Story Transcript
Análisis de Difusión de u n Gusano en u n a R e d Peer-to-Peer por
Ing. Alfredo Guzmán Ortega
Tesis P r e s e n t a d a a l P r o g r a m a de G r a d u a d o s de l a División de M e c a t r ó n i c a y Tecnologías de Información como requisito parcial p a r a obtener el grado
académico
de
Maestro en Ciencias especialidad en
Telecomunicaciones
Instituto Tecnológico y de Estudios Superiores de Monterrey Campus Monterrey M a y o de 2010
Instituto Tecnológico y de Estudios Superiores de Monterrey Campus Monterrey División de Mecatrónica y Tecnologías de Información P r o g r a m a de
Graduados
L o s m i e m b r o s d e l c o m i t é de tesis r e c o m e n d a m o s que l a presente tesis de A l f r e d o G u z m á n O r t e g a sea a c e p t a d a c o m o r e q u i s i t o p a r c i a l p a r a o b t e n e r e l g r a d o
académico
de M a e s t r o e n C i e n c i a s , e s p e c i a l i d a d e n :
Telecomunicaciones
Comité de tesis:
D r . Jorge Carlos M e x Perera Asesor de l a tesis
D r . G e r a r d o A n t o n i o Castañón
Ing. A r t e m i o Alfredo A g u i l a r
Avila
Coutiño
Sinodal
Sinodal
D r . G e r a r d o A n t o n i o Castañón Ávila D i r e c t o r de las maestrías en Electrónica y Automatización de la DMTI M a y o de 2010
E s t e t r a b a j o e s t a d e d i c a d o c o n cariño: A mis padres Concepción O r t e g a Verdugo y M a n u e l Guzmán Vargas por estar s i e m p r e c o n m i g o y h a b e r m e e n s e n a d o t o d o l o que se. A mis hermanos Hania, Luisito y M a r i e l . Y a t i P a u l i n a p o r e s t a r a m i l a d o y ser e l b r i l l o de m i v i d a .
Reconocimientos
A m i s profesores de p o s g r a d o p o r h a b e r f o r m a d o p a r t e de m i preparación
académi-
c a y p o r h a b e r t r a n s m i t i d o lecciones y c o n o c i m i e n t o s a lo l a r g o de l a maestría. A m i asesor, el D r . J o r g e C a r l o s M e x p o r h a b e r m e g u i a d o e n e l p r o c e s o de l a tesis, p o r sus consejos y o b s e r v a c i o n e s . A l T e c n o l ó g i c o de M o n t e r r e y p o r h a b e r m e d a d o l a o p o r t u n i d a d de r e a l i z a r m i s e s t u d i o s de p o s g r a d o . A m i s p a d r e s p o r a p o y a r m e i n c o n d i c i o n a l m e n t e e n t o d o s m i s p r o y e c t o s de v i d a . A m i s c o m p a ñ e r o s de e s t u d i o s p o r a y u d a r m e e n t o d o este t i e m p o . A m i s amigos por el apoyo b r i n d a d o .
ALFREDO GUZMÁN ORTEGA Instituto Tecnológico y de Estudios Superiores de Monterrey Mayo 2010
V
Análisis de Difusión de u n Gusano en u n a R e d Peer-to-Peer
Alfredo Guzmán Ortega, M . C . I n s t i t u t o T e c n o l ó g i c o y de E s t u d i o s S u p e r i o r e s de M o n t e r r e y , 2010
A s e s o r de l a tesis: D r . J o r g e C a r l o s M e x P e r e r a
L a s R e d e s P e e r - t o - P e e r h a n g a n a d o u n a g r a n p o p u l a r i d a d g r a c i a s a l c o n c e p t o de c o m partición de a r c h i v o s y r e c u r s o s , d o n d e m i l l o n e s de u s u a r i o s de I n t e r n e t h a c e n uso de e s t a función. U n a de las p r o p i e d a d e s de las R e d e s P 2 P P u r a s es que n o c u e n t a n c o n u n s i s t e m a que a d m i n i s t r e los c o n t e n i d o s y recursos. S u n a t u r a l e z a d e s c e n t r a l i z a d a es difícil m a n t e n e r u n c o n t r o l de e s q u e m a s de segu¬ r i d a d , d e j a n d o i n m u n e s a los u s u a r i o s ante u n a t a q u e a l a r e d . L o s g u s a n o s se h a n i d o p o p u l a r i z a n d o e n este t i p o de a t a q u e s , y a que s i n n i n g u n a i n f r a e s t r u c t u r a de s e g u r i d a d , les p e r m i t e d i f u n d i r s e rápidamente. L o s n o d o s g u a r d i a n e s s o n u n e s q u e m a de p r o t e c c i ó n p a r a estos s i s t e m a s P 2 P . For¬ m a n p a r t e de l a m i s m a p o b l a c i ó n a c t i v a de n o d o s , y a s u vez p r o t e g e n u n a p o r c i ó n de e l l a . E n estos t i e m p o s , se l i d i a c o n g u s a n o s m u y p o t e n t e s que e n t r a n p o r l u g a r e s a los que e l u s u a r i o n o t i e n e acceso o c o n o c i m i e n t o , d a n d o c o m o r e s u l t a d o u n a t a q u e seguro y efectivo. E n este t r a b a j o se a n a l i z a l a e f i c a c i a de los n o d o s g u a r d i a n e s e n u n a R e d P 2 P b a j o el a t a q u e de g u s a n o de rápida p r o p a g a c i ó n , m e d i a n t e m o d e l o s de difusión y p r o t e c c i ó n .
Índice general
Reconocimientos
V
Resumen
VI
Indice de cuadros
IX
Indice de C a p í t u l o 1.
figuras Introducción
X 1
1.1.
Objetivo
2
1.2.
Justificación
2
1.3.
Contribución
3
1.4.
Organización
3
C a p í t u l o 2.
Redes Peer-to-Peer
4
2.1.
Características de las R e d e s P e e r - t o - P e e r
2.2.
A p l i c a c i o n e s de las R e d e s P e e r - t o - P e e r
5
2.3.
T i p o s de R e d e s P e e r - t o - P e e r
6
2.4.
Redes Overlay
8
2.4.1.
8
2.5.
2.6. 2.7.
Características de las R e d e s O v e r l a y
Chord
5
9
2.5.1.
Funcionamiento General
9
2.5.2.
P r o c e d i m i e n t o de B ú s q u e d a de N o d o s
10
Gusanos
10
2.6.1.
11
Caracterización de los G u s a n o s
D e t e c c i ó n de I n t r u s i o n e s
12
2.7.1.
S i s t e m a s de D e t e c c i ó n y P r e v e n c i ó n de I n t r u s i o n e s
13
2.7.2.
F u n c i o n e s de u n I D P S
14
2.8.
V u l n e r a b i l i d a d e s del Software
14
2.9.
Buffer Overflow
15
2.9.1.
15
Incidentes
2.10. A t a q u e s e n l a H i s t o r i a
16
VII
2.11. T i p o s de V u l n e r a b i l i d a d e s E x p l o t a d a s
16
2.11.1. U n i x
17
2.11.2. D i s p o s i t i v o s M ó v i l e s
18
C a p í t u l o 3. M o d e l o s d e P r o p a g a c i ó n y C o n t e n c i ó n d e G u s a n o s e n R e d e s P2P 3.1.
20 T é c n i c a s de R e s p u e s t a a u n A t a q u e
21
3.1.1.
M e t o d o l o g í a de D e t e c c i ó n
21
3.1.2.
Detectores.
22
3.2.
E s t r a t e g i a s de A t a q u e de u n G u s a n o
22
3.3.
M o d e l o de Difusión de u n G u s a n o .
23
3.3.1.
23
Difusión de u n G u s a n o
3.4.
Análisis de G r a d o de R i e s g o
3.5.
C o n t r a a t a c a n d o l a a m e n a z a de los G u s a n o s
3.6.
24 27
3.5.1.
D e t e c c i ó n A u t o m á t i c a de G u s a n o s
27
3.5.2.
Nodos Guardianes
28
3.5.3.
M o d e l o de C o n t e n c i ó n de A m e n a z a s b a s a d o e n N o d o s G u a r d i a n e s .
28
A u t e n t i c a c i ó n de N o d o s G u a r d i a n e s .
C a p í t u l o 4.
Implementación y Resultados
30 32
4.1.
Simulador
32
4.2.
Diseño de l a Simulación
33
4.3.
Escenarios Propuestos
34
4.3.1.
Escenario General
34
4.3.2.
Escenario 1
. . .
35
4.3.3.
Escenario 2
. . .
37
4.3.4.
Escenario 3
. . .
38
C a p í t u l o 5. C o n c l u s i o n e s 5.0.5.
43
Trabajo a Futuro.
44
Bibliografía
45
Vita
47
VIII
Índice de cuadros
3.1.
T a b l a de Análisis de R i e s g o s
26
4.1.
D e s c r i p c i ó n de parámetros d e l s i m u l a d o r
33
4.2.
T a b l a de
35
4.3.
Resultados de l a simulación E s c e n a r i o 1
36
4.4.
Resultados
de l a simulación E s c e n a r i o 2
37
4.5.
Resultados
de l a simulación E s c e n a r i o 3
39
4.6.
Ponderación
Comparación
de I n f e c c i o n
de r e s u l t a d o s de
simulación.
IX
41
Índice de figuras
2.1.
U n a R e d Peer-to-Peer.
7
2.2.
A n i l l o lógico de C h o r d .
9
2.3.
Asignación de C l a v e s a N o d o s Sucesores
10
2.4.
Exploit
"ikee" activo en u n i P h o n e
19
3.1.
M o d e l o de Difusión e n t i e m p o = 0
24
3.2.
M o d e l o de Difusión e n t i e m p o = 1
25
3.3.
M o d e l o de Difusión e n t i e m p o = 2
25
3.4.
M o d e l o de P r o t e c c i ó n de los N o d o s G u a r d i a n e s
29
4.1.
C a m b i o s de estados e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 1. 36
4.2.
M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 1.
4.3.
C a m b i o s de e s t a d o e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 2. 38
4.4.
M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 2. 39
4.5.
C a m b i o s de e s t a d o e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 3. 40
4.6.
C o m p a r a c i ó n de Infecciones e n u n a t a q u e de u n g u s a n o n i v e l 3.
41
4.7.
M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 3.
