CAPÍTULO II

MARCO TEÓRICO

1. Antecedentes de la Investigación

Al revisar Artículos, documentos, y otros materiales sobre el desarrollo y

funcionabilidad de los sistemas de detección de intrusos, se evidencia que se

presentan nuevos enfoques sobre los cuales se requiere seguir explorando

para lograr un mayor nivel de conocimiento y aplicabilidad. Estas

innovadoras aproximaciones, se generan a partir de los conceptos básicos

de seguridad informática y el uso de herramientas IDS.

En tal sentido, sobre estos dominios del conocimiento, se encuentran

muchos autores que aportan al tema y desarrollan fuentes bibliográficas

bastante amplias. Aunque estos autores presentan los conceptos sobre

seguridad y los IDS desde diferentes enfoques y diversos niveles de

profundidad, manejan elementos comunes que son importantes en la

definición de nuevas estrategias de seguridad.

En el mismo orden de ideas, dentro de estos elementos se encuentran:

Pineda (2004), en su investigación titulada ”Análisis y Evaluación de

Sistemas para Detección de Intrusos en Redes de Computadoras”, la cual

tuvo como objeto implementar sistemas de detección de intrusos y brindar

10
 11

una opción de seguridad a través de análisis y evaluación de cada uno de los

sistemas utilizados para satisfacer los requerimientos de la infraestructura de

la red, deduciendo que los IDS son cada vez mas necesarios conforme

aumenta el número de incidentes de Internet.

Por ello , son de gran ayuda para los administradores de una red,

trabajando en conjunto con otras herramientas de seguridad como los

firewalls y analizadores de red. La información que suministrada ayuda a

determinar los abusos que se producen en la red, su naturaleza y sus

fuentes.

Por su parte, Franco (2003) publica “Arquitecturas Avanzadas para los

Sistemas de Detección de Intrusos”, en el cual se aborda el tema de la

evolución tecnológica y como esta ha interferido en las estructuras / diseños

de IDS tradicionales las cuales se han visto obligadas a evolucionar hacia

nuevos escenarios que permitan a los IDS cumplir con su objetivo en las

nuevas arquitecturas donde el volumen de tráfico y la criticidad de los

servicios que se ofrecen a los usuarios exigen nuevas soluciones.

Uno de estos avances son los denominados TAP (Test Acess Point),

dispositivos que mediante conexiones hardware, replican el tráfico de ambos

sentidos de una comunicación. La política y los procedimientos de seguridad

son dos de los elementos más referenciados en la literatura sobre el tema de

estudio, debido a que estos componentes son la base para crear

arquitecturas de seguridad efectiva, apoyadas por toda la organización y con

una buena relación costo-beneficio.

 12

Por último, Fernández y Peña (2002) publicaron un artículo denominado

“Sistemas de Detección de Intrusos” donde hacen referencia a las

limitaciones y vulnerabilidades conocidas en la actualidad de la tecnología

utilizada para la detección de intrusos.

2. Bases Teóricas

Cada día es mayor el número de organizaciones que necesitan tener

los activos de información y recursos de telecomunicaciones protegidos

contra extraños o intrusos, tanto internos como externos, quienes,

intencionalmente o no, hacen daño o sustraen información. Existen muchas

estrategias de seguridad disponibles para que las empresas puedan lograr el

objetivo de ofrecer la confianza, integridad y disponibilidad de sus recursos

tanto en software como hardware, teniendo control de la información

suministrada por cada usuario.

Estas estrategias contemplan herramientas y métodos para tener el

control de la seguridad en la organización, entre las que se encuentran los

sistemas de detección de intrusos (IDS). El objetivo de los IDS es identificar,

preferiblemente en tiempo real, el uso no autorizado, inadecuado, y mal uso

de los sistemas de cómputo por penetraciones al sistema internas o

externas.

