Sistema de detecció d'intrusos

Un Sistema de Detecció d'Intrusos o SDI (o IDS de les seves sigles en anglès Intrusion Detection System) és un programa de detecció d'accessos no autoritzats a un computador o a una xarxa.

El SDI sol tenir sensors virtuals (per exemple, un sniffer o analitzador de paquets de xarxa) amb els quals el nucli de l'SDI pot obtenir dades externes (generalment sobre el tràfic de xarxa). L'SDI detecta, gràcies a aquests sensors, les anomalies que poden ser indici de la presència d'atacs i falses alarmes.[1]

Els tipus IDS abasten des del punt de vista d'ordinadors individuals a xarxes grans.[2] Les classificacions més comunes són sistemes de detecció d'intrusió de xarxa (NIDS) i sistemes de detecció d'intrusions basats en host (HIDS). Un sistema que monitoritza importants fitxers del sistema operatiu és un exemple d'HIDS, mentre que un sistema que analitza el trànsit de xarxa entrant és un exemple d'un NIDS. També es pot classificar l'IDS mitjançant l'enfocament de detecció: les variants més conegudes són la detecció basada en la signatura (reconeixent patrons defectes, com ara el programari maliciós); i detecció basada en anomalies (detecció de desviacions d'un model de trànsit "bo", que sovint es basa en l'aprenentatge automàtic).[3] Alguns productes IDS tenen la capacitat de respondre a intrusions detectades. Els sistemes amb capacitats de resposta es denominen normalment un sistema de prevenció d'intrusions. Els sistemes de detecció d'intrusos també poden servir propòsits específics, augmentant-los amb eines personalitzades, com ara utilitzar un honeypot per atreure i caracteritzar trànsit maliciós.[4]

Funcionament

El funcionament d'aquestes eines es basa en l'anàlisi detallada del tràfic de xarxa, el qual en entrar a l'analitzador és comparat amb signatures d'atacs coneguts, o comportaments sospitosos, com pot ser l'escaneix de ports, paquets malformats, etc. El SDI no només analitza què tipus de tràfic és, sinó que també revisa el contingut i el seu comportament.

Normalment aquesta eina s'integra amb un tallafoc. El detector d'intrusos és incapaç de detenir els atacs per si només, excepte els quals treballen conjuntament en un dispositiu de porta d'enllaç amb funcionalitat de tallafoc, convertint-se en una eina molt poderosa, ja que s'uneix la intel·ligència del SDI i el poder de bloqueig del tallafoc, a l'ésser el punt on forçosament han de passar els paquets i poden ser bloquejats abans de penetrar a la xarxa.

Els SDI solen disposar d'una base de dades de “signatures” d'atacs coneguts.

Aquestes signatures permeten al SDI distingir entre l'ús normal del PC i l'ús fraudulent, i/o entre el tràfic normal de la xarxa i el tràfic que pot ser resultat d'un atac o intent del mateix.[5]

Tipus d'SDI

Existeixen dos tipus de sistemes de detecció d'intrusos:

  1. HIDS (HostIDS): el principi de funcionament d'un HIDS, depèn de l'èxit dels intrusos, que generalment deixessin rastres de les seves activitats en l'equip atacat, quan intenten ensenyorir-se del mateix, amb propòsit de dur a terme altres activitats. El HIDS intenta detectar tals modificacions en l'equip afectat, i fer un reporti de les seves conclusions.
  2. NIDS (NetworkIDS): un SDI basat en la xarxa, detectant atacs a tot el segment de la xarxa. La seva interfície ha de funcionar en manera promíscua capturant així tot el tràfic de la xarxa.

Sistemes passius i sistemes reactius

En un sistema passiu, el sensor detecta una possible intrusió, emmagatzema la informació i mana un senyal d'alerta que s'emmagatzema en una base de dades. En un sistema reactiu, el SDI respon a l'activitat sospitosa reprogramant el tallafocs perquè bloquegi tràfic que prové de la xarxa de l'atacant. Un sistema que reacciona davant l'atac prevenint que aquest continuï, es denomina IPS per les seves sigles en anglès de "intrusion prevention system".