42
x
37
Capítulo 1
Introducción
L o s s i s t e m a s c o n f o r m a de r e d a b u n d a n e n n u e s t r o m u n d o . L a s redes
complejas
s o n redes dinámicas, c o n j u n t o s de o b j e t o s c o n e c t a d o s que interactúan e n t r e s i , y p o r o b j e t o p u e d e n ser, n o d o s de u n a r e d informática, p e r s o n a s de u n a r e d s o c i a l , e l e m e n t o s de u n a r e d b i o l ó g i c a , entre o t r o s . A l g o que c a r a c t e r i z a a las redes c o m p l e j a s es que s u t o p o l o g í a es u n t e m a s u s t a n c i a l entres sus f u n c i o n e s . E n t r e las redes informáticas e n c o n t r a m o s a l I n t e r n e t o a l a W o r l d W i d e W e b , d e n t r o de estas redes e x i s t e n redes v i r t u a l e s f o r m a d a s p o r m i l l o n e s de n o d o s i n t e r a c t u a n d o entre s i , y a se
compartiendo
información o recursos, son conocidas como Redes Peer-to-Peer ( P 2 P ) . U n s i s t e m a de r e d P e e r - t o - P e e r es u n g r u p o de n o d o s que c o n s t r u y e n s u p r o p i a r e d c o n o b j e t i v o s especiales. D a d o a l reciente s u r g i m i e n t o de los s i s t e m a s P 2 P c o n g r a n d e s n ú m e r o s de u s u a r i o s , estos s i s t e m a s p u e d e n ser u n m e d i o m u y efectivo p a r a que los P i r a t a s Informáticos l a n c e n a t a q u e s c o n G u s a n o s ( W o r m s ) . L a p r o p a g a c i ó n de g u s a n o s p o r I n t e r n e t p u e d e p e r m i t i r que u n solo n o d o c o n t r o l e m i l e s de n o d o s l a n z a n d o a t a q u e s c o m o Negación de S e r v i c i o ( D o S , D e n i a l of Service) entre o t r o s , a c c e d i e n d o
información
c o n f i d e n c i a l y d e s t r u y e n d o i n f o r m a c i ó n v a l i o s a . L o s s i s t e m a s P 2 P se están c o n v i r t i e n d o e n u n f a c t o r i m p o r t a n t e e n l a c o m p a r t i c i ó n de recursos a m a y o r e s c a l a e n I n t e r n e t . U n g u s a n o es u n t i p o de v i r u s i n f o r m á t i c o que posee l a p r o p i e d a d de d u p l i c a r s e a si m i s m o . L o s gusanos e x p l o t a n p a r t e s de u n s i s t e m a o p e r a t i v o que g e n e r a l m e n t e s o n i n v i s i b l e s a l u s u a r i o . A d i f e r e n c i a de u n v i r u s , u n g u s a n o n o p r e c i s a a l t e r a r a r c h i v o s o p r o g r a m a s , sino c o p i a r s e e n l a m e m o r i a y d u p l i c a r s e a si m i s m o , c o n esto b u s c a n
dañar
l a r e d , m i e n t r a s los v i r u s s i e m p r e i n f e c t a n o c o r r o m p e n a r c h i v o s . E l p r o b l e m a de l a difusión de los gusanos sobre las redes P 2 P , t i e n e s u raíz desde el u s u a r i o final h a s t a los m i s m o s s i s t e m a s que se u t i l i z a n p a r a s u o p e r a c i ó n , y a que u n a infección se p u e d e o c a s i o n a r desde e l m í n i m o d e s c u i d o d e l u s u a r i o o y a sea p o r l a f a l t a de s e g u r i d a d d e l s i s t e m a , dícese v u l n e r a b i l i d a d , f a l t a de software a n t i v i r u s y / o
firewall.
g e n e r a costos que l a
mayoría
actualización
L a i m p l e m e n t a c i ó n de s i s t e m a s especiales de de las veces n o es costeable 1
e n los detección
p a r a los s i s t e m a s P 2 P y
p a r a los u s u a r i o s , y a s u vez estos s i s t e m a s especiales p u e d e n ser m e d i d a s c o n t r a p r o ¬ ducentes p a r a l a r e d , y a que u n a m e d i d a p u e d e ser e l a p a g a d o de a l g u n a
aplicación
o
a l m o m e n t o de q u e r e r n o t i f i c a r a l a r e d , p u e d e darse u n a saturación de a n c h o de b a n d a . U n a m e d i d a p a r a c o n t r a r r e s t a r este p r o b l e m a e n las redes P 2 P , p u e d e ser l a i m p l e m e n t a c i ó n de n o d o s especiales, d i s t r i b u i d o s y c o l o c a d o s e n l a población a c t i v a de l a red. Nodos Guardianes con
características
de u n g u s a n o y c i e r t o n i v e l de
contención
que les p e r m i t e n l a detección de u n a t a q u e d e l m i s m o . E s t o s n o d o s solo o c u p a n u n pe¬
q u e ñ o p o r c e n t a j e e n l a población de l a r e d y a que p o r s u h a r d w a r e y software a l c a n z a n costos elevados p a r a e l u s u a r i o p r o m e d i o .
[1]
E l diseño de u n a i n f r a e s t r u c t u r a de r e d i n m u n e , podría ser l a solución a este pro¬ b l e m a que a t a c a a m i l l o n e s de u s u a r i o s e n e l m u n d o . L a s redes están c o n
nosotros
c o t i d i a n a m e n t e , que a l g u n a s veces t e m e m o s de s u p o d e r , c o m o el 10 de a g o s t o de 1996, u n a f a l l a e n dos líneas de energía e n e l e s t a d o de O r e g ó n e n E s t a d o s U n i d o s , llevó a u n a serie de fallas e n c a s c a d a d e j a n d o a 7 m i l l o n e s de u s u a r i o s e n 11 estados y 2 p r o v i n c i a s de Canadá s i n energía d u r a n t e 16 h o r a s . [2] [4]
1.1.
Objetivo
E n este t r a b a j o a n a l i z a r e m o s el i m p a c t o de l a sistema P 2 P y el
método
de
contención
propagación
de u n g u s a n o e n u n
de a m e n a z a s b a s a d o e n N o d o s G u a r d i a n e s .
Se realizarán e x p e r i m e n t o s c o n diferentes t i p o s de g u s a n o s , e n c u a n t o a v e l o c i d a d de propagación
se refiere, b a s a d o e n u n m o d e l o de difusión c o n lo que se e s p e r a , los N o d o s
G u a r d i a n e s p u e d a n c o n t e n e r o d i s m i n u i r el i m p a c t o d e l g u s a n o ,
proveyéndonos
asó u n a
p o s i b l e solución a l p r o b l e m a de l a difusión de u n g u s a n o e n u n a R e d P 2 P .
1.2.
Justificación
E n c o n t r a m o s que las redes P 2 P se h a n v u e l t o v u l n e r a b l e s a los a t a q u e s de g u s a n o s c o n f o r m e h a c r e c i d o s u p o p u l a r i d a d entre l a c o m u n i d a d de I n t e r n e t . E s p o r eso que l a Aparición
de nuevos esquemas de a t a q u e s , e n f o r m a de g u s a n o n o h a s i d o l a
excepción.
E s t o s nuevos g u s a n o s son d e l t i p o i n d e t e c t a b l e p a r a las técnicas a c t u a l e s de s e g u r i d a d , p o r l o que c a u s a n g r a n daño a los s i s t e m a P 2 P . E s t e n u e v o m o d e l o i n c l u y e v a r i a s fases, p r i m e r o de a l e r t a y método de a i s l a m i e n t o .
2
detección
automática,
generación
1.3.
Contribución
C o n e l o b j e t i v o de d e t e r m i n a r el i m p a c t o que t i e n e l a difusión de u n g u s a n o e n u n a R e d P 2 P , se p r o p o n e u n a m e j o r a a l m o d e l o de Automática
contención
de a m e n a z a s " D e t e c c i ó n
de G u s a n o s " [1], e n este n u e v o m o d e l o es u n a m e j o r a d e l a n t e r i o r , y a que
t o m a e n c u e n t a elementos reales que i n f l u y e n d i r e c t a m e n t e a l a difusión de u n g u s a n o , asó c o m o l a
caracterización
d e l g u s a n o e n sí, c o n diferentes niveles de p e l i g r o , y a que e l
m o d e l o o r i g i n a l sólo t o m a e n c u e n t a , u n sólo t i p o de g u s a n o . L a base de este s i s t e m a de
detección
es l a i m p l e m e n t a c i ó n de N o d o s G u a r d i a n e s , los cuales s o n n o d o s d i s t r i ¬
b u i d o s p o r t o d a l a r e d c u i d a n d o s u flujo de parámetros
información.
c o n los que t r a b a j a u n s i s t e m a de
t i e m p o s de r e t r a s o de r e s p u e s t a de u n N o d o
Este nuevo modelo considera
detección
de i n t r u s o s r e a l , c o m o l o s o n
Guardián,
l a p o s i b i l i d a d de que u n o de
estos n o d o s c o m e t a u n e r r o r , lo c u a l l l e g a a suceder d e b i d o a s u Nuestro modelo trabaja bajo l a protocolos
topología
metodología
de t r a b a j o .
d e l p r o t o c o l o C h o r d , el c u a l es u n o de los
P 2 P m a s r o b u s t o s que se h a n d e s a r r o l l a d o , lo que nos g a r a n t i z a u n b u e n
d i r e c c i o n a m i e n t o de i n f o r m a c i ó n e n l a r e d . C o n este n u e v o m o d e l o o b s e r v a r e m o s l a efi¬ c a c i a de los n o d o s g u a r d i a n e s a c t u a n d o b a j o e l a t a q u e de diferentes t i p o s de g u s a n o s , p a r a d e t e r m i n a r asó, si son u n a m e d i d a e f e c t i v a de
1.4.
contención.
Organización
E s t e t r a b a j o está o r g a n i z a d o de l a s i g u i e n t e m a n e r a . E n e l c a p i t u l o 2 se d e t a l l a n los e l e m e n t o s claves que interactúan e n el p r o b l e m a p r i n c i p a l , las R e d e s P e e r - t o - P e e r y los g u s a n o s , asó c o m o sus
características,
t i p o s , etc. E l c a p i t u l o 3 m u e s t r a los m o d e l o s
que se e m p l e a n p a r a c a r a c t e r i z a r el c o m p o r t a m i e n t o de las p a r t e s claves, c o m o m o d e l o s de difusión de los g u s a n o s , m o d e l o s de
contención
de los n o d o s g u a r d i a n e s e i n f o r m a -
ción r e l e v a n t e . E n el c a p i t u l o 4 se e x p l i c a n los e x p e r i m e n t o s diseñados c o n e l fin de d a r solución
a l p r o b l e m a , los r e s u l t a d o s y n o t a s d e l a u t o r . E l c a p i t u l o 5 está c o m p u e s t o p o r
las c o n c l u s i o n e s a las que se llegó, r e c o m e n d a c i o n e s y el p o s i b l e t r a b a j o a f u t u r o .
3
Capítulo 2
Redes Peer-to-Peer
U n a R e d P e e r - t o - P e e r es u n a r e d de c o m p u t a d o r a s o n o d o s que c o m p a r t e n u n a p o r c i ó n de sus r e c u r s o s c o n los o t r o s n o d o s de l a r e d s i n l a n e c e s i d a d de e n t i d a d e s c e n t r a l e s de
administración.