Debido a estos elementos de seguridad que aportan los IDS y el

incremento en el uso de este tipo de herramientas, es de vital importancia

garantizar su correcto uso e integración al sistema de seguridad de las

 13

organizaciones. En este sentido, este trabajo es importante en la medida que

presenta el desarrollo de un modelo para evaluar la adecuación de la

metodología empleada en el montaje de un sistema de detección de intrusos

a la arquitectura integrada de seguridad de la organización.

2.1. Tecnologías de detección

Como todas las vulnerabilidades no son conocidas, así como tampoco

son conocidos los posibles ataques, estos últimos años se han desarrollado

productos para detectar tanto las posibles vulnerabilidades de los programas

instalados en los ordenadores, del sistema operativo como de servicios de

red, como los posibles ataques que se pueden perpetrar.

Han surgido productos detectores de vulnerabilidades, que verifican la

política de seguridad en búsqueda de agujeros en los sistemas, passwords

débiles, privilegios erróneos, etc...y que escanean las redes en busca de

agujeros y vulnerabilidades en los dispositivos conectadas a estas.

También han surgido detectores de ataques, que actúan como

centinelas, esperando desde cambios en los permisos de los archivos y

accesos no permitidos en los sistemas, hasta ataques conocidos en el flujo

de datos que circula por las redes.

2.1.1. Cortafuegos vs IDS

Es entonces cuando se habla de los Intrusion Detection Systems o

Sistemas de Detección de Intrusos (de ahora en adelante se hará a ellos

como IDS).
 14

Un IDS es un sistema cuyo objetivo es detectar y alertar sobre las

intrusiones intentadas en un sistema o en una red, considerando intrusión a

toda actividad no autorizada o no que no debería ocurrir en ese sistema.

Según esta definición, es común pensar que ese trabajo ya se realiza

mediante los cortafuegos o firewalls. Pero ahora se verán las diferencias

entre los dos componentes y como un IDS es un buen complemento de los

cortafuegos.

La principal diferencia, es que un cortafuegos es una herramienta

basada en la aplicación de un sistema de restricciones y excepciones sujeta

a muchos tipos de ataques, desde los ataques “tunneling” (saltos de barrera)

a los ataques basados en las aplicaciones. Los cortafuegos filtran los

paquetes y permiten su paso o los bloquean por medio de una tabla de

decisiones basadas en el protocolo de red utilizado.

En tal sentido, las reglas verifican contra una base de datos que

determina si está permitido un protocolo determinado y permite o no el paso

del paquete basándose en atributos tales como las direcciones de origen y

de destino, el número de puerto, y otros. Esto se convierte en un problema

cuando un atacante enmascara el tráfico que debería ser analizado por el

cortafuegos o utiliza un programa para comunicarse directamente con una

aplicación remota.

Estos aspectos se escapan a las funcionalidades previstas en el diseño

inicial de los cortafuegos. Es aquí dónde entran los IDS, ya que estos son

capaces de detectar cuando ocurren estos fallos.

 15

2.2. Sistemas de Detección de Intrusiones (IDS)

2.2.1. Definiciones

Como se ha descrito en el apartado anterior, un IDS es un software

que monitorea el tráfico de una red y los sistemas de una organización

en busca de señales de intrusión, actividades de usuarios no autorizados

y la ocurrencia de malas prácticas, como en el caso de los usuarios

autorizados que intentan sobrepasar sus límites de restricción de

acceso a la información. (Privilegios de acceso / Perfiles de

Seguridad).

Algunas de las características deseables para un IDS son:

1. Deben estar continuamente en ejecución con un mínimo de

supervisión.

2. Se deben recuperar de las posibles caídas o problemas con la

red.

3. Debe poderse analizar él mismo y detectar si ha sido modificado por

un atacante.

4. Debe utilizar los mínimos recursos posibles.

5. Debe estar configurado acorde con la política de seguridad seguida

por la organización

6. Debe de adaptarse a los cambios de sistemas y usuarios y ser

fácilmente actualizable.
 16

2.2.2. Tipos de IDS

Existen varios tipos de IDS, clasificados según el tipo de situación

física, del tipo de detección que posee o de su naturaleza y reacción cuando

detecta un posible ataque.