Comparació amb Tallafocs

Si ben tots dos estan relacionats amb seguretat en xarxes d'informació, un SDI, difereix d'un tallafocs, que aquest últim generalment examina exteriorment per intrusions per evitar que aquestes ocorrin. Un tallafocs limita l'accés entre xarxes, per prevenir una intrusió, però no determina un atac que pugui estar ocorrent internament a la xarxa. Un SDI, avalua una intrusió quan aquesta pren lloc, i genera una alarma. Un SDI a més observa atacs que s'originen dins del sistema. Aquest normalment s'aconsegueix examinant comunicacions, i identificant mitjançant heurística, o patrons (coneguts com a signatures), atacs comuns ja classificats, i presa una acció per alertar a un operador.[5]

Mecanismes de detecció d'un atac

Un SDI usa alguna de les dues següents tècniques per determinar que un atac es troba en curs:

Patró

Un SDI basat en patrons, analitza paquets a la xarxa, i els compara amb patrons d'atacs coneguts, i preconfigurats. Aquests patrons es denominen signatures. A causa d'aquesta tècnica, existeix un període entre el descobriment de l'atac i el seu patró, fins que aquest és finalment configurat en un SDI. Durant aquest temps, l'SDI serà incapaç d'identificar l'atac.[6]

Heurística

Un SDI basat en heurística, determina activitat normal de xarxa, com l'ordre d'ample de banda usat, protocols, ports i dispositius que generalment s'interconnecten, i alerta a un administrador o usuari quan aquest varia d'aquell considerat com a normal, classificant-ho com a anòmal.[7]

Implementació

Per posar en funcionament, un sistema de detecció d'intrusos s'ha de tenir en compte que és possible optar per una solució maquinari, programari o fins i tot una combinació d'aquests dos. La possibilitat d'introduir un element maquinari és a causa de l'alt requeriment de processador en xarxes amb molt tràfic. Al seu torn els registres de signatures i les bases de dades amb els possibles atacs necessiten gran quantitat de memòria, aspecte a tenir en compte.[8][9]

En xarxes és necessari considerar el lloc de col·locació del SDI. Si la xarxa està segmentada amb hub (capa 1 del model OSI) no hi ha problema a analitzar tot el tràfic de la xarxa realitzant una connexió a qualsevol port. En canvi, si s'utilitza un commutador (capa 2 del model OSI), és necessari connectar el SDI a un port SPAN o Nimby (Switch Port Analiser) per poder analitzar tot el tràfic d'aquesta xarxa.[10][11][12]

Referències

  1. Martellini, Maurizio; Malizia, Andrea. Cyber and Chemical, Biological, Radiological, Nuclear, Explosives Challenges: Threats and Counter Efforts (en anglès). Springer, 2017-10-30. ISBN 9783319621081. 
  2. Axelsson, S (2000). "Intrusion Detection Systems: A Survey and Taxonomy" (consultat 21 maig 2018)
  3. Newman, Robert. Computer Security: Protecting Digital Resources (en anglès). Jones & Bartlett Learning, 2009-06-23. ISBN 9780763759940. 
  4. Mohammed, Mohssen; Rehman, Habib-ur. Honeypots and Routers: Collecting Internet Attacks (en anglès). CRC Press, 2015-12-02. ISBN 9781498702201. 
  5. 5,0 5,1 Vacca, John R. Network and System Security (en anglès). Elsevier, 2013-08-26. ISBN 9780124166950. 
  6. «Towards an Energy-Efficient Anomaly-Based Intrusion Detection Engine for Embedded Systems».
  7. Anderson, Ross. Security Engineering: A Guide to Building Dependable Distributed Systems. Nova York: John Wiley & Sons, 2001, p. 387–388. ISBN 978-0-471-38922-4. 
  8. [enllaç sense format] http://www.giac.org/paper/gsec/235/limitations-network-intrusion-detection/100739
  9. Sebring, Michael M., and Whitehurst, R. Alan., "Expert Systems in Intrusion Detection: A Case Study," The 11th National Computer Security Conference, October, 1988
  10. Heberlein, L. Todd, Dias, Gihan V., Levitt, Karl N., Mukherjee, Biswanath, Wood, Jeff, and Wolber, David, "A Network Security Monitor," 1990 Symposium on Research in Security and Privacy, Oakland, CA, pages 296–304
  11. Kohlenberg, Toby (Ed.), Alder, Raven, Carter, Dr. Everett F. (Skip), Jr., Esler, Joel., Foster, James C., Jonkman Marty, Raffael, and Poor, Mike, "Snort IDS and IPS Toolkit," Syngress, 2007, ISBN 978-1-59749-099-3
  12. Viegas, E.; Santin, A. O.; Fran?a, A.; Jasinski, R.; Pedroni, V. A.; Oliveira, L. S. «Towards an Energy-Efficient Anomaly-Based Intrusion Detection Engine for Embedded Systems». IEEE Transactions on Computers, 66, 1, 01-01-2017, pàg. 163–177. DOI: 10.1109/TC.2016.2560839. ISSN: 0018-9340.

Vegeu també

Enllaços externs

  • Snort, OpenSource IDS/IPS
  • Sistemes de Detecció d'Intrusions Arxivat 2018-09-16 a Wayback Machine., CriptoRed UPM, 2003
Registres d'autoritat
  • BNF (1)
  • LCCN (1)