T o d o s los n o d o s de l a r e d actúan simultáneamente
como
C l i e n t e s o S e r v i d o r e s , a l g u n o s r e c u r s o s que se c o m p a r t e n s o n p o d e r de p r o c e s a m i e n t o , a l m a c e n a m i e n t o o a n c h o de b a n d a . E n c o n t r a s t e c o n l a a r q u i t e c t u r a C l i e n t e S e r v i d o r , las redes P 2 P p r o m e t e n m e j o r e s c a l a b i l i d a d , m e n o r e s costos, m e j o r organización y administración de r e c u r s o s y o p t i m i z a c i ó n de r e c u r s o s l i m i t a d o s , m e j o r t o l e r a n c i a de fallos y u n m e j o r s o p o r t e p a r a l a i m p l e m e n t a c i ó n de redes a d h o c . A d e m á s las redes P 2 P , p r o v e e n a los nuevos u s u a r i o s o p o r t u n i d a d e s que solo f u e r a n p o s i b l e s c o n a r q u i t e c t u r a s p r o p i e t a r i a s . L a s redes P 2 P s o n f o r m a d a s dinámicamente p o r l a l l e g a d a y s a l i d a de n o d o s , l o cual no causa u n i m p a c t o significativo gracias a su arquitectura r o b u s t a y el manejo d i n á m i c o de sus t a b l a s de r u t e o , que le p e r m i t e n r e a c o m o d a r n o d o s s i n i n t e r r u m p i r s u operación. L a s redes P e e r - t o - P e e r ( P 2 P ) n o s o n algo n u e v o . C o m ú n m e n t e se c o n o c e n
bajo
l a m a r c a de N a p s t e r . E n e s t a aplicación e l c o n c e p t o de P 2 P e r a u s a d o p a r a c o m p a r t i r a r c h i v o s , p o r e j e m p l o a r c h i v o s de m ú s i c a c o m p r i m i d a ( m p 3 ) . S i n e m b a r g o , el c o n c e p t o de las redes P 2 P n o es s o l a m e n t e c o m p a r t i r a r c h i v o s , si n o t a m b i é n es c r e a r enlaces o c o m u n i c a c i o n e s m u l t i m e d i a b a j o estándares y p r o t o c o l o s b a s a d o s e n estas redes. L a d i f e r e n c i a que d i s t i n g u e a las redes P 2 P y a l a a r q u i t e c t u r a C l i e n t e - S e r v i d o r es que e n las redes P 2 P e l n o d o actúa c o m o c l i e n t e y s e r v i d o r , r e p r e s e n t a l a c a p a c i d a d de a c t u a r simultáneamente c o m o a m b o s . P o r o t r o l a d o e n l a a r q u i t e c t u r a C l i e n t e - S e r v i d o r , t o d o s los p a r t i c i p a n t e s actúan o c o m o c l i e n t e o c o m o s e r v i d o r , p e r o n u n c a desempeñaran ambas funciones.
4
2.1.
Características de las Redes Peer-to-Peer
• Escalabilidad.
L a s redes P 2 P l l e g a n a a b a r c a r alcances de m i l l o n e s de u s u a r i o s
c o n e c t a d o s entre sí. L o i d e a l es que entre el m a y o r sea e l n ú m e r o de u s u a r i o s o n o d o s c o n e c t a d o s a l a r e d m e j o r d e b e ser s u f u n c i o n a m i e n t o . E s asó, que c a d a vez que u n n u e v o n o d o i n g r e s a a l a r e d , los recursos de e s t a aumentarán. • Robustez.
P o r s u a r q u i t e c t u r a d i s t r i b u i d a las redes P 2 P i n c r e m e n t a n s u ro¬
b u s t e z e n caso de e x i s t i r u n f a l l o e n las c o n e x i o n e s de los n o d o s ,
permitiéndoles
e n c o n t r a r información o a r c h i v o s s i n h a c e r u n a petición d i r e c t a m e n t e a u n servi¬ d o r c e n t r a l de i n d e x a d o . •
Descentralización.
L a s redes P 2 P p o r n a t u r a l e z a s o n de e s q u e m a d e s c e n t r a l i z o
y t o d o s los n o d o s t i e n e n l a m i s m a
jerarquía.
P o r lo tanto, no existen nodos con
f u n c i o n e s especiales y p o r ende, ningún n o d o es i n d i s p e n s a b l e p a r a l a r e d . • Costos.
T o d o s los costos se e n c u e n t r a n r e p a r t i d o s entre los u s u a r i o s de l a r e d .
Según l a n e c e s i d a d de l a aplicación, los recursos p u e d e n ser a r c h i v o s , e s p a c i o e n d i s c o , a n c h o de b a n d a o p o d e r de p r o c e s a m i e n t o . • Seguridad.
L a s e g u r i d a d e n las redes P 2 P es u n a de las p r o p i e d a d e s m a s ne¬
cesidades p e r o a s u vez, l a m e n o s i m p l e m e n t a d a . L o s o b j e t i v o s de u n a r e d P 2 P s e g u r a s o n p o d e r i d e n t i f i c a r n o d o s i n f e c t a d o s o m a l i c i o s o s , así c o m o c o n t e n i d o i n f e c t a d o y e l acceso n o a u t o r i z a d o a
2.2.
información
delicada.
Aplicaciones de las Redes Peer-to-Peer
E n l a a c t u a l i d a d , e l a n c h o de b a n d a o las c a p a c i d a d e s de a l m a c e n a m i e n t o y c ó m p u t o s o n recursos caros. E n a q u e l l a s a p l i c a c i o n e s y s e r v i c i o s que r e q u i e r a n u n a e n o r m e c a n t i d a d de recursos p u e d e n usarse las redes P 2 P . A l g u n o s e j e m p l o s de aplicación de las redes P 2 P son: • I n t e r c a m b i o y bus queda de
ficheros.
A l g u n o s ejemplos son B i t T o r r e n t o l a red
eDonkey2000. • S i s t e m a s de ficheros d i s t r i b u i d o s . • S i s t e m a s de t e l e f o n a p o r I n t e r n e t , c o m o S k y p e . • Se h a n e m p e z a d o a v e r a las redes P 2 P c o m o u n a p o s i b l e a l t e r n a t i v a p a r a l a distribución •
Cálculos c o m o los
de m a t e r i a l de g r a n d e s e s t u d i o s de
televisión
y de c i n e .
científicos, redes capaces de p r o c e s a r u n a e n o r m e c a n t i d a d de d a t o s , bioinformáticas. 5
2.3.
T i p o s de Redes Peer-to-Peer
De acuerdo a l a
centralización
de u n a r e d P 2 P , las p o d e m o s c l a s i f i c a r c o m o C e n ¬
t r a l i z a d a s , Híbridas y P u r a s . • R e d e s P 2 P C e n t r a l i z a d a s . E s t a clasificación se b a s a e n u n a a r q u i t e c t u r a don¬ de t o d a s las t r a n s a c c i o n e s y p e t i c i o n e s se r e a l i z a n a través de u n único s e r v i d o r que sirve c o m o p u n t o de enlace entre los n o d o s , y que a s u vez a l m a c e n a y d i s t r i ¬ b u y e los n o d o s que a l m a c e n a n los c o n t e n i d o s de l a r e d . E s p o r eso que p o s e e n u n a alta
disposición
de c o n t e n i d o s , s i n e m b a r g o l a f a l t a de p r i v a c i d a d de los u s u a r i o s
es u n a de las d e s v e n t a j a s de e s t a a r q u i t e c t u r a , asó c o m o l a f a l t a de e s c a l a b i l i d a d a u n solo s e r v i d o r . A d e m á s se p u e d e n e n c o n t r a r a l t o s costos de m a n t e n i m i e n t o s y u n g r a n c o n s u m o de a n c h o de b a n d a .
U n a r e d c e n t r a l i z a d a t i e n e las siguientes p r o p i e d a d e s : • F u n c i o n a b a j o u n solo s e r v i d o r que s i r v e c o m o c e n t r a l de enlaces entre los n o d o s de l a r e d y c o m o acceso a l c o n t e n i d o . • T o d a s las c o m u n i c a c i o n e s d a d a s e n t r e los n o d o s , asó c o m o p e t i c i o n e s y e n rutamientos, dependen del servidor central. • Redes P 2 P Híbridas.
E n este t i p o de redes, también se e n c u e n t r a l a p r e s e n c i a
de u n s e r v i d o r c e n t r a l que a d m i n i s t r a los recursos de l a r e d (ancho de b a n d a , c o m u n i c a c i o n e s ) , p e r o s i n s a b e r l a i d e n t i d a d de c a d a n o d o y s i n a l m a c e n a r i n f o r m a c i ó n a l g u n a , p o r l o que e l s e r v i d o r n o c o m p a r t e información de ningún t i p o e n l a r e d . T i e n e n l a m a n e r a de o p e r a r de dos m o d o s e n caso de f a l l o de los s e r v i d o r e s , los n o d o s p u e d e n seguir c o n l a compartiendo
información
comunicación
d i r e c t a entre ellos y asó p o d e r seguir
y recursos.
E s t e t i p o de redes P 2 P t i e n e n las siguientes
características:
• L o s n o d o s s o n r e s p o n s a b l e s de h o s p e d a r l a central no almacena l a
información,
información,
pues e l s e r v i d o r
que p e r m i t e a l s e r v i d o r c e n t r a l r e c o n o c e r
los recursos que se desean c o m p a r t i r , y p a r a p o d e r d e s c a r g a r esos recursos c o m p a r t i d o s a los n o d o s que l o s o l i c i t a n . • L a s t a b l a s de e n r u t a m i e n t o s o n d i r e c c i o n e s u s a d a s p o r e l s e r v i d o r , que s o n a d m i n i s t r a d a s p o r u n s i s t e m a de índices p a r a o b t e n e r u n a dirección a b s o l u t a . • Redes
P 2 P Puras.
L a s redes P 2 P P u r a s s o n las más c o m u n e s y u t i l i z a d a s ,
s i e n d o las más versátiles a l n o n e c e s i t a r ningún t i p o de
administración,
lo que su¬
p r i m e l a n e c e s i d a d de u n a e n t i d a d c e n t r a l que c o n t r o l e los accesos, l a
distribución
6
F i g u r a 2.1: U n a R e d P e e r - t o - P e e r . de l a i n f o r m a c i ó n , etc. L a s c o m u n i c a c i o n e s son d i r e c t a s entre u s u a r i o y u s u a r i o p o r m e d i o de u n n o d o , el c u a l p e r m i t e e n l a z a r las c o m u n i c a c i o n e s .