Clasificación por situación

Según la función del software IDS, estos pueden ser:

NIDS (Network Intrusion Detection System)

HIDS (Host Intrusion Detection System)

Los NIDS analizan el tráfico de la red completa, examinando los

paquetes individualmente, comprendiendo todas las diferentes opciones que

pueden coexistir dentro de un paquete de red y detectando paquetes

armados maliciosamente y diseñados para no ser detectados por los

cortafuegos. Pueden buscar cual es el programa en particular del servidor de

web al que se está accediendo y con que opciones y producir alertas cuando

un atacante intenta explotar algún fallo en este programa. Los NIDS tienen

dos componentes:

Un sensor: situado en un segmento de la red, la monitoriza en busca de

tráfico sospechoso

Una Consola: recibe las alarmas del sensor o sensores y dependiendo

de la configuración reacciona a las alarmas recibidas.

 17

Las principales ventajas del NIDS son:

1. Detectan accesos no deseados a la red.

2. No necesitan instalar software adicional en los servidores en

producción.

3. Fácil instalación y actualización por que se ejecutan en un sistema

dedicado.

Como principales desventajas se encuentran:

Examinan el tráfico de la red en el segmento en el cual se conecta, pero

no puede detectar un ataque en diferentes segmentos de la red. La solución

más sencilla es colocar diversos sensores.

Pueden generar tráfico en la red.

Ataques con sesiones encriptadas son difíciles de detectar.

IDS basados en Red

Los sistemas network-based actúan como estupendos detectores, es

decir, ellos observan el tráfico en las capas del TCP/IP y buscan modelos

conocidos de ataque, como los que generalmente realizan los hakers o los

ataques al web server. Tales sistemas hacen frente a desafíos significativos,

especialmente en los ambientes cambiantes donde los detectores no ven

todo el tráfi co en la red. Además, la mayoría de los sistemas network-

based pueden buscar solamente los modelos de abuso que se asemejan al

estilo de los ataques de los hackers, y esos perfiles están cambiando

constantemente.
 18

Los sistemas network-based son también propensos a los positivos

falsos. Por ejemplo, si el web server tiene sobrecarga de trabajo y no puede

manejar todas las peticiones de conexión, los IDS quizá pueden detectar que

el sistema está bajo un ataque, aunque en realidad, no lo sea. Típicamente,

un sistema basado en red no va a buscar la otra actividad sospechosa, tal

como que alguien de su entorno de trabajo, intente tener acceso a los datos

financieros de su compañía.

Por supuesto, los detectores de la red se pueden adaptar para buscar

apenas sobre cualquier tipo de ataque, pero es un proceso laborioso. Los

sistemas network -based son los más comunes, y examinan el paso del

tráfico de la red para las muestras de la intrusión.

Los sistemas basados en red son un poco diferentes: se diseñan

empleando una arquitectura de consola-sensor y suelen ser totalmente

pasivos. Este tipo de detección integrada a la red "husmea" el cable y

compara los patrones de tráfico, en vivo, con listas internas de "rúbricas" de

ataque.

En cambio, los HIDS analizan el tráfico sobre un servidor o un PC, se

preocupan de lo que está sucediendo en cada host y son capaces de

detectar situaciones como los intentos fallidos de acceso o modificaciones en

archivos considerados críticos.

Las ventajas que aporta el HIDS son:

1. Herramienta potente, registra comandos utilizados, archivos

abiertos. .
 19

2. Tiende a tener menor número de falsos-positivos que los NIDS,

entendiendo falsos-positivos a los paquetes etiquetados como posibles

ataques cuando no lo son.

3. Menor riesgo en las respuestas activas que los IDS de red.

Los inconvenientes son:

1. Requiere instalación en la máquina local que se quiere proteger, lo

que supone una carga adicional para el sistema.

