Proceso de análisis

Siguiente: Capacidades y limitaciones Arriba: Sistemas de Detección de Intrusiones Previo: Modelo de funcionamiento

4 Complementos y casos especiales

4.1 Escáner de vulnerabilidades

4.1.1 Proceso de análisis

4.1.2 Tipos de análisis de vulnerabilidades

4.1.2.1 Análisis de vulnerabilidades basado en máquina

4.1.2.2 Análisis de vulnerabilidades basado en red

4.1.2.3 "Password cracking"

4.1.2.4 Ventajas e inconvenientes

4.2 "Honeypot", "Honeynet" y "Padded Cell"

4.2.1 "Honeypot"

4.2.1.1 Ventajas e inconvenientes

4.2.2 "Honeynet"

4.2.2.1 GenI

4.2.2.2 GenII

4.2.2.3 "Honeynet" virtual

4.2.2.4 Ventajas e inconvenientes

4.2.3 "Padded Cell"

4.2.3.1 Ventajas e inconvenientes

4.3 Verificador de integridad de ficheros

4.4 Cortafuegos: Prevención de Intrusiones

4.4.1 IDS basado en red, en modo "in-line"

4.4.2 Conmutador de nivel siete

4.4.3 Cortafuegos/IDS de aplicación

4.4.4 Conmutador híbrido

4.4.5 Aplicación engañosa

4.5 Referencias

________________________________________

Capítulo 4

Complementos y casos especiales

La gran cantidad de formas de abordar el problema de la detección de intrusiones, ha dado lugar a numerosas y variadas propuestas y soluciones. Algunas herramientas de seguridad pueden ayudar a complementar la tarea de los detectores de intrusiones, como los comprobadores de integridad de ficheros en los detectores de intrusiones basados en máquina. Por otro lado, algunos sistemas de seguridad ofrecen soluciones tan similares, que muchos los consideran casos especiales de detectores de intrusiones.

En este capítulo se describirán algunos mecanismos y herramientas de seguridad que por sus características, poseen, de una u otra forma, una estrecha relación con la detección de intrusiones.

4.1 Escáner de vulnerabilidades

Un escáner de vulnerabilidades ("vulnerability scanner" o "assesment system") es una herramienta que realiza un conjunto de pruebas (generalmente ataques) para determinar si una red o un "host" tiene fallos de seguridad.

Este tipo de sistemas se podría considerar como un caso especial de detectores de intrusiones. Ya en apartado sobre información recogida de objetivos del capítulo 2 "Definiciones", se comentaba la diferencia entre un enfoque estático y uno dinámico. Un escáner de vulnerabilidades es un ejemplo de enfoque estático. Un análisis estático, o basado en intervalo, no trabaja de forma continua (un vídeo), sino en intervalos de tiempo (una imagen).

Es fácil darse cuenta de las debilidades que tiene un sistema como este. Sólo puede detectar aquellas vulnerabilidades contenidas en su base de datos. Además, sólo es capaz de identificar fallos de seguridad en los intervalos en que se ejecuta. No obstante, ello no le impide ser de inestimable ayuda a la hora de mejorar la seguridad de un sistema.

4.1.1 Proceso de análisis

A continuación se describe el proceso general de funcionamiento de un escáner de vulnerabilidades:

• Se muestrea un conjunto específico de atributos de sistema.

• Los resultados del muestreo se almacenan en un recipiente de datos seguro.

• Los resultados se organizan y comparan con al menos un conjunto de referencia de datos (este conjunto puede una plantilla de "configuración ideal" generada manualmente, o bien ser una imagen del estado del sistema hecha con anterioridad)

• Se genera un informe con las diferencias entre ambos conjuntos de datos.

Algunos programas comerciales optimizan el proceso mediante:

• Ejecución de motores de de comparación en paralelo.

• Utilización de métodos criptográficos para detectar cambios en los objetos monitorizados.

4.1.2 Tipos de análisis de vulnerabilidades

Existen dos formas de clasificar los análisis de vulnerabilidades; bien mediante la localización desde la que se obtienen datos o bien mediante el nivel de confianza del que hace uso el analizador de vulnerabilidades. Según el primer método, los análisis pueden ser basados en máquina o basados en red. Según el segundo método, los análisis pueden ser con acreditaciones ("credentialed") o sin acreditaciones ("non credentialed") [1]. Estos últimos análisis se refieren al hecho de utilizar credenciales de sistema, tales como contraseñas, durante el proceso de análisis [2]. La Figura 4 1 ilustra varias formas de clasificar estas herramientas de seguridad.

Figura 4 1 - Clasificación de analizadores de vulnerabilidades

A continuación se utilizará el primer enfoque descrito (basado en el origen de los datos), como método de clasificación para la descripción de estos sistemas.

4.1.2.1 Análisis de vulnerabilidades basado en máquina

Este tipo de análisis utiliza fue el primero en utilizarse en la evaluación de vulnerabilidades.

...