L a s redes de este t i p o c u e n t a n c o n las siguientes
características:
• L o s n o d o s actúan c o m o c l i e n t e y s e r v i d o r . • N o e x i s t e u n s e r v i d o r c e n t r a l que m a n e j e las c o n e x i o n e s de r e d . • N o h a y u n e n r u t a d o r c e n t r a l que s i r v a c o m o n o d o y a d m i n i s t r e d i r e c c i o n e s . A l g u n o s p r e f i e r e n c l a s i f i c a r las redes P 2 P e n base a s u
estructuración,
e n base a
c o m o los n o d o s e n l a r e d o v e r l a y o de s o b r e c a p a se e n l a z a n e l u n o a l o t r o , p o d e m o s c l a s i f i c a r las redes d e l P 2 P c o m o N o E s t r u c t u r a d a s o E s t r u c t u r a d a s . • R e d e s P 2 P N o E s t r u c t u r a d a s . L a s redes P 2 P n o e s t r u c t u r a d a s son f o r m a das p o r enlaces lógicos a r b i t r a r i o s entre los n o d o s , l o que s i g n i f i c a que n o regidos p o r algún p r o t o c o l o algún t i p o de
información,
están
de r e d de s o b r e c a p a . S i u n n o d o desea e n c o n t r a r l a petición t i e n e que r e c o r r e r t o d a l a r e d h a s t a que
c o n s i g u e u n r e s u l t a d o . U n a de las d e s v e n t a j a s es que n o s i e m p r e las p e t i c i o n e s de
búsqueda,
r e g r e s a n r e s u l t a d o s s a t i s f a c t o r i o s . S i se b u s c a u n c o n t e n i d o o i n -
f o r m a c i ó n c o m ú n , e x i s t e u n a a l t a p r o b a b i l i d a d de é x i t o e n l a petición, p e r o a l caso c o n t r a r i o , c u a n d o es u n c o n t e n i d o r a r o o p o c o
común,
es m u y p r o b a b l e que
n o e n c u e n t r e c o i n c i d e n c i a s , d a d o que n o e x i s t e u n a relación e n t r e e l n o d o y e l c o n t e n i d o que c o m p a r t e .
Redes
P 2 P Estructuradas
L a s redes P 2 P e s t r u c t u r a d a s f u n c i o n a n b a j o el
e s q u e m a de D H T ( D i s t r i b u t e d H a s h T a b l e ) , d o n d e c a d a n o d o es r e l a c i o n a d o c o n u n a p a r t e e s p e c i f i c a d e l c o n t e n i d o de l a r e d . E s t e t i p o de redes a s i g n a n v a l o res a c o n t e n i d o s y a c a d a n o d o de l a r e d , l u e g o se i m p l e m e n t a u n p r o t o c o l o búsqueda
d i s t r i b u i d o , p a r a a s i g n a r a u n n o d o especifico u n c o n t e n i d o especifico.
D e e s t a m a n e r a , s i e m p r e que u n n o d o envíe u n a se
podrá
de
d e t e r m i n a r que n o d o g u a r d a l a
petición,
información
mediante el protocolo
s o l i c i t a d a . A l g u n a s redes
P 2 P estructuradas son: •
Chord.
•
Pastry.
• CAN. • Tapestry.
2.4.
Redes Overlay
L a s redes o v e r l a y o de s o b r e c a p a s o n redes
lógicas
que se p o s i c i o n a n t o p o l o g i c a -
m e n t e p o r e n c i m a de u n a r e d física. I m a g i n e m o s que los n o d o s de u n a r e d moverla están c o n e c t a d o s u n o s c o n otros p o r m e d i o de enlaces lógicos o v i r t u a l e s , c a d a u n o correspon¬ d i e n d o a u n a r u t a de u n a r e d física, p e r o p u e d e r e p r e s e n t a r m a s de u n enlace físico. L a s redes P 2 P s o n c o n s i d e r a d a s redes o v e r l a y y a que t r a b a j a n e n c i m a d e l I n t e r n e t , asó es e l caso de l a conexión a I n t e r n e t p o r e n c i m a de l a r e d
2.4.1.
telefónica.
telefónica,
es c o n s i d e r a d a u n a r e d o v e r l a y y a que t r a b a j a
[14]
Características de las Redes Overlay.
E s t a s s o n a l g u n a s de las a p l i c a c i o n e s y
características
de las redes o v e r l a y :
• P e r m i t e n e l r u t e o de m e n s a j e s a d i r e c c i o n e s n o especificadas p o r u n a
dirección
IP. • M e j o r a m i e n t o del ruteo en Internet. • M e j o r a m i e n t o de l a c a l i d a d de s e r v i c i o e n I n t e r n e t , c o m o l a
transmisión
de v o z ,
datos y video. • P a r a f o r m a r u n a r e d o v e r l a y solo es n e c e s a r i o d e s p l e g a r u n p r o t o c o l o , s i n l a ne¬ c e s i d a d de u n P r o v e e d o r de S e r v i c i o s de I n t e r n e t . • N o t i e n e n c o n t r o l e n c o m o los p a q u e t e s s o n e n r u t a d o s p o r l a r e d , p e r o sí c o n t r o l a l a s e c u e n c i a de n o d o s que paso e l p a q u e t e . 8
F i g u r a 2.2: A n i l l o lógico de C h o r d .
2.5.
Chord
C h o r d es u n p r o t o c o l o de búsqueda d i s t r i b u i d a e n redes P 2 P s e n c i l l o y e s c a l a b l e , r e l a c i o n a n d o claves (keys) c o n los n o d o s de l a r e d . F u e d i s e n a d o p a r a o p e r a r c o n redes de a r q u i t e c t u r a d e s c e n t r a l i z a d a y nos p e r m i t e r e a l i z a r búsquedas de n o d o s e n l a r e d , p a r a asó p o d e r e n l a z a r l a s c o m u n i c a c i o n e s e n t r e dos n o d o s . C h o r d es u n p r o t o c o l o de r e d de s o b r e c a p a q u e f o r m a u n a n i l l o lógico sobre l a r e d P 2 P , este a n i l l o r e p r e s e n t a t o d a s l a s c o n e x i o n e s e n t r e los n o d o s ( F i g u r a 2.2).
2.5.1.
Funcionamiento General
C h o r d es e l e n c a r g a d o de a s i g n a r las claves (keys) de l a s T a b l a s de H a s h ( D H T ) a los n o d o s a c t i v o s y m a n t e n e r de f o r m a red formada por 2
m
dinámica
estas a s i g n a c i o n e s . Se c o n s i d e r a u n a
n o d o s , q u e p u e d e n e s t a r a c t i v o s o ausentes de l a r e d . C a d a vez
que se u n e a l a r e d u n n o d o , C h o r d a s i g n a u n i d e n t i f i c a d o r (id) de a n i l l o y l o r e l a c i o n a c o n u n a clave de l a T a b l a de H a s h . E l Nodo Sucesor
( F i g u r a 2.3) o r e s p o n s a b l e
de e s a c l a v e , será e l n o d o q u e t e n g a e l m i s m o i d e n t i f i c a d o r q u e l a clave. P a r a l a clave c o n u n i d e n t i f i c a d o r de a n i l l o k se le asignará e l n o d o c o n i d e n t i f i c a d o r k, si e l n o d o c o n ese i d e n t i f i c a d o r n o e s t u v i e r a a c t i v o , l a clave se le a s i g n a a l n o d o m á s c e r c a n o q u e t e n g a u n i d e n t i f i c a d o r m a y o r . C u a n d o e l n o d o k se c o n e c t e a l a r e d , s u n o d o
sucesor
le transferirá l a s claves q u e e s t u v i e r a n d e s t i n a d a s a él. C u a n d o u n n o d o a b a n d o n a l a r e d , t r a n s f i e r e l a s claves de l a s q u e se hacía c a r g o a s u sucesor, es d e c i r , a l n o d o c o n i d s i g u i e n t e a l a s u y a . C o n estos m e c a n i s m o s , se g a r a n t i z a l a
autorregulación
de l a r e d y e l
m a n t e n i m i e n t o de l a s claves aún e n u n c o n t e x t o de m o v i l i d a d de los n o d o s p a r t i c i p a n t e s . E l resto de l a s t a r e a s que t i e n e n q u e v e r c o n l a r e d , c o m o n a m i e n t o de d a t o s , e t c . s o n r e s p o n s a b i l i d a d e s de los niveles de P 2 P . [10]
9
autenticación, administración
almace¬ de l a r e d
id nodo key successor(1) = 1
successor(6) = O
F i g u r a 2.3:
2.5.2.
Anillo Chord
Asignación
successor{2) = 3
de C l a v e s a N o d o s
Sucesores.
Procedimiento de Búsqueda de Nodos.
P a r a g a r a n t i z a r r e s u l t a d o s s a t i s f a c t o r i o s a l r e a l i z a r u n a b ú s q u e d a de u n n o d o c o n C h o r d , el c o r r e c t o m a n t e n i m i e n t o de los n o d o s sucesores es e s e n c i a l . C a d a n o d o a l m a cena
información
sobre l a r e d p a r a o p t i m i z a r las búsquedas, ésta información se g u a r d a
l o c a l m e n t e e n c a d a n o d o y se c o n o c e c o m o Finger
Table. E s así c o m o c a d a n o d o c o n o c e
que n o d o s están a s u a l r e d e d o r . L a función p a r a c o n o c e r e l t a m a ñ o t a b l a se d a p o r
máximo
de e s t a
O(log(N)).
C u a n d o u n n o d o s o l i c i t a l a búsqueda de o t r o n o d o , éste s o l i c i t a u n a clave j p o r e j e m p l o , p r i m e r o b u s c a e n s u t a b l a de r u t a s (finger t a b l e ) , si n o l a e n c u e n t r a , envía l a petición
a l n o d o c u y a id sea más c e r c a n a a j. E s así, c o m o e l n o d o s o l i c i t a n t e c a d a vez
se vá a c e r c a n d o a j, h a s t a e n c o n t r a r l o . [11]
2.6.
Gusanos
L o s g u s a n o s son c ó d i g o s de p r o g r a m a c i ó n o s c r i p t s que t i e n e n l a
finalidad
de
du-
p l i c a r s e así m i s m o s . U t i l i z a n u n a interfase de r e d p a r a p r o p a g a r s e y así a l c a n z a r más u s u a r i o s . P o r lo g e n e r a l e x p l o t a n v u l n e r a b i l i d a d e s de software, l o cuál los c o n v i e r t e e n el a r m a i d e a l p a r a u n a t a c a n t e e n u n a r e d P 2 P .
