Evasión de Sistemas de Detección de Intrusos: Teoría, Técnicas y Prevención

Evasión preventiva :

Evasión preventiva :

• Evadiendo Sistemas de Detección de Intrusos: La teoría :La idea básica de la evasión es cuando el mecanismo de detección de intrusos, está viendo diferente información al que recibe el host víctima. Esto permite que el atacante pueda atacar sin ser detectado.Existen varias opciones para los segmentos de TCPque se recibe

Usar el segmento entero
Usar parte del segmento para ensamblar el TCP Usa parte e ignora el resto de los segmentos
Ignorar el segmento completamente
No recibir el segmento
La evasión del NIDS sucede cuando los sensores del NIDS toman la decisión de usar o no usar una parte del segmento entero del TCP para su ensamble. Tal error ocasionará que el NIDS vea diferente información de la cual el enviador y el receptor reciben en un flujo de paquetes de TCP.

• Construyendo segmentos TCP ambiguos :Las técnicas para crear segmentos ambiguos:
  • Inválidos TCP Checksum : La víctima dropeará los paquetes con checksum TCP inválidos. El NIDS fallará, aceptando los TCP checksum que son dropeados por la víctima.
  • Datos “Out-of-Window”:El receptor solo aceptará data dentro de un marco, llamado “Marco del receptor”. El receptor ignorará paquetes fuera de este marco. Al NIDS se le hace difícil saber el “Marco del receptor” esto ocasionará que un atacante envié datos fuera del “marco del receptor” y confundir al NIDS.

• Explotando inconsistentes RFC e implementación de TCP :Los varios RFC, que informan de las especificaciones para TCP (RFC793, RFC 1323 y otros) son muy complejos. Algunas implementaciones de TCP tienen accidentalmente fallas en sus especificaciones. El resultado es que el mismo segmento de TCP pueda ser aceptado o rechazados por las implementaciones de diferentes implementaciones de TCP STACK, lo cual un atacante tiene la oportunidad de construir segmentos TCP ambiguos.

Previniendo evasión de NIDS:

Prevención de intrusos:Se explicará estos mecanismos y demostrará porque no pueden prevenir un ataque:

• Enviando RESET de TCPEl detector de intrusos tomará un tiempo para realizar este envío, durante este tiempo varios paquetes han sido transferido al host víctima. El RESET TCP trabaja únicamente con protocolo TCP, y no con UDP no realizando RESET a estas conexiones, conociendo que existe varias vulnerabilidades sobre aplicaciones UDP como el DNS. El TCP RESET debe llevar una secuencia válida del segmento para que el SERVER acepte, para ser válido el número de la secuencia tiene que ser un “marco pequeño”
• Señalización al FIREWALL :La señalización al FIREWALL no es totalmente una técnica de prevención. Es un mecanismo activo de control de acceso a la RED. El Sistema de detección de intrusos envía al FIREWALL una señalización diciéndole que tipo de tráfico deberá ser “blocked”. El FIREWALL ajusta sus políticas y protege a la red ante futuros ataques del mismo tipo del mismo lugar.
• Dispositivos de prevención activos y en línea :El único método de un sistema preventivo de intrusos es operar en línea, manejando la seguridad en la RED teniendo la capacidad de dropear lo paquetes malignos con destino a la víctima.