El método de acceso al medio
MAC (Médium Access Mechanism) es mediante escucha pero sin detección de colisión,
CSMA/CA (Carrier Sense Múltiple Access with Collision Avoidance).
La dificultad en detectar la portadora en el acceso WLAN consiste básicamente en que la
tecnología utilizada es Spread-Spectrum y con acceso por división de código (CDMA), lo
que conlleva a que el medio radioeléctrico es compartido, ya sea por secuencia directa
3
DSSS o por saltos de frecuencia en FHSS. Hay que mencionar que la banda de 2,4 GHz
está reglamentada como banda de acceso pública y en ella funcionan gran cantidad de
sistemas, entre los que se incluyen los teléfonos inalámbricos Bluetooth.
WLAN 802.11b (Wi-Fi)
Un poco más tarde, en el año 1999, se aprobó el estándar 802.11b, una extensión del
802.11 para WLAN empresariales, con una velocidad de 11 Mbit/s (otras velocidades
normalizadas a nivel físico son: 5,5 - 2 y 1 Mbit/s) y un alcance de 100 metros, que al
igual que Bluetooth y Home RF, también emplea la banda de ISM de 2,4 GHz, pero en
lugar de una simple modulación de radio digital y salto de frecuencia (FH/Frequency
Hopping), utiliza una la modulación linear compleja (DSSS). Permite mayor velocidad,
pero presenta una menor seguridad, y el alcance puede llegar a los 100 metros,
suficientes para un entorno de oficina o residencial.
WLAN 802.11g
El IEEE también ha aprobado en el año 2003 en el estándar 802.11g, compatible con el
802.11b, capaz de alcanzar una velocidad doble, es decir hasta 22 Mbit/s o llegar, incluso
a 54 Mbit/s, para competir con los otros estándares que prometen velocidades mucho
más elevadas pero que son incompatibles con los equipos 802.11b ya instalados, aunque
pueden coexistir en el mismo entorno debido a que las bandas de frecuencias que
emplean son distintas.
Fig1.de Red WLAN
4
COMPATIBILIDAD Y SEGURIDAD.
WECA (Wireless Ethernet Compatibility Alliance), es una alianza para la Compatibilidad
Ethernet Inalámbrica, cuya misión es la de certificar la ínter funcionalidad y compatibilidad
de los productos de redes inalámbricas 802.11b y promover este estándar para la
empresa y el hogar. Para indicar la compatibilidad entre dispositivos inalámbricos, tarjetas
de red o puntos de acceso de cualquier fabricantes, se les incorpora el logo "Wi-Fi"
(estándar de Fidelidad Inalámbrica), y así los equipos con esta marca, soportada por más
de 150 empresas, se pueden incorporar en las redes sin ningún problema, siendo incluso
posible la incorporación de terminales telefónicos Wi-Fi a estas redes para establecer
llamadas de voz.
En general se utiliza WEP (Wired Equivalen Privacy), que es un mecanismo de
encriptación y autenticación especificado en el estándar IEEE 802.11 para garantizar la
seguridad de las comunicaciones entre los usuarios y los puntos de acceso. La clave de
acceso estándar es de 40 bits, pero existe otra opcional de 128 bits, y se asigna de forma
estática o manual (no dinámica), tanto para los clientes, que comparten todos el mismo
conjunto de cuatro claves predeterminadas, como para los puntos de acceso a la red, lo
que genera algunas dudas sobre su eficacia. Otros usuarios han preferido adquirir
soluciones wireless convencionales y potenciar la seguridad con tecnología de otros
fabricantes especializados en seguridad móvil en lugar de soluciones que incluyan la
certificación WPA
Bluetooth
BLUETOOTH está detrás de Wi-Fi en un proceso evolutivo, pero ahora cada vez mejor.
Esta función permite a los dispositivos Bluetooth, operar mas efectivamente en donde
existen redes inalámbricas, como en los grandes supermercados y en muchos
almacenes. Bluetooth es la norma que define un estándar global de comunicación
inalámbrica, que posibilita la transmisión de voz y datos entre diferentes equipos mediante
un enlace por radiofrecuencia.
5
OBJETIVO
Objetivo General Realizar un análisis E IMPLEMENTACION de un esquema de protección contra intrusos
para PYME que permita garantizar seguridad a los usuarios de una red inalámbrica.
Objetivos Específicos
• Analizar el problema de las intrusiones malintencionadas a los sistemas de
negocios PyME
• Analizar las soluciones que existen en el mercado para resolver el problema de
intrusión malintencionada en sistemas PyME, considerando las posibilidades de
inversión de este tipo de empresas.
• Implementar en una red PyME un Sistema Detector de Intrusos.
• Proteger dicha Red con el IDS y complementarlo con los sistemas disponibles en el
mercado.
• Diseñar una topología de red segura y confiable
O
6
JUSTIFICACIÓN
Todos vemos a diario los constantes ataques que sufren los servidores de las compañías,
pero nadie está a salvo de los ataques de los hackers. Aunque la información de un
usuario final puede ser inútil, su computadora se puede convertir en el origen de un
ataque a un tercero, de forma que el verdadero atacante desaparece entre las sombras.
Existen algunas herramientas que son capaces de coordinar ataques de DoS entre
múltiples maquinas afectadas, de forma que el hacker solo debe infectar unos cuantos
sistemas en las distintas computadoras de usuarios finales (débilmente defendidos) y
lanzar el ataque desde ahí. Ni siquiera tiene que estar conectado a Internet cuando el
ataque se realiza.
La solución de muchos usuarios es poner un Firewall. Este Firewall cierra todos aquellos
puertos (servicios) que no usa, reduciendo de esta forma la posibilidad de ataque. Pero,
¿es esto suficiente? La respuesta es no. El Firewall representa una puerta, que prohíbe el
paso a todos aquellos servicios no autorizados, pero que deja pasar aquellos que el
usuario/s detrás del Firewall necesita usar. Y ahí esta el problema. Aunque solo se
permitan los servicios básicos y teóricamente seguros, existen agujeros que se pueden
aprovechar, y ante los que el Firewall no puede hacer nada (si es un servicio autorizado,
simplemente lo deja pasar). Todo esto suponiendo, claro esta, que la integridad del
Firewall no haya sido comprometida. ¿Qué se puede hacer a continuación?
Al igual que una puerta no es suficiente para proteger una casa, y se instala un sistema
de alarma para detectar cuando un ladrón ha conseguido pasar la puerta, podemos
pensar en un sistema similar a la hora de hablar de una red informática. El Firewall se
puede ver comprometido, y es necesario tener algún sistema que nos permita detectar
esta situación. Además, dado que todos los servicios tienen agujeros potenciales de
seguridad, es de esperar que muchos ataques pasen por el Firewall sin que este sea
capaz de detectarlo. Por tanto, es necesario algo más, un vigilante, un IDS.
J
7
La empresa que vamos a analizar no tiene las condiciones adecuadas para llevar a cabo
transacciones de comercio electrónico y con ello ampliar su horizonte de negocios.
Asimismo, los recursos no se están aprovechando de manera óptima y se esta
desperdiciando dinero en otros tantos. Además de los problemas recién descritos, no
existen mecanismos de seguridad ni de control sólidos para proteger los recursos
informáticos.
Los empleados pueden acceder indiscriminadamente a Internet y consumen el ancho de
banda del enlace contratado, “bajando” videos y archivos multimedia. No existen
herramientas que protejan las computadoras personales ni de funcionarios, empleados o
clientes que se ven expuestos a todo tipo de malware (virus, gusanos, software espía,
etc.). Los servidores internos, se encuentran en el mismo segmento que los servidores
externos lo que representa problemas de rendimiento, y por supuesto, una gran brecha de
seguridad. La movilidad de un alto porcentaje de los empleados, requiere conectividad de
red temporal. Por si fuera poco, el cableado actual es insuficiente y la inversión requerida
para incrementar la densidad de nodos, es considerable. Dos de las oficinas ya cuentan
con Aps, sin embargo estos no están administrados y la información “viaja en claro”.
Por lo antes mencionado es un área en donde todavía hay mucho que considerar, es por
eso que surge el interés en encontrar una forma de proteger a una red de tipo PyME, la
cual necesita de una red inalámbrica por el tipo e infraestructura que tiene por lo tanto
requiere la protección de su red, además de tener un control de monitoreo de quien entra
y utiliza su servicio de red.
8
Capitulo
SEGURIDAD EN REDES INALAMBRICAS
Como sabemos, la seguridad en redes tipo inalámbricas, es un factor muy importante
debido a la naturaleza del medio de transmisión: el aire. Las características de seguridad
en la WLAN (Red Local Inalámbrica), se basan especialmente en la protección a la
comunicación entre el punto de acceso y los clientes inalámbricos, controlan el ingreso a
esta red, y protegen al sistema de administración de acceso no autorizado.
Las redes Wi-Fi basadas en los estándares IEEE 802.11 b/g se han popularizado en los
últimos tiempos tanto en entornos domésticos, empresariales o urbanos. Los puntos de
acceso Wi-Fi se han multiplicado en los hogares de los usuarios de las redes de banda
ancha, en las organizaciones como extensión de sus redes cableadas con el fin de
facilitar un acceso más sencillo y flexible a datos y servicios corporativos sus empleados y
qué no decir de los "hot-spots" que salpican nuestra arquitectura urbana ( hoteles,
aeropuertos, Palacios de Congresos, ... ) Son innegables las oportunidades que las redes
inalámbricas proporcionan a sus usuarios pero, a su vez, ofrecen a los hackers nuevas
oportunidades para conseguir acceso no autorizado a sistemas corporativos y sus datos.
Estas limitaciones en la seguridad han conducido la investigación y desarrollo de nuevas
soluciones de seguridad, alternativas a la inicialmente existente (WEP), para proteger las
redes Wi-Fi y proporcionar a las organizaciones que las utilizan la garantía que necesitan
para sus sistemas y datos.
Vulnerabilidad en Redes WLAN.
Uno de los problemas de este tipo de redes es precisamente es la vulnerabilidad ya que
cualquier persona con una terminal inalámbrica podría comunicarse con un punto de
acceso privado si no se disponen de las medidas de seguridad adecuadas. Dichas
medidas van encaminadas en dos sentidos: por una parte está el cifrado de los datos que
se transmiten y en otro plano, pero igualmente importante, se considera la autenticación
entre los diversos usuarios de la red. En el caso del cifrado se están realizando diversas
investigaciones ya que los sistemas considerados inicialmente se han conseguido
I
9
descifrar. Para la autenticación se ha tomado como base el protocolo de verificación EAP
(Extensible Authentication Protocol), que es bastante flexible y permite el uso de
diferentes algoritmos.
Obviamente la seguridad de las redes inalámbricas no se garantiza solo con normas. Los
profesionales de seguridad de la información se preocupan con razón por muchos tipos
de ataques que se pueden lanzar contra las WLAN, como por ejemplo la intercepción del
tráfico, ataques de “tercero interpuesto”, negación de servicio y secuestro de una sesión
para nombrar unos pocos. Afortunadamente, muchos riesgos se pueden mitigar siguiendo
prácticas básicas de seguridad inalámbrica con tecnologías de protección a clientes y a
nivel empresarial. Veamos algunos de los aspectos que implica la seguridad de redes
inalámbricas.
Como se sabe el auge de la interconexión inalámbrica tomó por sorpresa a muchos
departamentos de TI, debido a que muchos equipos inalámbricos fueron introducidos a
las empresas por medio por los empleados y grupos de trabajo y no a través del
departamento de TI u otros canales adecuados. Debido a este “acceso furtivo”, el equipo
inalámbrico no fue sometido al proceso normal de comprender sus capacidades y
limitaciones antes de implementarlo. Por consiguiente, los esfuerzos que se hicieron por
proteger los dispositivos inalámbricos no fueron oportunos o no fueron lo suficientemente
rigurosos.
El primer paso en la creación de una WLAN segura es establecer una estrategia
empresarial para su instalación y utilización. La estrategia debe abarcar las siguientes
áreas:
• Determinar las necesidades de la empresa: ¿Cuáles son las motivaciones y
necesidades de su empresa? Identificar claramente los objetivos y asegurarse de
que los beneficios superan los riesgos.
• Integrar las políticas inalámbricas a las actuales políticas del departamento de TI.
(Recuerde que las soluciones inalámbricas son una extensión de la red alámbrica.
• Definir claramente la propiedad de las WLAN: con ello se garantiza control y
respuesta cuando se identifican las amenazas a la seguridad y se bloquean los
ingresos de accesos furtivos.
10
• Proteger la infraestructura existente: es importante no poner los dispositivos
inalámbricos directamente en la red interna, sino suministrar una WLAN separada
con gateways muy controlados a la red principal.
• Educar a los Usuarios sobre las políticas inalámbricas: incluye instruir a los
empleados en la configuración de sus dispositivos para que tengan acceso de
manera segura a la red.
Principales Ataques a las Redes WLAN.
Para localizar una máquina en Internet es necesario conocer la dirección IP asignadas por
el ISP (Proveedor de Servicios Internet). Para tener acceso es necesario encontrar un
puerto abierto. Por ejemplo, en el caso del acceso Web, por lo general, es necesario el
puerto 8080 u 80 más popularmente conocido y en el caso del acceso FTP (Protocolo de
transferencia de archivos) necesitamos el puerto 21.
Por lo tanto, una vez conocido la dirección IP, es necesario escanear los puertos de la
máquina cuya dirección conocemos. Estos programas varían de formato pero tienen
como objetivo el mismo fin.
Otro método de apertura de puertos es enviar al usuario un programa que despliegue un
"Caballo de Troya" o "Troyano". Veamos un poco los diferentes tipos de ataques a redes
inalámbricas y como funcionan. Los ataques pasivos son aquellos donde un tercero no
realiza ningún ataque, simplemente escucha. Los ataques activos, en cambio, buscan
causar algún daño, como ser: perdida de confidencialidad, disponibilidad e integridad de
información ó sistemas.
El siguiente listado menciona algunos de los ataques más comunes:
• Ataques Pasivos:
Eavesdropping: El atacante simplemente escucha (generalmente con una notebook ó
PDA) las comunicaciones entre un Access Point y sus clientes. Con este ataque se busca
obtener información que es normalmente transmitida por la red, como ser: usuarios,
contraseñas, direcciones IP, etc. Este tipo de ataque es el más peligroso, ya que abre las
puertas a otros ataques.
11
• Ataques activos:
IP Spoofing: El atacante cambia su dirección IP para poder pasar por alto controles de
acceso.
MAC Address Spoofing: El atacante cambia su dirección MAC para pasar por alto los
controles de acceso de los Access Points. Como veremos mas adelante, la mayoría de
los Access Points posee controles de acceso filtrando direcciones MAC.
ARP Poisoning: Todos los equipos conectados a una red tienen una tabla ARP que
asocia direcciones MAC a direcciones IP. Este tipo de ataque busca modificar estas
tablas para poder redirigir el tráfico de un equipo a otro de manera controlada.
Este tipo de ataque es transparente y la victima no se da cuenta que su trafico de red esta
pasando por un tercero antes de llegar a destino.
MAC Flooding: Este ataque se consiste en inundar la red con direcciones IP falsas,
causando que el Switch pase a funcionar en modo de Hub, ya que no soporta tanto
tráfico.
Denial of Service: Este tipo de ataque busca dejar fuera de servicio a la red inalámbrica,
utilizando todo el ancho de banda para enviar paquetes basura. Injection: El atacante
puede insertar paquetes en la red inalámbrica causando que todos los clientes se
desconecten ó inundar la red con paquetes basura (generando un DoS).
Replay: El atacante captura paquetes y luego los reinserta en la red inalámbrica con o sin
modificación. De esta forma, posee todo el control del tráfico. Programa o dispositivo
capaz de leer los datos transmitidos por una red. Los programas de espionaje informático
se pueden usar con fines legítimos de gestión de la red y para robar información de la red.
En las redes TCP/IP en las que espían la información de los paquetes, suelen recibir el
nombre de programas de espionaje informático de paquetes o packet sniffers.
Persona que accede sin autorización a sistemas informáticos con el objetivo de robar o
dañar los datos.
Ataque de negación de servicio (DoS, por sus siglas en inglés). Ataque a una red
diseñado para deshabilitarla mediante congestionamientos inútiles de tráfico. Muchos de
estos ataques, como los ataques Ping of Death y Teardrop, aprovechan las limitaciones
de los protocolos TCP/IP. Existen métodos de reparación por software para todos los DoS
conocidos que los administradores de sistemas pueden instalar para limitar los daños
causados.
12
Camuflaje. Algunos buscadores prohíben los sitios Web camuflados. En la distribución de
mensajes por correo electrónico, el camuflaje consiste en enmascarar el nombre y la
dirección del remitente de modo que el destinatario no sepa quién envió el mensaje.
Troyano. Programa destructivo que se encubre bajo la forma de una aplicación
inofensiva. A diferencia de los virus, los troyanos no son capaces de reproducirse por sí
mismos, pero pueden ser igualmente destructivos. Virus. Todos los virus informáticos son
diseñados por el hombre y muchos de ellos pueden reproducirse fácilmente. Si eres
miembro de AT&T Yahoo! Dial o DSL, disfrutas de acceso a las funciones de protección y
control de uso para padres de familia uno de los paquetes de protección y control más
completos de la industria que te protege tu computadora de los ataques de los virus.
Gusano. Programa o algoritmo que se reproduce en una red informática y suele realizar
actividades maliciosas, como consumir los recursos de la computadora y hasta cerrar el
equipo.
Soluciones de seguridad en WLAN
En los inicios de la tecnología inalámbrica, los procedimientos y mecanismos de
seguridad eran tan débiles que podía ganarse acceso con relativa facilidad hacia redes
WLAN de compañías desde la calle.
Existe el término “wardriving”, que se refiere a la acción de recorrer una ciudad para
buscar la existencia de redes inalámbricas y ganar acceso a ellas. En la actualidad,
existen técnicas más sofisticadas y complejas, las cuales fortalecen los inconvenientes de
los mecanismos WLAN y ayudan a mantener la confidencialidad y resistencia ante los
ataques dirigidos hacia este tipo de redes.
El estándar inalámbrico 802.11 original incorpora encriptación y autenticación WEP
(Privacidad Equivalente a Cable). Al interceptar y decodificar los datos transmitidos en el
aire, y en cuestión de horas en una red WLAN con tráfico intenso, la clave WEP puede
ser deducida y se puede ganar acceso no autorizado. Esta situación desencadenó una
serie de acciones por parte del IEEE y de la industria para mejorar la seguridad en las
redes de tecnología inalámbrica.
La seguridad WLAN abarca dos elementos: el acceso a la red y la protección de los datos
(autenticación y encriptación, respectivamente). Las violaciones a la seguridad de la red
13
inalámbrica, generalmente, vienen de los puntos de acceso no autorizados, aquéllos
instalados sin el conocimiento de los administradores de la red, o que operan con las
funcionalidades de protección deshabilitadas (que es la configuración por omisión en los
dispositivos inalámbricos).
Estos “hoyos” en la seguridad, pueden ser aprovechados por personal no autorizado
(hackers), que en caso de que logren asociarse con el punto de acceso, ponen en riesgo
no únicamente la infraestructura inalámbrica, sino también la red alámbrica a la cual se
conecta.
La siguiente lista de términos estándares y protocolos de seguridad utilizados en la
industria de la WLAN.
- 802.11 del IEEE: La familia de estándares del Instituto de Ingeniería Eléctrica y
Electrónica (IEEE) para las redes WLAN, la cual fue por primera vez introducido en 1997.
El 802.11b es un estándar endosado y bajo registro de marca Wi-Fi por la Alianza Wi-Fi.
- 802.1X del IEEE: Un estándar de seguridad que se caracteriza por tener una estructura
de autenticación basada en puerto y una distribución dinámica de llaves de sesión para
encriptación WEP. Se requiere de un servidor RADIUS.
- 802.11i del IEEE: Un venidero estándar de seguridad que el IEEE está actualmente
desarrollando; se caracteriza por las protecciones de autenticación 802.1X y agrega el
estándar de encriptación de avance (AES)1 para la protección de encriptación junto a
otras mejoras.
- WPA: El Acceso Protegido Wi-Fi (WPA) es un estándar de seguridad de la Alianza Wi-Fi
que resuelve los inconvenientes de la encriptación de la Privacidad Equivalente Cableada
(WEP), utilizando el Protocolo de Integridad de Llave temporal (TKIP), el cual se envuelve
alrededor de la WEP y cierra sus hoyos de seguridad. El Acceso Protegido Wi-Fi (WPA),
incluye además los beneficios de autenticación del estándar 802.1X.
- EAP2: El Protocolo de Autenticación Extensible (EAP) es un protocolo punto a punto que
Soporta métodos de autenticación múltiples.
14
- WEP: La Privacidad Equivalente Cableada (WEP) es el protocolo de seguridad 802.11
original para las redes inalámbricas.
- VPN3: La Tecnología de la Red Privada Virtual (VPN) ofrece protección WLAN adicional
importante para datos críticos. La red privada virtual (VPN) protege una WLAN creando
un túnel que resguarda los datos del mundo exterior.
Plan de Implementación de Seguridad WLAN
La especificación 802.11 del IEEE original utilizó tres mecanismos para proteger las redes
LAN inalámbricas.
- El Identificador Fijo del Servicio (SSID) es una simple contraseña que identifica la
WLAN. Los clientes deben estar configurados con el SSID correcto para acceder su
WLAN.
- El Control de Acceso al Medio (MAC) direcciona el filtrado que restringe el acceso
WLAN a aquellas computadoras que se encuentran en la lista creada por usted para cada
punto de acceso en su WLAN.
- La Privacidad Equivalente Cableada (WEP) es un esquema de encriptación que protege
las corrientes de datos WLAN entre los clientes y los puntos de acceso (APs), según lo
especifica el estándar 802.11. Se encontraron fallas.
802.1X
Para dirigir las fallas de seguridad de la Privacidad Equivalente Cableada (WEP), el IEEE
trajo su estándar 802.1X. El mismo fue implementado ampliamente por los fabricantes de
redes de área local inalámbricas (WLAN) a finales del 2001 y a lo largo del 2002.
- El estándar 802.1X del IEEE es una estructura diseñada para ofrecer control de acceso
al puerto entre las PCs inalámbricas de los clientes, puntos de acceso y servidores.
Emplea llaves dinámicas en lugar de las llaves estáticas utilizadas en la autenticación de
la WEP, y requiere un protocolo de autenticación para la autenticación mutua. Para que la
autenticación funcione, la transmisión del usuario debe efectuarse a través de un punto de
15
acceso LAN inalámbrico para alcanzar el servidor de punto final del Servicio al Usuario de
Marcado de Autenticación Remota (RADIUS) que lleva a cabo la autenticación.
Acceso Protegido Wi-Fi
-El Acceso Protegido Wi-Fi (WPA) está siendo desplegado en los productos LAN
inalámbricos como una característica del estándar y gracias a los fabricantes esta
protección se encuentra disponible bajando un programa.
-El Acceso Protegido Wi-Fi (WPA) implementa los beneficios de encriptación del protocolo
TKIP. Este protocolo fue construido basado en el estándar de la WEP y fue diseñando y
evaluado por los mejores criptógrafos para posteriormente dar apoyo a la protección que
ofrecen las redes de área local inalámbricas (WLAN).
802.11i
El 802.11I del IEEE es un estándar de seguridad que se espera esté terminado para
finales del 2003 y que promoverá las mejoras alcanzadas en la autenticación y
encriptación implementadas por el WPA. Más importante aún, añadirá un estándar de
encriptación conocido como Estándar de Encriptación Avanzado (AES), así como también
otras ampliaciones
Otras Consideraciones de Seguridad
- Punto de Acceso sin Autorización (Rogué): Efectúe auditorias regulares de red para
identificar los puntos de acceso sin autorización y desactivarlos o reconfigurarlos de
manera apropiada. Los puntos de acceso Rogué son aquellos que se instalan sin el
conocimiento de los departamentos IT, y no están por lo general configurados con algún
mecanismo de seguridad, lo cual deja abierta la posibilidad de un acceso no autorizado.
- Red Privada Virtual (VPN): Esta tecnología ofrece seguridad adicional ya que crea un
túnel que protege sus datos del mundo exterior. Una política de seguridad común para
muchas organizaciones es solicitarles a los clientes la utilización de la VPN para acceder
la red corporativa a través de cualquier punto de acceso inalámbrico.