10
A d i f e r e n c i a de los v i r u s informáticos, los g u s a n o s n o b u s c a n a l t e r a r o d e s t r u i r información
o
aplicación,
s i n o p e r m a n e c e r e n l a m e m o r i a d e l e q u i p o p a r a asó d u p l i c a r s e
y d i f u n d i r s e . P o r l o g e n e r a l , los g u s a n o s c a u s a n p r o b l e m a s d i r e c t a m e n t e a l a r e d d o n d e a n d a n c i r c u l a n d o , s i m p l e m e n t e c o n s u m i e n d o a n c h o de b a n d a o recursos s i m i l a r e s . A l g u n o s g u s a n o s s o n fáciles de d e t e c t a r e n u n s i s t e m a de r e d , d e b i d o a l c o n s t a n t e envío de
información
a l e x t e r i o r , los recursos de l a r e d se c o n s u m e n a l g r a d o de que las
t a r e a s m a s s e n c i l l a s s i m p l e m e n t e n o p u e d e n ejecutarse. L o s g u s a n o s u t i l i z a n l a interfase de r e d p a r a d u p l i c a r s e y r e e n v i a r s e h a c i a otros e q u i p o s , y son capaces de r e a l i z a r esto sin l a
intervención
2.6.1.
d e l u s u a r i o . [12]
Caracterización
Podemos
de los Gusanos
c a t e g o r i z a r a los g u s a n o s
basándonos
e n e l n i v e l de
participación
del
u s u a r i o . L a e x p e r i e n c i a o h a b i l i d a d p e r s o n a l d e l u s u a r i o es f u n d a m e n t a l p a r a l a d i f u sión d e l g u s a n o y a que p u e d e i n f l u i r e n l a difusión. S i u n u s u a r i o c o n o c e de los p e l i g r o s y a m e n a z a s de los g u s a n o s , se e s p e r a que m a n t e n g a a l dóa s u s i s t e m a e n m a t e r i a de a c t u a l i z a c i o n e s de s e g u r i d a d , o que c u e n t e c o n algún software a n t i v i r u s y algún dispo¬ s i t i v o de
firewall
c o m o u n R o u t e r . P o r o t r o l a d o , también e x i s t e n u s u a r i o s s i m p l e s , que
d e s c o n o c e n o n o p o n e n atención e n l a s e g u r i d a d de s u s i s t e m a , n o c u e n t a c o n software a n t i v i r u s y s u firewall está p o b r e m e n t e c o n f i g u r a d o . E s t o s son b l a n c o ideales p a r a los g u s a n o s y sus a t a c a n t e s . Se c o n s i d e r a n los siguientes a s p e c t o s p a r a l a definición de u n g u s a n o :
•
Código
Malicioso.
P a r e c e que e x i s t e u n consenso g e n e r a l de que los g u s a n o s
s o n m a l i c i o s o s p o r n a t u r a l e z a . M i e n t r a s a l g u n o s h a n h a b l a d o de g u s a n o s
"buenos"
que e n t r a n a los s i s t e m a s p a r a r e p a r a r l o s , c o m o u n g u s a n o c r e a d o p o r
XEROX
c o m o u n p r o g r a m a de m a n t e n i m i e n t o . L a definición de g u s a n o e n estos días, es g e n e r a l m e n t e de u n p r o g r a m a n o b i e n v e n i d o . E l g l o s a r i o de v i r u s de N e t w o r k A s s o c i a t e s define a l " m a l w a r e " o g u s a n o c o m o ; p r o g r a m a s que son diseñados i n t e n c i o n a l m e n t e p a r a r e a l i z a r actos i n a u t o r i z a d o s , l a m a y o r í a dañinos o inde¬ seables, y los gusanos tópicamente se c o n s i d e r a n que están e n e s t a código •
categoría
de
malicioso.
Propagación
por
la Red.
O t r o a s p e c t o e n los gusanos es que p r o p a g a n ac¬
t i v a m e n t e p o r u n a r e d . C u a n d o e n t i e m p o s p a s a d o s , los v i r u s
dependían
de los
u s u a r i o s p a r a que los t r a n s p o r t a r a n e n floppy d i s k s de u n s i s t e m a a o t r o , a h o r a u n g u s a n o p u e d e a t a c a r o t r o s i s t e m a d i r e c t a m e n t e desde l a i n t e r f a z de r e d . L o s v i r u s 11
que i n f e c t a n a r c h i v o s de u n s i s t e m a , que v i e n e n de o t r o s i s t e m a , g e n e r a l m e n t e n o s o n c o n s i d e r a d o s g u s a n o s p o r q u e n o h u b o de p o r m e d i o u n a i n t e r f a z de r e d . •
Intervención de
H u m a n a . O t r a característica r e l e v a n t e de los gusanos es e l g r a d o
intervención
d e l u s u a r i o que se r e q u i e r e p a r a s u
c a es p a r t e de l a
distinción
propagación.
E s t a característi-
h e c h a e n t r e v i r u s y g u s a n o s . A veces se p i e n s a que
los gusanos a l g u n a s veces r e q u i e r e n a s i s t e n c i a h u m a n a o n i n g u n a p o r
completo,
p a r a d i f u n d i r s e , c u a n d o u n v i r u s s i e m p r e h a r e q u e r i d o de
d e l usua¬
intervención
r i o p a r a e s p a r c i r s e . S i n e m b a r g o , se h a n d e f i n i d o dos categorías de g u s a n o s , los que r e q u i e r e n información
intervención
del usuario p a r a propagarse, por ejemplo
a d j u n t a de u n correo
electrónico,
y los que n o r e q u i e r e n
h u m a n a e n a b s o l u t o . H a y también v a r i a c i o n e s d e l g r a d o de
descargar intervención
intervención
humana
que n e c e s i t a u n g u s a n o , p o r e j e m p l o h a y gusanos que n o n e c e s i t a n que e l u s u a r i o ejecute código m a l i c i o s o p e r o n e c e s i t a que e l u s u a r i o ejecute acciones s i n c o m o , r e i n i c i a r s u s i s t e m a o e j e c u t a r algún c l i e n t e de correo •
Infección
relación
electrónico.
d e A r c h i v o s . T r a d i c i o n a l m e n t e define a los g u s a n o s
contrastándolos
c o n los v i r u s . U n v i r u s i n f e c t a u n a r c h i v o d e l s i s t e m a , m i e n t r a s el g u s a n o n o . E n o t r a s p a l a b r a s u n v i r u s es u n p r o g r a m a que se c o p i a
adjuntándose
a otro objeto y
u n g u s a n o es u n p r o g r a m a que se c o p i a enviándose a o t r o s s i s t e m a s . S i n e m b a r g o h a y quienes n o h a c e n e s t a
distinción
y d e f i n e n que, c u a l q u i e r p r o g r a m a que se
c o p i a sobre u n a r e d d e b e ser c o n s i d e r a d o g u s a n o , i n d e p e n d i e n t e m e n t e si i n f e c t a o no archivos.
2.7. Detección de Intrusiones L a d e t e c c i ó n de i n t r u s i o n e s es e l f r u t o de l a aplicación d e l P r o c e s a m i e n t o Electrónico de D a t o s a las a u d i t o r i a s de s e g u r i d a d , u t i l i z a n d o m e c a n i s m o s de patrones y La
métodos
detección
identificación
estadísticos.
de i n t r u s i o n e s es e l p r o c e s o de m o n i t o r e a r redes de o r d e n a d o r e s
s i s t e m a s e n b u s c a de v i o l a c i o n e s de
políticas
p u e s t o s p o r tres elementos f u n c i o n a l e s
• U n a fuente de
de
información
y
de s e g u r i d a d . E s t o s s i s t e m a s están com¬
básicos:
que p r o p o r c i o n a eventos de s i s t e m a .
• U n m o t o r de análisis que b u s c a e v i d e n c i a s de i n t r u s i o n e s . • U n m e c a n i s m o de r e s p u e s t a que actúa según los r e s u l t a d o s d e l m o t o r de
12
análisis.
En
términos
de s e g u r i d a d
informática,
l l e v a r a c a b o l a a u d i t o r i a de u n s i s t e m a
s i g n i f i c a e x a m i n a r y a n a l i z a r e l r a s t r o de a u d i t o r i a ( " a u d i t t r a i l " ) que g e n e r a e l siste¬ m a o p e r a t i v o y o t r o s e l e m e n t o s . L a revisión de los eventos se l l e v a a c a b o entre o t r o s m o t i v o s p a r a asegurarse de que n o se v i o l a b a n u n a serie de políticas de s e g u r i d a d .
2.7.1.
[15]
Sistemas de Detección y Prevención de Intrusiones.
U n S i s t e m a de Detección de I n t r u s i o n e s ( I D S p o r sus siglas e n ingles) es u n s o f t w a re que a u t o m a t i z a l a detección de i n t r u s i o n e s . U n S i s t e m a de
Prevención
de I n t r u s i o n e s
( I P S p o r sus siglas e n ingles) es u n p r o g r a m a que t i e n e t o d a s las funciones de s i s t e m a de
detección
de i n t r u s i o n e s y tambióen p u e d e i n t e n t a r detener u n p o s i b l e a t a q u e .
U s o s d e los S i s t e m a s de
Detección
L o s S i s t e m a s de
y
Detección
y
Prevención
Prevención
de
Intrusiones.
de I n t r u s i o n e s ( I D P S p o r sus siglas e n
ingles) p r i n c i p a l m e n t e se e n f o c a n e n d e t e c t a r p o s i b l e s i n c i d e n t e s . P o r e j e m p l o , u n I D P S p u d i e r a d e t e c t a r c u a n d o algún u s u a r i o h a y a c o m p r o m e t i d o
u n sistema
explotando
u n a v u l n e r a b i l i d a d de software. E l I D P S p u d i e r a después r e p o r t a r e l i n c i d e n t e a los a d m i n i s t r a d o r e s de s e g u r i d a d de l a r e d , quienes i n m e d i a t a m e n t e p u d i e r a n a l a t a q u e p a r a asó, m i n i m i z a r e l daño a l a r e d . E l I D P S
también
responder
pudiera guardar u n
r e p o r t e que r e s u l t e útil p a r a los a d m i n i s t r a d o r e s de l a r e d . Muchos I D P S
también
p u e d e n ser c o n f i g u r a d o s
p a r a que r e c o n o z c a n
de s e g u r i d a d . P o r e j e m p l o , p u e d e n ser c o n f i g u r a d o s d a d a s las reglas de u n
violaciones firewall,
m i t i e n d o i d e n t i f i c a r el t r a f i c o de r e d que v i o l e l a s e g u r i d a d de l a m i s m a .
también
perun
I D P S p u e d e m o n i t o r e a r l a t r a n s f e r e n c i a de a r c h i v o s e i d e n t i f i c a r aquellos que t e n g a n comportamiento
sospechoso, c o m o l a c o p i a de u n a base de d a t o s a l a l a p t o p de u n
usuario. Los I D P S pueden
también
i d e n t i f i c a r a c t i v i d a d de r e c o n o c i m i e n t o ,
lo c u a l p u e d e
i n d i c a r que u n a t a q u e es i n m i n e n t e . P o r e j e m p l o , a l g u n a s h e r r a m i e n t a s m a l i c i o s a s , par¬ t i c u l a r m e n t e los g u s a n o s , r e a l i z a n a c t i v i d a d e s de r e c o n o c i m i e n t o s
c o m o e l escaneo de
huéspedes y p u e r t o s p a r a i d e n t i f i c a r p o s i b l e s v i c t i m a s p a r a u n a t a q u e subsecuente.
Un
I D P S p u e d e ser c a p a z de b l o q u e a r e l r e c o n o c i m i e n t o y n o t i f i c a r a los a d m i n i s t r a d o r e s de s e g u r i d a d , que p u e d e n t o m a r acciones y si es n e c e s a r i o m o d i f i c a r los controles s e g u r i d a d p a r a e v i t a r algún i n c i d e n t e .
[15]
13
de
2.7.2.
Funciones de un I D P S .