2. Tienden a confiar en las capacidades de auditoria y loging de la

máquina en sí.

IDS basados en Host

Los sistemas host-based emplean un diverso procedimiento para

buscar a los malos individuos. No característico de los detectores, los

sistemas host-based dependen generalmente de los registros del sistema

operativo para detectar acontecimientos, y no pueden considerar ataques a

la capa de red mientras que ocurren.

En comparación con los IDS basados en red, estos sistemas obligan

a definir lo que se considera como actividades ilícitas, y a traducir la

política de la seguridad a reglas del IDS. Los IDS host-based se pueden

también configurar para buscar tipos específicos de ataques mientras que

no hace caso de otros. Pero otra vez, el proceso de templar un sensor puede

ser desperdiciador de tiempo. Es decir, los sistemas host-based observan al

 20

usuario y la actividad del proceso en la máquina local para las muestras de la

intrusión.

Los sistemas relacionados al host se despliegan de la misma forma que

los escaners antivirus o las soluciones de administración de red: se instala

algún tipo de agente en todos los servidores y se usa una consola de gestión

para generar informes.

Ambas formas de detección pueden reaccionar cuando identifican un

ataque. Los dos enfoques tienen puntos fuertes y débiles. Los sistemas

basados en red casi no se hacen notar y son independientes de la

plataforma; se pueden desplegar con poco o ningún impacto sobre las redes

de producción. Sin embargo, estos sistemas tienen que superar varios

obstáculos importantes. Por ejemplo, la tecnología se basa en la capacidad

del sensor para ver todo el tráfico de red. En un entorno conmutado, esta

situación complica demasiado la vida, ya que es preciso utilizar espejos de

puertos. Pocos sistemas basados en red pueden manejar una línea de 100

Mbps saturada, y ya no se habla de velocidades de gigabits.

Los sistemas basados en host no tienen problemas de ancho de banda;

no obstante sólo pueden reconocer ataques contra máquinas que están

ejecutando sus agentes. Si la compañía tiene servidores que usan un

sistema operativo no reconocido, el administrador no habrá ganado nada. Sin

embargo, las soluciones que operan en host ofrecen algunos servicios

adicionales, más allá de los que ofrecen los sistemas basados en red, como
 21

verificación de integridad binaria, análisis sintáctico de logs y terminación de

procesos no válidos.

Clasificación según los modelos de detecciones

Los dos tipos de detecciones que pueden realizar los IDS son:

detección del mal uso, detección del uso anómalo .

La detección del mal uso: involucra la verificación sobre tipos ilegales

de tráfico de red, por ejemplo, combinaciones dentro de un paquete que no

se podrían dar legítimamente. Este tipo de detección puede incluir los

intentos de un usuario por ejecutar programas sin permiso (por ejemplo,

“sniffers”). Los modelos de detección basados en el mal uso se implementan

observando como se pueden explotar los puntos débiles de los sistemas,

describiéndolos mediante unos patrones o una secuencia de eventos o datos

(“firma”) que serán interpretados por el IDS.

La detección de actividades anómalas: se apoya en estadísticas tras

comprender cual es el tráfico en la red del que no lo es. Un claro ejemplo de

actividad anómala sería la detección de tráfico fuera de horario de oficina o el

acceso repetitivo desde una máquina remota (rastreo de puertos). Este

modelo de detección se realiza detectando cambios en los patrones de

utilización o comportamiento del sistema. Esto se consigue realizando un

modelo estadístico que contenga una métrica definida y compararlo con

los datos reales analiza dos en busca de desviaciones estadísticas

significativos.
 22

Clasificación según su naturaleza

Un tercer y último tipo básico de clasificación sería respecto a la

reacción del IDS frente a un posible ataque: pasivos y reactivos.

Los IDS pasivos detectan una posible violación de la seguridad,

registran la información y genera una alerta.

