Administración de Sistemas Operativos
|
|
|
|
Administración de Sistemas Operativos
| ||
| Inicio ASO | Aula Virtual |
En la tabla 1, se realiza un estudio del uso de los dos tipos de IDS (NIDS y HIDS) en las posibles ubicaciones donde se pueden utilizar.
| Tabla 1. Lugares de utilización de los sistemas HIDS y NIDS | ||||
| Ubicación | HIDS | NIDS | Objetivo | |
|---|---|---|---|---|
| Cortafuegos/DMZ | En el cortafuegos y en todos los servidores de la DMZ (web, ftp, correo, etc.) | Entre internet y el cortafuegos; junto a recursos clave; en cada segmento de la red DMZ | Protección de los servidores y aplicaciones Web y monitorización del perímetro | |
| Servidores de aplicaciones | En servidores clave y en las máquinas en las que confían | Junto a los servidores, para defenderlos de ataques externos e internos | Defensa eficaz de los servidores clave contra ataques internos y externos. | |
| Granjas de servidores | En servidores clave y en las máquinas en las que confían | En subredes clave para proteger transacciones. | Protección de clusters de servidores con datos críticos dentro de la misma subred | |
| Servidores de base de datos | En servidores clave y en las máquinas en las que confían | En la misma subred | Monitorización de empleados, socios y de grupos de acceso remoto autorizados, con el fin de proteger información sensible | |
El IDS posee una idea estereotipada de lo que es el comportamiento “normal” del sistema. Tomándola como referencia, examina continuamente la actividad que está teniendo lugar, de manera que cualquier desviación de la norma se considera como sospechosa. El IDS busca anomalías en patrones de uso de usuarios o grupos de usuarios, en aplicaciones y programas y en el consumo de recursos.
Por ejemplo, si un usuario normalmente inicia una sesión 2 ó 3 veces al día, 30 inicios de sesión consecutivos pueden considerarse como sospechosos. Si un usuario nunca se conecta fuera del horario de oficina una conexión a las 2:30 de la mañana hará sospechar igualmente. Si un usuario nunca accede a la base de datos empresarial ni compila código fuente, puede resultar extraño que un día lo haga.
Igualmente, existen aplicaciones del sistema independientes del usuario que poseen unos patrones de uso bien definidos, por lo que si se detectan cambios en ellos, pueden indicar la acción de un atacante.
Por otro lado, en cuanto al uso de recursos, si la red nunca experimenta una sobrecarga mayor del 50% de su capacidad de tráfico, un tráfico inusualmente grande alertará al IDS. Igualmente ocurrirá con el uso de disco, CPU, base de datos u otros recursos de la empresa, que al reflejar un uso fuera de lo normal podrían indicar la realización de un ataque.
En punto fuerte de la detección de anomalías estriba en la capacidad de detectar ataques nuevos totalmente desconocidos. Por desgracia, muchos ataques no difieren de los patrones de uso normales, por lo que pasarían desapercibidos.
En este caso, el IDS posee unos patrones conocidos de uso incorrecto o no autorizado, también conocidos como firmas (signatures), basadas en ataques o penetraciones pasadas. Todas las herramientas de hacking dejan una huella en el servidor, ya sea en el sistema de ficheros, en los registros de actividad o de otra forma, que suele ser característica de cada herramienta o de cada categoría de ataque. Por lo tanto, se trata de buscar la presencia de estas firmas en el tráfico de la red o en las peticiones enviadas a los hosts o en los registros.
La detección de uso incorrecto suele implantarse por medio de sistemas expertos, razonamiento basado en modelos, análisis de transición de estados o redes neuronales. Se trata de un campo interesante de investigación que en los últimos años está atrayendo la atención sobre distintas arquitecturas y enfoques, como la utilización de sistemas multiagentes inteligentes para la detección de intrusos.
El mayor inconveniente de la detección de firmas es que no permite detectar ataques novedosos y además necesitan ser actualizados constantemente cada vez que se descubre un nuevo tipo de ataque.
Ver ficha
Comprar