Informatica
Enviado por berna_27_5 • 19 de Junio de 2012 • 1.642 Palabras (7 Páginas) • 527 Visitas
CAPITULO 1. INTRUSIONES
• Concepto de Intruso
Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.
1.2 Tipos de Intrusos
Los intrusos se clasifican principalmente de acuerdo al lugar al que pertenecen en:
Intrusos de Fuera.
La mayoría de las personas piensan que el mundo exterior es la amenaza más grande a su seguridad; debido a que ha sido difundido por los medios de comunicación un miedo hacia los “hackers” que entran a través de Internet. La realidad, es que los hackers representan una pequeña parte de las amenazas reales a las que se enfrenta una compañía.
Intrusos de Adentro.
Estudios realizados por el FBI han revelado que el 80% de las intrusiones y de los ataques provienen de dentro de las organizaciones. Es muy lógico si se piensa que una persona de adentro conoce el esquema del sistema, donde se encuentran la información valiosa y la localización de puntos y sistemas de seguridad.
Por lo anterior hay que desechar la idea de que la mayoría de las medidas de seguridad deben estar puestas para proteger al interior de un “malévolo” exterior, ya que realmente gran parte de las intrusiones ocurren desde adentro de las organizaciones. Es necesario un mecanismo que detecte ambos tipos de Intrusos, los externos y los internos. Un sistema detector de intrusos efectivo detecta ambos tipos de ataques en un alto grado.
1.3 Políticas de seguridad para evitar intrusiones
Una Política de Seguridad define lo que se permite y lo que se niega en un sistema. Hay dos filosofías básicas detrás de cualquier política de seguridad:
• Prohibitiva.- En esta política todo aquello que no esta expresamente permitido es negado
• Permisible.- En esta política todo lo que no esta negado expresamente es permitido
Generalmente, un lugar que es más paranoico sobre seguridad toma la primera opción. Se usara una política que detalla exactamente los funcionamientos u operaciones que se permite en un sistema. Cualquier otra operación que no este detalla en éste documento de la política será considerada como ilegal dentro del sistema. Es claro que este tipo de políticas se prestan bien para un ambiente militar, y estos tipos de políticas son raros en establecimientos civiles.
La segunda filosofía está más ligada al espíritu de la informática. Los usuarios de computadoras siempre han intentado usar el potencial de las computadoras al máximo, aun cuando esto signifique violar las reglas. Esto era aceptable con tal de que el trabajo se realizara bien y completo en el tiempo necesario, y nadie resultaba afectado.
Desgraciadamente, esta filosofía no funciona bien en los ámbitos de trabajo actuales. El espíritu competitivo tiende a nublar la ética profesional cuando un usuario se entromete con los archivos de otro usuario. De hecho, el sabotaje puede ser una norma de conducta en algunos ambientes laborales donde la supervivencia se logra con una competencia extrema.
La mayoría de los usuarios se comportará según un conjunto de reglas "sociales". Estas reglas los animan a respetar la privacidad y el trabajo de los demás. Semejante población de usuarios tiene una alianza de funcionamiento basada en la confianza, y la confianza es fácil subvertir. Una población de usuarios confiables es contaminada fácilmente por un usuario “malévolo”, que intente emplear mal los sistemas.
1.4 Detección de Intrusiones
Antes de hablar sobre la detección de intrusiones es necesario definir que es una intrusión.
Intrusión.- Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.
Las intrusiones se clasifican de la siguiente manera:
• Intrusiones para mal uso.- son ataques en puntos débiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos.
• Intrusiones anómalas.- se basa en la observación de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado.
Mientras las intrusiones de mal uso sigan patrones bien definidos pueden ser detectadas haciendo un análisis y chequeo en la información de auditoria y reportes del sistema. Por ejemplo, un intento de crear un archivo invalido puede ser descubierto examinando los mensajes en los Logs que son resultado de las llamadas al sistema.
Las intrusiones anómalas son descubiertas observando desviaciones significantes del comportamiento normal del sistema. El modelo clásico para el descubrimiento de la anomalía fue propuesto por Denning. En el se propone la construcción de un modelo que contiene métricas que se derivan del funcionamiento del sistema.
Una métrica se define como: una variable aleatoria x que representa una medida cuantitativa acumulada durante un periodo.
Estas métricas se calculan de los parámetros del sistema disponibles como promedio de carga del CPU, número de conexiones de la red por minuto, número de procesos por usuario y cualquier otro tipo de medida disponible que describa un cierto consumo de recursos en un periodo definido.
Una anomalía puede ser un síntoma de una
...