16
Soluciones de seguridad física
Desde el descubrimiento de las vulnerabilidades de seguridad de WLAN, proveedores de
redes, organismos de estándares y analistas han dedicado gran parte de sus esfuerzos a
la búsqueda de remedios para hacer frente a estos problemas. Las alternativas
principales son:
En el contexto de las ciencias de la computación, el término Proxy hace referencia a un
programa o dispositivo que realiza una acción en representación de otro. La finalidad más
habitual es la del servidor Proxy, que sirve para permitir el acceso a Internet a todos los
equipos de una organización cuando sólo se puede disponer de un único equipo
conectado, esto es, una única dirección IP.
En general
La palabra Proxy se usa en muchas situaciones en donde tiene sentido un intermediario:
El uso más común es el de servidor Proxy, que es una computadora que intercepta las
conexiones de red que un cliente hace a un servidor de destino.
De ellos, el más famoso es el servidor Proxy de Web (comúnmente conocido solamente
como "Proxy"). Intercepta la navegación de los clientes por páginas Web, por varios
motivos posibles: seguridad, rendimiento, anonimato, etc.
También existen proxies para otros protocolos, como el Proxy de FTP
El Proxy ARP puede hacer de enrutador en una red, ya que hace de intermediario entre
computadoras
Proxy (patrón de diseño) también es un patrón de diseño (programación) con el mismo
esquema que el Proxy de red. Sólo el intermediario hace el trabajo real, por tanto se
pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al Proxy. Por
tanto, sólo uno de los usuarios (el Proxy) ha de estar equipado para hacer el trabajo real.
Velocidad. Si varios clientes van a pedir el mismo recurso, el Proxy puede hacer caché:
guardar la respuesta de una petición para darla directamente cuando otro usuario la pida.
Filtrado. El Proxy puede negarse a responder algunas peticiones si detecta que están
prohibidas. Como intermediario que es, un Proxy puede falsificar información, o
17
modificarla siguiendo un algoritmo. Pero esto puede ser malo, por ejemplo cuando hay
que hacer necesariamente la identificación.
• Carga. Un Proxy ha de hacer el trabajo de muchos usuarios. Es un paso más entre
origen y destino, y algunos usuarios pueden no querer pasar por el Proxy. Y menos
si hace de caché y guarda copias de los datos.
Funcionamiento
A continuación se hablará del servidor Proxy de Web, el más común.
Un Proxy permite a otros equipos conectarse a una red de forma indirecta a través de él.
Cuando un equipo de la red desea acceder a una información o recurso, es realmente el
Proxy quien realiza la comunicación y a continuación traslada el resultado al equipo
inicial. una página Web) en una cache que permita acelerar sucesivas consultas
coincidentes. Con esta denominación general de Proxy se agrupan diversas técnicas.
Proxy de Web / Proxy cache de Web
Se trata de un Proxy para una aplicación específica: el acceso a la Web. Aparte de la
utilidad general de un Proxy, proporciona una cache para las páginas Web y los
contenidos descargados, que es compartida por todos los equipos de la red, con la
consiguiente mejora en los tiempos de acceso para consultas coincidentes.
1. Cuando el Proxy caché recibe la petición, busca la URL resultante en su caché
local.
El caché utiliza normalmente un algoritmo para determinar cuándo un documento está
obsoleto y debe ser eliminado de la caché, dependiendo de su antigüedad, tamaño e
histórico de acceso. Los proxies Web también pueden filtrar el contenido de las páginas
Web servidas. Algunas aplicaciones que intentan bloquear contenido Web ofensivo están
implementadas como proxies Web. Otros tipos de Proxy cambian el formato de las
páginas Web para un propósito o una audiencia específicos, para, por ejemplo, mostrar
una página en un teléfono móvil o una PDA. Algunos operadores de red también tienen
proxies para interceptar virus y otros contenidos hostiles servidos por páginas Web
remotas.
18
Ventajas
Ahorro de Tráfico: Las peticiones de páginas Web se hacen al servidor Proxy y no a
Internet directamente. Por lo tanto, aligera el tráfico en la red y descarga los servidores
destino, a los que llegan menos peticiones.
Velocidad en Tiempo de respuesta: El servidor Proxy crea un caché que evita
transferencias idénticas de la información entre servidores durante un tiempo (configurado
por el administrador) así que el usuario recibe una respuesta más rápida.
Demanda a Usuarios: Puede cubrir a un gran número de usuarios, para solicitar, a través
de él, los contenidos Web.
Filtrado de contenidos: El servidor Proxy puede hacer un filtrado de páginas o
contenidos basándose en criterios de restricción establecidos por el administrador
dependiendo valores y características de lo que no se permite, creando una restricción
cuando sea necesario.
Modificación de contenidos: Basándose en la misma función del filtrado, y llamado
Privoxy, tiene el objetivo de proteger la privacidad en Internet, puede ser configurado para
bloquear direcciones y Cookies por expresiones regulares y modifica en la petición el
contenido.
Desventajas
• Las páginas mostradas pueden no estar actualizadas si éstas han sido modificadas
desde la última carga que realizó el Proxy caché.
Un diseñador de páginas Web puede indicar en el contenido de su Web que los
navegadores no hagan una caché de sus páginas, pero este método no funciona
habitualmente para un Proxy.
• El hecho de acceder a Internet a través de un Proxy, en vez de mediante conexión
directa, impide realizar operaciones avanzadas a través de algunos puertos o
protocolos.
19
Proxies transparentes
Muchas organizaciones (incluyendo empresas, colegios y familias) usan los proxies para
reforzar las políticas de uso de la red o para proporcionar seguridad y servicios de caché.
Normalmente, un Proxy Web o NAT no es transparente a la aplicación cliente: debe ser
configurada para usar el Proxy, manualmente. Por lo tanto, el usuario puede evadir el
Proxy cambiando simplemente la configuración.
Un Proxy transparente combina un servidor Proxy con NAT de manera que las
conexiones son enrutadas dentro del Proxy sin configuración por parte del cliente, y
habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de Proxy
que utilizan los proveedores de servicios de internet (ISP).
Reverse Proxy
Un reverse Proxy es un servidor Proxy instalado en el domicilio de uno o más servidores
Web. Todo el tráfico entrante de Internet y con el destino de uno de esos servidores Web
pasa a través del servidor Proxy.
Hay varias razones para instalar un "reverse Proxy":
Seguridad: el servidor Proxy es una capa adicional de defensa y por lo tanto protege los
servidores Web.
Encriptación / Aceleración SSL: cuando se crea un sitio Web seguro, habitualmente la
encriptación SSL no la hace el mismo servidor Web, sino que es realizada por el "reverse
Proxy", el cual está equipado con un hardware de aceleración SSL (Security Sockets
Layer).
Distribución de Carga: el "reverse Proxy" puede distribuir la carga entre varios servidores
Web. En ese caso, el "reverse Proxy" puede necesitar reescribir las URL de cada página
Web (traducción de la URL externa a la URL interna correspondiente, según en qué
servidor se encuentre la información solicitada)
• Caché de contenido estático: Un "reverse Proxy" puede descargar los servidores
Web almacenando contenido estático como imágenes y otro contenido gráfico...
20
Proxy NAT (Network Address Translation) / Enmascaramiento
Otro mecanismo para hacer de intermediario en una red es el NAT.
La traducción de direcciones de red (NAT, Network Address Translation) también es
conocida como enmascaramiento de IPs. Es una técnica mediante la cual las direcciones
fuente o destino de los paquetes IP son rescritas, sustituidas por otras (de ahí el
"enmascaramiento").
Esto es lo que ocurre cuando varios usuarios comparten una única conexión a Internet.
Se dispone de una única dirección IP pública, que tiene que ser compartida. Dentro de la
red de área local (LAN) los equipos emplean direcciones IP reservadas para uso privado y
será el Proxy el encargado de traducir las direcciones privadas a esa única dirección
pública para realizar las peticiones, así como de distribuir las páginas recibidas a aquel
usuario interno que la solicitó.
Esta situación es muy común en empresas y domicilios con varias computadoras en red y
un acceso externo a Internet. El acceso a Internet mediante NAT proporciona una cierta
seguridad, puesto que en realidad no hay conexión directa entre el exterior y la red
privada, y así nuestros equipos no están expuestos a ataques directos desde el exterior.
Firewall
Un Firewall es un elemento de hardware o software utilizado en una red de computadoras
para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de
red que haya definido la organización responsable de la red. La ubicación habitual de un
cortafuegos es el punto de conexión de la red interna de la organización con la red
exterior, que normalmente es Internet; de este modo se protege la red interna de intentos
de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los
sistemas de la red interna.
También es frecuente conectar al firewall una tercera red, llamada zona desmilitarizada o
DMZ, en la que se ubican los servidores de la organización que deben permanecer
accesibles desde la red exterior.
21
Un Firewall correctamente configurado añade protección a una instalación informática,
pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca
más ámbitos y más niveles de trabajo y protección.
Tipos de Firewall
Firewall de capa de red o de filtrado de paquetes
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes
IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP:
dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se
permiten filtrados según campos de nivel de transporte (nivel 4) como el puerto origen y
destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC.
Firewall de capa de aplicación
Trabaja en el nivel de aplicación (nivel 7) de manera que los filtrados se pueden adaptar a
características propias de los protocolos de este nivel. Un firewall a nivel 7 de tráfico
HTTP es normalmente denominado Proxy y permite que los computadores de una
organización entren a internet de una forma controlada.
Firewall personal
Es un caso particular de cortafuegos que se instala como software en un computador,
filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa.
Ventajas de un firewall
Protege de intrusiones. El acceso a ciertos segmentos de la red de una organización,
sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de
Internet.
Protección de información privada. Permite definir distintos niveles de acceso a la
información de manera que en una organización cada grupo de usuarios definido tendrá
acceso sólo a los servicios y la información que le son estrictamente necesarios.
Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la
comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de
seguridad.
22
Limitaciones de firewall
Un Firewall no puede protegerse contra aquellos ataques que se efectúen fuera de su
punto de operación.
El Firewall no puede protegerse contra los ataques posibles a la red interna por virus
informáticos a través de archivos y software. La solución real esta en que la organización
debe ser consciente en instalar software antivirus en cada máquina para protegerse de
los virus que llegan por medio de disquetes o cualquier otra fuente.
El Firewall no protege de los fallos de seguridad de los servicios y protocolos de los
cuales se permita el tráfico. Hay que configurar correctamente y cuidar la seguridad de los
servicios que se publiquen a internet.
Políticas del Firewall
Hay dos políticas básicas en la configuración de un firewall y que cambian radicalmente la
filosofía fundamental de la seguridad en la organización:
Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente
permitido. El firewall obstruye todo el tráfico y hay que habilitar expresamente el tráfico de
los servicios que se necesiten. Cada servicio potencialmente peligroso necesitará ser
aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado.
Sistemas de caja Negra
Es un sistema de caja negra permite a los administradores obtener información de
registro en sus sistemas de manera uniforme para toda la red. Realizando la tarea de
guardar, analizar y procesar los archivos de registro fácilmente, pero lo que la gente
espera de los registros del sistema ha cambiado en los últimos años y el servicio
tradicional simplemente no lo puede ofrecer. Cubre este hueco.
Los registros tradicionalmente se usan para comprobar la salud del sistema. Muchos
administradores ni siquiera se molestan en mirar los registros a menos que se encuentren
con un problema en el sistema. Pero hoy, es también una cuestión de mejorar la
fiabilidad, esto es, usar el sistema como una alerta temprana para impedir que las cosas
vayan a peor. La integridad de los mensajes de un sistema es también ahora más
23
importante que nunca, ya que permiten a los administradores levantar defensas basadas
en datos reales. Los administradores también buscan habitualmente más flexibilidad en la
configuración y en el manejo de las redes.
Desventajas
Falta de métodos de
Autenticación
No puede distinguir entre distintos hosts. Si el servicio se lanza con la opción -r, acepta
mensajes UDP en el puerto 514 sin importar cual es su origen. Esto permite a los
atacantes invadir el servidor de registro con paquetes UDP o transmitir mensajes
manipulados. Aparte de utilizar la funcionalidad de un firewall simple, no hay forma de
proteger al servidor de registros.
No registra el origen de la fuente
Cuando un mensaje pasa por distintos servidores de registro es imposible descubrir la
fuente del mismo no almacena el FQDN (Fully Qualified Domain Name) del host. Cada
host que propaga un mensaje modifica la dirección IP registrada.
SOLUCIONES DE SEGURIDAD LOGICA.
La seguridad lógica al referirse a controles lógicos dentro del software se implementa
mediante la construcción de contraseñas en diversos niveles de los sistemas donde
permita solo el acceso en base a niveles de seguridad de usuarios con permiso, en base
al sistema operativo que use como plataforma el sistema a implantarse puedo considerar
además a nivel código, algoritmos que generen claves para poder encriptar los archivos
de contraseñas dentro del sistema lo cual me permita mayor seguridad en un entorno de
red. Generar un módulo del sistema para la emisión de reportes para el administrador del
sistema en donde se muestre tablas de uso del sistema así como los usuarios y los
niveles de acceso por parte de los tales para poder determinar el uso y acceso al sistema.
También es necesario contar con el diseño de módulos que ejecuten un Control de
alarma la cual notifique en todo momento sobre la integridad de la información del
sistema.
24
A continuación se mencionan algunos métodos de seguridad lógica.
Programa antivirus. Autenticación. En los sistemas de seguridad, la autenticación
difiere de la autorización, la cual consiste en permitir el acceso personal a los elementos
de un sistema a partir de la identidad de la persona.
Cookie. Mensaje que un servidor de Web entrega a un explorador de Internet. Por lo
general, el explorador guarda el mensaje en un archivo de texto denominado cookie.txt.
Luego, el mensaje se envía de regreso al servidor cada vez que el explorador solicita una
página al servidor. Firma digital. Las firmas digitales son particularmente importantes en
el comercio electrónico y constituyen un elemento clave de la mayoría de los procesos de
autenticación.
Dirección IP dinámica. Asignación de una dirección IP (Internet Protocol) protocolo de
Internet) nueva que se selecciona al azar de una lista de direcciones disponibles cuando
te conectas a Internet.
Traducción de datos a un código secreto. Los datos no cifrados se denominan texto sin
formato, mientras que los cifrados se conocen como texto cifrado.
existen dos tipos principales de cifrado: cifrado asimétrico (también llamado cifrado por
clave pública) y cifrado simétrico. Protocolo de Internet (IP): Parte de una serie de
protocolos que rastrean la dirección de Internet de los nodos, encaminan los mensajes
enviados y reconocen los mensajes recibidos.
Filtración de paquetes. También denominada filtración de paquetes estáticos. Control
del acceso a
una red mediante el análisis de los paquetes recibidos y enviados, y la autorización o el
bloqueo de su tránsito en función de la dirección IP de su origen y destino. La filtración de
paquetes es una de tantas técnicas para la ejecución de servidores de seguridad como
medida de protección.
Contraseña. Serie de caracteres secretos que permiten a un usuario acceder a archivos,
computadoras, programas o cuentas de Internet. En sistemas que sirven a varios
usuarios, cada usuario debe tener su propia contraseña para que la computadora
responda a los comandos. La contraseña evita el acceso de usuarios sin autorización.
25
Cifrado por clave pública. Sistema criptográfico que se basa en dos claves, una del
conocimiento público y otra privada o secreta conocida sólo por el destinatario del
mensaje. Si Juan quiere enviar un mensaje seguro a María, usa la clave pública de María
para cifrar el mensaje; al recibir el mensaje posteriormente, María usa su clave privada
para descifrarlo. Un elemento importante del sistema público es que las claves pública y
privada se relacionan entre sí de manera los mensajes se pueden cifrar sólo con la clave
pública y se pueden descifrar exclusivamente con la clave privada correspondiente.
Protección. La mayoría de las medidas de protección exigen el cifrado de los datos y el
uso de contraseñas.
Tarjeta inteligente o Smartcard. Las tarjetas inteligentes con circuito integrado en
ocasiones se conocen como tarjetas de circuitos integrados. El uso de las tarjetas
inteligentes, ya sea para consultar la información contenida en ellas o para introducir más
datos, requiere de un lector de tarjetas inteligentes, un dispositivo muy pequeño en el que
se introduce la tarjeta inteligente.
Dirección IP estática. Asignación de la misma dirección IP para todas las conexiones a
Internet.
Cifrado simétrico. Tipo de cifrado que se basa en la misma clave para cifrar y descifrar
un mensaje. Este sistema difiere del cifrado asimétrico (o cifrado por clave pública) en que
se basa en una clave para cifrar el mensaje y otra para descifrarlo.
Nombre de usuario. Nombre que se usa para identificarse al entrar en un sistema
informático. Por lo general, el nombre de usuario se usa junto con una contraseña,
elementos fundamentales para el uso de sistemas que sirven a varios usuarios. En la
mayoría de estos sistemas, los usuarios pueden elegir su propio nombre de usuario y
contraseña. El nombre de usuario también es necesario para el acceso a tableros de
boletines y servicios por Internet.
SERVIDORES DE SEGURIDAD.
Servidor de seguridad. Sistema diseñado para impedir el acceso no autorizado hacia o
desde una red privada. Los servidores de seguridad se consideran como la primera
barrera de defensa para proteger la información privada. Los servidores de seguridad
suelen usarse para evitar el acceso de usuarios no autorizados a redes privadas
26
conectadas a Internet, especialmente Intranets. Si eres miembro de AT&T Yahoo! Dial o
DSL, disfrutas de acceso a las funciones de protección y control de uso para padres de
familia de AT&T Yahoo!, uno de los paquetes de protección y control para padres más
completos de la industria.
Un servidor de seguridad examina la información que viene y va a Internet. Si configura el
servidor de seguridad correctamente, los piratas que buscan equipos vulnerables no
detectarán su equipo.
Actualmente existen tres tipos básicos de servidores de seguridad. El primer paso al
elegir un servidor de seguridad consiste en determinar el que resulta más adecuado. Las
opciones disponibles son:
• Servidores de seguridad de software
• Enrutadores hardware
• Enrutadores inalámbricos
Los ataques pueden servir a varios objetivos incluyendo fraude, extorsión, robo de
información, venganza o simplemente el desafío de penetrar un sistema. Esto puede ser
realizado por empleados internos que abusan de sus permisos de acceso, o por
atacantes externos que acceden remotamente o interceptan el tráfico de red, entre otros.
Servidor Proxy
Un servidor Proxy es aquel que nos permite almacenar la información que es consultada
con mayor frecuencia en páginas de Internet por un período de tiempo, con el fin de
aumentar la velocidad en el acceso y al mismo tiempo liberar la carga de los enlaces
hacia Internet. Un servidor Proxy-Caché actúa como intermediario entre el programa
Cliente (Netscape, Internet Explorer,..) y el servidor de información al que queremos
acceder. Es decir si una persona ingresa a una página determinada de Internet, ésta pasa
por los enlaces y se almacena en la red local.
El Proxy actúa como una barrera de seguridad, para impedir el acceso a la red local
desde el exterior.
Ofrece todos los servicios normales WWW, Correo Electrónico, MSN, entre otros.
27
La mala configuración de los servidores Proxy, permite que estos sean utilizados para
enviar correo de tipo SPAM, para entrar a analizar éste concepto se debe recordar que
durante el envío de un correo electrónico participan varios programas, que son:
El programa usado por el usuario final, que sirve no sólo para recibir y enviar, sino
también para leer y escribir e-mails, es conocido como MUA – Mail User Agent, ejemplo
de este tipo de programas son: Mozilla Thunderbird, Outlook Express, PINE, Mutt, entre
otros.
La parte del servidor responsable de la comunicación con los usuarios (recepción de
correo) y del envío y recepción de correo de otros servidores es conocida como MTA –
Mail Transfer Agent.
• La parte del servidor responsable de la entrega del correo al usuario local se llama
MDA – Mail Delivery Agent. Ejemplos de MDA son: Maildrop, Procmail.
Entonces cuando se habla de servidores Open Proxy, nos referimos a los servidores
Proxy a los cuales se pueden conectar usuarios no autorizados entre ellos spammers, de
manera idéntica que a un open relay para enviar correspondencia no autorizada. Además
muchos open Proxy permiten ocultar su dirección IP.
El empleo de un open Proxy generalmente permite conexión por medio del protocolo
HTTP-CONNECT en el puerto 80. Para el spammer lo mejor es encontrar un servicio
open-relay que al mismo tiempo tenga instalado un servidor de correo local. En la mayoría
de los casos el MTA sin autorización acepta las conexiones del Proxy local tratándolas del
mismo modo que las de usuarios locales. Si el spammer esta muy interesado en ocultar
su IP puede emplear varios open Proxy en cascada, hasta llegar al objetivo.
28
Capitulo
ESTADO DEL ARTE
SISTEMA DE DETECCION DE INTRUSOS
¿Qué es un Sistema de Detección de Intrusos?
Un Sistema de Detección de Intrusos o IDS (Intrusión Detection System) es una
herramienta de seguridad encargada de monitorizar los eventos que ocurren en un
sistema informático en busca de intentos de intrusión.
Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad,
integridad, disponibilidad o evitar los mecanismos de seguridad de una computadora o
red. Las intrusiones se pueden producir de varias formas: atacantes que acceden a los
sistemas desde Internet, usuarios autorizados del sistema que intentan ganar privilegios
adicionales para los cuales no están autorizados y usuarios autorizados que hacen un mal
uso de los privilegios que se les han asignado.
¿Por qué utilizar un IDS?
La detección de intrusiones permite a las organizaciones proteger sus sistemas de las
amenazas que aparecen al incrementar la conectividad en red y la dependencia que
tenemos hacia los sistemas de información.
Los IDSs han ganado aceptación como una pieza fundamental en la infraestructura de
seguridad de la organización. Hay varias razones para adquirir y usar un IDS.
Prevenir problemas al disuadir a individuos hostiles.
Esto también puede jugar en nuestra contra, puesto que la presencia de un sistema de
seguridad sofisticado puede hacer crecer la curiosidad del atacante.
II
29
Detectar ataques y otras violaciones de la seguridad que no son prevenidas por
otras medidas de protección.
Los atacantes, usando técnicas ampliamente conocidas, pueden conseguir accesos no
autorizados a muchos sistemas, especialmente a aquellos conectados a redes públicas.
Esto a menudo ocurre cuando vulnerabilidades conocidas no son corregidas. En algunos
sistemas heredados, los sistemas operativos no pueden ser parcheados o actualizados.
Esto es un problema común, sobre todo en entornos que incluyen un gran número de
hosts con sistemas operativos y hardware variado. Los usuarios y administradores
pueden equivocarse al configurar sus sistemas.
Un sistema de detección de intrusos puede ser una excelente herramienta de protección
de sistemas. Un IDS puede detectar cuando un atacante ha intentado penetrar en un
sistema explotando un fallo no corregido.
Detectar preámbulos de ataques (normalmente pruebas de red y otras actividades.
Cuando un individuo ataca un sistema, lo hace típicamente en fases predecibles. En la
primera fase, el atacante hace pruebas y examina el sistema o red en busca de un punto
de entrada óptimo. En sistemas o redes que no disponen de un IDS, el atacante es libre
de examinar el sistema con un riesgo mínimo de ser detectado. Esto le facilita la
búsqueda de un punto débil en nuestra red. La misma red con un IDS monitorizando sus
operaciones le presenta una mayor dificultad. Aunque el atacante puede examinar la red,
el IDS observará estas pruebas, las identificará como sospechosas, podrá activamente
bloquear el acceso del atacante al sistema objetivo y avisará al personal de seguridad de
lo ocurrido para que tome las acciones pertinentes.
Documentar el riesgo de la organización.
Cuando se hace un plan para la gestión de seguridad de la red o se desea redactar la
política de seguridad de la organización, es necesario conocer cual es el riesgo de la
organización a posibles amenazas, la probabilidad de ser atacada o si incluso ya está
siendo atacada.
Un IDS nos puede ayudar a conocer la amenaza existente fuera y dentro de la
organización, ayudándonos a tomar decisiones acerca de los recursos de seguridad que
30
deberemos emplear en nuestra red y del grado de cautela que deberemos adoptar al
redactar la política de seguridad.
Proveer información útil sobre las intrusiones que se están produciendo. Incluso cuando los IDSs no son capaces de bloquear ataques, pueden recoger
información relevante sobre éstos. Esta información puede, bajo ciertas circunstancias,
ser utilizada como prueba en actuaciones legales. También se puede usar esta
información para corregir fallos en la configuración de seguridad de los equipos o en la
política de seguridad de la organización.
Adaptative Intrusión Detection system - AID
El desarrollo del sistema AID (sistema de Detección de Intrusos Adaptativo,) se llevó a
cabo en la Universidad de Tecnología de Branden burgo, entre 1994 y 1996. El sistema
fue diseñado para auditarías de red basadas en la monitorización de los hosts presentes
en una LAN y está siendo utilizado para la investigación de auditarías de privacidad.
