Políticas De Seguridad
Enviado por 200690 • 29 de Noviembre de 2012 • 1.614 Palabras (7 Páginas) • 237 Visitas
1.1 Tecnologías de detección
Cómo todas las vulnerabilidades no son conocidas, así como tampoco son conocidos los posibles ataques, estos últimos años se han desarrollado productos para detectar tanto las posibles vulnerabilidades de los programas instalados en los ordenadores, del sistema operativo como de servicios de red, como los posibles ataques que se pueden perpetrar.
Han surgido productos detectores de vulnerabilidades, que verifica la política de seguridad en búsqueda de agujeros en los sistemas, passwords débiles, privilegios erróneos, etc...y que escanean las redes en busca de agujeros y vulnerabilidades en los dispositivos conectadas a estas.
También han surgido detectores de ataques, que actúan como centinelas, esperando desde cambios en los permisos de los ficheros y accesos no permitidos en los sistemas, hasta ataques conocidos en el flujo de datos que circula por las redes.
1.2 Cortafuegos vs IDS
Es entonces cuando hablamos de los Intrusion Detection Systems o Sistemas de Detección de Intrusos (de ahora en adelante me referiré a ellos como IDS).
Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no debería ocurrir en ese sistema. Según esta definición, muchos podrían pensar que ese trabajo ya se realiza mediante los cortafuegos o firewalls. Pero ahora veremos las diferencias entre los dos componentes y como un IDS es un buen complemento de los cortafuegos.
La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicación de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los ataques “tunneling”(saltos de barrera) a los ataques basados en las aplicaciones. Los cortafuegos filtran los paquetes y permiten su paso o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utilizado. Las reglas verifican contra una base de datos que determina si está permitido un protocolo determinado y permite o no el paso del paquete basándose en atributos tales como las direcciones de origen y de destino, el número de puerto, etc... Esto se convierte en un problema cuando un atacante enmascara el tráfico que debería ser analizado por el cortafuegos o utiliza un programa para comunicarse directamente con una aplicación remota. Estos aspectos se escapan a las funcionalidades previstas en el diseño inicial de los cortafuegos. Es aquí dónde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.
2.- Sistemas de Detección de Intrusiones (IDS)
2.1 Definiciones
Como se ha descrito en el apartado anterior, un IDS es un software que monitorea el tráfico de una red y los sistemas de una organización en busca de señales de intrusión, actividades de usuarios no autorizados y la ocurrencia de malas prácticas, como en el caso de los usuarios autorizados que intentan sobrepasar sus límites de restricción de acceso a la información.
Algunas de las características deseables para un IDS son:
- Deben estar continuamente en ejecución con un mínimo de supervisión.
- Se deben recuperar de las posibles caídas o problemas con la red.
- Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
- Debe utilizar los mínimos recursos posibles.
- Debe estar configurado acorde con la política de seguridad seguida por la organización.
- Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
2.2 Tipos de IDS
Existen varios tipos de IDS, clasificados según el tipo de situación física, del tipo de detección que posee o de su naturaleza y reacción cuando detecta un posible ataque.
Clasificación por situación
Según la función del software IDS, estos pueden ser:
• NIDS (Network Intrusion Detection System)
• HIDS (Host Intrusion Detection System)
Los NIDS analizan el tráfico de la red completa, examinando los paquetes individualmente, comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos. Pueden buscar cual es el programa en particular del servidor de web al que se está accediendo y con que opciones y producir alertas cuando un atacante intenta explotar algún fallo en este programa. Los NIDS tienen dos componentes:
• Un sensor: situado en un segmento de la red, la monitoriza en busca de tráfico sospechoso
• Una Consola: recibe las alarmas del sensor o sensores y dependiendo de la configuración reacciona a las alarmas recibidas.
Las principales ventajas del NIDS son:
- Detectan accesos no deseados a la red.
- No necesitan instalar software adicional en los servidores en producción.
- Fácil instalación y actualización por que se ejecutan en un sistema dedicado.
Como principales desventajas se encuentran:
- Examinan el tráfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque en diferentes segmentos de la red. La solución más sencilla es colocar diversos sensores.
- Pueden generar tráfico en la red.
- Ataques con sesiones encriptadas son difíciles de detectar.
En cambio, los
...