Proceso de análisis

Siguiente: Capacidades y limitaciones Arriba: Sistemas de Detección de Intrusiones Previo: Modelo de funcionamiento

4 Complementos y casos especiales

4.1 Escáner de vulnerabilidades

4.1.1 Proceso de análisis

4.1.2 Tipos de análisis de vulnerabilidades

4.1.2.1 Análisis de vulnerabilidades basado en máquina

4.1.2.2 Análisis de vulnerabilidades basado en red

4.1.2.3 "Password cracking"

4.1.2.4 Ventajas e inconvenientes

4.2 "Honeypot", "Honeynet" y "Padded Cell"

4.2.1 "Honeypot"

4.2.1.1 Ventajas e inconvenientes

4.2.2 "Honeynet"

4.2.2.1 GenI

4.2.2.2 GenII

4.2.2.3 "Honeynet" virtual

4.2.2.4 Ventajas e inconvenientes

4.2.3 "Padded Cell"

4.2.3.1 Ventajas e inconvenientes

4.3 Verificador de integridad de ficheros

4.4 Cortafuegos: Prevención de Intrusiones

4.4.1 IDS basado en red, en modo "in-line"

4.4.2 Conmutador de nivel siete

4.4.3 Cortafuegos/IDS de aplicación

4.4.4 Conmutador híbrido

4.4.5 Aplicación engañosa

4.5 Referencias

________________________________________

Capítulo 4

Complementos y casos especiales

La gran cantidad de formas de abordar el problema de la detección de intrusiones, ha dado lugar a numerosas y variadas propuestas y soluciones. Algunas herramientas de seguridad pueden ayudar a complementar la tarea de los detectores de intrusiones, como los comprobadores de integridad de ficheros en los detectores de intrusiones basados en máquina. Por otro lado, algunos sistemas de seguridad ofrecen soluciones tan similares, que muchos los consideran casos especiales de detectores de intrusiones.

En este capítulo se describirán algunos mecanismos y herramientas de seguridad que por sus características, poseen, de una u otra forma, una estrecha relación con la detección de intrusiones.

4.1 Escáner de vulnerabilidades

Un escáner de vulnerabilidades ("vulnerability scanner" o "assesment system") es una herramienta que realiza un conjunto de pruebas (generalmente ataques) para determinar si una red o un "host" tiene fallos de seguridad.

Este tipo de sistemas se podría considerar como un caso especial de detectores de intrusiones. Ya en apartado sobre información recogida de objetivos del capítulo 2 "Definiciones", se comentaba la diferencia entre un enfoque estático y uno dinámico. Un escáner de vulnerabilidades es un ejemplo de enfoque estático. Un análisis estático, o basado en intervalo, no trabaja de forma continua (un vídeo), sino en intervalos de tiempo (una imagen).

Es fácil darse cuenta de las debilidades que tiene un sistema como este. Sólo puede detectar aquellas vulnerabilidades contenidas en su base de datos. Además, sólo es capaz de identificar fallos de seguridad en los intervalos en que se ejecuta. No obstante, ello no le impide ser de inestimable ayuda a la hora de mejorar la seguridad de un sistema.

4.1.1 Proceso de análisis

A continuación se describe el proceso general de funcionamiento de un escáner de vulnerabilidades:

• Se muestrea un conjunto específico de atributos de sistema.

• Los resultados del muestreo se almacenan en un recipiente de datos seguro.

• Los resultados se organizan y comparan con al menos un conjunto de referencia de datos (este conjunto puede una plantilla de "configuración ideal" generada manualmente, o bien ser una imagen del estado del sistema hecha con anterioridad)

• Se genera un informe con las diferencias entre ambos conjuntos de datos.

Algunos programas comerciales optimizan el proceso mediante:

• Ejecución de motores de de comparación en paralelo.

• Utilización de métodos criptográficos para detectar cambios en los objetos monitorizados.

4.1.2 Tipos de análisis de vulnerabilidades

Existen dos formas de clasificar los análisis de vulnerabilidades; bien mediante la localización desde la que se obtienen datos o bien mediante el nivel de confianza del que hace uso el analizador de vulnerabilidades. Según el primer método, los análisis pueden ser basados en máquina o basados en red. Según el segundo método, los análisis pueden ser con acreditaciones ("credentialed") o sin acreditaciones ("non credentialed") [1]. Estos últimos análisis se refieren al hecho de utilizar credenciales de sistema, tales como contraseñas, durante el proceso de análisis [2]. La Figura 4 1 ilustra varias formas de clasificar estas herramientas de seguridad.

