Antecedentes de los sistemas de detección de intrusos
Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditor´?as. Estos sistemas tenían como finalidad medir el tiempo que dedicaban los operadores a usar los sistemas. Con esta finalidad, se monitorizaban con una precisión de milésimas de segundo y servían, entre otras cosas, para poder facturar el servidor.
Los primeros sistemas aparecieron en la década de los cincuenta, cuando la empresa norteamericana Bell Telephone System creó un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en empresas de telefonía. Este equipo estableció la necesidad de utilizar auditor´?as mediante el procesamiento electrónico de los datos*, rompiendo con el anterior sistema basado en la realización de informes en papel. Este hecho provocó que a finales de los años 50 la Bell Telephone System se embarcara en el primer sistema a gran escala de facturación telefónica controlada por ordenadores.
La siguiente figura muestra un sencillo esquema del funcionamiento de un sistema de auditorias, en el cual los eventos de sistema son capturados por un generador de auditorias que llevará los datos hacia el elemento encargado de almacenarlos en un fichero de informe.
A partir de los años 70, el Departamento de Defensa de los EEUU empezó a invertir numerosos recursos en la investigación de políticas de seguridad, directrices y pautas de control. Estos esfuerzos culminaron con una iniciativa de seguridad en 1977 en la que se definía el concepto de sistemas de confianza.
A finales de la década de los setenta se incluyó en el Trusted Computer System Avaluation Criteria (TSCSEC) un apartado sobre los mecanismos de las auditor´?as como requisito para cualquier sistema de confianza con un nivel de seguridad elevado. En este documento, conocido bajo el nombre de Libro marrón (Tan book), se enumeran los objetivos principales de un mecanismo de auditoría que podemos resumir muy brevemente en los siguientes puntos:
• Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protección del sistema.
• Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.
• Permitir el descubrimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor (escalada de privilegios).
• Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de protección del sistema.
• Servir de garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones será suficiente para controlar los posibles daños ocasionados en el sistema.
Califica este Artículo
Categoría: Conectividad y Redes.
Deja una respuesta