Arquitectura de los IDSs
Existen varias propuestas sobra la arquitectura de los IDS pero ninguna de ellas se usa
mayoritariamente. Esto provoca que los productos de los fabricantes que trabajan con
distinta arquitectura puedan difícilmente intel operar entre sí. "Si no existe un solo
producto mágico que haga todo por nosotros, es mejor que los distintos productos
utilizados para establecer nuestra capacidad de detección de intrusos ínter operen. Para
que estos productos funcionen juntos debe aplicarse un estándar. Los estándares
originales fueron el formato ’autopost de AusCERT’ y CIDF. En estos momentos, los
esfuerzos de estandarización actuales parecen ser IDWG y CVE y posiblemente algunos
productos comerciales."
CIDF (Common Intrusion Detection Framework) El Marco de Detección de Intrusos Común fue un primer intento de estandarización de la
arquitectura de un IDS. No logró su aceptación como estándar, pero estableció un modelo
y un vocabulario para discutir sobre las intrusiones. Mucha gente que trabajó en el
31
proyecto original está fuertemente involucrada en los esfuerzos del Grupo de Trabajo de
Detección de Intrusos (Intrusión Detección Working Group, IDWG) del Internet
Engineering Task Forcé (IETF). Los cuatro tipos básicos de equipos que contempla el
CIDF son los siguientes (ver figura 1).
Equipos E, o generadores de eventos, son los sensores. Su trabajo es detectar eventos y
lanzar informes.
Equipos A, reciben informes y realizan análisis. Pueden ofrecer una prescripción y un
curso de acción recomendado.
Equipos D, son componentes de bases de datos. Pueden determinar si se ha visto antes
una dirección IP o un ataque por medio de correlación y pueden realizar análisis de
pistas.
Equipos R, o equipos de respuesta, pueden tomar el resultado de los equipos E, A y D y
responder a los eventos.
Figura 2.1. Diagrama de bloques de la arquitectura CIDF.
CISL (Common Intrusion Specification Language)
El Lenguaje de Especificación de Intrusiones Común aparece de la necesidad de unir los
cuatro tipos de equipos de CIDF. Los diseñadores de CISL pensaron que este lenguaje
debería ser capaz al menos de transmitir los siguientes tipos de información:
Información de eventos en bruto. Auditoria de registros y tráfico de red. Sería el
encargado de unir equipos E con equipos A.
32
Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques
detectados. Uniría equipos A con D.
Prescripciones de respuestas. Detener determinadas actividades o modificar
parámetros de seguridad de componentes. Encargado de la unión entre equipos A y R.
Arquitectura de IDWG (Intrusión Detection Working Group)
El IETF rechazó el enfoque de CIDF seguramente por antipatía a CISL, debido a su
complejidad, y creó un grupo de trabajo llamado IDWG (Intrusión Detection Working
Group) que tenía como objetivo el de definir formatos y procedimientos de intercambio de
información entre los diversos subsistemas del IDS.
Los resultados de este grupo de trabajo serán:
1. Documentos que describan los requerimientos funcionales de alto nivel para la
comunicación entre sistemas de detección de intrusos y entre los sistemas de detección
de intrusos y sus sistemas de gestión.
2. Un lenguaje común de especificación que describa el formato de los datos.
3. Un marco de trabajo que identifique los mejores protocolos que se pueden usar para la
comunicación entre los IDSs y que defina como se mapean en éstos lo formatos de datos.
Fuentes de información Existen varias fuentes de las que un IDS puede recoger eventos. Algunos IDSs analizan
paquetes de red, capturados del backbone de la red o de segmentos LAN, mientras que
otros IDSs analizan eventos generados por los sistemas operativos o software de
aplicación en busca de señales de intrusión.
¿Dónde colocar un IDS?
La decisión de donde localizar el IDS es la primera decisión que hay que tomar una vez
que estamos dispuestos a instalar un IDS. De esta decisión dependerá tanto el equipo
que usemos, como el software IDS o la base de datos.
33
Organización Existen principalmente tres zonas en las que podríamos poner un sensor, tal y como
muestra la figura 2.2. :
Figura 2.2. : Localización de un IDS dentro de una organización.
Figura 2.2. : Localización de un IDS dentro de una organización.
Veamos las características que presenta cada una de estas zonas:
• Zona roja: Esta es una zona de alto riesgo. En esta zona el IDS debe ser
configurado para ser poco sensible, puesto que vera todo el tráfico que entre o
salga de nuestra red y habrá más posibilidad de falsas alarmas.
• Zona verde: El IDS debería ser configurado para tener una sensibilidad un poco
mayor que en la zona roja, puesto que ahora, el firewall deberá ser capaz de filtrar
algunos accesos definidos mediante la política de nuestra organización. En esta
zona aparece un menor número de falsas alarmas que en la zona roja, puesto que
en este punto solo deberían estar permitidos accesos hacia nuestros servidores.
• Zona azul: Esta es la zona de confianza. Cualquier tráfico anómalo que llegue
hasta aquí debe ser considerado como hostil. En este punto de la red se
producirán el menor número de falsas alarmas, por lo que cualquier alarma del IDS
debe de ser inmediatamente estudiada.
Es importante destacar que la zona azul no es parte de la red interna. Todo lo que llegue
al IDS de la zona azul ira hacia el firewall (por ejemplo, si utilizamos un Proxy-cache para
34
nuestros usuarios de Web) o hacia el exterior. El IDS no escuchará ningún tipo de tráfico
interno dentro de nuestra red.
En el caso de tener un IDS escuchando tráfico interno (por ejemplo, colocado entre una
VLAN y su router), las falsas alarmas vendrán provocadas en su mayor parte por
máquinas internas al acceder a los servidores de nuestra red, por servidores nuestros
(DNS sobre todo) y escaneadores de red, por lo que habrá que configurar el IDS para que
no sea muy sensible.
IDS en un entorno Switcheado
Si la red (o segmento de red) esta switcheada, se presenta un problema a la hora de
instalar un IDS, ya que (en principio) el IDS no será capaz de observar mas trafico que el
que vaya destinado a el (o a Broadcast). Existen dos soluciones a este problema (aparte
del uso de Hubs): Spannings Ports y TAPS.
Básicamente, un Spanning Port es un puerto que permite que el switch se comporte como
un Hub para un puerto especifico, lo que permite monitorizar el tráfico de una maquina.
Además, los switches no suelen garantizar que el 100% del trafico pase también al puerto
de spanning con lo que existe la posibilidad de no ver un ataque que el IDS es capaz de
detectar. Fig. 2.3.1.
Fig. 2.3.1. Spannigs Ports y TAPS
La otra posibilidad (la que se puede usar realmente) son los TAPS (www.shomiti.com y
www.ods.com fabrican TAPS). Básicamente, es un dispositivo de 3 puertos que permite
duplicar el tráfico entre 2 puertos a un tercero, de forma unidireccional (el puerto de copia
no puede enviar ni recibir
tráfico, solo recibir las copias). Así podemos conseguir la monitorización de una maquina
de forma segura, puesto que el TAP esta construido por Hardware y no existe la
posibilidad de que el IDS pierda paquetes (y por tanto, potencialmente, ataques).Fig.
2.3.2.
35
Fig. 2.3.2. TAPS
Esta opción permite monitorizar muchas maquinas, sin mas que incluir un Hub que
conecte múltiples TAPS con el IDS. Fig. 2.3.3.
Fig. 2.3.3. TAPS con IDS
Como los TAPS son unidireccionales, no es posible que se forme un bucle de tráfico, por
lo que esta configuración es perfectamente funcional para monitorizar con un IDS el
tráfico en una red switcheada. Aunque aparentemente se podría ahorrar el switch y poner
un Hub que conecte todo, no hay que desdeñar la utilidad de un switch, ya que en este
ultimo caso, el único que es capaz de ver todo el trafico es el IDS, mientras que las
demás maquinas de usuario solo pueden ver su propio trafico, porque nunca se sabe
quien hay escuchando...
Finalmente, hay que recordar que los switches son vulnerables y que hay formas de
revertirlos a un modo de funcionamiento similar a un Hub. Básicamente hay 3 técnicas:
ARP Spoofing, MAC Flooding y MAC Duplicating:
ARP Spoofing: básicamente, la maquina que desea recibir todo el trafico de red se
dedica a contestar a todas las peticiones de ARP que llegan (la petición ARP es un
mensaje Broadcast) aunque no vayan destinadas a el. Esto corrompe la cache de ARP de
las maquinas, y se puede detectar fácilmente porque todas las direcciones IP tienen
asignadas la misma dirección MAC (la de la maquina espía). Normalmente, para evitar
que el trafico de red quede interrumpido (todo el trafico va a parar a la maquina espía), el
36
programa espía se encarga de hacer forwarding de los paquetes hacia su destino final, de
forma que el ataque
queda algo mas camuflado.
MAC Flooding: El switch mantiene en memoria una tabla que asigna un puerto a cada
dirección MAC que conoce, y evidentemente, esta memoria es limitada. Si se bombardea
el switch con multitud de información de MAC falsas, la tabla se llenara y el switch
(normalmente) revertirá a un estado funcional (que no bloquee la comunicación) y se
comportara como un Hub. En este punto, cualquier sniffer convencional vale para espiar
todo el tráfico.
MAC Duplicating: Dado que la mayoría de switches poseen un mecanismo muy simple
para construir la tabla MAC-Puerto, es posible engañarlos fácilmente. Basta con aparentar
que la maquina espía en realidad tiene todas las MAC de la red. Esto creara una
duplicación en las entradas del switch y todo el tráfico acabara en su destino original y en
el espía.
Como vemos, existen múltiples formas de saltarse la “protección” que aporta un switch,
por lo que no se debe considerar en ningún momento que un switch es suficiente
seguridad. Como mucho, sirve para dar cierta sensación de privacidad de tu trafico con
respecto al de las otras maquinas, siendo consciente de que si alguien,
intencionadamente, intenta espiar el trafico de la red lo va a conseguir.
Revisar las capacidades del switch en esta materia (capacidad de alerta ante
desbordamientos de memoria o duplicaciones de entradas MAC-Puerto) es una buena
idea, ya que los dos últimos ataques son evitables si el switch implementa alguna medida
de seguridad, y el primero es fácilmente detectable (basta con un script que compruebe la
tabla ARP en busca de entradas corruptas).
Gestión centralizada de múltiples IDS
En entornos con múltiples IDS es muy útil tener centralizada la gestión. De esta forma, se
pueden recoger los logs y las alarmas en un único lugar. Además, dependiendo de la
plataforma usada, se pueden actualizar las bases de datos de firmas e incluso los
archivos de reglas de forma remota. Eso si, la comunicación entre las estaciones
37
vigilantes y la estación de control debe ser segura, o de lo contrario se pone en peligro
toda la infraestructura de seguridad.
Si la comunicación no es segura, lo mejor es realizar estas tareas de forma manual,
porque aunque es más tediosa, es más segura. En esta línea, el IETF está trabajando en
un estándar para la comunicación de alarmas proveniente de los IDS (IDWG, Intrusión
Detection Working Group), basado en XML (para especificar el contenido) y http para
transportarlo. Por otro lado, existe otro proyecto paralelo, desarrollado por el DARPA,
para comunicar sus IDS, llamado CIDF (Common Intrusión Detection Framework), que se
basaba en un formato similar a Lisp. Posee múltiples primitivas, pero no se pensó en
principio como un estándar por lo su penetración en el mercado actual es escasa. Se
puede encontrar información en http://www.gidos.org/.
ISP
¿Qué ocurre ahora si nuestra organización es un ISP? (ISP son las siglas de Internet Service
Provider Proveedor de Servicios de Internet,) Es posible que el trafico a la entrada de este
ISP sea demasiado grande como para ser técnicamente imposible instalar un único IDS
que lo analice todo. Para estos casos es necesario un sistema de detección de intrusos
que pueda separar los sensores de la estación de análisis. Una posible solución podría
ser la de instalar un sensor en cada uno de los nodos que conectan físicamente con las
organizaciones a las que da servicio el ISP, y que estos sensores envíen las alertas
generadas a la estación de análisis (ver figura 2.4.).
Figura 2.4: Distribución de los sensores dentro de un ISP.
38
Esta transmisión debe realizarse de forma segura (y esto quiere decir ”cifrada”) y a
intervalos regulares, puesto que si el sensor avisa de la alerta nada más ésta se ha
producido, un atacante podría monitorizar el tráfico que genera el sensor hacia la estación
de análisis y deducir si un ataque ha sido detectado por el sensor o no.
Inserción
El ataque de inserción se basa en que un IDS puede aceptar paquetes que luego un
sistema final va a rechazar. La figura 2.5. da un ejemplo del Ataque de inserción.
Fig. 2.5 Ataque de inserción.
Un atacante envía un flujo de un carácter por paquete, en el cual uno de los caracteres
aparecerá solo en el IDS. Como resultado, el IDS y el sistema final reconstruirán dos
cadenas distintas. En general, un ataque de inserción ocurre cuando el IDS es menos
estricto en procesar un paquete que el sistema final. Una reacción obvia a este problema
puede ser la de hacer al IDS tan estricto como sea posible en procesar paquetes leídos
de la red; esto podría minimizar los ataque de inserción, Sin embargo, al hacer esto
podemos estar dando facilidad a otro ataque, el de evasión, que veremos a continuación.
Evasión
Un sistema final puede aceptar un paquete que un IDS rechace. En la figura 2.6.
podemos ver un ejemplo de este ataque:
39
Fig. 2.6. Ataque de evasión.
El ataque de evasión provoca que el IDS vea un flujo diferente que el sistema final. Esta
vez, sin embargo, el sistema final toma más paquetes que el IDS, y la información que el
IDS pierde es crítica para la detección del ataque.
Figura 1.6: Ataque de evasión.
Evasión e inserción en el mundo real.
Muchos protocolos son simples y fáciles de analizar, pero otros son más complejos y
requieren considerar muchos otros paquetes antes de determinar si se consideran parte
de la transacción actual o no. Para que un monitor de red pueda analizarlos deben
tenerse en cuenta mucha información de estado en cada uno de los paquetes. Por
ejemplo, para descubrir que hay dentro de una conexión TCP, el monitor debe intentar
reconstruir el flujo de datos que se intercambia en la conexión, teniendo en cuenta tanto la
reconstrucción en TCP como la reconstrucción de fragmentos IP Pero, ¿como es posible
llevar a cabo ataque de inserción y evasión en TCP/IP? Hay muchas formas de confundir
a un IDS y hacerle que tome o descarte paquetes de forma errónea.
Por ejemplo, supongamos que el IDS se encuentra entre el router de la organización y el
router del ISP. Si el atacante envía su paquete que quiere insertar en el IDS con un TTL
tal que llegue al IDS con un valor de 1, el IDS lo aceptara, pero será descartado a la
entrada de la organización por el router de entrada. Otra forma es mediante el bit DF
(Don’t fragment) de IP y la MTU de la red del sistema atacado. Si en el segmento del IDS
la MTU es suficiente como para albergar ese paquete, el IDS lo aceptará, pero si en el
sistema final la MTU es demasiado pequeña, el paquete será descartado.
Otro caso es el que aparece cuando al reensamblar fragmentos IP se produce un
solapamiento. Dependiendo del sistema operativo, el solapamiento tendrá en cuenta
40
datos antiguos o datos recientes, por lo que puede no coincidir con la forma en la que lo
hace el IDS. El RFC 1323 introduce dos nuevas opciones TCP diseñadas para
incrementar el rendimiento de TCP en entornos de alta velocidad. Con estas nuevas
opciones surge la posibilidad de que opciones TCP puedan aparecen en paquetes que no
son segmentos SYN. El RFC 1323 dice que tales opciones solo pueden aparecer en
segmentos no-SYN si la han sido especificadas y aceptadas previamente en esa
conexión. Puesto que ciertas implementaciones pueden rechazar segmentos no-SYN
conteniendo opciones que no han visto previamente, es importante que el IDS no acepte
ciegamente estos paquetes. Por otra parte, algunos sistemas finales pueden simplemente
ignorar las opciones y continuar procesando el segmento; si el IDS no determina
correctamente como actúa el sistema final que recibe el tráfico, será vulnerable a ataques
de inserción o evasión.
Otro problema aparece al reensamblar flujos TCP. Algunos IDS no usan los números de
secuencia, simplemente insertan datos en el flujo en el orden en el que los van
recibiendo. Esto se suele hacer por razones de eficiencia y rapidez en el IDS, y es vital
cuando el tráfico que se tiene que analizar es muy elevado. Estos sistemas son fácilmente
engañables y ni siquiera ofrecen seguridad para flujos TCP normales no
malintencionados, puesto que los segmentos pueden llegar fuera de orden y esto es algo
que está permitido en TCP.
Pero incluso si el IDS chequea los números de secuencia, no hay seguridad de que un
segmento dado sea aceptado siempre por igual por el sistema final y el IDS. Por ejemplo,
en sistemas como IRIX, HP-UX, AIX, Solaris y BSD, la capa TCP favorece nuevos datos
cuando hay un solape en los números de secuencia, pero Windows NT favorece los datos
antiguos.
Adaptative Intrusión Detection system - AID
El desarrollo del sistema AID (sistema de Detección de Intrusos Adaptativo se llevó a
cabo en la Universidad de Tecnología de Branden burgo, entre 1994 y 1996. El sistema
fue diseñado para auditarías de red basadas en la monitorización de los hosts presentes
en una LAN y está siendo utilizado para la investigación de auditarías de privacidad.
41
Arquitectura y funcionalidad
El sistema tiene una arquitectura cliente-servidor formada por una estación de
monitorización central y varios agentes (servidores) en los hosts monitorizados (ver figura
2.7.).
Fig. 2.7. Arquitectura del sistema AID.
La estación central alberga un programa director (cliente) y un sistema experto. Los
agentes obtienen los eventos relevantes de los hosts a través de unas funciones de
auditoria, para ser convertidos más adelante a un formato de datos independiente al
sistema operativo. Es por esto por lo que el sistema soporta entornos UNIX heterogéneos.
No se ha llegado a implementar agentes para otras plataformas como Windows NT.
Los datos auditados son transferidos a la estación de monitorización central, cargados en
una memoria caché y analizados en tiempo real por un sistema experto. Por otra parte, el
director proporciona funciones para la administración de seguridad de los hosts
monitorizados: controla sus funciones de auditoria, pide nuevos eventos mediante
consultas seguras y devuelve las decisiones del sistema experto a los agentes. Se usan
RPCs seguras para la comunicación entre el director y los agentes. El sistema experto
usa una base de conocimientos con firmas de ataques orientadas a estados, las cuales
son modeladas por máquinas deterministas de estado finito e implementadas como
secuencias de reglas. Figura 1.7: Arquitectura del sistema AID.
El administrador puede acceder a las capacidades de monitorización avanzadas por
medio de un interfaz de usuario gráfico. Además, el sistema experto archiva datos para
análisis forense y crea informes de seguridad al finalizar o bloquear los ataques.
42
Rendimiento
AID ha sido probado con éxito en entornos de red de área local formados por Sun
SPARCstations corriendo Solaris 2.x y TCP/IP. Se implementaron un total de 100 reglas y
la base de conocimientos era capaz de detectar 10 escenarios de ataques. En la
configuración descrita y bajo suposición de carga normal del sistema en los hosts
monitorizados (máximo de 2 usuarios por hosts y sin actualizaciones del sistema en
progreso), el sistema experto analiza mas de 2,5 MBytes de eventos por minuto. El test
ha mostrado que el prototipo puede soportar hasta 8 hosts. Pese a ser un sistema antiguo
y enfocado como un IDS basado en hosts, fue pionero en su característica
multiplataforma al crear un lenguaje unificado para los eventos, siendo los agentes los
encargados de la traducción. Además, planteó por primera vez un modelo de reglas en
forma de autómata, modelo que utilizarán más tarde otros sistemas de detección de
intrusos esta vez basados en red.
Agentes Autónomos para la Detección de Intrusiones
El Grupo de Agentes Autónomos para la Detección de Intrusiones (Autonomous Agents
for Intrusión Detección Group, está formado por un número de estudiantes y profesores
del CERIAS en la Universidad de Purdue, (Gene Spafford como director), y están
estudiando métodos distribuidos para la detección de intrusiones.
Enfoque del grupo
Enfocan el problema de la detección de intrusiones desde un ángulo diferente: en lugar de
un diseño monolítico del sistema de detección de intrusos, proponen una arquitectura
distribuida que utiliza pequeñas entidades, conocidas como agentes, para detectar
comportamientos anómalos o maliciosos. Su diseño aventaja a otros enfoques en
términos de escalabilidad, eficiencia, tolerancia a fallos y flexibilidad. Estudian este
enfoque desarrollando sistemas que lo implementen y miden su rendimiento y
capacidades de detección. De esta forma, esperan ser capaces de conocer las
capacidades y limitaciones del enfoque basado en agentes cuando es aplicado a
sistemas reales.
43
La arquitectura AAFID
Fue propuesta en 1994 por Crosbie y Spafford. La idea consistía en usar agentes
autónomos para realizar detección de intrusiones, y sugirieron que los agentes podrían
evolucionar automáticamente usando programación genética de tal forma que el sistema
de detección de intrusiones automáticamente se ajustaría y evolucionaría conforme al
comportamiento del usuario. La idea de usar programación genética no fue nunca
implementada. Sin embargo, la idea de utilizar agentes para la detección de intrusiones
fue evolucionando, y entre 1995 y 1996 la arquitectura AAFID fue desarrollada en el
laboratorio COAST. La arquitectura inicial tuvo una estructura jerárquica que permanece
en la actualidad y fue usada para implementar el primer prototipo del sistema. Desde
1997 hasta hoy, la arquitectura AAFID evolucionó con la incorporación de filtros y la
separación entre el interfaz de usuario y el monitor. La nueva arquitectura ha sido
utilizada par el crear un último prototipo que se estudia en la actualidad. En la figura 2.8
podemos ver los cuatro componentes principales de la arquitectura: agentes, filtros,
transceivers y monitores. Nos referiremos a cada uno de estos componentes como
"entidades AAFID" o simplemente "entidades", y a la totalidad del sistema de detección de
intrusiones como "sistema AAFID". Un sistema AAFID puede estar distribuido sobre
cualquier número de hosts en una red. Un agente es una entidad independiente que
monitoriza ciertos aspectos de un host y los notifica al transceiver apropiado. Por ejemplo,
un agente podría estar buscando un largo número de conexiones telnet a un host
protegido, y considerar su ocurrencia como sospechosa. El agente generaría una alerta
que sería enviada al transceiver apropiado. El agente no tiene la autoridad de lanzar
directamente una alarma, sino que son los transceivers los que, combinando
notificaciones de distintos agentes, conocen el estado actual de la red y son capaces de
saber cuando existe realmente peligro.
Figura 2.8.: Representación física y lógica de un ejemplo de sistema AAFID.
44
(a) Distribución física de los componentes en un ejemplo de sistema AAFID, mostrando
los agentes, filtros, transceivers y monitores, al igual que la comunicaciones y canales de
control entre ellos.
(b) Organización lógica del mismo AAFID mostrando la comunicación jerárquica de los
componentes. Las flechas bidireccionales representan flujo de datos y control entre las
entidades.
Los filtros se encargan de la selección de datos y de la abstracción de éstos hacia los
agentes. Cada host puede contener cualquier número de agentes que monitoricen
eventos interesantes que ocurran en él. Los agentes pueden usar filtros para obtener
datos de una forma independiente al sistema, lo cual permite la portabilidad de agentes a
distintas plataformas simplemente adoptando el filtro adecuado.
En la arquitectura AAFID original, cada agente era responsable de obtener los datos que
necesitaba. Cuando el primer prototipo fue implementado, este acercamiento mostró los
siguientes problemas:
• En un único sistema, puede haber más de un agente que necesite datos de la
misma fuente. Teniendo a cada agente leyendo los datos del mismo origen se
duplicaba el trabajo de lectura en los ficheros.
• Puede haber agentes que puedan proporcionar una función útil bajo diferentes
versiones de UNIX, o incluso bajo diferentes arquitecturas (como Windows NT). Sin
embargo, los datos requeridos por el agente pueden ser localizados en diferentes
lugares en cada sistema y pueden ser almacenados en diferentes formatos. Esto
significa tener que escribir un agente diferente para cada sistema, que sepa donde
encontrar el dato y como leerlo.
Ambos problemas fueron resueltos con la incorporación de los filtros, una capa software
que independiza a los agentes del tipo de sistema en el que están corriendo y gestiona
los recursos de éste de manera óptima.
