Evasión (seguridad de la red)

En seguridad de redes, la evasión consiste en eludir una defensa de seguridad de la información para lanzar un exploit , un ataque u otra forma de malware a una red o sistema objetivo sin que se detecte. Las evasiones se utilizan normalmente para contrarrestar los sistemas de detección y prevención de intrusiones basados ​​en la red (IPS, IDS), pero también se pueden utilizar para eludir los cortafuegos y anular el análisis de malware . Otro objetivo de las evasiones puede ser bloquear una defensa de seguridad de la red, volviéndola ineficaz ante ataques dirigidos posteriores.

Descripción

Las evasiones pueden ser especialmente desagradables porque una evasión bien planificada e implementada puede permitir que se lleven a cabo sesiones completas en paquetes que evaden un IDS. Los ataques que se lleven a cabo en dichas sesiones ocurrirán justo bajo las narices de los administradores de la red y del servicio.

Los sistemas de seguridad se vuelven ineficaces contra técnicas de evasión bien diseñadas, de la misma manera que un caza furtivo puede atacar sin ser detectado por el radar y otros sistemas defensivos.

Una buena analogía con las evasiones es un sistema diseñado para reconocer palabras clave en patrones de habla en un sistema telefónico, como “entrar en el sistema X”. Una evasión simple sería usar un idioma distinto del inglés, pero que ambas partes puedan entender y, con suerte, un idioma que la menor cantidad posible de personas puedan hablar.

Ataques de evasión

Desde mediados de la década de 1990 se conocen varios ataques de evasión avanzados y específicos:

• En 1997 apareció un texto fundamental que describe los ataques contra los sistemas IDS. ^[1]
• Una de las primeras descripciones completas de ataques fue reportada por Ptacek y Newsham en un informe técnico en 1998. ^[2]
• En 1998, un artículo en la revista Phrack también describe formas de eludir la detección de intrusiones en la red. ^[3]

Informes

El artículo de 1997 ^[1] analiza principalmente diversos trucos basados ​​en caracteres y scripts de shell para engañar a un IDS. El artículo de Phrack Magazine ^[3] y el informe técnico de Ptacek et al. ^[2] analizan vulnerabilidades, evasiones y otros aspectos del protocolo TCP/IP. Entre los debates más recientes sobre evasiones se encuentra el informe de Kevin Timm. ^[4]

Protección contra evasiones

El desafío de proteger a los servidores de las evasiones es modelar la operación del host final en el dispositivo de seguridad de la red, es decir, el dispositivo debe poder saber cómo el host de destino interpretaría el tráfico y si sería dañino o no. Una solución clave para la protección contra las evasiones es la normalización del tráfico en el dispositivo IDS/IPS. La otra forma de implementar la separación del acceso a Internet se puede basar en cómo el usuario del punto final puede acceder de forma segura al segmento de Internet. ^[5]

Últimamente se ha hablado de la necesidad de dedicar más esfuerzos a la investigación de técnicas de evasión. En una presentación en Hack.lu se trataron algunas técnicas de evasión potencialmente nuevas y cómo aplicar múltiples técnicas de evasión para eludir los dispositivos de seguridad de la red. ^[6]

Véase también

• Proyecto Metasploit

Referencias

1. 50 formas de derrotar a su sistema de detección de intrusiones
2. Ptacek, Newsham: Inserción, evasión y denegación de servicio: cómo eludir la detección de intrusiones en la red, Informe técnico, 1998.
3. Cómo derrotar a los sniffers y a los sistemas de detección de intrusiones
4. Técnicas y tácticas de evasión de IDS
5. M. Handley, V. Paxson, C. Kreibich, Detección de intrusiones en la red: evasión, normalización del tráfico y semántica de protocolo de extremo a extremo, Usenix Security Symposium, 2001.
6. "Técnicas avanzadas de evasión de IPS basadas en red". Archivado desde el original el 22 de julio de 2011. Consultado el 11 de octubre de 2010 .

• Singh, Abhishek. "Evasiones en los sistemas de prevención y detección de intrusiones". Virus Bulletin. Consultado el 1 de abril de 2010.