Las ideas que acabamos de comentar pueden resultar más o menos interesantes,
pero presentan varios problemas importantes que es necesario comentar. El
primero y más importante es la descentralización del esquema: tenemos
implantadas varias aproximaciones a la detección de intrusos, pero hasta ahora
no hemos hablado de la relación entre ellas; cada uno de los modelos de
detección y/o respuesta de los que hemos tratado puede actuar de forma
independiente sin muchos problemas, pero en los entornos actuales esto es cada
vez menos habitual. Hoy en día, lo normal es encontrarse arquitecturas de
red segmentadas, con sensores en cada segmento tanto a nivel de red como de
host, así como uno o varios cortafuegos corporativos en los que
también se lleva a cabo detección de intrusos y respuesta automática.
Está claro que tener elementos independientes no es la aproximación más
adecuada, por lo que necesitamos un esquema capaz de unificar los ataques
detectados, por ejemplo para correlar eventos y lanzar únicamente una
respuesta automática ante un mismo ataque, aunque se detecte simultáneamente
en diferentes sensores; sin ser tan ambiciosos, la centralización en una
única consola puede ser necesaria para algo tan simple como generar
estadísticas mensuales acerca del número de ataques contra nuestro
entorno de trabajo: si un mismo ataque se detecta en varios sensores, >cómo
contabilizarlo? >cómo saber si se trata del mismo intruso o de varios?
>quién de todos decide lanzar una respuesta automática?...
Para tratar de solucionar este importante problema, hace unos años se
definió el grupo de trabajo IDWG (Intrusion Detection Exchange
Format Working Group), englobado dentro del IETF (Internet
Engineering Task Force); su propósito es obvio: tratar de definir
estándares para el intercambio de información entre los diferentes
elementos de un sistema de detección de intrusos y respuesta automática,
tanto a nivel de formato de datos como de procedimientos de intercambio.
Mediante esta aproximación se facilita enormemente tanto la integración de
sistemas, ya que de lo único que nos debemos preocupar es que todos los
elementos (sensores, consolas, elementos de respuesta...) sean capaces de
`hablar' el estándar, como la escalabilidad: añadir a un entorno de
detección distribuido un nuevo IDS, comercial o desarrollo propio, es mucho
más sencillo, ya que casi sólo hemos de conseguir que el nuevo elemento
utilice los formatos estándar definidos por el IDWG.
Hasta la fecha, el grupo de trabajo ha publicado cuatro borradores que cubren
los requisitos (de alto nivel) para las comunicaciones dentro del sistema de
detección de intrusos, el modelo de datos para representar la información
relevante para los IDSes - incluyendo una implementación en XML -, el
protocolo BEEP (Blocks Extensible Exchange Protocol) aplicado a la
detección de intrusos, y finalmente el protocolo IDXP (Intrusion
Detection eXchange Protocol) para intercambio de información entre entidades
de un sistema distribuido de detección de intrusos. Sin duda el primero y
el último son especialmente importantes, ya que constituyen la base del
sistema de intercambio de datos entre los diferentes elementos del entorno:
marcan el `lenguaje' que antes decíamos que tenían que saber hablar
todas y cada una de las entidades del sistema distribuido.
Desde http://www.ietf.org/html.charters/idwg-charter.html pueden
consultarse los trabajos del IDWG; se trata de un grupo activo, que
realiza contínuamente revisiones y mejoras de sus borradores para tratar
de convertirlos en un estándar real. Si algún día esto es así,
habremos dado un paso muy importante en el diseño, implantación y gestión
de sistemas distribuidos de detección de intrusos; lamentablemente, muchos
de los productos actuales no parecen tener mucho interés en acercarse al
estándar (quizás por miedo a perder cota de mercado). La integración de
algunos sistemas (como SNORT) es bastante inmediata, pero en cambio la
de otros - especialmente productos comerciales, altamente cerrados - no lo
es tanto; mientras esto no cambie, es difícil que se consiga implantar el
estándar, así que ójala estos fabricantes se den cuenta de que su
adaptación a los borradores del IDWG produce sin duda más beneficios
que daños.
© 2002 Antonio Villalón Huerta