Los IDS reactivos están diseñados para responder ante una actividad

ilegal, por ejemplo, sacando al usuario del sistema o mediante la

reprogramación del cortafuego para impedir el tráfico desde una fuente hostil.

2.2.3. Topologías de IDS

Existen muchas formas de añadir las herramientas IDS a la red, cada

una de ellas tiene su ventaja y su desventaja. La mejor opción debería ser un

compromiso entre coste económico y propiedades deseadas, manteniendo

un alto nivel de ventajas y un número controlado de desventajas, todo ello de

acuerdo con las necesidades de la organización.

Por este motivo, las posiciones de los IDS dentro de una red son varias

y aportan diferentes características. A continuación se consideran

posibilidades en una misma red. En una red dónde un cortafuegos divide la

Internet de la zona desmilitarizada (DMZ – Demilitarized Zone), y otro que

divide la DMZ de la intranet de la organización como se muestra en el dibujo

1. Por zona desmilitarizada se debe entender la zona que se debe mostrar al

exterior, la zona desde la cual se muestra en los servicios o productos:

 23

Figura 1. Red con IDS simple . Fuente: Bastidas (2006)

Si se sitúa un IDS antes del cortafuegos exterior permitiría detectar el

rastreo de puertos de reconocimiento que señala el comienzo de una actividad

hacking, y se obtendría como ventaja un aviso prematuro. Sin embargo, si los

rastreos no son seguidos por un ataque real, se generará un numeroso número

de alertas innecesarias con el peligro de comenzar a ignorarlas.

Si se opta por colocar el IDS en la zona desmilitarizada (DMZ) se tendrá

como ventaja la posibilidad de adecuar la base de datos de atacantes del

NIDS para considerar aquellos ataques dirigidos a los sistemas que están en

la DMZ (servidor web y servidor de correo) y configurar el cortafuegos para

bloquear ese tráfico. Así mismo, un NIDS dentro de la red, por ejemplo, de

Recursos Humanos podría monitorear todo el tráfico hacia fuera y hacia

adentro de esa red. Este NIDS no debería ser tan poderoso como los

comentados anteriormente, puesto que el volumen y el tipo de tráfico es más

reducido. El resultado se puede visualizar el segundo dibujo:

 24

Figura 2. Red completa con IDS. F uente: Bastidas (2006)

El IDS1 se encargaría de avisar del rastreo de puertos, y si es reactivo

podría enviar un “aviso” tanto al que esta rastreando (por ejemplo un ping a

la dirección que emite el paquete) como al encargado de la seguridad de la

organización. El IDS2 se encargaría de vigilar la zona desmilitarizada y

analizar el tráfico que reciben tanto el servidor web como el servidor de

correo. Los otros dos IDS se encargarían de la red interna, el IDS3 de la

totalidad de la red, y el IDS4 de una subred, en este caso la de RRHH.

Estos dos NIDS internos (el IDS3 y el IDS4) podrían ser sensores que

recogiesen la información y lo enviasen a una consola dónde se realizarían

los cálculos.
 25

2.2.4. Los IDS y las políticas de Seguridad

Los IDS deben ser tratados como un elemento complementario en las

políticas de seguridad de las organizaciones, pero antes de implementar o

instalar un sistema de detección de intrusiones se recomienda analizar la

política de seguridad y ver cómo encajaría el IDS en ella: (a) Se recomienda

una política de seguridad bien definida y a alto nivel, que cubra lo que está y

lo que no está permitido en el sistema y las redes. (b) Procedimientos

documentados para que proceda el personal si se detecta un incidente de

seguridad. (c) Auditorías regulares que confirmen que nuestras políticas

están en vigencia y nuestras defensas son adecuadas. (d) Personal

capacitado y estabilidad laboral o soporte externo cualificado y confiable.

