Figura 18.1:
Puntos clásicos de defensa entre un atacante y un objetivo.
|
Vamos a tratar ahora de definir unas pautas para crear un sistema distribuido
de detección de intrusos, capaz de generar respuestas automáticas, alarmas,
o simplemente logs a distintos niveles de nuestra arquitectura de red,
formando lo que se suele denominar un modelo de seguridad de círculos
concéntricos ([ISV95]). Para ello, imaginemos un pirata externo a
nuestra organización que intenta atacar una determinada máquina, y
pensemos en el primer punto en el que podemos detectar dicho ataque y actuar
sobre él: ahí es donde deberemos implantar el primer sensor, ya que se
trata de la primera barrera que estamos interponiendo entre el atacante y su
objetivo; ese primer punto no es otro que nuestro router de salida a
Internet, el marcado como `1' en la figura 18.1 (pido perdón
por mi estilo `artístico'). No podemos
entrar aquí a tratar detalles sobre las capacidades
de detección de intrusos de productos como los routers Cisco y su IOS,
o de otros elementos fácilmente integrables con esta electrónica de red,
como NetRanger (también de Cisco), ya que se trata de sistemas que poco tienen
que ver con Unix, y que en muchos casos no controlamos nosotros directamente
sino una tercera organización (por ejemplo, Telefónica), a pesar de que
tengan incluso una dirección IP perteneciente a nuestra red. En las páginas
web de los distintos fabricantes se puede encontrar información muy
útil sobre sus productos orientados a la detección y respuesta ante
ataques.
Subsecciones
© 2002 Antonio Villalón Huerta