Los transceivers son el interfaz de comunicación externa de cada host. Tienen dos
papeles: control y procesamiento de datos. Para que un hosts sea monitorizado por un
sistema AAFID, debe haber un transceiver corriendo en ese host. Los monitores son las
entidades de más alto nivel en la arquitectura AAFID. Reciben información de todos los
transceivers que ellos controlan y pueden hacer correlaciones a alto nivel y detectar
eventos que ocurren en diferentes hosts. Los monitores tienen la capacidad de detectar
eventos que pueden pasar desapercibidos por los transceivers.
45
Implementación de AAFID
El primer prototipo fue desarrollado entre 1995 y 1996, basado en la primera
especificación de la arquitectura AAFID. Este prototipo fue implementado por una
combinación de programas escritos en C, Bourne shell, AWKy Perl. Su principal objetivo
era el de tener algo tangible de todo lo desarrollado hasta el momento y enfrentarse a las
primeras decisiones de diseño. La primera implementación fue solamente el aleada
internamente en el laboratorio de COAST.
La segunda implementación incorpora los cambios más recientes en la arquitectura, como
son los filtros. Esta implementación es conocida como AAFID2 y fue lanzada en
septiembre de 1998. La primera reléase de AFFID2, que incluía el sistema base y algunos
agentes, fue testeada bajo Solaris.
La segunda reléase pública fue lanzada en septiembre de 1999. Fueron añadidos nuevos
mecanismo de procesamiento de eventos y fue testeada en Linux y Solaris. El prototipo
AFFID2v2 está implementado completamente en Perl5, lo cual lo hace fácil de instalar,
ejecutar y portar a diferentes plataformas. Sólo ha sido probado en entornos UNIX, pero
está en proceso de ser portado a Windows NT.
El objetivo del diseño de AAFID2v2 es que sea sencillo de experimentar y
extremadamente flexible. Fue desarrollado usando características de programación
orientada a objetos de Perl5, lo cual permite que su código sea fácilmente reutilizable.
AAFID2v2 también incluye una herramienta para la generación de código para desarrollar
nuevos agentes.
46
CAPITULO
Alternativas de Solución para la Detección de Intrusos
Tipos de sistemas de detección de intrusos.
Existen básicamente 2 tipos de sistemas de detección de intrusos:
• Sistemas de detección de intrusos de red (nIDS, por sus siglas en inglés)
• Sistemas de detección de intrusos basados en “host” (hIDS, por sus siglas en inglés)
Sistemas de detección de intrusos de red (nIDS)
Estos detectores actúan desde el exterior de los sistemas que protegen (en la red),
identificando ataques hacia/desde los equipos que ellos vigilan en la red. Para la
detección utilizan tablas de patrones de ataques, métodos estadísticos y métodos de
inteligencia artificial para identificar agresiones potenciales hacia los sistemas de la
organización, provenientes de otros equipos en la red o en Internet.
Sistemas de detección de intrusos de host (hIDS)
Actúan como un componente más de software dentro de los equipos que protegen;
típicamente identifican alteraciones en aplicaciones y el sistema operativo, así como
eventos que pueden estar relacionados con un ataque, a través de diversas bitácoras del
sistema operativo y de las mismas aplicaciones.
Soluciones existentes software
A continuación se muestra una lista de los IDS existentes y una breve descripción de su
funcionamiento:
III
47
SNORT
Snort es un IDS en tiempo real desarrollado por Martín Roesch y disponible bajo GPL. Se
puede ejecutar en máquinas UNIX y Windows. Es uno en sistemas de detección de
intrusos en este momento.
En un principio fue diseñado para cumplir los requerimientos de un IDS ligero. Era
pequeño y flexible, pero poco a poco ha ido creciendo e incorporando funcionalidades que
solo estaban presentes en los IDSs comerciales, aunque actualmente sigue estando por
detrás de muchos de estos sistemas.
En Snort no es posible separar el componente de análisis y los sensores en máquinas
distintas. Esto será posible a partir de la versión 2.0.
La arquitectura de Snort se enfocó par ser eficiente, simple y flexible. Snort está formado
por tres subsistemas: el decodificador de paquetes, la máquina de detección y el
subsistema de alerta y logs.
Decodificador de paquetes
Soporta gran variedad de protocolos de capa de enlace bajo TCP/IP, tales como Ethemet,
SLIP, PPP y ATM. Cada subrutina del decodificador ordena de una forma distinta los
paquetes, formando una estructura de datos basada en punteros por encima del tráfico
real capturado. Esta estructura de datos será la que guíe al motor de análisis para el
posterior análisis.
Motor de detección
Snort mantiene sus reglas de detección en un lista enlazada bidimensional, La lista base
se denomina ’Chain Header’ y la que deriva de ésta se llama ’Chain
Option’. Cuando llega un paquete al motor de detección, éste busca en la lista ’Chain
Header’ de izquierda a derecha la primera coincidencia. Después, buscará por la lista
’Chain Option’ si el paquete cumple las opciones especificadas.
48
Subsistema de alerta y lóg.
Actualmente hay tres sistemas de lóg. y cuatro de alerta. Las opciones de lóg. pueden ser
activadas para almacenar paquetes en forma decodificada y entendible por humanos o en
formato tcpdump. Avisan del tipo de ataque detectado y ofrece información adicional
como IP origen y destino,
fecha y hora de la detección y campo de datos. Snort dispone de un mecanismo que
optimiza considerablemente su rendimiento. Puesto que normalmente se quiere un
sistema de back-end potente como una base de datos SQL para hacer correlaciones
de los ataques, las escrituras de los logs suelen ser muy costosas. Al ser Snort un
proceso monolítico, mientras que se encuentra escribiendo en la base de datos es
incapaz de hacer otras cosas, como procesar el tráfico de entrada. Lógicamente estos
procesos necesitan comunicarse, pero esta comunicación está optimizada para que sea
mucho más rápida que la escritura en una base de datos compleja como pueda ser
Oracle o MS-SQL.
NFR NID
Network Flight Recorder Network Intrusión Detection es un sistema de detección
comercial, que de manera discreta monitorea redes en tiempo real y genera alertas
cuando algo sospechoso es detectado. Busca actividades tales como ataques conocidos,
comportamiento anormal, intentos de acceso no autorizado y transgresiones a las
políticas de seguridad, guardando la información asociada y generando alertas según sea
necesario.
La actividad sospechosa puede ser categorizada en uso inapropiado y anomalías. Un uso
inapropiado es cuando se presenta un ataque conocido. La detección de este tipo de
intrusiones se efectúa comparando el tráfico de la red con patrones de ataques llamados
sigatures. Las anomalías se presentan cuando ocurre una actividad o un evento que se
sale de lo ordinario; los entrenados sobre lo que constituye un comportamiento “normal”,
desarrollando conjuntos de modelos que son actualizados continuamente, y las
actividades son comparadas con estos modelos. NFR NID detecta tanto anomalías como
usos inapropiados.
49
Los componentes de un sistema NFR NID son el (los) sensor(es) NFR, la Interfaz de
Administración NFR y el Servidor de Administración Central NFR (en ambientes
distribuidos).
EMERALD
EMERALD (Event monitoring enabling responses to anomalous live Disturbances) es un
framework para efectuar detección de intrusos escalable, distribuida e ínter operable a
nivel de host y a nivel de red. Más que un IDS, es una propuesta de arquitectura para un
IDS, que se supone debe contener componentes que permitan al sistema responder
activamente ante amenazas, principalmente de atacantes externos a una organización,
aunque no se excluye la detección de atacantes internos.
La arquitectura de EMERALD está compuesta de una colección ínter operable de
unidades de análisis y respuesta llamadas “monitores”, que ofrecen una protección
localizada de activos claves dentro de una red corporativa. Al implantar monitores
localmente, EMERALD ayuda a reducir las posibles demoras en análisis y respuesta que
podrían ser consecuencia de la topología espacialmente distribuida de una red.
Adicionalmente, introduce un esquema de análisis compuesto, en donde los análisis
locales son compartidos y correlacionados en las capas más altas de abstractamente más
altas.
La arquitectura de monitores de EMERALD pretende ser pequeña y rápida, y lo
suficientemente general para ser implantada en cualquier capa dentro de su esquema
jerárquico de análisis. Los monitores incorporan un API versátil que mejora su habilidad
para ínter operar con la máquina objeto del análisis y con otros IDSs.
DIDS
DIDS (Distributed Intrusión Detection System) es implementado por la división de
Computer Science de la Universidad de California, que combina monitoreo distribuido y
reducción de datos (por medio de monitores individuales en hosts y LANs) con análisis
centralizado de datos (por medio del DIDS director), para monitorear una red heterogénea
de computadores.
50
La arquitectura DIDS combina monitoreo y reducción de datos distribuidos con análisis
centralizado de datos. Los componentes de DIDS son el DIDS director, un sólo host
monitor por host y un solo LAN monitor por cada segmento LAN en la red monitoreada.
Potencialmente, DIDS puede manejar hosts sin monitores, puesto que el LAN monitor
puede reportar las actividades de red de dichos hosts. Los monitores de host y de LAN
son los responsables primarios de recolectar evidencia sobre actividades sospechosas o
no autorizadas, mientras que el DIDS director es el principal responsable de su
evaluación. Los reportes son enviados de manera independiente y asíncrona desde los
monitores host y LAN al director a través de la infraestructura de comunicaciones.
AAFID
Una última opción entre las arquitecturas enumeradas, es la de usar Agentes autónomos
para detección de intrusiones. Idealmente, debe aprender de su experiencia y ser capaz
de comunicarse con otros agentes y procesos”.
En el contexto de los IDSs, definimos un agente autónomo como un agente de software
que realiza ciertas funciones de monitoreo de seguridad en un host. Se denominan
autónomos por ser entidades que se ejecutan de manera independiente, aunque podrían
necesitar de los datos generados por otros agentes para realizar su trabajo. Se propone
una arquitectura llamada de “Autonomous Agents For Intrusión
Detection” (AAFID) para construir IDSs que utilicen agentes como su elemento de
recolección y análisis de datos de más bajo nivel, y que emplee una estructura jerárquica
que permita escalabilidad. Disposición física de los componentes en un sistema AAFID,
muestra los agentes, los transceivers y los monitores, y los canales de comunicación y
control entre ellos. Un sistema AAFID puede estar distribuido en un gran número de hosts
en una red. Cada host puede contener cualquier número de agentes que monitoreen
eventos interesantes que estén ocurriendo en el host. Todos los agentes en el host
reportan sus hallazgos a un solo transceiver. Los transceivers son entidades, una por
host, que supervisan la operación de todos los agentes ejecutándose en su host. Ejercen
control sobre éstos y tienen la habilidad de iniciar, detener y enviar comandos de
configuración sobre los agentes. También podrían realizar reducción de datos sobre los
datos recibidos de los agentes.
51
Dragón - Enterasys Net Works
El IDS de Enterasys Net Works, Dragón toma información sobre actividades
sospechosas de un sensor denominado Dragón Sensor y de un módulo llamado Dragón
Squire que se encarga de monitorizar los logs de los firewalls y otros sistemas. Esta
información es enviada a un producto denominado Dragón Server para posteriores
análisis y correlaciones. Cada componente tiene ventajas que compensan con
debilidades de otro, por ejemplo, el sensor Dragón Sensor es incapaz de interpretar
tráfico codificado de una sesión Web SSL, pero el producto Dragón Squire es capaz de
recocer los logs del servidor Web y pasárselos a la máquina de análisis.
Cisco Secure IDS Sensors
El sensor de Cisco se presenta en tres formatos distintos dependiendo de las
necesidades de la organización: Modulo IDS Catalyst R 6000: diseñado para integrar la
funcionalidad IDS directamente dentro del conmutador permitiendo al usuario monitorizar
tráfico directamente del backplane del conmutador en lugar de utilizar módulos software.
Rendimiento:
Monitoriza 100 Mbps de tráfico.
Aproximadamente 47.000 paquetes por segundo.
Internet Security Systems – RealSecure R
RealSecure R Network Sensor
RealSecure R proporciona detección, prevención y respuestas a ataques y abusos
originados en cualquier punto de la red. Entre las respuestas automáticas a actividades
no autorizadas se incluyen el almacenar los eventos en una base de datos, bloquear una
conexión, enviar un mail, suspender o deshabilitar una cuenta en un host o crear una
alerta definida por el usuario.
El sensor de red rápidamente se ajusta a diferentes necesidades de red, incluyendo
alertas específicas por usuario, sintonización de firmas de ataques y creación de firmas
definidas por el usuario. Las firmas son actualizables automáticamente mediante la
aplicación X-Press Update. El sensor de red puede ser actualizado de una versión a otra
posterior sin problema, asegurando así la última versión del producto. Todos los sensores
52
son centralmente gestionados por la consola RealSecure R SiteProtector incluyendo la
instalación automática, desarrollo y actualizaciones.
Shadow
Fue desarrollado como respuesta a los falsos positivos de un IDS anterior, NID. La idea
era construir una interfaz rápida que funcionara bien en una DMZ caliente (una DMZ que
sufre muchos ataques). La interfaz permitiría al analista evaluar gran cantidad de
información de red y decidir de qué eventos informar.
No es en tiempo real. Shadow almacena el tráfico de red en una base de datos y se
ejecuta por la noche, por otra parte es una herramienta de evaluación de seguridad no-
libre.
CIDF (Common Intrusion Detection Framework)
El Marco de Detección de Intrusos Común fue un primer intento de estandarización de la
arquitectura de un IDS. Mucha gente que trabajó en el proyecto original está fuertemente
involucrada en los esfuerzos del Grupo de Trabajo de Detección de Intrusos (Intrusión
Detección Working Group, IDWG) del Internet Engineering Task Forcé (IETF).
Equipos E, o generadores de eventos, son los sensores. Su trabajo es detectar eventos y
lanzar informes.
Equipos A, reciben informes y realizan análisis. Equipos D, son componentes de bases
de datos. Pueden determinar si se ha visto antes una dirección IP o un ataque por medio
de correlación y pueden realizar análisis de pistas.
Equipos R, o equipos de respuesta, pueden tomar el resultado de los equipos E, A y D y
responder a los eventos.
CISL (Common Intrusion Specification Language)
El Lenguaje de Especificación de Intrusiones Común aparece de la necesidad de unir los
cuatro tipos de equipos de CIDF. Los diseñadores de CISL pensaron que este lenguaje
debería ser capaz al menos de transmitir los siguientes tipos de información:
Información de eventos en bruto. Auditoria de registros y tráfico de red. Sería el
encargado de unir equipos E con equipos A.
53
Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques
detectados.
Uniría equipos A con D.
Prescripciones de respuestas. Detener determinadas actividades o modificar
parámetros de seguridad de componentes. Los resultados de este grupo de trabajo serán:
1. Documentos que describan los requerimientos funcionales de alto nivel para la
comunicación entre sistemas de detección de intrusos y entre los sistemas de detección
de intrusos y sus sistemas de gestión.
2. Un lenguaje común de especificación que describa el formato de los datos.
Fuentes de información
Existen varias fuentes de las que un IDS puede recoger eventos. Algunos IDSs analizan
paquetes de red, capturados del backbone de la red o de segmentos LAN, mientras que
otros IDSs analizan eventos generados por los sistemas operativos o software de
aplicación en busca de señales de intrusión.
IDSs basados en red (NIDS)
La mayor parte de los sistemas de detección de intrusos están basados en red. Estos
IDSs detectan ataques capturando y analizando paquetes de la red. Escuchando en un
segmento, un NIDS puede monitorizar el tráfico que afecta a múltiples hosts que están
conectados a ese segmento de red, protegiendo así a estos hosts.
Los IDSs basados en red a menudo están formados por un conjunto de sensores
localizados en varios puntos de la red. Estos sensores monitor-izan el tráfico realizando
análisis local e informando de los ataques que se producen a la consola de gestión. Como
los sensores están limitados a ejecutar el software de detección, pueden ser mas
fácilmente asegurados ante ataques.
Ventajas:
Un IDS bien localizado puede monitorizar una red grande, siempre y cuando tenga la
capacidad suficiente para analizar todo el tráfico.
54
Se pueden configurar para que sean muy seguros ante ataques haciéndolos invisibles al
resto de la red.
Desventajas:
Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho
tráfico y pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto.
Los IDSs basados en red no analizan la información cifrada. Este problema se incrementa
cuando la organización utiliza cifrado en el propio nivel de red (IPSec) entre hosts, pero se
puede resolver con una política de seguridad más relajada (por ejemplo, IPSec en modo
túnel).
Los IDSs basados en red no saben si el ataque tuvo o no éxito, lo único que pueden
saber es que el ataque fue lanzado. Algunos NIDS tienen problemas al tratar con ataques
basados en red que viajan en paquetes fragmentados. Estos paquetes hacen que el IDS
no detecte dicho ataque o que sea inestable e incluso pueda llegar a caer.
Quizá el mayor inconveniente de los NIDS es que su implementación de la pila de
protocolos de red puede diferir a la pila de los sistemas a los que protege. Muchos
sistemas servidores y de escritorio actuales no cumplen en ciertos aspectos los
estándares TCP/IP, pudiendo descartar paquetes que el NIDS ha aceptado. Esta
inconsistencia de información entre el NIDS y el sistema protegido es la base de la
ocultación de ataques que veremos más adelante.
Limitaciones de los NIDSs Una de los problemas más importantes de los NIDSs es su incapacidad de reconstruir
exactamente lo que está ocurriendo en un sistema que están monitorizando. Como
hemos visto, los detectores de intrusos basados en firmas funcionan examinando el
contenido de los paquetes que se están transmitiendo por la red. El análisis consiste
básicamente en un análisis pasivo del protocolo utilizado, lo cual hace a esta técnica no
intrusiva y extremadamente difícil de detectar o evadir. Algunos de los ataques que los
IDSs pueden detectar se pueden ver simplemente analizando los paquetes IP; un intento
de ocultar un ataque fragmentando paquetes IP se puede observar examinando el
desplazamiento del fragmento dentro de su paquete IP correspondiente. La mayoría de
los IDSs comerciales implementan esta función.
55
Otra técnica más depurada de anti-IDS se basa en los ataques con firmas polimórficas.
En este caso, el ataque (por ejemplo, un explot con un shellcode bien conocido) puede
cambiar el juego de instrucciones en ensamblador con una funcionalidad idéntica, pero
que generará una firma distinta y por lo tanto no será detectado por el IDS. Se puede
dotar a la herramienta hacker de la suficiente inteligencia como para mutar
automáticamente el shellcode lanzado en cada uno de sus ataques, haciendo inútil la
tarea del detector de intrusos.
Cada componente identificado por el modelo CIDF tiene implicaciones únicas de
seguridad, y puede ser atacado de diferentes formas:
• Como único punto de entrada al sistema, las cajas-E actúan como lo ojos y los
oídos de un IDS. Un ataque que afecte a estas cajas-E dejará al IDS incapaz de
ver lo que realmente ocurre en los sistemas monitorizados.
• Por otra parte, un atacante que conozca el algoritmo de análisis que utiliza la caja-
A y descubra un fallo en su implementación será capaz de evadir la detección.
• Un atacante que pueda saturar de información los componentes D puede impedir
que se almacene información sobre futuros ataques.
• Si se conoce como engañar a las cajas-C, se podrá seguir atacando una red sin
ningún tipo de contramedida.
Los ataques de denegación de servicio también pueden dar al traste con una política de
seguridad basada en un IDS. Es entonces cuando hay que decidir si el IDS será ’fail-
open’ o ’fail-closed’. En el primer caso tenemos que cuando el IDS caiga, la red quedará
totalmente abierta a merced de cualquier ataque, mientras que en el segundo caso, el
tráfico hacia el exterior y viceversa quedará bloqueado.
Los NIDSs son inherentemente ’fail-open’. El problema de los IDSs de código abierto es
que el atacante puede examinar el código y determinar que flujo de datos hace que
aumente excesivamente la carga computacional, el consumo de memoria o el consumo
de disco. El primera provoca un descarte de paquetes que deja ciego al sistema mientras
que dura el ataque. El segundo puede incluso abortar el proceso e inhabilitar el IDS, y el
tercero puede provocar que no se guarden logs sobre las alertas producidas hasta que se
corrija en fallo. Sin embargo, los ataques anti-IDSs que más estragos causan son los de
’inserción’ y ’evasión’, que veremos a continuación [2].
56
IDSs basados en host (HIDS)
Los HIDS fueron el primer tipo de IDSs desarrollados e implementados. Operan sobre la
información recogida desde dentro de una computadora, como pueda ser los ficheros de
auditoria del sistema operativo. Esto permite que el IDS analice las actividades que se
producen con una gran precisión, determinando exactamente qué procesos y usuarios
están involucrados en un ataque particular dentro del sistema operativo.
A diferencia de los NIDSs, los HIDSs pueden ver el resultado de un intento de ataque, al
igual que pueden acceder directamente y monitorizar los ficheros de datos y procesos del
sistema atacado.
Ventajas:
Los IDSs basados en host, al tener la capacidad de monitorizar eventos locales a un host,
pueden detectar ataques que no pueden ser vistos por un IDS basado en red.
Pueden a menudo operar en un entorno en el cual el tráfico de red viaja cifrado, ya que la
fuente de información es analizada antes de que los datos sean cifrados en el host origen
y/o después de que los datos sea descifrados en el host destino.
Desventajas:
Los IDSs basados en hosts son más costosos de administrar, ya que deben ser
gestionados y configurados en cada host monitorizado. Mientras que con los NIDS
teníamos un IDS por múltiples sistemas monitorizados, con los HIDS tenemos un IDS por
sistema monitorizado.
Si la estación de análisis se encuentra dentro del host monitorizado, el IDS puede ser
deshabilitado si un ataque logra tener éxito sobre la máquina.
No son adecuados para detectar ataques a toda una red (por ejemplo, escaneos de
puertos) puesto que el IDS solo ve aquellos paquetes de red enviados a él.
Pueden ser deshabilitados por ciertos ataques de DoS.
Usan recursos del host que están monitorizando, influyendo en el rendimiento del sistema
monitorizado.
57
Análisis de eventos
Hay dos acercamientos al análisis de eventos para la detección de ataques: detección de
abusos y detección de anomalías.
La detección de abusos es la técnica usada por la mayoría de sistemas comerciales.
La detección de anomalías, en la que el análisis busca patrones anormales de actividad,
ha sido y continúa siendo objeto de investigación. La detección de anomalías es usada de
forma limitada por un pequeño número de IDSs.
Detección de abusos o firmas
Los detectores de abusos analizan la actividad del sistema buscando eventos que
coincidan con un patrón predefinido o firma que describe un ataque conocido.
Ventajas:
Los detectores de firmas son muy efectivos en la detección de ataques sin que generen
un número elevado de falsas alarmas.
Pueden rápidamente y de forma precisa diagnosticar el uso de una herramienta o técnica
de ataque específico.
Pueden permitir a los administradores de seguridad, sin importar su nivel o su experiencia
en este campo, el seguir la pista de los problemas de seguridad de sus sistemas.
Desventajas:
Solo detectan aquellos ataques que conocen, por lo que deben ser constantemente
actualizados con firmas de nuevos ataques.
Muchos detectores de abusos son diseñados para usar firmas muy ajustadas que les
privan de detectar variantes de ataques comunes.
Detección de anomalías
La detección de anomalías se centra en identificar comportamientos inusuales en un host
o una red. Funcionan asumiendo que los ataques son diferentes a la actividad normal.
Los detectores de anomalías construyen perfiles representando el comportamiento normal
58
de los usuarios, hosts o conexiones de red. Estos perfiles son construidos de datos
históricos recogidos durante el periodo normal de operación. Los detectores recogen los
datos de los eventos y usan una variedad de medidas para determinar cuando la actividad
monitorizada se desvía de la actividad normal. Las medidas y técnicas usadas en la
detección de anomalías incluyen:
Detección de un umbral sobre ciertos atributos del comportamiento del usuario. Tales
atributos de comportamiento pueden incluir el número de ficheros accedidos por un
usuario en un periodo de tiempo dado, el número de intentos fallidos para entrar en el
sistema, la cantidad de CPU utilizada por un proceso, etc. Este nivel puede ser estático o
heurístico.
Otras técnicas incluyen redes neuronales, algoritmos genéticos y modelos de sistema
inmune.
Solo las dos primeras se utilizan en los IDSs actuales, el resto son parte de proyectos de
investigación.
Ventajas:
Los IDSs basados en detección de anomalías detectan comportamientos inusuales. De
esta forma tienen la capacidad de detectar ataques para los cuales no tienen un
conocimiento específico.