E x i s t e n m u c h o s t i p o s de
tecnologías
e n I D P S , que d i f i e r e n p r i n c i p a l m e n t e e n el
t i p o de eventos que p u e d e n r e c o n o c e r y las
metodologías
que u t i l i z a n p a r a i d e n t i f i c a r
los a t a q u e s . A d e m á s de m o n i t o r e a r y a n a l i z a r eventos p a r a así i d e n t i f i c a r a c t i v i d a d e s i n d e s e a b l e s , t o d a s las diferentes tecnologías de I D P S
comúnmente
r e a l i z a n las siguien¬
tes f u n c i o n e s :
• Registrar
información
r e l a c i o n a d a c o n los eventos o c u r r i d o s .
• N o t i f i c a r a los a d m i n i s t r a d o r e s de eventos i m p o r t a n t e s
observados.
• P r o d u c i r reportes. A l g u n o s I D P S también p u e d e n c a m b i a r s u p e r f i l de s e g u r i d a d c u a n d o u n a n u e v a a m e n a z a es d e t e c t a d a . P o r e j e m p l o , u n I D P S p u e d e ser c a p a z de r e c o l e c t a r i n f o r m a ción m a s d e t a l l a d a de u n a sesión e n p a r t i c u l a r después de que a c t i v i d a d m a l i c i o s a es detectada en d i c h a
2.8.
sesión.
Vulnerabilidades del Software
E l t e r m i n o de V u l n e r a b i l i d a d p o r l o g e n e r a l es r e l a c i o n a d o c o n l a s e g u r i d a d e n redes y s i s t e m a s . U n a v u l n e r a b i l i d a d es u n a violación a las políticas de s e g u r i d a d de u n s i s t e m a , l a c u a l se p u e d e d a r p o r v a r i a s causas. E n teoría t o d o s i s t e m a t i e n e a l m e n o s u n a v u l n e r a b i l i d a d , que t a r d e o t e m p r a n o será e x p l o t a d a si e l f a b r i c a n t e n o r e p a r a el error. P o d e m o s d e f i n i r V u l n e r a b i l i d a d c o m o e l e s t a d o e n u n s i s t e m a de o u n g r u p o de s i s t e m a s que, p e r m i t e que u n a t a c a n t e ejecute ordenes c o m o o t r o u s u a r i o , p e r m i t e que u n a t a c a n t e t e n g a acceso a l a duzca un
denegación
información
r e s t r i n g i d a , p e r m i t e que u n a t a c a n t e con¬
de s e r v i c i o .
C u a n d o u n a t a q u e es p o s i b l e p o r u n a d e b i l i d a d o política de s e g u r i d a d i n a p r o p i a d a d e l s i s t e m a , también se le c o n o c e c o m o Ò E x p o s i c i ó n Ó . U n a E x p o s i c i o n p e r m i t e que u n a t a c a n t e reúna
información
sobre las a c t i v i d a d e s d e l s i s t e m a , es u n p u n t o p r i m a r i o
de e n t r a d a p a r a u n a t a c a n t e que p u e d e i n t e n t a r o b t e n e r acceso a l s i s t e m a o a l a i n f o r mación. S i u n i n t r u s o quiere t e n e r acceso n o a u t o r i z a d o a u n s i s t e m a , g e n e r a l m e n t e p r i ¬ m e r o r e a l i z a u n escaneo o investigación d e l s i s t e m a o b j e t i v o , p a r a así r e u n i r c u a l q u i e r 14
información
que l o p u e d a l l e v a r a l a
explotación
que las v u l n e r a b i l i d a d e s d e b e n ser c e n t r o de
de u n a v u l n e r a b i l i d a d . E s p o r esto,
atención
e n m a t e r i a de s e g u r i d a d e n los
sistemas.
2.9.
Buffer Overflow
E l buffer-overflow ( d e s b o r d a m i e n t o de buffer) es u n a v u l n e r a b i l i d a d de software que se p r o d u c e c u a n d o se c o p i a n d a t o s e n u n área de m e m o r i a que n o es lo suficiente¬ m e n t e g r a n d e p a r a a l m a c e n a r l o s , s o b r e s c r i b i e n d o o t r a s z o n a s de m e m o r i a . E x i s t e n zonas de m e m o r i a de uso e x c l u s i v o p a r a e l s i s t e m a o p e r a t i v o , p e r o si se h a c e u n a s o b r e e s c r i t u r a f u e r a de estas z o n a s , se p r o v o c a u n a l o que o c a s i o n a l a
terminación
de l a
i n t e n c i o n e s es e x p e r t o y c o n o c e estos acceso a l s i s t e m a
aplicación métodos,
excepción
de software,
o programa. Si u n usuario con malas p u e d e a p r o v e c h a r estos errores y g a n a r
fácilmente.
E l i n t r u s o p u e d e l l e g a r a a l t e r a r e l flujo de l a aplicación e i n s e r t a r c o m a n d o s p a r a se e j e c u t e n i n s t r u c c i o n e s n o p r e v i s t a s .
2.9.1.
Incidentes.
E n 1988 se r e g i s t r o u n o de los p r i m e r o s i n c i d e n t e s d o n d e fué p r o t a g o n i s t a l a v u l n e r a b i l i d a d buffer-overflow. Fué u n a de las t a n t a s v u l n e r a b i l i d a d e s y errores de los que se valió e l g u s a n o M o r r i s p a r a s u p r o p a g a c i ó n . L a aplicación que fue s o m e t i d a fue " f i n g e r d " de U n i x . Después
e n 1995, T h o m a s L o p a t i c
descubrió
o f i c i a l m e n t e l a v u l n e r a b i l i d a d de
buffer-overflow, p u b l i c a n d o s u h a l l a z g o e n l i s t a s de correo. U n año
después,
e n 1996,
E l i a s " A l e p h O n e " L e v y p u b l i c ó e n u n a r e v i s t a d e l m e d i o , el artículo " S m a s h i n g t h e S t a c k for F u n a n d P r o f i t " , u n a guía p a s o a p a s o de c o m o a p r o v e c h a r el buffer-overflow. D e s d e entonces, dos de los g u s a n o s m á s c o n o c i d o s y p e l i g r o s o s , C o d e R e d y S l a m m e r , h a n u t i l i z a d o ésta v u l n e r a b i l i d a d p a r a l o g r a r sus o b j e t i v o s y c o m p r o m e t e r u n g r a n n ú m e r o de n o d o s a l r e d e d o r d e l m u n d o . C o d e R e d e n e l 2001 a t a c o a l S e r v i c i o de I n f o r m a c i ó n de I n t e r n e t (IIS) y después e n el 2003, S l a m m e r a t a c o a S Q L S e r v e r 2000, a m b a s a p l i c a c i o n e s de M i c r o s o f t .
15
2.10.
Ataques en l a H i s t o r i a
L o s gusanos h a n sido a m e n a z a s c o n s t a n t e s de s e g u r i d a d p a r a el I n t e r n e t y los s i s t e m a s P 2 P . E n e l año 2 0 0 1 , e l a h o r a f a m o s o g u s a n o C o d e - R e d , i n f e c t o 360,000 n o d o s e n 10 h o r a s y c a u s o m a s de $1.2 b i l l o n e s de dólares e n pérdidas e n los p r i m e r o s 10 días. A
continuación
se l i s t a n a l g u n o s de los g u s a n o s más famosos y d e v a s t a d o r e s de l a
historia: 1. I L O V E Y O U . correo
G u s a n o e s c r i t o e n V i s u a l B a s i c S c r i p t que se p r o p a g a a través de
electrónico.
Afectó
a m i l e s de u s u a r i o y c o r p o r a c i o n e s e n t o d o e l m u n d o .
S u p r o c e d e n c i a es de F i l i p i n a s . 2. C o d e
Red.
G u s a n o que
apareció
e n e l año 2 0 0 1 , infectó m a s de 300,000 m i l
n o d o s e n m e n o s de 10 h o r a s y causo p e r d i d a s m i l l o n a r i a s . 3. M y d o o m .
Se p r o p a g a a través de correo electrónico y l a r e d de K a Z a a .
Apa-
reció e l 26 de enero d e l 2004. T i e n e c a p a c i d a d e s " B a c k d o o r " que p e r m i t e n a u n usuario remoto ganar control del sistema. 4. B l a s t e r .
G u s a n o c o n g r a n c a p a c i d a d de p r o p a g a c i ó n . E x p l o t a v u l n e r a b i l i d a d e s
de los s i s t e m a s W i n d o w s N T , 2000, X P y 2003. L a p r i n c i p a l v u l n e r a b i l i d a d que e x p l o t a es buffer-overflow e n R P C D C O M , l a cuál fue r e p a r a d a e n j u n i o d e l 2003 c o n u n p a r c h e p u b l i c a d o p o r M i c r o s o f t . Sus efectos d e s t r u c t i v o s son l a n z a r a t a q u e s de D o S e n l a página p r i n c i p a l de W i n d o w s U p d a t e . 5. S a s s e r .
G u s a n o que e x p l o t a l a v u l n e r a b i l i d a d L S A S S de W i n d o w s 2000, X P y
S e r v e r 2004. L o s síntomas de
infección
es u n a v i s o de r e i n i c i o d e l e q u i p o e n u n
minuto. 6. K l e z .
G u s a n o que e x p l o t a u n a v u l n e r a b i l i d a d de I n t e r n e t E x p l o r e r de M i c r o s o f t ,
el c u a l es capáz de a c t i v a r s e c o n e l t a n solo hecho de v i s u a l i z a r e l correo
electrónico
donde viene adjunto. 7. N i m d a . Microsoft.
2.11.
G u s a n o que e x p l o t a v u l n e r a b i l i d a d W e b D i r e c t o r y T r a v e r s a l e n I S S de [13]
T i p o s de Vulnerabilidades E x p l o t a d a s .
M i c r o s o f t W i n d o w s es el s i s t e m a o p e r a t i v o que más se u t i l i z a p a r a n a v e g a r e n In¬ t e r n e t , p e r o aún asó c o n t i e n e múltiples y severas v u l n e r a b i l i d a d e s . A l g u n a s de éstas se encuentran en I S S , M S - S Q L , Internet E x p l o r e r y servicios y procesamientos del sistema
16
operativo en si. A
continuación
se l i s t a n las v u l n e r a b i l i d a d e s m a s c o m u n e s , e x p l o t a d a s p o r los
gusanos: 1. I S S .
E s u n a de las v u l n e r a b i l i d a d e s de W i n d o w s más e x p l o t a d a s . P o r m u c h o
t i e m p o , v a r i o s gusanos h a n s i d o escritos p a r a u t i l i z a r e s t a v u l n e r a b i l i d a d , c o m o Code Red. 2. M S - S Q L .
E l g u s a n o S p i d a u t i l i z o e s t a v u l n e r a b i l i d a d p a r a p r o p a g a r s e u n año
después de que a p a r e c i e r a C o d e R e d . Se a p r o v e c h a b a de las l i z a d a s de l a
aplicación
instalación m a l rea¬
S Q L de M i c r o s o f t , e n l a c u a l d e j a b a n c o n valores p o r
defecto los c a m p o s de n o m b r e de u s u a r i o y
contraseña.
E l g u s a n o e s c a n e a b a estos
c a m p o s y a l n o e n c o n t r a r u n a contraseña e s t a b l e c i d a , tenía acceso a l s i s t e m a y a su propia
propagación.