2.3. Diferentes Arquitecturas de IDS

Las arquitecturas que implementan sistemas de detección de intrusos

han ido modificándose y mejorando con el paso del tiempo y con la

experiencia. Los primeros IDS eran herramientas software rígidos,

diseñados y realizados bajo la supervisión de un experto en seguridad de

redes y basándose en la experiencia personal. Eran verdaderos sistemas

rígidos, dónde la actualización ante nuevos tipos de ataques requería

verdaderos esfuerzos de análisis y programación, además de contar con un

solo programa que realizaba todo el trabajo , sin pensar en sistemas

distribuidos.
 26

Actualmente, las arquitecturas empleadas para el desarrollo de

herramientas IDS, se basan fundamentalmente en dos principios básicos, la

utilización de Agentes autónomos que recogen información por separado,

para luego analizar una parte de esta información ellos y la otra una entidad

central coordinadora, y las arquitecturas basadas en la exploración de los

datos en tiempo real, y como ocurre en el mundo de la informática, se dan

arquitecturas híbridas en busca de la mejor solución posible.

2.3.1. Arquitecturas basadas en Agentes Autónomos

Basa su desarrollo en las carencias y limitaciones que presentan los

IDS existentes. La principal carencia de los viejos (y primeros) IDS es que los

datos son recogidos por un solo host, además, algunos de los que intentan

solucionar esta desventaja utilizan una colección de datos distribuida, pero

analizada por una consola central.

Los principales problemas de utilizar estas arquitecturas son:

a) La consola central es un solo punto de fallo, la red entera esta sin

protección si esta falla.

b) La escalabilidad esta limitada. Procesar toda la información en un

host implica un límite en el tamaño de la red que puede monitorizar.

c) Dificultad en reconfigurar o añadir capacidades al IDS.

d) El análisis de los datos de la red puede ser defectuoso.

Basándose en estas limitaciones, se ha introducido el término de

Agente Autónomo definido como una entidad software capaz de analizar

 27

actividades de una manera flexible e inteligente, capaz de funcionar

continuamente y de aprender por su experiencia y la de otros agentes,

además de comunicarse y cooperar con ellos. Los agentes son autónomos

porque son entidades que se ejecutan independientemente y no necesitan

información de otros agentes para realizar su trabajo.

Las principales ventajas que puede aportar una arquitectura basada en

Agentes Autónomos residen en que si un agente para de trabajar por

cualquier motivo, solamente sus resultados se pierden, sin afectar a otros

agentes autónomos. Además, la posible organización de los agentes en

estructuras jerárquicas con diferentes capas hace un sistema escalable. Por

estos motivos, un agente autónomo puede cruzar la barrera de los HIDS y los

NIDS y realizar ambas funciones, así como estar implementado en el

lenguaje que mejor le convenga para cada caso.

Componentes de la arquitectura

La arquitectura basada en Agentes Autónomos se basa en tres

componentes esenciales: agentes, transceivers y monitores.

Un agente autónomo puede ser distribuido sobre cualquier número de

hosts en una red. Cada host puede contener un número de agentes que

monitoriza una cierta característica (cada uno). Todos los agentes de un host

envían sus resultados a un transceiver y estos envía n sus resultados

globales del host a uno o más monito res.

 28

Una posible topología de esta red sería la descrita a continuación:

Leyenda

Transceiver

Monitor

Agente

Flujo de Control

Flujo de Datos

Figura 3. Arquitectura de un sistema autónomo . Fuente: Bastidas (2006)

Un agente se encarga de monitorizar un aspecto del sistema total, por

ejemplo, un agente puede estar destinado a monitorizar y vigilar las

conexiones telnet de un host protegido. Este agente genera un informe y lo

envía a su respectivo transceiver. El agente no puede generar una alarma

por sí mismo, solo informa.

Un transceiver es la interfaz externa de comunicación de cada host.

Tiene varios agentes a su servicio de los que recibe informes y construye un

mapa de estado del host al que pertenece. Tiene dos funciones principales,

una de control y otra de procesamiento de datos. Como funciones de control,

debe inicializar o parar los agentes de su host y ejecutar los comandos que le

envía el monitor al que pertenece. Como funciones de procesamiento, recibe

informes de los agentes de su host, los procesa y la información obtenida la

envía al monitor o lo reparte con los agentes.