Los detectores de anomalías pueden producir información que puede ser utilizada para
definir firmas en la detección de abusos.
Desventajas:
La detección de anomalías produce un gran número de falsas alarmas debido a los
comportamientos no predecibles de usuarios y redes.
Respuesta a ataques
Una vez se ha producido un análisis de los eventos y hemos detectado un ataque, el IDS
reacciona. Las activas lanzan automáticamente respuestas a dichos ataques.
59
Respuestas pasivas
En este tipo de respuestas se notifica al responsable de seguridad de la organización, al
usuario del sistema atacado o a algún CERT de lo sucedido. También es posible avisar al
administrador del sitio desde el cual se produjo el ataque avisándole de lo ocurrido, pero
es posible que el atacante monitorice el correo electrónico de esa organización o que
haya usado una IP falsa para su ataque.
Respuestas activas
Las respuestas activas son acciones automáticas que se toman cuando ciertos tipos de
intrusiones son detectados. Cambio del entorno: otra respuesta activa puede ser la de
parar el ataque; por ejemplo, en el caso de una conexión TCP se puede cerrar la sesión
establecida inyectando segmentos TCP RST al atacante y a la víctima o filtrar en el router
de acceso o en el firewall la dirección IP del intruso o el puerto atacado para evitar futuros
ataques.
Herramientas y complementos
Sistemas de valoración y análisis de vulnerabilidades
Las herramientas de análisis de vulnerabilidades determinan si una red o host es
vulnerable a ataques conocidos. La valoración de vulnerabilidades representa un caso
especial del proceso de la detección de intrusiones. Los sistemas que realizan valoración
de vulnerabilidades funcionan en modo ’batch’ y buscan servicios y configuraciones con
vulnerabilidades conocidas en nuestra red.
File Integrity Checkers (Controladores de la integridad de los ficheros)
Los ’File Integrity Checkers’ son otra clase de herramientas de seguridad que
complementan a los IDSs. Utilizan resúmenes de mensajes (message digest) u otras
técnicas criptográficas para hacer un compendio del contenido de ficheros y objetos
críticos en el sistema y detectar cambios, de tal forma que para cualquier cambio del
contenido del fichero el compendio sea totalmente distinto y que sea casi imposible
modificar el fichero de forma que el compendio sea igual al del fichero original. El uso de
60
estos controladores es importante, puesto que los atacantes a menudo alteran los
sistemas de ficheros una vez que tienen acceso completo a la máquina, dejando puertas
traseras que más tarde facilitan su entrada al sistema, esta vez "sin hacer tanto ruido".
Honeypots
Son sistemas que están diseñados para ser atacados y que capturan de forma silenciosa
todos los movimientos de los atacantes. Se usan principalmente para lo siguiente:
Evitan que el atacante pase su tiempo intentado acceder a sistemas críticos.
Recogen información sobre la actividad del atacante.
Permiten al administrador recabar pruebas de quién es el atacante y responda ante su
CERT o el administrador del sistema origen de la agresión.
Los honeypots se usan ampliamente para investigar sobre nuevos ataques, y facilitan la
incorporación de nuevas firmas en los IDSs. Últimamente han aparecido las Honeynets,
redes de honeypots.
Como hemos visto, los detectores de intrusos basados en firmas funcionan examinando el
contenido de los paquetes que se están transmitiendo por la red. El análisis consiste
básicamente en un análisis pasivo del protocolo utilizado, lo cual hace a esta técnica no
intrusiva y extremadamente difícil de detectar o evadir. Algunos de los ataques que los
IDSs pueden detectar se pueden ver simplemente analizando los paquetes IP; un intento
de ocultar un ataque fragmentando paquetes IP se puede observar examinando el
desplazamiento del fragmento dentro de su paquete IP correspondiente. La mayoría de
los IDSs comerciales implementan esta función.
Otra técnica más depurada de anti-IDS se basa en los ataques con firmas polimórficas.
Cada componente identificado por el modelo CIDF tiene implicaciones únicas de
seguridad, y puede ser atacado de diferentes formas:
Como único punto de entrada al sistema, las cajas-E actúan como lo ojos y los oídos de
un IDS. Un ataque que afecte a estas cajas-E dejará al IDS incapaz de ver lo que
realmente ocurre en los sistemas monitorizados.
Un atacante que pueda saturar de información los componentes D puede impedir que se
almacene información sobre futuros ataques.
61
Los ataques de denegación de servicio también pueden dar al traste con una política de
seguridad basada en un IDS. En el primer caso tenemos que cuando el IDS caiga, la red
quedará totalmente abierta a merced de cualquier ataque, mientras que en el segundo
caso, el tráfico hacia el exterior y viceversa quedará bloqueado.
Los NIDSs son inherentemente ’fail-open’. El problema de los IDSs de código abierto es
que el atacante puede examinar el código y determinar que flujo de datos hace que
aumente excesivamente la carga computacional, el consumo de memoria o el consumo
de disco. El primera provoca un descarte de paquetes que deja ciego al sistema mientras
que dura el ataque. Sin embargo, los ataques anti-IDSs que más estragos causan son los
de ’inserción’ y ’evasión’, que veremos a continuación [2].
Detección de intrusiones basada en grafos (Gris - GRAPO-based Intruson Detection System). Gris ha sido diseñado para detectar ataques automatizados a gran escala en sistemas de
red. El mecanismo que se utiliza es el de construir grafos de actividad que representen la
estructura causal de actividades distribuidas a gran escala. Forma parte del proyecto
"Intrusión Detection for Large Net Works" (http://seclab.cs.ucdavis.edu/arpa/arpa.html),
fundado por ARPA. Los nodos de un grafo de actividad corresponden a los hosts en un
sistema, mientras que los arcos corresponden a la actividad de red entre estos hosts. La
actividad en una red monitorizada se puede modelar mediante grafos que representen
dicha actividad. Estos grafos son entonces comparados con patrones conocidos de
actividades intrusivas y hostiles, y si presentan un grado de similitud superior a un umbral,
se dispara una alarma o un procedimiento reactivo.
Como ejemplo, en la figura 8 podemos ver el grafo en forma de árbol que generaría una
actividad tipo gusano, que infecta máquinas de forma exponencial.
Figura 3.1. (a) El inicio del grafo de un gusano. (b) Una vista más extensa del mismo gusano.
62
Figura 3.1.: (1) El inicio del grafo de un gusano. (2) Una vista más extensa del mismo
gusano. GrIDS modela una organización como una jerarquía de departamentos. Para que
esto sea fácilmente configurable, incorpora un interfaz "drag and drop" que permite
reconfigurar la jerarquía incluso durante la actividad del sistema. Cada departamento en
la jerarquía tiene un módulo GrIDS propio y construye y evalúa grafos de actividad dentro
del departamento. Cuando una actividad cruza los limites departamentales es pasada al
siguiente nivel en la jerarquía de resolución. Este nivel construirá grafos reducidos en los
cuales los nodos son enteramente subdepartamentales en lugar de simples
hosts. Características más complejas del grafo completo pueden ser preservadas en el
grafo reducido mediante la incorporación de atributos.
Este acercamiento hace de GrIDS un diseño escalable. Muchos de los esfuerzos van
dirigidos a conseguir que la agregación de departamentos en la jerarquía global sea un
mecanismo escalable, y permitir la configuración dinámica del sistema de forma que
continúe siendo funcional cuando se llegue a una red grande. A pesar de esto, GrIDS
debería ser tomado como una prueba de concepto en lugar de un sistema acabado
apropiado para producción. Todavía no es posible asegurar la integridad de las
comunicaciones entre módulos GrIDS, por lo que no se puede prevenir que un atacante
reemplace partes del GrIDS con código maligno. El prototipo tampoco es resistente a
ataques de denegación de servicio, disrupción del protocolo de tiempo de red en el que se
basa, o fallos en las redes o computadores en los que corre. Otro problema que aparece
es que no detecta intrusiones pequeñas, lentas o ambas.
Detección de intrusos para redes con un gran número de hosts Como ya hemos comentado, el objetivo de este proyecto es desarrollar tecnología de
detección de intrusiones para redes de área extensa. La investigación avanza en dos
direcciones:
Tamaño: se desean manejar miles o decenas de miles de hosts, en lugar de los cientos
actualmente posibles. Protección de la infraestructura: se desea proteger a los routers,
servidores de dominio, etc., además de hacerlo con los hosts de producción. Como
características deseables del sistema se incluyen:
Interoperabilidad con tecnología de gestión de la red (especialmente SNMP)
Independencia de sistemas operativos Extensibilidad a nuevos componentes de red y
servicios.
63
En estos momentos, el proyecto se encuentra a medio camino. Se han investigado la
mayoría de problemas subyacentes y se está trabajando en integrar la experiencia
acumulada en un prototipo real.
Spoofing
Básicamente, la técnica de spoofing consiste en modificar la dirección IP de origen del
paquete, de forma que el atacante se asegura (o prácticamente se asegura) que no le van
a rastrear de vuelta. El inconveniente es que las respuestas a estos paquetes no vuelven
al atacante, sino que llegan a la maquina suplantada (que no sabe nada de ese paquete).
Este tipo de paquetes se dan típicamente en ataques DoS o como ruido de fondo, ya que
ese tipo de ataques no necesitan contestación (el paquete llega y bloquea la maquina, o
confunde al IDS con múltiples alarmas), pero existen algunas técnicas, que conviene
conocer, y que permiten a un atacante obtener la misma información que si les volviese el
paquete a ellos. Por ejemplo, si esta técnica se usa como ruido de fondo, se pueden
enviar 1000 paquetes de escaneo contra una maquina, desde 1000 direcciones IP
distintas, siendo solo una de ellas la dirección IP real del atacante. Normalmente, el
analista se cansara de buscar fantasmas a la centena de direcciones IP y lo catalogara
como tiny noise (ruido de broma). El escaneo ha tenido éxito, y ha pasado inadvertido.
Eso si, esta técnica no es totalmente segura, ya que ante un administrador tedioso, la
identidad del atacante puede salir a la luz. Pero claro, solo es un inocente escaneo.
Existen otras técnicas mejores, que permiten un escaneo realmente sigiloso e
inrastreable. Veamos tres de ellas:
Escaneo a través del cambio de estado: Esta técnica se basa en mandar un escaneo con
una IP de origen suplantada, y monitorizar esa maquina suplantada en busca de cambios
de estado. Estos cambios se producen en el identificador de paquete IP por lo que el
stack TCP/IP debe producir secuencias predecibles de identificadores IP. Veámoslo con
un esquema fig.3.2.
64
Fig. 3.2. Escaneo de trabes de un cambio de estado
En primer lugar, el atacante adquiere el estado del sensor (el numero de identificador IP)
a través de un ping convencional. A continuación manda el paquete de escaneo al
objetivo, con la IP origen del sensor. El objetivo contesta al sensor con un SYN/ACK si el
puerto esta abierto o con un RST/ACK en caso contrario. El sensor contesta con un RST
si le llega un SYN/ACK (dado que el no sabe nada de ese intento de conexión TCP) o no
contesta si le llega un RST/ACK. A continuación, el atacante vuelve a comprobar el
estado del sensor. Si el identificador ha avanzado, quiere decir que ha contestado con un
RST, y por tanto que el puerto del objetivo esta abierto. El escaneo se realiza y el
atacante pasa
Inadvertido.
Observación indirecta: Esta técnica es mucho mas simple, pero requiere que el atacante
pueda observar el trafico de la maquina suplantada, para así conocer el resultado del
escaneo (lo cual puede ser un problema. Fig. 3.3.
Fig. 3.3. Observación indirecta
En realidad, esta técnica puede servir si el atacante pertenece a una red Ethernet mayor
(una Universidad o empresa) y no desea que su estación de trabajo quede comprometida,
aunque en este caso lo mas normal es que también se haga spoofing de nivel 2.
65
Observación Indirecta Avanzada: Esta técnica es una modificación de la anterior,
añadiéndole más capas de forma que el atacante queda aun más enterrado. Fig. 3.4
Fig. 3.4. Observación indirecta avanzada
Esta técnica requiere que el atacante controle otras dos maquinas mas, que son las que
se comunican a través del túnel ICMP. Además, se pueden añadir todas las capas extra
que se quiera, aunque tal y como aparece en el diagrama es más que suficiente.
Características de los IDS estudiados:
Tabla 3.1. Características de IDS estudiados
Nombre Tecnología Alcance Respuesta Tiempo
SNORT Monitorización
de Red Red Pasiva On-line
EMERALD Monitor de
eventos Nodo y Red Pasiva On-line
NFR NID Estadísticas y
Sistema Experto Nodo Pasiva On-line
GrIDS Grafos de
Actividad Nodo y Red Activa Off-line
DIDS Monitoreo de
Host Host y Red Pasiva Off-line
AAFID Monitoreo de
Host Host Activa On-line
DRAGON Monitoreo Nodo Pasiva Off-line
CISCO SECURE
IDS SENSORS
Monitoreo utilicé
sensores tipo
Hardware
Red Activa On-line
SHADOW Monitoreo Red Activa On-line
REAL SECURE R NETWORK
SENSOR
Monitoreo DMZ Pasiva Off-line
66
Haciendo un análisis de los IDS mencionados en este capitulo llegamos a la conclusión
que SNORT es el mas indicado puesto que emplea multiplataforma y puede ser
implantado para monitorear pequeñas redes TCP/IP Está disponible bajo la licencia
pública general GNU puede usarse gratuitamente en cualquier ambiente, la totalidad de
su código es de libre distribución es ideal para nuestra Red por sus características. Este
IDS, es muy potente y flexible, lo que ha granjeado la fama que tiene. Se actualiza muy a
menudo, y es mantenido por toda la comunidad de Internet, lo que le permite tener su
base de datos de firmas tremendamente actualizada.
67
Capitulo
IMPLANTACION DE SEGURIDAD EN UN CASO DE PRUEBA
IMPLANTACION DEL SISTEMA
Requerimientos
El modelo de negocios de la empresa debe estar sustentado por una infraestructura de
telecomunicaciones lo bastante robusta para ofrecer una solución diseñada a la medida
de las necesidades operativas de las actividades del negocio. Adicionalmente, los
servidores y las bases de datos, deben tener mecanismos de protección que garanticen
su disponibilidad, integridad y confidencialidad.
Las medidas que se pueden considerar deben conjuntar una solución que se implemente
a nivel de red y a nivel de host. Ambas deben complementarse con el desarrollo de una
cultura informática de buenas prácticas y de Políticas de Seguridad.
En primera instancia, es necesario distinguir la procedencia del tráfico que entra o sale de
la red local, conocer su origen y destino para asignarle prioridades de paso; y al mismo
tiempo garantizar que los paquetes “no van” a sitios restringidos. A nivel de red, es
necesario dividir los segmentos en pequeñas células que faciliten la administración y
optimicen la conectividad. Los servidores, deben clasificarse en públicos y privados para
ponerlos en redes distintas con niveles de acceso distintos y mecanismos de protección
distintos.
La densidad de nodos de red debe incrementarse. La opción de una o más redes
inalámbricas, es viable, sin embargo, debe ser sustentada con mecanismos de control
que permitan separar el tráfico de cada una de ellas, proteger la información y evitar
accesos no autorizados.
Cada uno de los miembros de la empresa, cumple funciones distintas, por lo que no todos
tienen el mismo nivel de acceso a la información o a los servicios asociados. Tampoco la
IV
68
prioridad de acceso es la misma, por lo que es fundamental asignar perfiles de acceso a
nivel de red, servicios y datos. Es imperativo, la implementación de mecanismos de
control que permitan filtrar tráfico, detectar paquetes no deseados y solucionar problemas
de seguridad.
Auditoria de la red
Después de haber revisado la instalación y basándonos en los siguientes puntos:
• Topología de la red
• Plan de direccionamiento
• Ubicación de servidores y puntos de acceso
• Análisis de los dispositivos con el fin de identificar aspectos de hardware o software
que puedan influir en la implantación
Se tiene que realizar un estudio que determine que aplicaciones y que protocolos se
están empleando, así como las necesidades de ancho de banda que se requieren. La
siguiente tabla resume estos aspectos:
Departamento Tipo de Red
Numero
de
usuarios
Numero de
dispositivos
Perfil de
usuarios
Atención a clientes Alámbricos 1 1 Interno \ externo
Proveedores Alámbrico 1 1 Interno
Ventas Alámbrico 5 5 Interno \ externo
Mercadotecnia Alambrico 3 3 Interno
Call center Inalámbrico 1 1 Interno
Departamento de
sistemas Alámbrico 3 3 Interno
Gerencia Alambrico 5 5 Interno
Finanzas Inalámbrico \
alambrico 5 5 Interno
Tabla. 4.1. Tabla de Aplicaciones y necesidades
69
Una vez terminada la auditoria de la red instalada, se determina lo que se puede
aprovechar de la instalación de la WLAN para analizar y definir una estrategia de
mejoramiento de la misma. Se tendrán que reajustar las políticas de gestión del tráfico
con el fin de asignar a cada usuario la prioridad adecuada y asegurar el ancho de banda
necesario para dichas aplicaciones. Una vez que nos quedo claro los puntos a mejorar, se
empieza con el diseño:
Primeramente, se determinan los requerimientos del negocio y se especifican los
aspectos clave como el grado de disponibilidad de la red o las características de
operación continua. Un punto importante es el análisis del impacto que supondría la
perdida de servicio, tanto en cuanto a las pérdidas de beneficios como la pérdida de
mercado. Otra tarea a realizar es un estudio económico y estratégico de la ampliación del
servicio.
El resultado son los objetivos del nivel de servicio que deben quedar recogidos y
registrados adecuadamente.
Densidad de usuarios Uno de los datos que es importante conocer a la hora de
dimensionar cualquier tipo de red es determinar el número de usuarios simultáneos que
deberá soportar el sistema. Resulta conveniente tener en cuenta las previsiones de
crecimiento de personal de la empresa, en nuestro caso no es muy grande la cantidad de
usuarios, aunque en el futuro se piensa ampliar.
De tal forma que tenemos la siguiente tabla donde se muestra la cantidad de empleados:
Nivel Departamento Numero de Empleados
Planta baja Atención a clientes 1
Proveedores 1
Primer piso Ventas 8
Mercadotecnia 5
Call center 1
Segundo piso Sistemas 5
Rack de Telecomunicaciones 1
Tercera piso Gerencia 8
Finanzas 8
Tabla. 4.2. Tabla de distribución del nuevo sistema
70
Después de haber evaluado los requerimientos y establecido la cantidad de usuarios a los
que se les va a dar servicio, se determino que el diseño de la red, que se debe de
incorporar a la empresa es la siguiente.
SERV CLIENTES SERV VENTAS
ROUTER INT
SERV NOMINA
CORREOWEB
FW INT
SW SERV
FW DMZ
FW SERV
SW DM7
MODEMROUTER EXT
DNS
ACTIVE DIRECTORY
S1
S2
S3W
SW1
S6
S8W
S7
SW3
S4
S5W
SW2
S9W
S10W
SW4
Rack Int.Router InternoFw ServidoresSw ServidoresServ. NominaServ. CuentasServ. VentasActive Directory
Rack Ext.ModemRouter Ext.Sw DM7Serv. WebServ. DNSServ. CorreoFw Int
SWITCHES
Switch de 24 PtosCobre 10/100/1000Ptos Fast Ethernet 10/100 MBps
SW DM7 24 Ptos 10/100/1000
RED PyME
Diagrama de Red 4.1
SELECCIÓN DE LA TECNOLOGÍA
Después de la auditoria de la red se determino utilizar la siguiente tecnología:
Elegimos el sistema Snort, debido a su flexibilidad y a que puede trabajar en varias
plataformas (en este caso elegimos Windows):
Sistema Windows 2000. Aunque la configuración de Snort corre prácticamente en
cualquier versión de 32 bits de Windows, Windows 2000 son más seguros y estables que
las versiones de Windows 98, esto es debido principalmente a la falta de características
como el sistema de archivos NTFS, el servidor Web IIS para ACID y soporte de más de
un procesador.
71
Por otro lado, Windows 2000 tienen soporte de Microsoft a diferencia de NT y son
alternativas de mejor precio que Windows Server ó Windows Server 2003. Las versiones
de servidor de Windows sólo se recomiendan si se desea tener un mejor control del
equipo, mayor capacidad de almacenamiento y lectura de paquetes.
Elección de la base de datos.
Para la gestión de los incidentes se optó por usar una base de datos relacional que
permitiera hacer consultas complejas y facilitara el análisis al responsable de seguridad.
Es conveniente situar la base de datos en una máquina distinta a la que corre Snort por
razones de eficiencia, ya que Snort solo puede aprovechar un procesador
simultáneamente quedando el otro libre, se optó por situar Snort y la base de datos en la
misma máquina.
Entre las bases de datos con soporte por Snort están MySQL, PostgreSQL, Oracle y
MSSQL.
Puesto que se había decidido correr el servidor de la base de datos en la misma máquina
que en Snort, la opción de MSSQL quedó descartada. Entre el resto y siguiendo la línea
de software libre, los candidatos fueron MySQL y PostgreSQL. A favor de PostgreSQL
teníamos el soporte para subconsultas, algo que facilita mucho el manejo de consultas
complejas. Finalmente se optó por MySQL por una razón fundamental: en principio, la
base de datos no iba a tener un gran número de entradas, tan solo las alertas generadas
y algunas falsas alarmas. Dado que MySQL es más rápida al trabajar con tablas con
pocas entradas, se decidió el uso de esta base de datos. El inconveniente de no poder
realizar subconsultas no es tal, ya que el administrador utilizará una aplicación para
realizar las consultas de forma fácil y transparente a la base de datos.
Elección de software adicional
Para el análisis de las alertas por parte del administrador de seguridad es necesaria una
herramienta que interactúe con el back-end del sistema. En Snort existen multitud de
aplicaciones para tal efecto, desde simples analizadores léxicos que transforman el
fichero texto con todas las alarmas a un documento HTML que podemos visualizar con el
72
navegador, hasta complejos programas escritos en PHP que realizan consultas en
nuestra base de datos y permiten interactuar con ella por medio de clics de ratón.
Presupuesto
El consumo de memoria en Snort suele ser alto cuando el número de conexiones TCP es
alta. Además, las estructuras de datos que utiliza Snort para reordenar paquetes IP y
reensamblar fragmentos son grandes y complejas, ya que el objetivo fundamental del
diseño no fue minimizar el tamaño en memoria del proceso sino maximizar la velocidad
del motor de búsqueda.
IMPLEMENTACIÓN
Lo primero que se procedió a realizar, fue instalar sistemas antivirus y antispywares a
cada una de las maquinas de la empresa.
Uno de los problemas que se puede producir, cuando dos bits se propagan al mismo
tiempo en la misma red, es una colisión. En las grandes redes hay muchas computadoras
conectadas, cada una de los cuales desea comunicar miles de millones de bits por
segundo. Se pueden producir problemas graves como resultado del exceso de tráfico en
la red.
Si más de un nodo intenta transmitir simultáneamente, se produce una colisión y se
dañan los datos de cada uno de los dispositivos. El área dentro de la red donde los
paquetes se originan y colisionan, se denomina dominio de colisión, e incluye todos los
entornos de medios compartidos.
En general, se cree que las colisiones son malas ya que degradan el desempeño de la
red. Sin embargo, una cantidad determinada de colisiones es una función natural de un
entorno de medios compartidos es decir, un dominio de colisión, ya que una gran cantidad
de computadores intentan comunicarse entre sí simultáneamente, usando el mismo cable.
Se puede reducir el tamaño de los dominios de colisión utilizando dispositivos que pueden
dividir los dominios. Este proceso se denomina segmentación, la mejor solución para este
problema es la utilización de switches para la correcta segmentación de una LAN.
Procedimos a segmentar la red para disminuir el trafico y para facilitar la administración
de la misma, para esto utilizamos switches. El propósito del switch es concentrar la
73
conectividad, haciendo que la transmisión de datos sea más eficiente. El switch conmuta
paquetes desde los puertos (interfaces) de entrada hacia los puertos de salida,
suministrando a cada puerto el ancho de banda total. Básicamente un switch es un
administrador inteligente del ancho de banda.
Los switches son dispositivos de enlace de datos que permiten que múltiples segmentos
físicos de LAN se interconecten para formar una sola red de mayor tamaño. Los switches
envían e inundan el tráfico con base a las direcciones MAC. Dado que la conmutación se
ejecuta en el hardware en lugar del software, es significativamente más veloz.