3. B u f f e r - O v e r f l o w .
E l g u s a n o S l a m m e r a finales d e l 2003, u t i l i z a b a u n b u f f e r -
overflow p a r a a t a c a r a S Q L . U n d e s b o r d a m i e n t o de buffer d e l s e r v i d o r e n u n a de las s u b r u t i n a s de m a n e j o de p a q u e t e s U D P . 4. L S A S S .
V u l n e r a b i l i d a d u t i l i z a d a p o r Sasser a m e d i a d o s d e l 2003. E l f a l l o e n
el S e r v i c i o de A u t o r i d a d de S u b s i s t e m a L o c a l ( L S A S S ) infectó m i l l o n e s de equi¬ pos e n t o d o el m u n d o , m u c h a s o r g a n i z a c i o n e s c e r r a r o n o p e r a c i o n e s d e b i d o a las i n t e r r u p c i o n e s e n l a r e d c a u s a d a s p o r el g u s a n o .
2.11.1.
[13]
Unix
T o d o s los s i s t e m a s o p e r a t i v o s s i n
excepción
c o n t i e n e n v u l n e r a b i l i d a d e s y exposi¬
ciones que p u e d e n ser e l b l a n c o de h a c k e r s y escritores de v i r u s . A u n q u e las v u l n e r a ¬ b i l i d a d e s de W i n d o w s r e c i b e n l a m a y o r c a n t i d a d de p u b l i c i d a d d e b i d o a l número de s i s t e m a s que t r a b a j a n c o n W i n d o w s , U n i x t i e n e sus p r o p i o s p u n t o s
débiles.
D u r a n t e años, u n a de las e x p o s i c i o n e s mías p o p u l a r e s e n el m u n d o U n i x h a u t i ¬ l i z a d o el s e r v i c i o F i n g e r . E s t e s e r v i c i o p e r m i t e a a l g u i e n que esté f u e r a de l a r e d v e r qué
u s u a r i o s están c o n e c t a d o s a ciertos e q u i p o s o desde que u b i c a c i ó n los u s u a r i o s
t i e n e n acceso. E l s e r v i c i o F i n g e r es útil, p e r o t a m b i é n e x p o n e u n a g r a n c a n t i d a d de información
que p u e d e ser u s a d a p o r los a t a c a n t e s , m e j o r c o n o c i d o s c o m o h a c k e r s .
E l s e r v i c i o fingers n o solo e x p o n e
información
i m p o r t a n t e sobre e l s e r v i d o r a n f i -
trión; s i n o que h a s i d o e l b l a n c o de m u c h o s e x p l o i t s , i n c l u y e n d o e l f a m o s o g u s a n o de r e d e s c r i t o p o r R o b e r t M o r r i s J r . e l que fue l a n z a d o e l 2 de n o v i e m b r e de 1988. P o r esto, las d i s t r i b u c i o n e s m á s m o d e r n a s de U n i x t i e n e n este s e r v i c i o d e s h a b i l i t a d o p o r 17
defecto. E l p r o g r a m a " S e n d m a i l " , o r i g i n a l m e n t e e s c r i t o p o r E r i c A l l m a n , es
también
otro
b l a n c o p o p u l a r p a r a los h a c k e r s . S e n d m a i l se desarrolló p a r a m a n e j a r l a t r a n s f e r e n c i a de m e n s a j e s p o r c o r r e o
electrónico
operativos y configuraciones
vía
I n t e r n e t . D e b i d o a l g r a n número de s i s t e m a s
de h a r d w a r e , e l S e n d m a i l se convirtió e n u n p r o g r a m a
e x t r e m a d a m e n t e c o m p l e j o , que t i e n e u n a h i s t o r i a l a r g a y n o t o r i a de v u l n e r a b i l i d a d e s severas. E l g u s a n o M o r r i s u t i l i z a b a u n e x p l o i t de s e n d m a i l así c o m o u n a v u l n e r a b i l i d a d "finger" p a r a propagarse. L o s e x p l o i t s , v u l n e r a b i l i d a d e s e i n c i d e n t e s l i s t a d o s a n t e r i o r m e n t e r e s a l t a n u n he¬ cho i m p o r t a n t e . M i e n t r a s el número de s i s t e m a s que f u n c i o n a n c o n I I S , M S - S Q L y o t r o s p a q u e t e s software específicos p u e d a n ser c o n t a d o s e n cientos de m i l e s , e l n ú m e r o t o t a l de s i s t e m a s c o n W i n d o w s r o n d a los v a r i o s cientos de m i l l o n e s . S i t o d o s estos s i s t e m a s f u e r a n e l b l a n c o de u n g u s a n o o u n h a c k e r u s a n d o u n a h e r r a m i e n t a de h a c k i n g auto¬ m a t i z a d a , p o d r í a p o n e r e n serio p e l i g r o l a e s t r u c t u r a i n t e r n a y e s t a b i l i d a d d e l I n t e r n e t .
2.11.2.
Dispositivos Móviles
Más r e c i e n t e m e n t e , el 8 de n o v i e m b r e d e l 2009, se
descubrió
que los c e l u l a r e s
i P h o n e , m a n u f a c t u r a d o s p o r l a e m p r e s a A p p l e I n c . , c u e n t a n c o n u n v u l n e r a b i l i d a d de s e g u r i d a d . Sólo a f e c t a a los e q u i p o s que s u s i s t e m a h a s i d o l i b e r a d o , el término que se u t i l i z a c o m u n m e n t e es " J a i l b r e a k " . E l g u s a n o que e x p l o t a ésta v u l n e r a b i l i d a d es " i k e e " . A l r e a l i z a r el j a i l b r e a k , se i n s t a l a u n a aplicación de S S H p a r a p o d e r accesar a l a partición p r i n c i p a l d e l s i s t e m a y p o d e r m o d i f i c a r a r c h i v o s , i n s t a l a r p r o g r a m a s entre o t r a s cosas. A l n o c a m b i a r l a contraseña p a r a S S H , ésta q u e d a c o n l a d e f a u l t y es así c o m o el g u s a n o se p r o p a g a e n e q u i p o s d o n d e l a contraseña n o h a s i d o c a m b i a d a . E l g u s a n o n o c a u s a u n d a ñ o severo a l e q u i p o , lo que hace es i n s t a l a r u n w a l l p a p e r a v i s a n d o que has s i d o i n f e c t a d o y d e s a c t i v a l a aplicación S S H , e n u n i n t e n t o p o r a s e g u r a r e l c e l u l a r . U n e j e m p l o es l a F i g u r a 2.4.
18
F i g u r a 2.4: E x p l o i t " i k e e " a c t i v o e n u n i P h o n e .
19
Capítulo 3
M o d e l o s de Propagación y Contención de Gusanos en Redes P 2 P
L o s g u s a n o s , c o m o C o d e - R e d o m á s r e c i e n t e m e n t e c o m o S a p h i r e , s o n u n a amena¬ z a e n ascenso p a r a los u s u a r i o s de I n t e r n e t y s u i n f r a e s t r u c t u r a . E s t o s gusanos p u e d e n i n f e c t a r g r a n c a n t i d a d de u s u a r i o s e n u n p e r i o d o c o r t o de t i e m p o , resumiéndolo a sólo m i n u t o s . L o s e q u i p o s i n f e c t a d o s p u e d e n ser u s a d o s p a r a r e a l i z a r o t r o s a t a q u e s , c o m o a t a q u e s m a s i v o s de N e g a c i ó n de S e r v i c i o s ( D o S ) . E l e s t u d i o d e l c o m p o r t a m i e n t o de u n g u s a n o d u r a n t e s u p r o p a g a c i ó n es i m p o r t a n ¬ te p o r v a r i a s r a z o n e s . U n a es l a creación de s i s t e m a s de a l e r t a que p u e d a n d e t e c t a r l a propagación de l a
de u n g u s a n o , y e n u n caso i d e a l también p o d e r d a r u n análisis p r e l i m i n a r
propagación
y también t a l vez c a p t u r a r u n espécimen. H o y e n día, estos s i s t e m a s
n o e x i s t e n y se n e c e s i t a u n g r a n t r a b a j o p a r a v o l v e r esto r e a l i d a d . O t r o a s p e c t o i m p o r ¬ t a n t e es e l análisis de l a a m e n a z a c o n r e s p e c t o a l a v e l o c i d a d y número de n o d o s que se i n f e c t a n p o r u n i d a d de t i e m p o .
Predicción
y análisis de daño c o l a t e r a l , es
también
u n a s p e c t o que se n e c e s i t a a n a l i z a r d e t e n i d a m e n t e . [4] [6] La
información
que se tenía de gusanos p a s a d o s , sólo c u b r e u n a
pequeña
porción
d e l e s p a c i o m u e s t r a p o s i b l e , es i m p o r t a n t e p a r a e l diseño de u n c o n t r a a t a q u e , p o d e r p r e d e c i r las
características
que u n g u s a n o p u e d e t e n e r .
L o s gusanos e x p l o t a n v u l n e r a b i l i d a d e s c o m u n e s e n los u s u a r i o s de u n a r e d P 2 P y se d i f u n d e n
tipológicamente,
escaneo e n b u s c a de p o s i b l e s
s i e n d o u n a e s t r a t e g i a p o t e n c i a l m e n t e más e f e c t i v a que el víctimas.
E s t e análisis nos m u e s t r a e l p e l i g r o que t r a e n los g u s a n o s e n las redes P 2 P y u n m e c a n i s m o de a u t o d e f e n s a que p u d i e r a m i t i g a r l a a m e n a z a y l a evaluación de d e s e m p e ñ o d e l m i s m o . E l d e s a r r o l l o de u n a h e r r a m i e n t a de simulación es clave e n estos casos. [9]
20
3.1.
Técnicas
La
tecnología
de Respuesta a u n A t a q u e .
de u n I D S difiere de u n I P S e n u n a característica:
los I P S p u e d e n
r e s p o n d e r a u n a a m e n a z a d e t e c t a d a , p r e v i e n d o que n o t e n g a éxito. U t i l i z a n v a r i o s t i p o s de r e s p u e s t a s , las cuales se d i v i d e n e n los siguientes g r u p o s :
• E l I P S detiene el ataque. • Finaliza la
conexión
de r e d o l a sesión d e l u s u a r i o u t i l i z a d a p a r a r e a l i z a r el
ataque. • B l o q u e a el acceso a l a c u e n t a de u s u a r i o , dirección I P desde d o n d e se r e a l i z a el a t a q u e . • B l o q u e a t o d o s los accesos d e l e q u i p o c o m p r o m e t i d o . • E l I P S c a m b i a los e s q u e m a s de s e g u r i d a d . E l I P S p u e d e c a m b i a r l a
configuración
de o t r o s c o n t r o l e s de s e g u r i d a d y p a r a e l a t a q u e . • E l I P S c a m b i a el contenido del ataque. A l g u n o s I P S pueden neutralizar o remover p o r c i o n e s de u n a t a q u e , h a s t a d e j a r l o s i n efecto.
