Evasión en sistemas de detección de intrusos de red

Volvemos a la carga tras unos días de inactividad vacacional :)

Interesante documento el publicado en Securityfocus sobre técnicas de evitación de sistemas de detección de intrusos de red (NIDS, Network Intrusion Detection System). Un NIDS es un sistema que permite el análisis de tráfico en una red, en tiempo real, buscando en el tráfico los paquetes que tengan un patrón sospechoso, que puedan ser debidos a acciones potencialmente maliciosas y encaminadas a la intrusión, como denegaciones de servicio, escucha de puertos, etc. El NIDS por excelencia es Snort, muy popular y además, de código abierto.

El documento es una revisión de un documento anterior, al que particularmente no había tenido acceso. Evading NIDS, revisited narra principalmente cómo es posible evitar los sistemas NIDS para, evidentemente, pasar inadvertidos en nuestras acciones de intrusión.

Especialmente interesante es la mención y descripción de los ataques basados en fragmentos solapados, overlapping fragments, una técnica de evasión compleja pero efectiva basada en los distintos reensamblados de fragmentos que hacen distintos sistemas operativos, y cómo se puede aprovechar esto para que no salten las alarmas de los sistemas de detección.

Una lectura de gran interés, sobre todo porque particularmente soy de la opinión que buenos sistemas de detección y buenas configuraciones reducen a la mínima expresión la probabilidad de intrusión, pero en condiciones reales, ahí fuera, lo raro es encontrar sistemas de detección bien configurados en sistemas correctamente securizados, con lo que en líneas generales, muchos sistemas no están preparados ni para contener ni para recabar evidencias de las acciones externas ilegítimas.

Saludos :)