Los datos se intercambian, a altas velocidades, haciendo la conmutación de paquetes
hacia su destino. Al leer la información de Capa 2 de dirección MAC destino, los switches
pueden realizar transferencias de datos a altas velocidades. El paquete se envía al puerto
de la estación receptora antes de que la totalidad del paquete ingrese al switch Esto
provoca niveles de latencia bajos y una alta tasa de velocidad para el envío de paquetes.
Hay dos motivos fundamentales para dividir una LAN en segmentos. El primer motivo es
aislar el tráfico entre segmentos, y obtener un ancho de banda mayor por usuario, al crear
dominios de colisión más pequeños. Si la LAN no se divide en segmentos, las LAN cuyo
tamaño sea mayor que un grupo de trabajo pequeño se congestionarían rápidamente con
tráfico y colisiones y virtualmente no ofrecerían ningún ancho de banda.
Al dividir la red en unidades autónomas, los switches ofrecen varias ventajas. Un switch,
reduce el tráfico que experimentan los dispositivos en todos los segmentos conectados ya
que sólo se envía un determinado porcentaje de tráfico. Los switches amplían la longitud
efectiva de una LAN, permitiendo la conexión con estaciones distantes.
Por último, los switches reducen las colisiones y aumentan el ancho de banda en los
segmentos de red ya que suministran un ancho de banda dedicado para cada segmento
de red.
Se conectaron los switches a los routers, los routers son elementos hardware que
trabajan a nivel de red y entre otras cosas se utilizan para conectar una LAN a una WAN.
Un router asigna el encabezado del paquete a una ubicación de una LAN y elige la mejor
ruta de acceso para el paquete, con lo que optimiza el rendimiento de la red. La labor
74
principal de un router es disipar y coordinar la información perteneciente a las direcciones
lógicas de red en un sistema.
En términos muy sencillos una dirección lógica ofrece un nivel de abstracción por arriba
de una dirección en hardware; una dirección de hardware es aquella utilizada por una
tarjeta de red Ethernet , dicha dirección se encuentra grabada de fábrica en la tarjeta y
consta de 6 octetos, una dirección MAC (hardware) puede ser: 00-00-21-65-96-F8, donde
los primeros tres octetos (00-00-21) pertenecen al vendedor de la tarjetas NIC (asignado
por IEEE) y los otros tres (65-96-F8) son una serie exclusiva asignada por el vendedor
Los Routers traen de fábrica ciertas IP que se filtrarían automáticamente, aparte de las
que nosotros le podremos asignar más adelante con las que no nos interesaría tener
contacto por inseguridad.
Se decidió utilizar algunos elementos de seguridad como lo son el:
Firewall: elemento basado en hardware, software o en una combinación de ambos, que
controla el flujo de datos que entra y sale de una red.
Aquí tenemos un Firewall y un router. Cada terminal de la red LAN, incluido el servidor,
tiene una dirección IP personal que la va a identificar en la red y sólo en la red, pero el
Firewall tendrá otra que será la que haga posible una identificación con el exterior. Al
instalar el Firewall, debemos dotar al servidor con las dos direcciones IP: una para que se
puedan conectar las terminales de la LAN a él y otra real de identificación con el exterior.
El Firewall organiza la red, es decir, toda la red estará sujeta a éste, y la red sólo podrá
acceder a los parámetros que el Firewall tenga permitido o posibilite mediante su
configuración. Por ejemplo, si un Terminal de la red intenta enviar un paquete a una
dirección IP no autorizada, el Firewall rechazará éste envío impidiendo realizar ésta
transmisión.
Con el Firewall podemos definir tamaños de paquetes, IP con las que no interesa
comunicación, deshabilitación de envíos o recogida de paquetes por determinados
puertos, imposibilitar el uso de comandos.
Si el Firewall no valida nuestra IP no podremos conectarlo con la LAN, aunque cómo la
IP podemos falsificarla hoy en día se implementan también servidores proxys, ante los
cuáles deberemos identificarnos antes, protegiendo así también al Firewall.
75
El acceso desde el interior de la LAN hacia el exterior es transparente para el usuario, es
decir, si desde cualquier estación enviamos un paquete a una IP y el Firewall nos valida el
tamaño, IP de destino, puerto, etc. Nosotros no veremos proceso alguno, seria como si no
hubiera nada vigilando por nuestra seguridad, aunque si lo hay.
El concepto de seguridad aplicado sería: filtrar antes de repartir, hay muchas formas de
implementar un Firewall, dependiendo de gustos y necesidades, aunque nosotros nos
vamos a centrar en el uso junto a un Proxy, siendo posiblemente la formula más utilizada.
Un Proxy es un sistema de software que permite la conexión de una LAN entera al
exterior con sólo una dirección IP de salida, es decir, si montamos en el servidor principal
de la red un modem, e instalamos el Proxy (configurando también las aplicaciones cliente
en los terminales), tendremos acceso al exterior de todos y cada uno de los terminales
con una sola cuenta de acceso aI Internet.
Supongamos un usuario 1 que tiene abierto el Netscape, y teclea
http://www.maestrosdelweb.com en la barra de dirección, ahora el cliente del Proxy le
pide ésta dirección al Proxy, y éste es el que realmente se encarga de pedir la dirección
pero con su IP y no con la de la Terminal.
Después, cuando tiene lo que le han pedido, se la envía a la terminal que lo ha solicitado
(usuario1) y le aparece al usuario en su navegador exactamente igual que si solo tuviera
una conexión con un proveedor de acceso a Internet vía módem.
Posteriormente se procedió a colocar los IDS. Los IDS son programas usados para
detectar accesos desautorizados en una computadora o en una red. Estos accesos
pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas
automáticas.
El IDS suele tener sensores virtuales (sniffers) con los que el núcleo del IDS puede
obtener datos externos sobre el tráfico de red. El IDS detecta, gracias a dichos sensores,
anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
El funcionamiento de estas herramientas se basa en el análisis del tráfico de red, el cual
al entrar al analizador es comparado con firmas de ataques conocidos, o
comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes
76
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el
contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es
incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un
dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del
firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser
bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas
firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, o entre el
tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del
mismo.
Para poner en funcionamiento un sistema de detección de intrusos se debe tener en
cuenta que es posible optar por una solución hardware, software o incluso una
combinación de estos dos.
Decidimos utilizar el sistema Snort que es un IDS en tiempo real desarrollado por Martín
Roesch y disponible bajo GPL. Se puede ejecutar en máquinas UNIX y Windows. Es el
número uno en sistemas de detección de intrusos en este momento. Dispone actualmente
de unas 1.600 reglas y de multitud de aplicaciones para el análisis de sus alertas.
Posiblemente Snort sea el IDS mas extendido actualmente. Este software de detección de
intrusos, de libre distribución, ha ido ganando adeptos con el paso del tiempo gracias a su
capacidad de crecimiento y optimización, que lo convierten en uno de los IDS más rápidos
de la actualidad.
Es multiplataforma y está disponible bajo la licencia pública general GNU, puede usarse
gratuitamente en cualquier ambiente, y la totalidad de su código es de libre distribución.
Es necesario considerar el lugar de colocación del IDS. Como la red está segmentada con
un switch, es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para
poder analizar todo el tráfico de nuestra red.
77
La colocación del IDS es algo muy importante, porque de ello dependerán las
características que deberán tener principalmente requisitos de velocidad y el rendimiento
que se puede esperar. El IDS nunca debe colocarse de forma que interfiera el
funcionamiento de la red. Cuanto más invisible y transparente sea, mejor.
La decisión de donde colocar el IDS es la primera decisión que hay que tomar una vez
que estamos dispuestos a instalar un IDS. De esta decisión dependerá tanto el equipo
que usemos, como el software IDS o la base de datos.
Se decidió colocar varios IDS para obtener un mejor monitoreo de nuestra red y su
ubicación es la siguiente:
En el DMZ: Dado que el DMZ esta mas expuesto a los ataques, es muy útil tener un
dispositivo que controle el trafico del DMZ. Mantener estos servidores en funcionamiento
puede ser crítico para la empresa, y sin embargo tienen un nivel de protección menor que
el resto de la red.
Tras el Firewall: Esta suele ser la ubicación característica, puesto que permite analizar,
todo el trafico que entra en la red. Además, permite verificar que el Firewall funcione como
debe.
En el acceso de usuarios: Esto sirve tanto para identificar ataques a maquinas de
usuario, y para vigilar los ataques que se inicien en el interior de la organización. Igual de
malo es que te ataquen, como que tu organización aparezca como origen de un ataque.
En el acceso de bases de datos: Estos servidores almacenan información estratégica
de nuestra empresa. Su defensa y vigilancia es algo fundamental. Evidentemente, la idea
no es poner un único IDS en el lugar idóneo, sino poner varios en distintos lugares de
forma que se establezcan distintas capas de seguridad.
DISEÑO DE LAS OPCIONES DE SEGURIDAD
Autentificación del usuario
En general, la autentificación de un usuario WLAN puede llevarse a cabo a través de
contraseñas o bien mediante certificados. La selección de un método u otro determina la
infraestructura de la solución.
78
Creación de una política de seguridad
Como objetivo adicional del proyecto se decidió la creación de políticas de seguridad para
enmarcar el sistema. Para ello nos hemos basado en un documento bastante popular
para la creación de políticas de seguridad. Por supuesto, se pueden desechar algunos
puntos e incorporar otros nuevos, es totalmente flexible a cambios y se puede adecuar a
las necesidades de la organización.
Protección del equipo
Limitar acceso físico. Colocar el Snort en un área segura, accesible sólo por el personal
autorizado.
Configurar el sistema para que inicie sólo desde el disco duro.
Control de acceso. Limitar el número de usuarios que pueden ingresar al sistema
utilizando una directiva de contraseñas adecuada.
Instalar únicamente componentes necesarios para el funcionamiento del sistema
operativo y no instalar componentes adicionales.
Deshabilitar protocolos de red no necesarios.
Establecer comunicaciones remotas si son necesarias con protocolos y aplicaciones
seguras.
INSTALACIÓN DE SNORT
Para su instalación, Snort.org tiene una distribución de instalación automática para
Windows, la cual puede ser utilizada de forma sencilla.
Ejecute el programa de instalación (snort-2_1_3.exe) y aparece la ventana de la Licencia
Pública GNU. De click en I agree.
En la ventana Installation Options seleccione I do not plan to log to a database, or I am
planning to log to one of the databases listed above. Presione el botón Next para
continuar.
79
Fig. 4.1. Figura de instalación del snort
Esta opción es la adecuada si desea utilizar el soporte para la base de datos Mysql
utilizada en este tutorial.
Posteriormente aparece la ventana Chose Components. Seleccione los componentes que
desea instalar; de preferencia instale todas las opciones posibles.
Una vez hecho esto, debe de indicar el lugar donde se instalará Snort, la opción
predeterminada es en “C:\Snort”, esta ruta se considera como SnortPath. Presione Install.
Fig. 4.2. Figura de instalación del snort
De esta forma queda instalado Snort en el equipo, ahora es necesario configurar Snort
para que trabaje adecuadamente.
80
CONFIGURACIÓN DE SNORT
Para que Snort comience a trabajar es necesario modificar algunos archivos especiales
ubicados en SnortPath.
Localice el archivo SnortPath\etc\snort.conf y ábralo con algún editor de texto que no
corrompa el formato original como Notepad o Wordpad.
De forma predeterminada Snort.conf contiene la siguiente línea, la cual indica el rango de
monitoreo.
var HOME_NET any
Para monitorear una IP o un segmento específico, inserte el rango de direcciones IP y la
subred de la red del host en snort.conf. Para hacer esto reemplace la configuración de
esta forma:
var HOME_NET IPAddressRange/Subset
Configuración de reglas.
Para que Snort detecte y avise sobre posibles intentos de ataques es necesario que se le
diga un conjunto de reglas a seguir. De forma predeterminada la base de estas reglas
esta en SnortPath\rules.
Para indicar esto, en el archivo snort.conf, reemplace la línea varRULE_PATH por:
var RULE_PATH SnortPath\rules
Configuración de salida
La configuración de la salida de Snort es muy importante ya que define como se presenta
la información al usuario. Existen muchas características sobre la salida de Snort, pero
para esta implementación se utilizará la salida de una alerta en una base de datos.
Para configurarlo se debe localizar la siguiente línea:
# output log_tcpdump; tcpdump.log
Modificarla de la siguiente forma:
81
output alert_fast: alert.ids
No olvide eliminar el comentario (#) al inicio de la línea para evitar que Snort la ignore.
Configuración para la integración con la base de datos.
Para poder utilizar las características de almacenamiento en MySQL es necesario contar
con la siguiente información antes de poder continuar.
• User. Usuario MySQL de la base de datos donde Snort almacenará información.
• Password. Contraseña del usuario.
• Dbname. Nombre de la base de datos en MySQL donde Snort almacenará las
alertas.
• YourHostName. Nombre del host del servidor de base de datos
• Port. Puerto en el cual se establecerá la comunicación Snort – MySQL
• Sensor_name: Nombre del sensor de Snort.
Es posible obtener el nombre del host (hostname) con el comando hostname en el
command prompt (símbolo del sistema).
Recuerda no usar nombres de usuarios, bases de datos y passwords predeterminados
para evitar se comprometido.
Una vez obtenida esta información, localizar en el archivo snort.conf la siguiente línea:
# output database: log, mysql, user=root password=test dbname=db host=localhost
Utilizando su propia información, modifique la línea para que quede de la siguiente forma:
output database: log, mysql, user=User password=Password dbname=Dbname
host=YourHostName port=Port sensor_name=Sensor_name
output database: log, mysql, user=snortusr password=P@zzm0Rd dbname=snortdb
host=localhost port=3006 sensor_name=snort_sensor
Incluir archivos especiales
Dos archivos de configuración deben ser referenciados para que Snort pueda clasificar y
generar alertas adecuadas. Estos son classification.config y reference.config.
82
Para incluirlos se debe localizar la siguiente línea en snort.conf
Include classification.config
Modificar de la siguiente forma:
Include SnortPath\etc\classification.config
De igual forma localizar en snort.conf
Include reference.config
Modificar de la siguiente forma:
Include SnortPath\etc\reference.config
Probar configuración
Para verificar que se configuró de forma adecuada, puede desplazarse a SnorthPath\bin
dentro de una ventana de línea de comandos y ejecutar
snort -v
Este comando ejecuta Snort como sniffer de paquetes con la opción verbose para
desplegar todos los resultados en la pantalla.
Fig. 4.3. Comprobación de configuración
Con el comando snort –W permite determinar el número de adaptadores utilizados y si se
desea especificar, se puede utilizar el comando snort –v –i#, donde # es el número del
adaptador de red (tal cual lo muestra la salida con la opción -W).
83
Para probar la habilidad de registrar en los discos duros, se puede utilizar la opción –l
indicando la ruta adecuada de la siguiente forma:
Snort–l SnortPath\log
Se puede añadir y quitar snort como un servicio de esta manera desde SnortPath:
snort /SERVICE /INSTALL –de-c SnortPath\etc\snort.conf -l SnortPath\log
snort /SERVICE /UNINSTALL
Instalación de MySQL
MySQL es la base de datos relacional que utilizaremos para controlar y almacenar los
registros de las alertas capturas que Snort realice.
Por cuestiones de compatibilidad con diferentes equipos, se sugiere la instalación por
separado del driver ODBC para MySQL. Para este tutorial se utilizó la versión MyODBC
3.51.06.
Para instalarlo únicamente se debe de ejecutar el programa de instalación, en este caso
MyODBC-3.51.06.exe y dar clic en instalar. La instalación será de forma automática.
Usualmente dentro del archivo comprimido de MySQL se encuentra el archivo de
instalación llamado setup.exe. Al momento de ejecutarlo aparece la ventana de
bienvenida, dar clic en Next.
Posteriormente aparece la ventana de información. Si deseas instalar MySQL en otro
directorio diferente de C:\MySQL, se debe de crear un archivo de inicialización, la ventana
de información describe el proceso.
Se debe de aclarar que en algunas versiones como la utilizada, el archivo de
configuración my.ini se genera de forma automática al iniciar el programa pro primera vez,
pero no esta de más aclarar que se puede modificar siguiendo el proceso descrito. Para
continuar presiona el botón Next.
84
Fig. 4.4. Instalación de MySQL
Una vez indicada la ruta en donde se instaló MySQL, la tomaremos como referencia de
MySQLPath.
Configuración
Para empezar a utilizar MySQL es necesario realizar algunas configuraciones iniciales y
para hacerlo debes desplazarte a la carpeta MySQLPath\bin y ejecutar el siguiente
comando.
winmysqladmin
Al hacer esto se abre la consola gráfica de administración de la base de datos y solicita
configuración para la autenticación. Puede utilizar cualquier nombre de usuario y
contraseña que desee y presione el botón OK.
Debe aparecer un icono de semáforo en la parte inferior derecha con la luz verde
encendida, esto indica que el servidor MySQL puede ser utilizado y que arranco de forma
adecuada, en caso de que no sea así y la luz sea de color rojo, es necesario revisar la
configuración del archivo my.ini en %systemroot% (C:\Windows para XP y C:\WinNT para
2000) o desde la consola gráfica de administración en la pestaña my.ini Setup.
El formato del archivo debe ser similar a este:
85
#This File was made using the WinMySQLAdmin 1.4 Tool
#24/08/2004 01:27:16 p.m.
#Uncomment or Add only the keys that you know how works.
#Read the MySQL Manual for instructions
[mysqld]
basedir=C:/mysql
bind-address=localhost
datadir=C:/mysql/data
#language=C:/mysql/share/your language directory
#slow query log#=
#tmpdir#=
port=3306
set-variable=key_buffer=16M
[WinMySQLadmin]
Server=C:/mysql/bin/mysqld-nt.exe
user=root
password=Password
Una vez que MySQL esta funcionando adecuadamente, es necesario configurarlo para
que pueda trabajar con los datos de Snort. Antes es recomendable verificar que en la
pestaña Start Check de la consola de administración,la línea de my.ini tenga un yes como
valor y las líneas siguientes indiquen OK. Esto indica de forma más clara que MySQL
funciona adecuadamente.
86
Fig. 4.5. Configuración del MySQL
El primer paso para configurar MySQL para trabajar con Snort es agregar un poco de
seguridad, con lo cual cambiaremos la contraseña de administrador.
En el directorio MySQLPath\bin debemos ejecutar el siguiente comando:
Mysql –u root –p
E introducimos el password del usuario root, en caso de que no tenga el password se
omite la opción –p. De esta forma accedemos con el cliente al servicio de MySQL.
Para realizar el cambio de contraseña, ya una vez ingresado ejecutamos el siguiente
comando:
mysql>update user set password=PASSWORD('clave') where user='root';
mysql> FLUSH PRIVILEGES;
Nota: Es importante recordar que en MySQL cada comando que ejecutemos debe de
terminar con el símbolo de punto y coma (;).
Ahora es necesario eliminar cuentas y bases de datos predeterminadas para evitar
posibles problemas de seguridad.
Primero indicamos el uso de la base de datos de administración:
use mysql;
Para eliminar usuarios y equipos:
87
delete from user where host = “%”;
delete from user where host = “%”;
Al ejecutar select * from user; únicamente debe existir el usuario root.
Para elminar bases de datos, el comando show databases; debe mostrar las bases de
datos actuales. Únicamente debe de quedar mysql como base de datos, así que para
eliminar las demás ejecutamos:
Drop database BaseDeDatos;
Por último creamos la base de datos para Snort, así como un usuario para que pueda
acceder a ella.
mysql>create database snort;
Desde MySQLPath\bin le indicamos que utilice el formato de creación de la base de datos
de Snort.
C:\mysql -D snort < SnortPath\contrib\create_mysql
Para crear el usuario :
mysql> grant insert,select,update,create,delete on Dbname.* to User@YourHostName identified by 'clave';
Nota: Los datos del usuario debieron ser definidos en el punto 3.2 Instalación de Snort en
el apartado Configuración para la integración con la base de datos.
Para verificar estos permisos:
Show grants for User@YourHostName;
Por último se verifica su funcionamiento junto con Snort, y para esto levantamos el
servicio de Snort ya ingresado en el registro desde el command prompt.
net start snort
Para detenerlo:
net stop snort
Posteriormente nos desplazamos a MySQLPath\bin y tratamos de ingresar con el usuario User e ingresamos la contraseña.
88
mysql –D snort –h YpurHostName –u User -p
Password:
mysql> select * event;
En la tabla event se guardan los índices de los eventos. Si no hay ninguno, se debe
esperar algunos minutos a que Snort identifique un posible ataque. Si finalmente no se ha
registrado nada, habría que repasar los pasos anteriores, verificando que ambos servicios
permanecen activos.
IIS
En este momento ya es posible trabajar con Snort y con MySQL pero de una manera un
poco difícil, por lo cual existen herramientas como ACID que permiten analizar los
resultados de una manera más sencilla y rápida.
ACID es un sistema basado en Web, el cual utiliza PHP como lenguaje de programación,
por lo cual es necesario tener instalado un servidor Web en el equipo que permita la
ejecución de código PHP.
En este tuturial utilizamos IIS 5.1 de Windows pero puede utilizarse cualquier servidor
Web como Radius.
Para instalarlo debemos ir a Panel de Control / Agregar o Quitar Programas / Agregar o
Quitar Componentes de Windows y seleccionar la pestaña Servicios de Internet
Information Server (IIS).Presiona Siguiente para Instalar.
Fig. 4.6. Configuración del IIS
89
Una vez instalado podemos comprobar su adecuada instalación al escribir en algún
navegador de Internet el URL http://localhost. Deberá aparecer una página de bienvenida
de Windows.
ACID
Para la instalación de ACID es necesario únicamente copiar todo el contenido del archivo
comprimido de ACID en un directorio llamado ACID, dentro de la raíz del servidor Web
(para que sea accesible vía Web) y modificar acid_conf.php con los siguientes datos.
$DBlib_path = "SnortPath\adodb";
$alert_dbname = "Dbname";
$alert_host = "YourHostName";
$alert_port = "3306";
$alert_user = "User";
$alert_password = "Password";
$ChartLib_path = "SnortPath\phplot"
ACID crea tablas adicionales para que el usuario pueda archivar alertas importantes. Se
puede indicar otro usuario para acceder a ellas.
/* Archive DB connection parameters */
$archive_dbname = "snort";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "snort";
Se reinician los servicios para prevenir posibles errores y se accede al servidor Web con
la siguiente ruta (localhost si esta en equipo local o dirección IP del servidor):
http://localhost/acid/index.html
90
La primera vez que se accede indica un error pues todavía no crea las nuevas tablas.
Para hacerlo selecciona Select Setup Page y luego Create ACID AG, esto debe de crear
las tablas adicionales y desplegar correctamente la página inicial.
Fig. 4.7. Consola para análisis de instrucción de ACID
Administración de la Red
Hoy en día, las computadoras existentes en cualquier organización se encuentran
formando parte de redes de computadoras, de forma que pueden intercambiar
información. Desde el punto de vista de la administración de sistemas, la mejor forma de
aprovechar esta característica es la creación de un dominio de sistemas, en donde la
información administrativa y de seguridad se encuentra centralizada en uno o varios
servidores, de forma que se convierte en un medio de organizar, controlar y administrar
centralizadamente el acceso a los recursos de la red, facilitando así la labor del
administrador.
Active Directory
El Active Directory almacena información sobre los recursos de la red y provee los
servicios que hacen que sea fácil localizarlos, administrarlos y de usar. El Active Directory
también provee la administración de una forma de organización centralizada,
administración y control de acceso a los recursos de la red.
La información sobre los recursos de la red, como pueden ser usuarios, grupos,
computadoras, impresoras, etc., es almacenado en una base de datos, componente del
91
Active Directory. Estos recursos, llamados Objetos del Directorio Activo, son almacenados
en unas Unidades Organizativas (OU) de forma jerárquica.
El Active Directory también proporciona un mecanismo de búsqueda dentro de la
mencionada jerarquía. Esto se materializa en el Catalogo Global (GC). Esta utilidad del
Active Directory, nos permite buscar, de una manera muy ágil y sencilla, usuarios,
impresoras y de computadoras.
Políticas de grupo
El medio que usa Windows para asignar a los usuarios y equipos permisos, restricciones
y demás son las políticas.
En cada sistema Windows, forme parte o no de un dominio, existe una política local que el
administrador puede editar según su criterio para ajustar el comportamiento de dicho
equipo. Lógicamente, cuando hay muchos equipos que administrar, resultaría incómodo
tener que establecer este comportamiento uno por uno. Por este motivo, las políticas de
grupo se han integrado dentro de la administración del Directorio Activo como una
herramienta de configuración centralizada en dominios Windows.