 29

El monitor es la entidad de más alto nivel. Tiene funciones parecidas a

las del transceiver, la principal diferencia es que un monitor puede controlar

entidades que están ejecutándose en diferentes hosts, además, la

información que recibe de los transceivers es limitada y solamente un monitor

es capaz de obtener conclusiones más refinadas de esta información.

Otras entidades opcionales que se pueden implementar en las

arquitecturas basadas en Agentes Autónomos son los agentes SNMP o los

auditores de routers.

La principal desventaja de esta arquitectura es que si un monitor

detiene su ejecución, todos los transceivers que controla paran de producir

información.

2.3.2. Arquitecturas de exploración de datos en Tiempo Real

El principal punto negativo de estas arquitecturas es que necesitan un

gran paquete de datos de entrenamiento más complicados que los utilizados

en los sistemas tradicionales.

Las principales características que intentan aportar las arquitecturas

basadas en análisis de datos en tiempo real son la exactitud o veracidad, la

eficiencia (en cuanto a coste computacional) y la facilidad de uso:

Veracidad: medido según el número de incidencia por unidad de tiempo

de detección (ataques que puede detectar el sistema) y el número de

incidencia por unidad de tiempo de falsos positivos (porcentaje de datos

normales que el sistema determina como intruso cuando no lo es). En la

práctica, solo un ratio falso-positivo bajo puede tolerarse.

 30

Eficiencia: un IDS en tiempo real debe detectar las intrusiones lo más

pronto posible. Ante grandes flujos de datos a analizar, el tiempo tomado en

procesar cada registro y calcular las estadísticas de sus características es

demasiado elevado. Este ‘retraso’ en el cálculo puede propiciar un ataque

que tardaría en detectarse. La principal característica de la eficiencia es el

coste computacional, dividido en 4 niveles:

Nivel 1: características que pueden ser computados con el primer

paquete recibido.

Nivel 2: características que pueden ser analizadas en cualquier

momento de la conexión.

Nivel 3: características analizadas al final de la conexión.

Nivel 4: estadísticas computadas al final de la conexión.

Usabilidad: entendido como facilidad de crear el paquete de

entrenamiento y de actualizar los patrones utilizados por el IDS.

Para detectar los intrusos, se debe tener un paquete de características

cuyos valores en los campos de los paquetes analizados difieran de los

valores de los campos de los paquetes intrusos. Para poder lleva a cabo esta

tarea, el flujo de datos (en binario) es analizado y procesado en registros que

contienen un número básico de características para más tarde ser analizados

por programas especializados que comparan estos registros con los

patrones de la base de datos en búsqueda de variaciones o combinaciones

peligrosas.

Estos patrones pueden ser entrenados para comprobar su correcto

funcionamiento generando anomalías de forma artificial, utilizando una

 31

heurística para cambiar el valor de un campo dejando los demás como

estaban. Para a continuación introducir este flujo de datos en una conexión

normal.

El IDS ejecuta un conjunto de reglas, con coste computacional creciente

o con combinaciones de los niveles de coste computacional para obtener una

buena eficiencia y exactitud en tiempo real acorde con las características

deseadas. Cada modelo ejecuta un conjunto de reglas.

Componentes de la arquitectura

La arquitectura de IDS basada en tiempo real consiste en

sensores, detectores, almacén de datos y modelos de generación de

características.

El sistema esta diseñado para ser independiente del formato de datos

de los sensores y del modelo utilizado. Este modelo puede estar

representado como una red neuronal, un conjunto de reglas o un modelo

probabilístico. La codificación XML permitiría intercambiar datos entre los

diferentes modelos.

