Saltar la navegación

4.4. Intentos de penetración

Un intento de Penetración es un análisis que permite detectar vulnerabilidades en un entorno informatizado mediante la búsqueda, la identificación y explotación de vulnerabilidades. Su alcance se extiende a:

  • Equipos de comunicaciones
  • Servidores
  • Estaciones de trabajo
  • Aplicaciones
  • Bases de Datos
  • Servicios Informáticos
  • Casillas de Correo Electrónico
  • Portales de Internet
  • Intranet corporativa
  • Acceso físico a recursos y documentación
  • Ingeniería social (La ingeniería social es la técnica por la cual se obtiene información convenciendo al usuario que otorgue información confidencial, haciéndose pasar por usuarios con altos privilegios como administradores y técnicos).

Para realizar un Intento de Penetración es necesario realizar las siguientes tareas:

  1. Reconocimiento de los recursos disponibles mediante el empleo de herramientas automáticas.
  2. Identificación de las vulnerabilidades existentes mediante herramientas automáticas.
  3. Explotación manual y automática de las vulnerabilidades para determinar su alcance.
  4. Análisis de los resultados.

Sistemas de Detección de Intrusos (IDS)

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.

Existen dos claras familias importantes de IDS:

  • El grupo Network-IDS o NIDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.
  • El grupo Host-IDS o HIDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.

Un NIDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El NIDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.

El HIDS actúa como un daemon o servicio estándar en el sistema de un host (Windows, Solaris, Linux, etc). Tradicionalmente, el HIDS analiza la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer).

Técnicas de detección de intrusos

El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar intrusiones:

  • Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la muerte" y "escaneo silencioso TCP" utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada.
  • Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un NIDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc.
  • Reconocimiento de ataques de "comparación de patrones": Esta técnica de reconocimiento de intrusión es el método más antiguo de análisis NIDS y todavía es de uso frecuente. Esta táctica está difundida por los grupos NIDS "Network Grep", que se basan en la captura de paquetes originales dentro de una conexión supervisada y en su posterior comparación al utilizar un analizador de "expresiones regulares". Éste intentará hacer coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete capturado.