Monografias.com > Computación > Programación
Descargar Imprimir Comentar Ver trabajos relacionados

Consideraciones para la instalación de un sistema de detección de intrusiones en tiempo real




Enviado por Pablo Turmero

    Monografias.com

    Objetivo
    Dar a conocer a los participantes de la I Jornada Nacional de Seguridad Informática las herramientas de detección de intrusos en tiempo real, como un elemento que permite reforzar la seguridad sea en una DMZ (con salida a Internet) o en la red corporativa.

    Monografias.com

    Introducción
    La detección de intrusos a tiempo de personal no autorizado a las redes de computadores es un problema que cada vez está tomando más fuerza. Aunque existen medios para realizar este tipo de protecciones, no son suficientes. Esto debido a las debilidades inherentes a dichos controles.

    Monografias.com

    Introducción

    Monografias.com

    Introducción
    Por esto, se hace necesario un mecanismo que sea capaz de verificar los sucesos que pasan al interior de las redes y las máquinas, para así dar aviso oportuno a los administradores respectivos en caso de presentarse una intrusión.

    Monografias.com

    Generalidades sobre los IDS
    Se instala en una máquina con una o más interfaces de red, la cual se encargará de revisar todo el tráfico que pasa a través del segmento de red y de acuerdo con un conjunto de reglas que tiene programado, toma acciones al respecto.
    Se instala en una máquina y en esta se monitorea todas y cada una de las actividades que ocurran, tales como la creación de procesos, la modificación, creación y acceso de archivos especiales, entre otros.
    Pueden cumplir dos funciones:

    Monografias.com

    Generalidades sobre los IDS

    Monografias.com

    Generalidades sobre los IDS
    Los IDS instalados para vigilar segmentos de red son capaces de detectar ataques que vengan contenidos en los paquetes IP abarcando todos los protocolos de los niveles superiores, tales como TCP, UDP e ICMP.
    Los IDS instalados para vigilar máquinas se encargan de verificar la mayoría de actividades que realiza el sistema operativo al interior de la máquina, tales como uso de CPU, uso de correo electrónico, entre otros.

    Monografias.com

    Tipos de ataques y cómo reacciona el IDS ante ellos
    TCP Connect() scanning: Este se realiza utilizando la llamada al sistema connect(), la cual realiza una conexión a un servidor usando los tres pasos básicos.
    Para los IDS de red tenemos:
    Portscan: Este tipo de ataques son sumamente importantes de detener, pues normalmente es la primera técnica que aplica un cracker para intentar realizar una intrusión a una máquina con base en los servicios que esta tenga abiertos. Tenemos los siguientes, entre otros:

    Monografias.com

    Tipos de ataques y cómo reacciona el IDS ante ellos
    TCP SYN scanning: Se basa en el envío de paquetes TCP con el bit de SYN puesto y la espera de otro con SYN y ACK puesto, indicando que el puerto está abierto.
    TCP FIN scanning: Se basa en el envío de un paquete TCP con el bit de FIN puesto, esperando otro con el bit de RST puesto, indicando que el puerto está abierto.
    FTP Bounce attack scanning: Se basa en el uso de comando PORT del RFC del FTP, el cual hace portscan tipo TCP SYN scanning al interior de la red.

    Monografias.com

    Tipos de ataques y cómo reacciona el IDS ante ellos
    UDP Scanning: Se basa en el envío de un paquete UDP a un puerto, esperando un paquete ICMP_PORT_UNREACH, indicando que el puerto está cerrado.
    Ataques a nivel de aplicación: Ya que todos los firewalls sólo verifican encabezados IP, se hace necesario que los IDS sean capaces de verificar el campo de datos del paquete IP en busca de mensajes sospechosos que puedan servir para realizar intrusiones en alguna máquina.

    Monografias.com

    Tipos de ataques y cómo reacciona el IDS ante ellos
    Consumo ilimitado de recursos: Este ataque consiste en consumir todos los recursos de memoria y CPU, de tal manera que ninguna tarea se pueda ejecutar y así causar un DoS. Cuando el IDS detecta este tipo de conductas, procede a matar el proceso ofensivo y de esta manera retorna la integridad de trabajo al sistema de cómputo.
    Para los IDS de máquina tenemos:

    Monografias.com

    Tipos de ataques y cómo reacciona el IDS ante ellos
    Acceso no autorizado a archivos: Si un usuario autorizado abusa de sus privilegios y trata de ejecutar tareas que no debería estar ejecutando, el IDS puede proceder a terminar la sesión de trabajo, bloquear su cuenta e informar al administrador del sistema.
    Modificación de la estructura del sistema de archivos: Si por algún motivo un usuario llega a conseguir privilegios de administrador de manera ilegal e intenta realizar cualquier modificación al sistema de archivos, el IDS consultará dentro de sus reglas si está autorizado. Si no lo está, puede proceder a terminar la sesión de trabajo, bloquear su cuenta e informar al administrador del sistema.

    Monografias.com

    Conclusión
    Esta herramienta es valiosa para el administrador de red, pues le ayuda a mejorar la gestión de seguridad. Es importante revisar el conjunto de reglas de estos, para que puedan detectar el mayor número de ataques posible y así se minimice la posibilidad que se realicen intrusiones.

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter