Saltar al contenido

Detección de ataques e intrusiones

Compartir en:

Hoy, dado el elevado número de intentos de intrusión y la debilidad del software que opera en las redes corporativas, la mayoría de organizaciones disponen de múltiples mecanismos de protección en sus redes. El estudio constante de la infraestructura, sin embargo, deja en numerosas ocasiones entrever deficiencias críticas.

El estudio de la infraestructura y la mejora continua de los sistemas es no obstante una preocupación cada vez más acuciada y una necesidad que se vuelve imprescindible en el mundo de las fugas de información y el ramsomware.

No voy a hablar de seguridad física ni de aburridos procesos de documentación que tantos nos gustan a los informáticos (/sarcasmo), sino del hecho de proteger la integridad y seguridad de nuestras redes.

Proceso de ataque simple

Para comprender como defendernos, es importante conocer como nos atacan. Os voy a poner un ejemplo simple de como es el proceso para intentar romper la seguridad de un sitio web alojado en una empresa.

Casi siempre el atacante que intenta acceder a nuestros sistemas llevara a cabo 4 pasos:

  • Vigilancia: Nuestro visitante inesperado intentará aprender, sacará toda la información posible de nuestra empresa y su red. Se centrará en conocer nuestra arquitectura, servicios y posibles fallos de seguridad.
  • Explotación: Basándose en la información obtenida, nuestro atacante intentará escalar privilegios para romper con nuestra seguridad.
  • Ocultación: Una vez tomado el control de algún sistema, el intruso intentará borrar sus huellas y pasar desapercibido en nuestra red. Esto es muy importante para el atacante, ya que le permite seguir accediendo a nuestros datos.
  • Extracción de datos: si todo ha ido bien, el atacante intentara violar nuestra privacidad descargando datos que le sean valiosos. Una victoria para él y un problema para nosotros.

El número de aplicativos diseñados expresamente par abusar de nuestros sistemas es hoy en día muy amplio (más amplio que los diseñados para evitarlo). Es importante poner medidas en todas las fases para determinar que alguien está intentando algo en nuestra red, no basta con configurar nuestro firewall de última generación.

Sistemas de detección de intrusos (IDS)

Estos sistemas y mecanismos tratan de encontrar, identificar y eliminar actividades de intrusión (o maliciosas) en la red de nuestra organización. Son conocidos por los atacantes y los defensores, ya que pueden reaccionar de manera automática a un ataque.

Históricamente, ha habido muchos sistemas distintos destinados a este fin, desde el sistema rudimentario de Bell Telephone System en los años 50 a los modernos IDS actuales, pasando por multitud de sistemas militares que seguramente ni conozcamos.

Los IDS basan sus decisiones en reglas y analizan el comportamiento de la infraestructura mediante diferentes técnicas como firmas o comportamientos. Los diseños varían y las arquitecturas son distintas, pero por norma general podemos identificar en los IDS 4 categorías generales de componentes básicos para su funcionamiento:

  • Colectores de información: Se les conocen como Sensores y son los responsables de recolectar datos de la infraestructura que se está vigilando.
  • Analizadores de eventos: Es donde se produce la magia, la lógica del sistema corre en los analizadores que toman decisiones basando sus actos en la información proporcionada por los colectores.
  • Unidades de respuesta: como su nombre indica, es la parte encargada de ejecutar acciones una vez el analizador ha detectado una anomalía. Generalmente, las acciones suelen ser automáticas (sin intervención Humana), aunque también existen acciones que requieran la intervención de un experto para solucionarla.
  • Almacenamiento: Básicamente, es la parte encargada de guardar datos valiosos para su análisis por parte de expertos.

Prevención de intrusos IPS

Estos sistemas pueden clasificarse como una evolución de IDS, básicamente son resultado de unir la monitorización y análisis con la capacidad de acción sobre la red.

Los sistemas IPS analizan (como los IDS) el tráfico en busca de comportamientos sospechosos para bloquearlos y prevenir un daño (antes de que este ocurra).

Actualmente, prácticamente todos los Firewalls de las empresas cuentan con IPS, aunque también existen otras formas de aplicar la protección. Basan las detecciones en las firmas (cadenas conocidas), las políticas (políticas de seguridad) o las anomalías (comportamiento anormal).

Al analizar el tráfico en tiempo real, el coste computacional de IPS es extremadamente alto, y debe aplicarse con cuidado, ya que puede interferir en el rendimiento de equipos no dimensionados.

Normalmente, encontraremos el IPS clasificado en 4 grandes grupos:

  • Basados en Red Lan (NIPS): monitorizan la red en busca de tráfico de red malicioso analizando los protocolos
  • Basados en Red Wireless (WIPS): monitorean la red inalámbrica.
  • Análisis de comportamiento de red (NBA): Examina el tráfico de red para identificar amenazas que generan tráfico raro o poco común.
  • Incluye ataques de denegación de servicio ciertas formas dé .
  • Basados en Host (HIPS): Se basa en la instalación de endpoints en los Host para analizar comportamiento.

Escáner de vulnerabilidades

Como su propio nombre indica, estos aplicativos son capaces de escanear sistemas en busca de vulnerabilidades conocidas.

Estas herramientas bien utilizadas interfieren en gran medida en la fase de explotación del intruso, si nuestras vergüenzas están al mínimo, le costara mucho más trabajo encontrar un acceso a nuestro sistema.

Las herramientas de escáner funcionan extrayendo información de los sistemas objetivo para posteriormente poder compararla con una base de datos conocida de fallos. Una vez identificados, el sistema realizará un informe para poder corregirlos.

Básicamente, podemos clasificarlos en dos grupos:

  • Basados en máquinas: Este tipo de escáneres están íntimamente relacionados con los Sistemas Operativos, ya que determinan los errores con base en la información que pueden obtener de estos. Cuentas abiertas, permisos, entradas de usuarios sospechosas, entre otros datos son el objetivo para analizar.
  • Basados en Red: Quizás son los más populares en la actualidad, basan su funcionamiento en los datos obtenidos estableciendo conexiones variadas a los objetivos. Generalmente, tienen dos modos de funcionamiento:
    • Explotación y detección: Lanzan ataques reales esperando confirmación de resultados satisfactorios o rechazados, son muy agresivos y fácilmente detectables.
    • Pasivos o de inferencia: Buscan indicadores claros de posibles vulnerabilidades, los resultados deber ser examinados a conciencia, ya que suelen dar falsos positivos.

Nessus es quizás el sistema por excelencia para este tipo de análisis, es muy potente y eficaz, aunque de pago. Open VAS es otra opción muy buena.

Conclusión

El abordar la seguridad de manera global es un complejo cometido dados los infinitos vectores de ataque. La seguridad tradicional está muy bien (antivirus, cuentas de usuario, permisos, puertas cerradas) pero debe ser COMPLEMENTARIA a la seguridad a nivel de red.

Pasar a la acción y desplegar una estrategia de seguridad que contemple análisis avanzados de red es una buena práctica que dificulta enormemente la labor de los intrusos. Actuar en las fases de los atacantes hace que nuestra organización mantenga a raya un gran número de situaciones peligrosas.

Al final se trata aumentar la dificultad para que no sea rentable atacar nuestros sistemas. Unir todas las herramientas a nuestro alcance eleva en gran medida la posibilidad de éxito de nuestra defensa, no debemos olvidar que nosotros debemos tener suerte siempre, a un intruso le vale con tenerla solo una vez.


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *