Arquitectura general de un sistema de detección de intrusiones
Como acabamos de ver, desde el comienzo de la década de los ochenta se han llevado a cabo multitud de estudios referentes a la construcción de sistemas para la detección de intrusos. En todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir los siguientes requisitos:
o Precisión. Un sistema de detección de intrusos no debe que confundir acciones legítimas con acciones deshonestas a la hora de realizar su detección.
Cuando las acciones legítimas son detectadas como acciones maliciosas, el sistema de detección puede acabar provocando una denegación de servicio contra un usuario o un sistema legítimo. Este tipo de detecciones se conoce como falsos positivos. Cuanto menor sea el número de falsos positivos, mayor precisión tendrá el sistema de detección de intrusos.
o Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor será la eficiencia del sistema de detección de intrusos. Éste es un requisito complicado, ya que en ocasiones puede llegar a ser imposible obtener todo el conocimiento necesario sobre ataques pasados, actuales y futuros.
o Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detección en tiempo real responde a la detección de la intrusión antes de que ésta llegue a provocar daños en el sistema. Según los expertos, este tiempo debería de ser inferior a un minuto.
o Escalabilidad. A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentará el número de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el número de eventos, sin que se produzca pérdida de información. Este requisito es de gran relevancia en sistemas de detección de ataques distribuidos, donde los eventos son lanzados en diferentes equipos del sistema y deben ser puestos en correspondencia por el sistema de detección de intrusiones.
o Tolerancia en fallos. El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión).
Con el objetivo de normalizar la situación, algunos miembros del IETF* presentaron a mediados de 1998 una arquitectura de propósito general para la construcción de sistemas de detección de intrusos, conocida como CIDF**.
Dos años más tarde se creó un nuevo grupo de trabajo en el IETF con la intención de estandarizar y mejorar la propuesta del CIDF. Este grupo de trabajo, conocido como IDWG*, replantea nuevamente los requisitos necesarios para la construcción de un marco de desarrollo genérico y se marca los siguientes objetivos:
• Definir la interacción entre el sistema de detección de intrusos frente a otros elementos de seguridad de la red, como pueden ser los sistemas de prevención (cortafuegos, listas de control de accesos, … ).
Su primera propuesta se conoce con el nombre de Tunnel Profile. Se trata de la implementación de un mecanismo para la cooperación entre los distintos elementos de seguridad mediante el intercambio de mensajes. Este mecanismo garantiza una correcta comunicación entre los diferentes elementos, proporcionando privacidad, autenticidad e integridad de la información intercambiada (alertas, eventos, … ).
• Especificar el contenido de los mensajes intercambiados (eventos, alertas, …) entre los distintos elementos del sistema. Por esto, proponen el formato IDMEF** y el protocolo de intercambio de mensajes IDXP***.
Observando las propuestas tanto del CIDF como las del IDWG podemos ver que los elementos necesarios para la construcción de un sistema para la detección de intrusos se pueden agrupar en las siguientes cuatro categorías que a continuación pasaremos a comentar con más detalle:
1) Recolectores de información.
2) Procesadores de eventos.
3) Unidades de respuesta.
4) Elementos de almacenamiento.
Califica este Artículo
Categoría: Conectividad y Redes.
Deja una respuesta