En concreto, las políticas se especifican mediante objetos de directorio denominados
Objetos de Política de Grupo (Group Policy Objects), o simplemente GPO. Un GPO es un
objeto que incluye como atributos cada una de las políticas también denominadas
directivas que pueden establecerse en Windows para equipos y usuarios. Los GPO se
crean y posteriormente se vinculan a distintos contenedores del Directorio Activo, de
forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los
parámetros de configuración establecidos en dichos GPO. De esta forma, y utilizando sólo
el Directorio Activo, cada equipo y cada usuario del dominio puede recibir una
configuración apropiada según el tipo de tarea que debe desempeñar.
Organización de Políticas
Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que
permite una distribución lógica de las mismas. En este árbol de políticas existen dos
nodos principales, justo por debajo del nodo raíz, que separan las configuraciones para
equipos y para usuarios:
92
La configuración del equipo
Agrupa todos aquellos parámetros de configuración que pueden establecerse a nivel
de equipo. Cuando un GPO afecta a un equipo, todas aquellas políticas de equipo del
GPO que el administrador haya configurado se aplicarán al equipo cada vez que se
inicie.
La configuración de usuario
Agrupan los parámetros de configuración que pueden establecerse a nivel de usuario.
Cuando un GPO afecta a un usuario, todas aquellas políticas de usuario del GPO que
el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión
local (en cualquier equipo del dominio).
Las directivas se aplican en este orden:
1. En primer lugar se aplica el objeto de Directiva de Grupo local único.
2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden
especificado administrativamente.
3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden
especificado administrativamente.
4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas,
de Unidad Organizativa principal a secundaria, y en orden especificado
administrativamente en el nivel de cada Unidad Organizativa.
5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente
sobrescriben las directivas aplicadas con anterioridad cuando las directivas son
incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las
directivas anteriores como las posteriores contribuyen a la directiva efectiva, es
decir, se suman las configuraciones de las distintas directivas asociadas al objeto
en cuestión.
La Directiva de grupo está directamente integrada con las herramientas de administración
de Active Directory mediante el mecanismo de extensión del complemento MMC. Los
complementos de Active Directory definen el ámbito de administración de la Directiva de
grupo. La forma habitual de tener acceso a la Directiva de grupo es utilizar el
complemento Usuarios y equipos de Active Directory para establecer el ámbito de
administración en el dominio y en las unidades organizativas. También puede utilizar el
93
complemento Sitios y servicios de Active Directory para establecer el ámbito de
administración en un sitio. Estas dos herramientas están disponibles en el grupo de
programas Herramientas administrativas; la extensión del complemento Directiva de
grupo está habilitada en ambas herramientas. También puede crear una consola MMC
personalizada, como se describe en la siguiente sección.
La configuración de Directiva de grupo se incluye en objetos de Directiva de grupo que se
vinculan de forma individual a objetos de Active Directory seleccionados, como sitios,
dominios o unidades organizativas.
1. En la consola MMC GPWalkThrough, expanda contoso.com bajo Usuarios y
equipos de Active Directory.
2. Haga clic en el signo más (+) situado junto a Cuentas para expandir el árbol.
3. Haga clic con el botón secundario del mouse en Oficinas centrales y, a
continuación, haga clic en Propiedades.
4. En la página Propiedades de Oficinas centrales, haga clic en la ficha Directiva de
grupo.
5. Haga clic en Nuevo, escriba Directiva de OC y, después, presione ENTRAR.
Aparecerá la página Propiedades de Oficinas centrales.
Los pasos anteriores muestran cómo crear y vincular automáticamente un objeto de
Directiva de grupo a un contenedor de Active Directory. Sin embargo, el objeto de
Directiva de grupo no repercutirá directamente en los usuarios o equipos hasta que se
definan algunas opciones. En la siguiente sección se explica cómo modificar la
configuración del objeto de Directiva de grupo Directiva de OC.
Se pueden crear o vincular varios objetos de Directiva de grupo bajo cualquier contenedor
de Active Directory. Si hay varios objetos de Directiva de grupo asociados a un
contenedor de Active Directory, debe asegurarse de que dichos objetos están
correctamente ordenados. Los objetos de Directiva de grupo de la lista con la prioridad
más alta se procesan en último lugar. (Esto es lo que les otorga una prioridad más alta.)
Los objetos de Directiva de grupo son objetos: pueden tener menús contextuales para
poder ver sus propiedades. Puede utilizar los menús contextuales para obtener y
modificar información general sobre un objeto de Directiva de grupo. Esta información
94
incluye Listas de control de acceso discrecional (DACL) e indica el otro sitio, el otro
dominio o las otras unidades organizativas a las que está vinculado el objeto.
DOCUMENTACION
Características del edificio que ocupa nuestra empresa
El edificio consta de 3 pisos y la organización esta dividida de la siguiente manera:
En el 3 piso tenemos el departamento de finanzas que consta de 8 maquinas conectadas
a un switch de 8 puertos.
Fig. 4.8.1. Tercer piso S1 SWTICH 1
También tenemos la gerencia que consta de 8 maquinas conectadas a un switch de 8
puertos.
Fig. 4.8.2. S2 SWITCH 2
En el departamento de gerencia también contamos con 3 Access point conectados a un
switch de 8 puertos.
95
Fig. 4.8.3. SWITCH3 W
Estas 3 subredes a su vez se conectan a un switch de 24 puertos conectado al rack
interno ubicado en el 2 piso.
En el 2 piso tenemos el departamento de sistemas que consta de 5 maquinas conectadas
a un switch de 8 puertos.
Fig. 4.8.4. SWITCH 4
También en este departamento contamos con 4 Access point conectados a un switch de 8
puertos
Fig. 4.8.5. SWITCH 6
S6
96
Ambas subredes se conectan a un switch de 24 puertos conectado al rack interno ubicado
en el mismo piso.
En el 1 piso tenemos el departamento de ventas que consta de 8 maquinas conectadas a
un switch de 8 puertos.
También tenemos el departamento de mercadotecnia que consta de 5 maquinas
conectadas a un switch de 8 puertos.
Fig. 4.8.6. SWITCH 7
En este departamento también contamos con 3 Access point conectados a un switch de 8
puertos.
Fig. 4.8.7. SWITCH 8 W
Estas subredes están conectados por medio de un switch de 24 puertos al rack interno
ubicado en el 2 piso.
Finalmente en la planta baja tenemos el departamento de atención a clientes que cuenta
con 3 Access point conectados a un switch de 24 puertos.
97
Fig. 4.8.8. SWITCH 9 W
También tenemos el área de proveedores que cuenta con 3 Access point conectados a un
switch de 24 puertos.
Fig. 4.8.9. SWITCH 10 W
Estas áreas están conectadas al rack interno ubicado en el 2 piso.
98
Capitulo
PRUEBAS Y RESULTADOS
Presentación de resultados
Una vez concluida la instalación y reestructuración de nuestra red, se tiene que realizar
otra auditoria, como la realizada en el capitulo anterior en donde se muestran los
resultados de trabajo del nuevo sistema, por lo cual en este capitulo se muestran nada
mas los resultados de dichas pruebas, en los cuales se presenta lo siguiente.
Después de instalar el servidor Radius bajo plataforma Windows, funcionando en todas
nuestras maquinas que se declararon como servidores, en particular se selecciono las
maquinas que estuvieran en una mejor condición y que fueran mas recientes, y que
soportaran, por contar con un disco duro lo suficiente grande para poder cargar la base de
datos que requiere la empresa, en particular se determinaron maquinas Pentium 4 a 1.8
Mhz. Que contaban con sistema operativo Windows 2000, bueno después de determinar
esto, se procedió a cargar la base de datos para lo cual antes se instala MySQL para
posteriormente proceder la instalación de snort.
Pruebas de conexión
Se verificaron que las conexiones a la red inalámbrica, que estuvieran trabajando para
eso se probaron las conexiones de las maquinas a continuación se muestra que se tubo
una conexión satisfactoria, con lo cual se demostró que no tuvimos problemas con
posibles, interferencias físicas que pudieran entorpecer el enlace.
V
99
Fig. 5.1. Pruebas de conexión
Otra forma de averiguar el estado de conexión de la red es haciendo un ping desde el
PC cliente al servidor, para ello iremos a Inicio -> Programas -> Accesorios -> Símbolo del
sistema y escribiremos ping 192.168.110.1 (cambiar la IP por la que designada en el PC
servidor de nuestra red). Se debe de ver esto:
Fig. 5.2. Pruebas de conexión
Análisis de resultados
Análisis de tráfico real
Una vez realizadas las pruebas del prototipo en segmentos de la red, se utilizó el mismo
en un ámbito más cercano al comportamiento real del tráfico de una red. Para esto, se
decidió analizar el tráfico de red generado durante una simulación de ataques en una red
100
de pruebas. En la cual se simulo la estructura real de la red. El evento consiste en
intentos de ataques a la red en tiempo real.
Las pruebas se realizaron durante tres semanas y posteriormente se publican las
capturas del tráfico de red para poder realizar tareas de investigación. Estas capturas son
de particular interés para corregir la estructura o la colocación de los diferentes
dispositivos para la red. Este tráfico conectado directamente a Internet, nos da mucho
más resultados, que si se simularan en software. Es mucho más efectivo para encontrar
gran variedad y cantidad de ataques.
Ejecución de Snort
Una vez obtenidos todos los paquetes correspondientes a sesiones TCP al puerto 80, se
utilizó el IDS Snort para determinar las alertas generadas por el mismo. Se configuró el
programa Snort versión 2.1.0, considerada para este sistema por cuestiones de
disponibilidad, de la empresa. Se eliminaron los preprocesadores irrelevantes. Para
mejorar la funcionalidad del programa Snort. Esta ejecución de Snort resultó en los datos
de la tabla siguiente. Se encontraron más de cuatro millones de paquetes TCP, que
correspondían a 1685621 conexiones. Analizando ese tráfico, Snort generó 100243
alertas, correspondientes a 420 reglas diferentes.
Tabla. 5.1. Tabla de paquetes capturados
Al revisar las alertas generadas, se detectó que 72134 correspondientes a búsquedas
automáticas de puertos de red activos.
Por no corresponder a tráfico del protocolo HTTP, fueron eliminadas de la muestra.
Paquetes capturados
paquetes tcp 4088326
streams tcp 1685621
alertas 100243
alertas diferentes 420
101
Una vez restados las 72134 alertas relacionadas con la búsqueda de puertos de red
activos, se obtuvieron los números de la tabla Sig. Se incluyen las categorías a las que
corresponde cada regla según la taxonomía Snort. Como puede observarse en los datos
obtenidos, Snort generó un número elevado de alertas.
Esta cantidad es realmente excesiva, dificulta enormemente la revisión de las mismas por
parte del operador y, por ende, se torna imposible tomar las medidas necesarias ante los
ataques realmente peligrosos.
Alertas
Alertas 28109
Alertas diferentes 419 Categorías de alerta 8
web-application-activity 6434 web-application-attack 12929
attempted-recon 6310 attempted-user 62 attempted-admin 78 attempted-dos 3 bad-unknown 454 unclassified 1839
Tabla. 5.2. Tabla de Alertas
Modelo de referencia
A qué entradas de estos ficheros debemos estar atentos? Evidentemente, esto depende
de cada sistema y de lo que sea `normal' en él, aunque suelen existir registros que en
cualquier máquina denotan una actividad cuanto menos sospechosa. Esto incluye
ejecuciones fallidas o exitosas de la orden su, peticiones no habituales al servicio SMTP,
conexiones a diferentes puertos rechazadas por, intentos de acceso remotos como súper
usuario, etc.; si en la propia máquina tenemos instalado un cortafuegos independiente del
corporativo, o cualquier otro software de seguridad - también conviene estar atentos a los
logs generados por los mismos, que habitualmente se registran en los ficheros normales
de auditoria del sistema ( syslog, messages...) y que suelen contener información que con
una probabilidad elevada denotan un ataque real.
Sea cual sea nuestro modelo de verificación, en cualquiera de ellos debemos llevar a
cabo inicialmente un paso común: generar una base de datos de referencia contra la que
posteriormente compararemos la información de cada archivo. Por ejemplo, si nos
limitamos a comprobar el tamaño de ciertos ficheros debemos, nada más configurar el
sistema, registrar todos los nombres y tamaños de los ficheros que deseemos, para
102
después comparar la información que periódicamente registraremos en nuestra máquina
con la que hemos almacenado en dicha base de datos; si existen diferencias, podemos
encontrarnos ante un indicio de ataque. Lo mismo sucederá si registramos funciones
resumen: debemos generar un hash inicial de cada archivo contra el que comparar
después la información obtenida en la máquina. Independientemente de los contenidos
que deseemos registrar en esa base de datos inicial, siempre hemos de tener presente
una cosa: si un pirata consigue modificarla de forma no autorizada, habrá burlado por
completo a nuestro sistema de verificación. Así, es vital mantener su integridad; incluso
es recomendable utilizar medios de sólo lectura, como un CD-ROM, o incluso unidades
extraíbles - discos o disquetes - que habitualmente no estarán disponibles en el sistema, y
sólo se utilizarán cuando tengamos que comprobar la integridad de los archivos de la
máquina.
Pruebas de puntos de acceso
Vamos a tratar ahora de definir unas pautas para crear un sistema distribuido de
detección de intrusos, capaz de generar respuestas automáticas, alarmas, o simplemente
logs a distintos niveles de nuestra arquitectura de red, formando lo que se suele
denominar un modelo de seguridad de círculos concéntricos.
En la primera prueba, se ha lanzado el proceso Snort con el fin de mostrar el tráfico:
Grafica. 5.1. Transito de Snort
En la figura anterior, podemos comparar el tráfico entrante con el tráfico procesado por
Snort. En el eje X tenemos el tiempo medido en horas, y en el Y los paquetes en bits per
second. La grafica representa una semana y podemos ver claramente los picos
correspondientes a los días y los valles a las noches. Vemos también que por la noche no
103
hay ningún exceso de carga, pero que durante el día Snort pierde tráfico, y esta pérdida
no es regular, no podemos fijar un máximo de carga en pps para el sistema. Esto quizá lo
veamos mejor en la figura anterior, que compara el tráfico entrante y el descartado. Por
ejemplo, para las horas 100 y 120 (días 5 y 6) en las que entró un volumen de tráfico
similar, Snort no tuvo el mismo comportamiento. Esto es así porque el comportamiento de
un IDS es dinámico en función del tipo de tráfico que entra y del conjunto de reglas.
Grafica. 5.2.1. Comportamiento del tráfico en días en específico
Snort+MySQL
En esta prueba, realizada le hemos añadido a Snort una base de datos, se pudo usar
para almacenar las alertas que se producen. Al tener que convertir sus paquetes en
inserciones a una base de datos SQL, Snort estará ocupado durante más tiempo en otras
tareas que no son la de procesar paquetes, por lo que el descarte será mayor. En la figura
Sig. Vemos la comparación entre tráfico entrante y procesado:
Grafica 5.2.2. Comparación entre tráfico entrante y procesado:
Si echamos un vistazo a la misma gráfica pero de la prueba anterior, parece que ahora la
diferencia entre los paquetes entrantes y los procesados sea menor, la Figura anterior:
104
Gráfica comparativa entre el tráfico entrante y el procesador por Snort en Snort+MySQL.
es mayor, es más, si miramos en la figura anterior, veremos que aparentemente ahora
hay un número menor de paquetes descartados: Gráfica comparativa entre el tráfico
entrante y el descartado en Snort+MySQL.
Gráfica 5.2.3. Comparativa entre el tráfico entrante y el descartado en Snort+MySQL.
La explicación es la siguiente: durante la semana en la que se utilizó Snort+MySQL el
tráfico fue inferior al de la semana anterior en la que no se usó MySQL. Vemos como
durante la prueba de Snort el tráfico llegó a los 13,000 pps y en la prueba de
Snort+MySQL no alcanzó los 9,000 pps, por lo que aunque la configuración Snort es más
rápida, al tener más tráfico que procesar es perfectamente posible que descarte más
paquetes en porcentaje. Como el criterio de evaluación del rendimiento se basa en la
carga y ésta no es igual en ambas pruebas, el cálculo del número medio de paquetes por
segundo procesados nos puede dar una idea del rendimiento de cada configuración.
En la segunda semana (Snort+MySQL) se ha procesado más tráfico en términos relativos
porque ha llegado menos, pero se ha procesado menos en términos absolutos. Como se
esperaba, la configuración con Snort solo es más rápida que con Snort+MySQL.
Por último veamos si existe alguna relación entre el tamaño en memoria del programa y
los paquete
105
5.3 Tabla de Snort+MySQL
La siguiente gráfica muestra la comparativa entre el tamaño del proceso en memoria con
respecto a los paquetes descartados en Snort+MySQL.
Grafica. 5.3. Transito de Snort
En la figura anterior no se aprecia la variación de tamaño del programa cuando aumenta
el número de paquetes descartados, ni tampoco la estabilidad del tamaño cuando no hay
descarte, por lo que no podemos asegurar las afirmaciones del apartado anterior.
Snort
Snort+MySQL
Trafico procesado 84.07% 89.33%
Media de PPS recibidos
5060.45 5060.45 4014.29
Media de PPSs procesados
4254.12 3586.01
106
Capitulo 6
CONCLUSIONES Y TRABAJO A FUTURO
CONCLUSIONES
La detección de intrusos en una red sigue siendo, hoy por hoy, un problema de difícil
solución. Dada la naturaleza del problema, no existe un método probado que permita la
detección infalible. No obstante, el presente documento intenta exponer un nuevo enfoque
sobre la detección de intrusos. .
Como resultado del proyecto hemos obtenido las siguientes conclusiones:
1.- Se ha implantado con éxito un IDS en un entorno PyME, lo cual permite conocer
cuando está siendo atacada.
2.- Los IDS necesitan monitorización dada su imposibilidad de detectar cuando un ataque
ha tenido éxito o no.
3.-Cuando se monitorizan accesos de alta capacidad el rendimiento del hardware puede
llegar a ser un cuello de botella en el análisis de reglas. Para ello es importante medir el
rendimiento de la máquina que permita a los administradores estimar la potencia de la
máquina necesaria para desarrollar la función de IDS dependiendo de la cantidad de
tráfico a monitorizar.
4.- Snort es un software IDS de gran aceptación, potente y gratuito, multiplataforma y de
código abierto. Su mayor inconveniente es que se encuentra en un desarrollo y muchas
de las características avanzadas de que disponen los IDS’s comerciales no se encuentran
todavía implementadas en Snort.
VI
107
La detección de intrusos en sistemas informáticos ofrece, además una cobertura de
ataques que no puede conseguirse mediante la utilización de técnicas de firma de
ataques conocidos. Esto demuestra un buen acercamiento para tareas que anteriormente
se hacían con detección de firmas.
En cualquier caso, en la detección de intrusos no se puede hablar de una única
herramienta que cubra todo el espectro y avise de todas las intrusiones. En el caso del
análisis de logs, no se puede esperar detectar determinados ataques de denegación de
servicio que forzen un comportamiento anómalo del servidor y que no queden registrados.
Así, las herramientas de datos para detección de intrusos suponen un complemento más
que permitirá, en un futuro, reducir el número de falsos positivos y falsos negativos de
forma global al integrarse con otras técnicas de detección de intrusos. Para esto es
necesario desplegar agentes de distintas tecnologías y métodos que informe a un sólo
sistema que agregue el trabajo de todos. Algo que sólo podrá llegar a ser posible si los
fabricantes empiezan a hacer uso de tipos de intercambio de datos como CIDF. De otra
forma será necesario esperar a que éstos apliquen todas las técnicas y las integren en
sus consolas únicas, sin que sea posible integrar distintos detectores de intrusos y de
distinto fabricante en una misma consola.
Por otra parte la autenticación y el acceso a la red 1X constituyen sólo una parte de la
solución. El otro componente significativo es la protección del tráfico de redes
inalámbricas.
Los defectos del cifrado de datos WEP se podrían haber mejorado si la WEP estática
hubiera incluido un método para actualizar automáticamente las claves de cifrado con
regularidad. Las herramientas para descifrar la WEP estática precisan recopilar entre uno
y diez millones de paquetes cifrados con la misma clave. Dado que las claves WEP
estáticas permanecen invariables a menudo durante semanas o meses, suele ser fácil
para un atacante recopilar esa cantidad de datos. Puesto que todos los equipos de una
WLAN comparten la misma clave estática, las transmisiones de datos desde todos los
equipos de la WLAN pueden ayudar a descifrar la clave.
Al utilizar una solución basada en 802.1X, se permite que las claves de cifrado se
modifiquen con frecuencia. Como parte del proceso de autenticación segura 802.1X, el
método de EAP genera una clave de cifrado que es exclusiva de cada cliente. Para evitar
108
los ataques de descifrado WEP, el servidor, forza con regularidad la generación de claves
de cifrado nuevas. Esto permite que se empleen algoritmos de cifrado WEP de una
manera mucho más segura.
Con lo anterior seguramente habrá quedado claro que un correcto esquema de detección
de intrusos basado en red es vital para proteger cualquier sistema; con frecuencia suele
ser el punto más importante, que más ataques detecta, y donde se suelen emplazar la
mayoría de sistemas de detección que existen instalados en entornos reales hoy en día.
No obstante, esta enorme importancia suele degenerar en un error bastante grave: en
muchos entornos los responsables de seguridad, a la hora de trabajar con IDS’s, se
limitan a instalar diversos sensores de detección basados en red en cada segmento a
proteger, creyendo que así son capaces de detectar la mayoría de ataques. Y eso suele
generar una falsa sensación de seguridad grave, ya que a la hora de lanzar ciertos
ataques un pirata puede eludir fácilmente a estos sensores; los sensores de detección en
nuestros segmentos de red son importantes, pero no son esenciales.
Si bien es cierto que no existe ningún sistema de seguridad que nos garantice una
protección del 100%, En toda organización es imperativo, la implementación de
mecanismos de control que permitan filtrar tráfico, detectar paquetes no deseados y
solucionar problemas de seguridad por esto consideramos necesario un IDS con otros
dispositivos para tener una red segura y confiable.
Trabajo Futuro
El estudio de los IDS’s propicia un trabajo continuo, debido a lo cambiante de esta
tecnología, sería importante profundizar más en los detalles técnicos de los IDSs ya
existentes, en particular, de SNORT, puesto que emplea uno de los estándares tratados
en este trabajo, con manejo de componentes distribuidos El tema de la arquitectura y
comunicaciones dentro de los IDS’s permanece completamente abierto a innovaciones y
a nuevas propuestas, como AIRSNORT o los IPS (Sistemas de Prevención de
Intrusiones) seria importante en un futuro implementar un sistema en el cual trabajen en
combinación con estos.
109
Los IDS son una herramienta más que podemos utilizar para mejorar la seguridad de
nuestros sistemas. Los IDS, en especial se basan en búsqueda de patrones, que han de
mantenerse puntualmente actualizados. Las alertas generadas deben de ser
cuidadosamente analizadas para tomar las medidas pertinentes lo antes posible de ahí la
importancia de que los sistemas tengan una tasa baja de falsos positivos esto implica el
desarrollo de sistemas realmente autónomos capaces de aprender de forma automática
(supervisados y no supervisados) y de extraer razonamientos y juicios respecto a los
datos recibidos de su entorno
Como otra opción sería interesante lo siguiente:
Desarrollo de una interfaz gráfica al sistema que permita:
La manipulación de la base de datos para eliminar falsas alarmas y reducir así su tamaño.
Configurar Snort desde el propio interfaz (hacerlo mas funcional) y adecuar su
configuración a las necesidades de la organización.
Estudio de la variación en la carga de Snort en función del tráfico entrante y del conjunto
de firmas: nos puede ayudar a conocer el comportamiento dinámico que tiene Snort.
Un programa inteligente que active o desactive reglas en función de la carga: se puede
hacer una clasificación del conjunto de reglas que dependiendo de la carga y del descarte
de paquetes que se está produciendo en Snort, cargar los más prioritarios o cargarlas
todas.
Proponer nuevos esquemas de seguridad y aplicarlos con esto definir nuevos métodos
de autentificación e identificación de intrusos mas fuertes y confiables tomando en cuenta
lo expuesto en este trabajo.
Autenticación y autorización de la red
Proporcionar un método más sólido de autenticación y autorización, de seguridad de
WLAN para el protocolo 802.1X, un estándar del IEEE para realizar la autenticación del
acceso a una red y, si se desea, administrar las claves utilizadas para proteger el tráfico
también implementarlo en conmutadores de LAN de categoría superior. En general
proponer diversos métodos de autenticación, basados en contraseñas, certificados
digitales o bien otros tipos de credenciales.
