Monitorizar la actividad de nuestro cortafuegos es algo indispensable para
la seguridad de todo el perímetro protegido; la monitorización nos
facilitará información sobre los intentos de ataque que estemos sufriendo
(origen, franjas horarias, tipos de acceso...), así como la existencia
de tramas que aunque no supongan un ataque a priori sí que son al
menos sospechosas (podemos leer [Bel93b] para hacernos una idea de que
tipo de tramas `extrañas' se pueden llegar a detectar).
>Qué información debemos registrar? Además de los registros estándar
(los que incluyen estadísticas de tipos de paquetes recibidos, frecuencias,
o direcciones fuente y destino) [BCOW94] recomienda auditar información
de la conexión (origen y destino, nombre de usuario - recordemos el servicio
ident - hora y duración), intentos de uso de protocolos denegados,
intentos de falsificación de dirección por parte de máquinas internas al
perímetro de seguridad (paquetes que llegan desde la red externa con la
dirección de un equipo interno) y tramas recibidas desde routers
desconocidos. Evidentemente, todos esos registros han de ser leidos con
frecuencia, y el administrador de la red ha de tomar medidas si se detectan
actividades sospechosas; si la cantidad de logs generada es considerable
nos puede interesar el uso de herramientas que filtren dicha información.
Un excelente mecanismo para incrementar mucho nuestra seguridad puede ser
la sustitución de servicios reales en el cortafuegos por programas trampa
([Bel92]). La idea es sencilla: se trata de pequeñas aplicaciones que
simulan un determinado servicio, de forma que un posible atacante piense que
dicho servicio está habilitado y prosiga su `ataque', pero que realmente nos
están enviando toda la información posible sobre el pirata. Este tipo de
programas, una especie de troyano, suele tener una finalidad múltiple:
aparte de detectar y notificar ataques, el atacante permanece entretenido
intentando un ataque que cree factible, lo que por un lado nos beneficia
directamente - esa persona no intenta otro ataque quizás más peligroso -
y por otro nos permite entretener al pirata ante una posible traza de su
conexión. Evidentemente, nos estamos arriesgando a que nuestro atacante
descubra el mecanismo y lance ataques más peligrosos, pero como el nivel de
conocimientos de los atacantes de redes habituales en general no es muy elevado
(más bien todo lo contrario), este mecanismo nos permite descubrir posibles
exploits utilizados por los piratas, observar a qué tipo de atacantes
nos enfrentamos, e incluso divertirnos con ellos. En la Universidad
Politécnica de Valencia existen algunos sistemas con este tipo de trampas, y
realmente es curioso observar cómo algunos intrusos siguen intentando
aprovechar bugs que fueron descubiertos - y solucionados - hace más
de cuatro años (ejemplos típicos aquí son PHF y algunos
problemas de sendmail). En [Che92], un artículo clásico
a la hora de hablar de seguridad (también se comenta el caso en el
capítulo 10 de [CB94]), se muestra cómo Bill Cheswick, un
experto en seguridad de los
laboratorios AT&T estadounidenses, es capaz de analizar detenidamente gracias
a estos programas las actividades de un pirata que golpea el gateway de
la compañía.
© 2002 Antonio Villalón Huerta