Figura 4 1 - Clasificación de analizadores de vulnerabilidades

A continuación se utilizará el primer enfoque descrito (basado en el origen de los datos), como método de clasificación para la descripción de estos sistemas.

4.1.2.1 Análisis de vulnerabilidades basado en máquina

Este tipo de análisis utiliza fue el primero en utilizarse en la evaluación de vulnerabilidades. Utiliza elementos tales como ajustes de configuración, contenidos de ficheros, u otro tipo de información de un sistema para la detección de vulnerabilidades. Esta información se puede obtener básicamente mediante consultas al sistema, o a través de la revisión de diferentes atributos del sistema.

En este caso se asume que el analizador de vulnerabilidades tiene acceso autorizado al sistema, por lo que también recibe el nombre de análisis con acreditaciones. También se denomina evaluación pasiva.

Bajo sistemas UNIX, la información es obtenida a nivel de host o de dispositivo. No obstante, los sistemas Windows permiten realizar muchas llamadas nativas de forma local o remota, según las credenciales utilizadas. La correspondencia entre sistemas basados en máquina y autenticados no siempre se cumple.

Las vulnerabilidades que se suelen encontrar mediante la evaluación basada en máquina, suelen ser estar relacionadas con ataques de escalamiento de privilegios. Estos ataques persiguen obtener permisos de root o "superusuario" en sistemas UNIX, o administrador en sistemas Windows.

Los motores de análisis de vulnerabilidades basados en máquina están muy relacionados con el sistema operativo que evalúan, lo cual hace su mantenimiento costoso y complica su administración en entornos heterogéneos. Las credenciales utilizadas deben ser protegidas convenientemente, así como la información accedida mediante las mismas, para evitar que sean objeto de ataques.

Un ejemplo de analizador de vulnerabilidades basado en máquina es el "Cerberus Internet Scanner (CIS)" [3]. Es un escáner gratuito desarrollado por Cerberus Information Security, Ltd. Es un programa simple pero eficaz, que comprueba una completa lista de vulnerabilidades conocidas para sistemas Windows, mostrando en poco tiempo los fallos existentes.

4.1.2.2 Análisis de vulnerabilidades basado en red

Los análisis de vulnerabilidades basados en red han aparecido hace algunos años, y se han ido haciendo cada vez más populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo. Realizan conjuntos de ataques y registran las respuestas obtenidas. No se debe confundir los analizadores de vulnerabilidades basados en red con los sistemas de detección de intrusiones. Aunque un analizador de estas características puede ser muy similar a un detector de intrusiones, no representa una solución tan completa.

Esta forma de análisis normalmente no tiene requerimientos de autenticación; los ataques se realizan sin tener necesariamente permiso de acceso al sistema. Por esta razón, este tipo de enfoque también suele denominar sin acreditaciones. Además, el análisis se realiza atacando o sondeando efectivamente al objetivo, por lo que también recibe el nombre de evaluación activa.

La correlación descrita entre los enfoques basados en máquina y los autenticados, también se aplica a los basados en red y los no autenticados.

Se suelen utilizar dos técnicas, descritas a continuación, para la evaluación de vulnerabilidades basadas en red:

• Prueba por explotación ("Testing by exploit"): Esta técnica consiste en lanzar ataques reales contra el objetivo. Estos ataques están programados normalmente mediante guiones de comandos. En vez de aprovechar la vulnerabilidad para acceder al sistema, se devuelve un indicador que muestra si se ha tenido éxito o no. Obviamente, este tipo de técnicas es bastante agresivo, sobretodo cuando se prueban ataques de denegación de servicio. No obstante, no sólo ese tipo de ataques puede provocar la caída del sistema.

• Métodos de inferencia: El sistema no explota vulnerabilidades, sino que busca indicios que indiquen que se han realizado ataques. Es decir, busca resultados de posibles ataques en el objetivo. Este método es menos agresivo que el anterior. No obstante, los resultados obtenidos son menos exactos que los que utilizan "exploits" [1]. Ejemplos

...