Evasión (seguridad de redes)

En seguridad de redes, la evasión consiste en eludir una defensa de seguridad de la información con el fin de enviar un exploit, ataque u otra forma de malware a una red o sistema objetivo, sin ser detectado. Las evasiones suelen utilizarse para contrarrestar los sistemas de detección y prevención de intrusiones basados en la red (IPS, IDS), pero también pueden utilizarse para eludir los cortafuegos y el análisis de malware. Otro objetivo de las evasiones puede ser colapsar una defensa de seguridad de red, haciéndola ineficaz ante posteriores ataques dirigidos.

Descripción

Las evasiones pueden ser particularmente desagradables porque una evasión bien planificada e implementada puede permitir que se lleven a cabo sesiones completas en paquetes que evaden un IDS. Los ataques llevados a cabo en tales sesiones se producirán delante de las narices de los administradores de red y de servicios.

Los sistemas de seguridad se vuelven ineficaces frente a técnicas de evasión bien diseñadas, del mismo modo que un caza furtivo puede atacar sin ser detectado por el radar y otros sistemas defensivos.

Una buena analogía de las evasiones es un sistema diseñado para reconocer palabras clave en patrones de habla en un sistema telefónico, como "entrar en el sistema X". Una evasión sencilla consistiría en utilizar un idioma distinto del inglés, pero que ambas partes puedan entender, y lo idea es que sea un idioma que hable el menor número posible de personas.

Ataques de evasión

Desde mediados de los años noventa se conocen varios ataques de evasión avanzados y selectivos:

  • En 1997 apareció un texto fundamental en el que se describían los ataques contra los sistemas IDS.[1]
  • Una de las primeras descripciones exhaustivas de los ataques la realizaron Ptacek y Newsham en un informe técnico en 1998.[2]
  • En 1998, también un artículo de la revista Phrack Magazine describe formas de eludir la detección de intrusiones en la red.[3]

Informes

El artículo de 1997[1]​ trata sobre todo de varios trucos basados en shell-scripting (script de shell) y caracteres para engañar a un IDS. El artículo de Phrack Magazine[3]​ y el informe técnico de Ptacek et al.[2]​ tratan sobre exploits de protocolos TCP/IP, evasiones y otros. Discusiones más recientes sobre evasiones incluyen el informe de Kevin Timm.[4]

Protección contra las evasiones

El reto en la protección de servidores contra evasiones es modelar la operación del host final en el dispositivo de seguridad de la red, es decir, el dispositivo debe ser capaz de saber cómo el host objetivo interpretaría el tráfico, y si sería dañino, o no. Una solución clave en la protección contra las evasiones es la normalización del tráfico en el dispositivo IDS/IPS. La otra forma de separar el acceso a Internet puede implementarse basándose en cómo el usuario final puede estar seguro accediendo al segmento de Internet.[5]

Últimamente se ha hablado de dedicar más esfuerzos a la investigación de técnicas de evasión. En una presentación en Hack.lu se habló de algunas técnicas de evasión potencialmente nuevas y de cómo aplicar múltiples técnicas de evasión para eludir los dispositivos de seguridad de la red.[6][7]

Véase también

Referencias

  1. a b «50 Ways to Defeat Your Intrusion Detection System». all.net. Consultado el 8 de agosto de 2023. 
  2. a b Ptacek, Newsham (1998). «Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection». Technical report. 
  3. a b «Defeating Sniffers and Intrusion Detection Systems». phrack.org. Consultado el 8 de agosto de 2023. 
  4. «Endpoint Protection - Symantec Enterprise». community.broadcom.com. Consultado el 8 de agosto de 2023. 
  5. M. Handley, V. Paxson, C. Kreibich (2001). «Network intrusion detection: evasion, traffic normalization, and end-to-end protocol semantics». Usenix Security Symposium. 
  6. Advanced Network Based IPS Evasion Techniques. Archivado desde el original el 22 de julio de 2011. Consultado el 8 de agosto de 2023. 
  7. Singh, Abhishek. «Evasions In Intrusion Prevention Detection Systems». Virus Bulletin.