110
Podemos decir que las tecnologías de detección de intrusos sí necesita mejorar, sin
embargo, por lo tanto nuestros esfuerzos deben enfocarse en buscar una mejor
capacidad de correlación de eventos, involucrando capacidades de datos e integración
de información de otros controles de seguridad (firewalls, antivirus, aplicaciones
criptográficas, sistemas de cómputo, etc.). La idea de que podemos crear sistemas
altamente complejos que identifiquen ataques y los bloqueen, de manera eficiente,
efectiva y autónoma.
111
APENDICE A
GLOSARIO DE TERMINOS
AP (Access Point - Punto de Acceso Inalámbrico)
Es un dispositivo que interconecta dispositivos de comunicación inalámbrica para formar
una red inalámbrica.
ACID (Atomicity, Consistency, Isolation and Durability - Durabilidad, Aislamiento,
Consistencia e Indivisibilidad)
En bases de datos se denomina ACID a la propiedad de una base de datos para realizar
transacciones seguras.
ADSL (Asymmetric Digital Subscriber Line - Linea Digital de Conexión Asimétrica)
Sistema de transmisión de datos que se implanta sobre las líneas de cobre tradicionales
ampliando su ancho de banda. Es asimétrica, esto significa que el usuario tiene mayor
ancho de banda para recibir datos que para enviarlos.
AES (Advanced Encryption Standard Estándar de Encriptación de Avance)
Es un esquema de cifrado por bloques adoptado como un estándar de cifrado por el
gobierno de los Estados Unidos. Se espera que sea usado en el mundo entero.
Antispywares
Software o programa informático para detectar y eliminar virus y otras aplicaciones
maliciosas. Los proveedores más famosos son McAfee, Panda y Norton.
API (Application Program Interfase - Interfaz para Programas de Aplicación)
Parte del Sistema Operativo que provee a las aplicaciones una interfaz de uso común o
interfaz similar.
ARP (Address Resolution Protocol - Protocolo de Definición de Dirección)
Protocolo que provee una dirección a las estaciones de trabajo en una Red Local.
G
112
ATM (Asynchronous Transfer Mode – Modo de Transferencia Asíncrono)
Consiste en una tecnología que divide la información en paquetes que se transmiten de
forma individual y se procesan de manera asíncrona.
Back-end
Programa de respaldo (programa de soporte en el sistema de computación, como banco
de datos), programa que efectúa las acciones de fondo.
Batch
Método para la transmisión de varios archivos con una sola activación del protocolo de
transmisión.
Bluetooth
Estándar tecnológico para conectar sin cables diferentes aparatos tecnológicos.
Broadcast
Modalidad de transmisión que prevé el envío de un mensaje a todas las computadoras
conectadas en Red. Los routers de Internet son capaces de bloquear el Broadcast global
para impedir el colapso total de la Red.
CDMA (Multiplexación por División de Código)
Es un término genérico que define una interfaz de aire inalámbrica basada en la
tecnología de espectro extendido.
CERT
Equipo de emergencia de Internet, que se encarga de solucionar los problemas de la Red,
como invasión de los sistemas de defensa, información, desautorización de servicio, etc.
Cookies
Pequeños archivos de texto que contienen información sobre el usuario, sus preferencias,
etc. Los servidores Web se sirven de ellos para guardar información del cliente de un sitio.
En una próxima visita del usuario, el servidor Web buscará esta información para recordar
el perfil del usuario.
113
CSMA (Carrier Sense Múltiple Access - Acceso Múltiple por Detección de Portadora).
Protocolo de Red para compartir un canal. Antes de transmitir la estación emisora
comprueba si el canal esta libre.
DACL (Discretional Access Control List -Lista de Control de Acceso Discrecional)
Es un concepto de seguridad informática usado para fomentar la separación de
privilegios. Es una forma de determinar los permisos de acceso apropiados a un
determinado objeto, dependiendo de ciertos aspectos del proceso que hace el
pedido.
DMZ (Demilitarized zone- Zona Desmilitarizada)
Es una Red Local (una subred) que se ubica entre la Red interna de una organización y
una Red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones
desde la Red interna y la externa a la DMZ estén permitidas, mientras que las conexiones
desde la DMZ sólo se permitan a la Red externa.
DNS (Domain Name System - Sistema de Nombres de Dominio)
Método de identificación de una dirección de Internet. Según este método, cada
computadora de la Red se identifica con una dirección unívoca.
DoS (Denial of Service - Ataque de Denegación de Servicio)
Es un ataque a un sistema de computadoras o Red que causa que un servicio o recurso
sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la
conectividad de la Red por el consumo del ancho de banda de la red de la víctima o
sobrecarga de los recursos computacionales del sistema de la víctima.
DSSS (Direct Séquense Spread Spectrum - Espectro Ensanchado por Secuencia Directa)
Es uno de los métodos de modulación en espectro ensanchado para la transmisión de
señales digitales sobre ondas radiofónicas.
EAP (Extesible Authentication Protocol - Protocolo de Autenticación Extensible)
Es una estructura de soporte frecuentemente usada en Redes inalámbricas y conexiones
punto-a-punto.
114
Eavesdropping
Termino inglés que traducido al español significa escuchar secretamente, se ha utilizado
tradicionalmente en ámbitos relacionados con la seguridad, como grabaciones
telefónicas. Se ha convertido en parte habitual de la criptografía y se refiere a ataques de
espías, sobre medios con información cifrada, y no cifrada.
Explot
Es una técnica o un programa que aprovecha un fallo o hueco de seguridad -una
vulnerabilidad - existente en un determinado protocolo de comunicaciones, sistema
operativo, o herramienta informática.
FCC (Federal Communications Commission - Comisión Federal de Comunicaciones)
La comisión determina los rangos de radiación "permitidos" para una computadora
personal; y también los rangos de interferencia de los aparatos eléctricos.
FHSS
(Frequency Hopping Spread Spectrum - Espectro Ensanchado por Salto de Frecuencia)
Es una técnica de modulación en espectro ensanchado en el que la señal se emite sobre
una serie de radiofrecuencias aparentemente aleatorias, saltando de frecuencia en
frecuencia síncronamente con el transmisor. Los receptores no autorizados escucharán
una señal ininteligible.
Firewall
Sistema o programa que se coloca entre una computadora o Red Local e Internet para
garantizar que todas las comunicaciones sean seguras, previniendo de esta manera el
ataque de los hackers y crackers a los puertos del sistema.
FQDN (Fully Qualified Domain Name)
Es un nombre entendible por personas que incluye el nombre de la computadora y el
nombre de dominio asociado a la misma.
FTP (File Transfer Protocol - Protocolo de Transferencia de Archivos)
Permite acceder a archivos que se encuentran en otro equipo de una Red y descargarlos
al equipo propio. Algunos servidores de FTP son privados y otros como los de las
115
universidades son públicos. Mediante este método también se suben las diferentes
páginas webs a Internet.
GNU
Conjunto de programas desarrollados por la Fundación por el Software Libre; es de uso
libre.
Hackers
Se conoce así a la persona que goza alcanzando un conocimiento profundo sobre el
funcionamiento interno de un sistema y accediendo a él sin malas intenciones y sin
causar ningún daño. Desea demostrar su conocimiento informático y detectar
vulnerabilidades en sistemas muy seguros.
Hash
Se refiere a una función o método para generar claves o llaves que representen de
manera casi unívoca a un documento, registro, archivo, etc.
Hosts
Computadora que permite la comunicación con otras computadoras unidas a una Red.
Hot spots
Un hotspot (en inglés ‘punto caliente’) es una zona de cobertura Wi-Fi, en el que un punto
de acceso (Access point) o varios proveen servicios de Red a través de un Proveedor de
Servicios de Internet Inalámbrico (WISP). Este servicio permite mantenerse conectado a
Internet en lugares públicos. Este servicio puede brindarse de manera gratuita o pagando
una suma que depende del proveedor.
HTML (HiperText Markup Language)
Lenguaje en el que se escriben los documentos a los que se accede a través de
navegadores Web. Admite componentes de hipertexto y multimedia.
Hub
Es un equipo de redes que permite conectar entre sí otros equipos y retransmite los
paquetes que recibe desde cualquiera de ellos a todos los demás. Los hubs han dejado
de ser utilizados, debido al gran nivel de colisiones y tráfico de red que propician.
116
ICMP (Internet Control Message Protocol -Protocolo de Control de Mensajes del Internet)
Es una extensión de Internet Protocol. Permite la generación de mensajes de error, de
paquetes de texto y de mensajes informativos que concierne el protocolo IP.
IDS (Intrusión Detection System - Sistema de Detección de Intrusos)
Es un programa usado para detectar accesos desautorizados a unA computadora o a una
Red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automáticas. El IDS suele tener sensores virtuales (por ejemplo, un
sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente
sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden
ser indicio de la presencia de ataques o falsas alarmas.
IEEE
(Institute of Electrical and Electronics Engineers - Instituto de Ingenieros en Electricidad y
Electrónica)
Es la mayor asociación internacional sin fines de lucro formada por profesionales de las
nuevas tecnologías, como ingenieros eléctricos, ingenieros en electrónica, científicos de
la computación e ingenieros en telecomunicación. Favorece la investigación en campos
diversos, como la tecnología aeroespacial, la computación, las comunicaciones y la
tecnología biomédica. Promueve la estandarización de normas.
IETF (Internet Engineering Task Force - Grupo de Trabajo en Ingeniería de Internet)
Es una organización internacional abierta de normalización, que tiene como objetivos el
contribuir a la ingeniería de Internet, actuando en diversas áreas, tales como transporte,
encaminamiento, seguridad.
IP (Internet Protocol - Protocolo de Internet)
Es el conjunto de reglas que regulan la transmisión de paquetes de datos a través de
Internet. La Dirección IP está formada por 32 bits representada por notación decimal
separada por puntos, esta dirección identifica al equipo informático conectado a Internet.
IPSec (Protocol Security – Protocolo de seguridad)
Es una extensión del protocolo IP que añade cifrado fuerte para permitir servicios de
autenticación y, de esta manera, asegurar las comunicaciones a través de dicho
117
protocolo. Inicialmente fue desarrollado para usarse con el nuevo estándar IPv6, aunque
posteriormente se adaptó a IPv4.
IP Spoofing
Intercepción, alteración y retransmisión de una señal o datos cifrados para aparentar una
procedencia legítima, creación de paquetes informáticos TCP/IP usando la dirección IP de
otra persona. Los routers usan la dirección de "destino IP" para trasladar paquetes a
través de Internet, mas ignoran la dirección "IP originaria". Esa dirección solamente la usa
la máquina destinataria cuando responde de nuevo a la originaria.
IrDA (Infrared Data Association)
Organización fundada para crear las normas Internacionales para el hardware y el
software usados en enlaces de comunicación por rayos infrarrojos. La tecnología de rayos
infrarrojos juega un importante papel en las comunicaciones inalámbricas.
ISP (Internet Service Provider - Proveedor de Servicios de Internet)
Es una empresa dedicada a conectar a Internet a los usuarios o a las distintas Redes que
tengan, y dar el mantenimiento necesario para que el acceso funcione correctamente.
También ofrecen servicios relacionados, como alojamiento Web o registro de dominios
entre otros.
LAN (Local Área Network - Red de Área Local)
Red de computadoras interconectadas entre sí por medio de cables en un área reducida,
por ejemplo, una empresa.
Lisp
Lisp es el segundo lenguaje de programación, después de Fortran, de alto nivel. Lisp es
de tipo declarativo.
Login
Hacer Login es realizar los pasos necesarios para identificarse y acceder a servicios
restringidos de un portal. En algunos casos la palabra login se utiliza en substitución de la
palabra usuario o nick.
118
MAC (Médium Access Mechanism - Control de Acceso al Medio)
Es como se conoce a las computadoras Macintosh de Apple. Incompatibles con los PC's
pero con muchas mejores prestaciones para cualquier tipo de trabajo multimedia.
Malware
Cualquier programa, documento o mensaje, susceptible de causar perjuicios a los
usuarios de sistemas informáticos, (virus, gusanos, software espía, etc.)
MTA (Mail Transport Agent - Agente de Transporte de Correos)
Es el servidor de correo (SMTP) en sí y no la parte que usa el usuario para recuperar los
mensajes que éste recibió. El MTA, recibe los mensajes desde otro MTA (relaying), un
MSA (Mail submission Agent) que toma por sí mismo el mensaje electrónico desde un
MUA (Mail user agent), o recibe directamente el correo desde un MUA, actuando como un
MSA. El MTA trabaja en trasfondo, mientras el usuario usualmente interactúa con el MUA.
MUA (Mail User Agent - Cliente de Correo Electrónico)
Es un programa de computadora usado para leer y enviar e-mails. Originalmente, los
clientes de correo electrónico fueron pensados para ser programas simples para leer los
mensajes del correo de usuario, enviados por el agente de reparto de correo (MDA)
conjuntamente con el agente de transferencia de correo (MTA) a un buzón local.
NAT (Network Address Translation)
Es la traducción o conversión de direcciones IP de redes privadas a direcciones IP de
Internet.
NTFS (New Technology File System - Sistema de Archivos de Tecnología Nueva)
Es un sistema de archivos diseñado específicamente para Windows NT, con el objetivo
de crear un sistema de archivos eficiente, robusto y con seguridad incorporada desde su
base. También admite compresión nativa de ficheros, cifrado e incluso transacciones.
Open relay
El ataque de Open Relay consta en usar el MTA como puente para correos, que de otra
manera no podrían llegar a su destino, gracias a que los servidores bloquearon la
dirección IP de origen.
119
Password
Palabra o conjunto de caracteres que se usa para identificar a un usuario autorizado. Es
un contraseña.
PDA (Personal Digital Assistant) - Asistente Personal Digital):
Micro computadora portátil de tamaño muy reducido, aproximadamente del tamaño
de la palma de la mano, y que se maneja con una pantalla táctil que se acciona con un
lápiz.
PHP
Es un lenguaje de programación usado frecuentemente para la creación de contenido
para sitios Web con los cuales se puede programar las páginas html y los codigos de
fuente.
PPP
Proxy Software que permite a varios ordenadores acceder a Internet a través de una
única conexión física. Según lo avanzado que sea, puede permitir acceder a páginas
Web, FTP, correo electrónico, etc. Es frecuente que también incluyan otros servicios,
como cortafuegos.
Rack
Un rack es un bastidor destinado a alojar equipamiento electrónico, informático y de
comunicaciones. Sus medidas están normalizadas para que sea compatible con
equipamiento de cualquier fabricante.
Root
En sistemas operativos del tipo Unix, root es el nombre convencional de la cuenta de
usuario que posee todos los derechos en todos los modos (mono o multi usuario). El
usuario root puede hacer muchas cosas que un usuario común no, tales como cambiar el
dueño de archivos y enlazar a puertos de numeración pequeña. No es recomendable
utilizar el usuario root para una simple sesión de uso habitual, ya que pone en riesgo el
sistema al garantizar acceso privilegiado a cada programa en ejecución.
120
RPC (Remote Procedure Call - Llamada a Procedimiento Remoto)
Es un protocolo que permite a un programa ejecutar el código en otra máquina remota sin
tener que preocuparse por las comunicaciones entre ambos. El protocolo es un gran
avance sobre los sockets usados hasta el momento. De esta manera el programador no
tenía que estar pendiente de las comunicaciones, estando éstas encapsuladas dentro de
las RPC.
Script Kiddies
Un Script Kiddie es un cracker inexperto que usa programas, scripts, exploits, troyanos,
nukes, etc. creados por terceros para romper la seguridad de un sistema. Suele presumir
de ser un hacker o cracker cuando en realidad no posee un grado relevante de
conocimientos. Forma parte de los grupos de la sociedad
Shellcode
Una shellcode es un conjunto de órdenes programadas generalmente en lenguaje
ensamblador que se inyectan en la pila para conseguir que la máquina en la que reside se
ejecute la operación que se haya programado.
SMTP (Simple Mail Transfer Protocol - Protocolo Simple de Transferencia de Correo)
Protocolo que se usa para enviar Correo Electrónico entre servidores la mayoría de
sistemas de correo electrónico que envían correo a través de Internet emplean PSTC
para enviar mensajes entre servidores, luego, los mensajes los recoge un cliente
(programa) de correo electrónico mediante el protocolo POP o IMAP
Sniffer
Programa que monitorea y analiza el tráfico de una Red para detectar problemas o
cuellos de botella. Su objetivo es mantener la eficiencia del tráfico de datos. Pero también
puede ser usado ilegítimamente para capturar datos en una red.
SLIP (Serial Line Internet Protocol - Linea Serial para Protocolos de Internet)
Es un modo para conectarse directamente a Internet. Estableciendo una conexión SLIP,
tu computadora se vuelve un host por toda la duración de la conexión.
121
SNMP (Simple Network Management Protocol - Protocolo Simple para Administración de
Redes)
Es un protocolo de la capa de aplicación que facilita el intercambio de información de
administración entre dispositivos de Red. Es parte de la suite de protocolos TCP/IP.
SNMP permite a los administradores supervisar el desempeño de la red, buscar y resolver
sus problemas, y planear su crecimiento.
SPAM
Correo electrónico no solicitado. Se lo considera poco ético, ya que el receptor paga por
estar conectado a Internet.
Spammer
Programa que permite el envío masivo de mensajes de correo electrónico con contenido
publicitario y la consiguiente recepción masiva de éstos. Puede ser también empleado
para el envío masivo de amenazas tales como gusanos y troyanos.
SS (Spread Spectrum - Espectro Esparcido)
Es una técnica por la cual la señal transmitida se ensancha a lo largo de una banda muy
ancha de frecuencias, mucho más amplia, de hecho, que el ancho de banda mínimo
requerido para transmitir la información que se quiere enviar
SSID (Service Set Identifier - Identificador Fijo del Servicio)
Es un código incluido en todos los paquetes de una Red inalámbrica (Wi-Fi) para
identificarlos como parte de esa Red. El código consiste en un máximo de 32 caracteres
alfanuméricos. Todos los dispositivos inalámbricos que intentan comunicarse entre sí
deben compartir el mismo SSID.
SSL (Security Sockets Layer - Nivel de Seguridad en la Conexión.)
Protocolo diseñado por Netscape que posibilita la transmisión segura de información en la
Red de Internet.
SQL (Structured Query Language - Lenguaje de Consultas Estructurado)
Lenguaje de programación que se utiliza para recuperar y actualizar la información
contenida en una base de datos
122
Switch
Es un dispositivo electrónico de interconexión de Redes de computadoras que opera en la
capa 2 del modelo OSI. Un conmutador interconecta dos o más segmentos de Red,
funcionando de manera similar a los puentes, pasando datos de un segmento a otro, de
acuerdo con la dirección MAC de destino de los datagramas en la Red.
Spyware
Se trata de un determinado tipo de software que se instala en los ordenadores de los
usuarios sin el conocimiento ni el consentimiento de estos, y recopilan información o
habilitan acciones que podrían exponer a la máquina a algún tipo de ataque. Suelen llegar
a través de correo electrónico o escondido en los archivos que se descargan de Internet.
Tcpdump
Tcpdump es una herramienta de diagnóstico para redes TCP/IP basada en salida textual,
que monitoriza los paquetes que entran y salen de una interfaz de Red, y los presenta en
formato legible, comúnmente denominado sniffer.
TCP/IP
Protocolo de comunicación que es la base de Internet. Gracias a este protocolo la Red no
es centralizada y cuando una computadora llama a otra elige una dirección aleatoria que
tenderá a ser la óptima.
TKIP (Temporal Key Integrity Protocol - Protocolo Temporal para Integridad de Clave)
TKIP es una solución temporal que soluciona el problema de reutilización de clave de
WEP. El proceso de TKIP comienza con una clave temporal de 128 bits que es
compartida entre los clientes y los access points. TKIP combina la clave temporal con la
dirección MAC del cliente. Luego agrega un vector de inicialización relativamente largo,
de 16 octetos, para producir la clave que cifrará los datos.
UDP (User Datagram Protocol - Protocolo de Datagrama del Usuario)
Uno de los métodos empleados por un pirata informático para la exploración de puertos
(generalmente el puerto 80) en la computadora víctima que busca los puertos que estén
abiertos, enviando paquetes UDP para infiltrarla.
123
UMTS (Universal Mobile Telecommunications System - Sistema Universal de
Telecomunicaciones Móviles)
Sistema multimedia de banda ancha que soportará todo lo que actualmente puede ofrecer
la tecnología con o sin hilos, facilitando información, imágenes y gráficos directamente a
los usuarios.
URL (Uniform Resource Locator - Localizador Uniforme de Recursos)
Dirección mundial de documentos y otros recursos en Internet, la primera parte de la
dirección indica el protocolo que utiliza y la segunda especifica la dirección IP o el nombre
del dominio en donde está localizado el recurso.
VPN (Virtual Private Network - Red Privada Virtual)
Red de comunicación privada utilizada por la Red publica, utiliza protocolo de eficiencia y
seguridad de información para guardar la privacidad de la información.
Wardriving
Se llama wardriving a la búsqueda de redes inalámbricas Wi-Fi desde un vehículo en
movimiento. Implica usar un coche o camioneta y una computadora equipada con Wi-Fi,
como un portátil o una PDA, para detectar las Redes. Esta actividad es parecida al uso de
un escáner para radio.
WECA (Wireless Ethernet Compatibility Alliance - Alianza de Compatibilidad para Internet
Inalámbrico)
Es una empresa creada en 1999 con el fin de fomentar la compatibilidad entre tecnologías
Ethernet inalámbricas bajo la norma 802.11 del IEEE. WECA cambió de nombre en 2003,
pasando a denominarse Wi-Fi Alliance.
WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cable)
Es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para Redes
Wireless que permite cifrar la información que se transmite.
Wi-Fi (Wireless Fidelity - Fidelidad Inalámbrica)
Estándar para el funcionamiento de Redes inalámbricas. Se denomina con este término a
cualquier elemento con capacidad para soportar comunicaciones inalámbricas.
124
WLAN (Wireless Local Área Network - Red de Área Local Inalámbrica)
Es un sistema de comunicación de datos inalámbrico flexible muy utilizado como
alternativa a las Redes LAN cableadas o como extensión de éstas. Utiliza tecnología de
radiofrecuencia que permite mayor movilidad a los usuarios al minimizar las conexiones
cableadas.
WPA (Wi-Fi Protected Access - Acceso Protegido Wi-Fi)
Es un sistema para proteger las Redes inalámbricas (Wi-Fi); creado para corregir las
deficiencias del sistema previo WEP. Los investigadores han encontrado varias
debilidades en el algoritmo WEP (tales como la reutilización del vector de inicialización
(IV), del cual se derivan ataques estadísticos que permiten recuperar la clave WEP, entre
otros). WPA implementa la mayoría del estándar IEEE 802.11i, y fue creado como una
medida intermedia para ocupar el lugar de WEP mientras 802.11i era finalizado.
125
APENDICE B
REFERENCIAS http://www.coit.es/publicac/publbit/bit138/3com.pdf
http://www.coit.es/pub/ficheros/informewificoit_definitivo_b5d5f440.pdf
http://www.enterate.unam.mx/Articulos/2004/agosto/redes.htm
http://www.pc-news.com/detalle.asp?sid=&id=4&Ida=1291
http://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_3245.html
www.agapea.com/Fundamentos-y-aplicaciones-de-seguridad-en-redes-wlan-
n604653i.htm
http://es.wikipedia.org/wiki/Proxy
http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica
http://www.wikilearning.com/en_resumen-wkccp-431-25.htm
LIBROS
COMUNICACIONES INALÁMBRICAS
AUTOR: DAVID ROLDÁN
ALFAOMEGA RA-MA
R
126
PAGINAS DE INTERNET
http://www.snort.org
http://windump.polito.it/misc/bin/
• Snort 2.1.3 *
http://www.snort.org/dl/binaries/win32/old/
• Mysql 4.0.20d **
http://dev.mysql.com/downloads/mysql/4.0.html
• Acid 0.9.6b23
http://www.andrew.cmu.edu/user/rdanyliw/snort/snortacid.html
• Internet Information Server IIS 5.1 (Disco de instalación de Windows) • PHP 4.3.8 *
http://mx.php.net/get/php-4.3.8-installer.exe/from/a/mirror
• MyODBC 3.51.06 *
http://mirror.etf.bg.ac.yu/mysql/Downloads/MyODBC3/
• ADODB 4.52 para PHP
http://prdownloads.sourceforge.net/adodb/adodb452.zip?download
• PHPlot 4.4.6
http://sourceforge.net/project/showfiles.php?group_id=14653
• jpGraph 1.16
http://www.aditus.nu/jpgraph/jpdownload.php