Si todos los componentes residen en la misma área local, la carga de

trabajo puede distribuirse sobre todos los componentes, si están distribuidos

por diferentes redes, pueden colaborar con otros IDS en Internet,

intercambiando información de nuevos ataques.

Esta es el diseño de una arquitectura basada en tiempo real:

 32

Figura 4. Arquite ctura de un IDS basado en tiempo real. Fuente: Bastidas

(2006)

Los sensores observan los bits en un sistema monitorizado y analiza

sus características para utilizarlas en el modelo.

Los detectores procesan los datos de los sensores y utilizan un modelo

de detección para evaluar los datos y determinar si es un ataque. Además,

envía el resultado a un almacén de datos (típicamente una base de datos)

para otro posterior análisis y para generar informes. Pueden coexistir

detectores monitorizando el mismo sistema (en paralelo). Los detectores

‘back-end’ emplearían modelos con coste computacional complejo mientras

que los detectores ‘front-end’ realizarían una detección de intrusión sencilla y

rápida.

Por último, la centralización del almacenamiento de los datos y de los

modelos aportaría varias ventajas:

 33

Eficiencia: varios componentes podrían manejar el mismo tipo de

datos.

Operatibilidad: los datos de los sensores podrían ser consultados con

una simple SQL.

Rendimiento: la detección de complicados ataques y ataques a gran

escala podría ser posible mediante el conocimiento y el manejo de los datos

por todos los detectores.

3. Sistema de variables

3.1. Definición conceptual

La Tecnología IDS es una herramienta de seguridad en red que

recopilan información de una variedad de fuentes del sistema, analizan la

información de los parámetros que reflejan el uso erróneo o la actividad

inusual, responden automáticamente a la actividad detectada, y finalmente

informan el resultado del proceso de la detección.

3.2. Operacionalizacion de las variables

Tomando en cuenta el valor intangible de los datos, la variable sistema

de Detección de Intrusos IDS, se refiere a los lineamientos que deben

seguirse para lograr la protección de los recursos informáticos que

pertenecen a las empresas con infraestructura tecnológica. Esta protección

obedece a las diferentes amenazas humanas que acceden a la red tanto

 34

interno como externo para alterar o destruir la integridad de los datos a través

de ataques electrónicos. En esta investigación la variable se operacionaliza a

través de las dimensiones siguientes:

Ataques por Personas: Realizado por personas con amplios

conocimientos de lenguaje de programación que interceptan y acceden a la

red ocasionando serios daños a la información, esta dimensión es medida

por los indicadores intrusos informáticos como Hackers y Crackers y usuarios

internos de la empresa mal intencionados.

Ataques por programas: son programas maliciosos desarrollados por

seres humanos para causar danos en la red, esta dimensión es medida con

los identificadores Virus, Caballos de Troya y Gusanos.

Cuadro 1
Operaconalización de la Variables

Objetivo General Evaluar la funcionabilidad de los IDS como mecanismo de

seguridad en una infraestructura tecnológica de redes.

Objetivos Específicos Variable Dimensión Indicadores

1. Simular ataques de intrusos internos y externos
Usuarios mal
a una infraestructura tecnológica de redes
utilizando como mecanismos de seguridad los intencionados
Sistemas de Detección de Intrusos (IDS). Ataques
por
2 Determinar el efecto y nivel de sensibilidad que Personas Intrusos
causan los ataques de intrusos internos y Informáticos:
externos a la infraestructura tecnológica de Hackers y
prueba. Crackers
Tecnología
3. Determinar la ubicación más adecuada y IDS Virus
confiable de los Sistemas de Detección de
Intrusos (IDS) para un mejor desempeño en la Caballos de
infraestructura tecnológica de prueba. Troya
Ataques
4. Analizar la funcionabilidad de los IDS ante por Gusanos
ataques tanto internos como externos para Programas
Software de
asegurar la disponibilidad, confiabilidad e
ataques.
integridad de los datos en la infraestructura
tecnológica de prueba.

Fuente: Bastidas (2006)