3.1.1. La
Metodología de mayoría
Detección.
de los I D P S u t i l i z a n
múltiples
m a n e r a separada o integrada p a r a proveer u n a clases p r i m a r i a s de
detección
metodologías detección
de
detección,
y a sea de
mas a m p l i a y concisa. L a s
son:
1. B a s a d o e n F i r m a s . C o m p a r a firmas c o n o c i d a s c o n los eventos o b s e r v a d o s p a r a así i d e n t i f i c a r i n c i d e n t e s . E s m u y e f e c t i v a p a r a d e t e c t a r a m e n a z a s y a c o n o c i d a s p e r o m u y i n e f e c t i v a a l d e t e c t a r a m e n a z a s d e s c o n o c i d a s y v a r i a n t e s de a m e n a z a s c o n o c i d a s . L a detección b a s a d a e n firmas n o p u e d e seguir y e n t e n d e r e l e s t a d o c o m p l e j o de las c o m u n i c a c i o n e s , p o r l o que n o p u e d e d e t e c t a r l a mayoría de los a t a q u e s que c o m p r e n d e n 2.
Detección
múltiples
eventos.
B a s a d a en Anomalías.
C o m p a r a d e f i n i c i o n e s de a c t i v i d a d e s que
s o n c o n s i d e r a d a s n o r m a l e s c o n eventos o b s e r v a d o s p a r a i d e n t i f i c a r d e s v i a c i o n e s importantes. E l de las
método
características
entonces c o m p a r a las
u t i l i z a perfiles que s o n d e s a r r o l l a d o s p o r e l m o n i t o r e o
de a c t i v i d a d e s tópicas e n u n p e r i o d o de t i e m p o . E l I D P S características
de u n evento a c t u a l c o n las y a r e c o p i l a d a s .
E s t e t i p o de deteccióon p u e d e ser m u y e f e c t i v a c o n a m e n a z a s n o c o n o c i d a s .
21
3.
Análisis
d e E s t a d o d e P r o t o c o l o . C o m p a r a perfiles de a c t i v i d a d e s de proto¬
colos a c e p t a d a s c o m o a c t i v i d a d e s b e n i g n a s c o n c a d a e s t a d o de los eventos de u n p r o t o c o l o o b s e r v a d o p a r a i d e n t i f i c a r d e s v i a c i o n e s . [16]
3.1.2.
Detectores.
E s t o s s o n a l g u n o s software I D P S :
•
BroNIDS.
• OSSEC HIDS. • Prelude Hybrid IDS. • Snort. •
3.2.
Suricata.
Estrategias de A t a q u e de u n Gusano
• Pure Random-based Scan (PRS).
E n e s t a categoría, los e q u i p o s i n f e c t a d o s
p o r el g u s a n o n o t i e n e n información sobre n i n g u n a v u l n e r a b i l i d a d a n t e r i o r o i n formación sobre los demás n o d o s . E l n o d o que a l b e r g a a l g u s a n o a l e a t o r i a m e n t e s e l e c c i o n a d i r e c c i o n e s I P c o m o víctimas de entre t o d a s las d i r e c c i o n e s de l a r e d y l a n z a el a t a q u e . C u a n d o u n n u e v o n o d o es i n f e c t a d o , continúa a t a c a n d o a l s i s t e m a de r e d u s a n d o l a m i s m a m e t o d o l o g í a . • Offline P 2 P - b a s e d Hit-list ( O P H L S ) . recolecta t o d a l a
información
E n esta estrategia, el n o d o infectado
d e l s i s t e m a e s t a n d o offline, d e n o t a d a c o m o " h i t -
l i s t " . E l n o d o i n f e c t a d o l a n z a e l a t a q u e c o n t r a los n o d o s e n l a l i s t a . E n e s t a fase d e l a t a q u e , t o d o s los nuevos n o d o s i n f e c t a d o s s i g u e n a t a c a n d o a los n o d o s de l a l i s t a , h a s t a que t o d o s h a y a n s i d o i n f e c t a d o s . Después t o d o s los n o d o s i n f e c t a d o s a t a c a n a l r e s t o de l a r e d c o n u n a t a q u e P R S . • Online P2P-based Scan (OPS).
Después de i n g r e s a r a l a r e d , e l n o d o infec¬
t a d o i n m e d i a t a m e n t e l a n z a e l a t a q u e c o n t r a sus v e c i n o s de l a r e d P 2 P , c o n t o d a s u c a p a c i d a d de a t a q u e . A l m i s m o t i e m p o , a t a c a a l r e s t o de l a r e d m e d i a n t e P R S , si aún t i e n e recursos p a r a h a c e r l o . U n e j e m p l o de esto es, A1 es e l n o d o i n f e c t a d o c o n c a p a c i d a d de a t a q u e de 5 n o d o s , y A1 t i e n e tres v e c i n o s P 2 P , B1, B
y B .
2
C o m i e n z a a u s a r u n 60 % de s u c a p a c i d a d de a t a q u e p a r a a t a c a r a B 1 , B
22
3
2
y B
3
y el r e s t o (40 %) p a r a a t a c a r a l s i s t e m a vía P R S . A s u m i e n d o que B
2
y B
3
son
n o d o s v u l n e r a b l e s y s o n i n f e c t a d o s , estos dos nuevos n o d o s i n f e c t a d o s atacarán a sus v e c i n o u t i l i z a n d o e l
método
de A1.
Después
de eso, A1 utilizará el 1 0 0 % de
s u c a p a c i d a d p a r a s e g u i r a t a c a n d o a l r e s t o d e l s i s t e m a c o n P R S . [3]
3.3.
M o d e l o de Difusión de u n Gusano.
L o s g u s a n o s u t i l i z a n l a i n t e r f a z de r e d p a r a p r o p a g a r s e e i n f e c t a r n o d o s e n los s i s t e m a s P 2 P , p o r l o que se define e l s i g u i e n t e m o d e l o de difusión. [6] [7]
3.3.1.
Difusión de un Gusano.
Se c o n s i d e r a u n a r e d P 2 P y a sea c o n o s i n s i s t e m a s de u n p r o t o c o l o de r e d o v e r l a y p a r a l a de
inserción
comunicación
protección,
enlazada por
de sus n o d o s . U n n o d o Ai es el p u n t o
del gusano a l a red P 2 P , el gusano empieza su
difusión
envidándose
a las
d i r e c c i o n e s c o n t e n i d a s e n l a l i s t a de v e c i n o d e l n o d o Ai . T o d o s los n o d o s e n l a l i s t a de d i r e c c i o n e s de Ai se c o n v i e r t e n e n i n f e c t a d o s y
difundirán
el g u s a n o de l a m i s m a ma¬
n e r a . U n n o d o n o p u e d e i n f e c t a r a u n n o d o que y a h a s i d o i n f e c t a d o . E l g u s a n o i n f e c t a al nodo
huésped
asó c o m o p o r
e x p l o t a n d o v u l n e r a b i l i d a d e s o errores de
intervención
programación
del software,
d e l u s u a r i o a f a l t a de e x p e r i e n c i a o c o n o c i m i e n t o s . L a entra¬
d a y s a l i d a de n o d o s de l a r e d se o m i t e p a r a fines prácticos y m e j o r e n t e n d i m i e n t o d e l m o d e l o . L a s c o n e x i o n e s de l a r e d se s u p o n e s o n c o r r e c t a s y a que se t r a t a de u n a r e d lógica
overlay, d o n d e sólo se c o n s i d e r a e l enlace e n t r e dos e n t i d a d e s y n o i n t e r v i e n e n
factores
físicos
o
tecnológicos.
E n l a F i g u r a 3.1 se m u e s t r a e l e s t a d o i n i c i a l d e l m o d e l o de
difusión,
d o n d e el
g u s a n o está h o s p e d a d o e n e l n o d o 0. E l g u s a n o accede a s u t a b l a de v e c i n o s o
finger
t a b l e p a r a despues p r o p a g a r s e h a c i a esas d i r e c c i o n e s . Y a que o b t i e n e sus o b j e t i v o s , el g u s a n o l a n z a e l a t a q u e e n v i a n d o m e n s a j e s de cual caracteriza l a ubicación
geográfica
infección
c o n u n t i e m p o de l a t e n c i a , el
de los n o d o s y p o r l o t a n t o l a d i s t a n c i a que
t i e n e que v i a j a r e l p a q u e t e a travóes de l a r e d . L a s t a b l a s de vecinos o finger t a b l e s están f o r m a d a s b a j o las r e g u l a r i d a d e s d e l p r o t o c o l o C h o r d . C u a n d o se h a c u m p l i d o l a u n i d a d de t i e m p o d e l c i c l o d e l m o d e l o , el a n i l l o de C h o r d p a s a a s u s i g u i e n t e e s t a d o , d o n d e t e n e m o s que e l t i e m p o e q u i v a l e a 1. E n l a figura p o d e m o s o b s e r v a r c o m o los p a q u e t e s h a n v i a j a d o a p e n a s 1 u n i d a d de t i e m p o . E n e l e j e m p l o i l u s t r a d o , n o t a m o s que a l m e n o s u n p a q u e t e i n f e c c i o s o h a l l e g a d o a s u d e s t i n o , y c o m o l o m a r c a e l m o d e l o de difusión, éste d e s t i n o o n o d o h a s i d o i n f e c t a d o . E l n u e v o n o d o i n f e c t a d a realizará a s u vez l a difusión d e l g u s a n o , m a n d a n d o 23
Nodo infectado Nodo vulnerable
finger table 0+2^0=1 0+2^l=2
0+2^2=4 F i g u r a 3.1: M o d e l o de Difusión e n t i e m p o = 0.
m e n s a j e s m a l i g n o s a s u finger t a b l e . E l c i c l o de infección se r e p i t e h a s t a q u e e l g u s a n o h a s i d o c o m p l e t a m e n t e t r a n s f e r i d o a t o d o s los n o d o s o a l m e n o s e n s u mayoría, y a q u e c o m o l o m a r c a e l m o d e l o de difusión,
no es p o s i b l e i n f e c t a r a u n n o d o m á s d e u n a vez. E n l a F i g u r a 3.2 y F i g u r a 3.3
se sigue m o s t r a n d o e l m i s m o e j e m p l o y se o b s e r v a c o m o e l g u s a n o sigue a v a n z a n d o c o n l a infección e n p o c a s u n i d a d e s de t i e m p o . E n e l e j e m p l o gráfico l a t e n d e n c i a de infección d e l g u s a n o , i n d i c a q u e l l e g a r a a c o n s u m i r t o d o s los n o d o s d e l a r e d , p e r m i t i e n d o a l u s u a r i o q u e c o n t r o l e este a t a q u e t e n e r acceso a
3.4.
información
Análisis
d e l i c a d a , o m a n i p u l a r los e q u i p o s de m a n e r a r e m o t a . [6] [8]
de G r a d o de Riesgo
E l g r a d o de riesgo es l a p o s i b i l i d a d de q u e u n n o d o sea víctima d e l a infección de u n g u s a n o . E s t a p o s i b i l i d a d se día p o r e l g r a d o de
participación
del usuario en conjunto
c o n l a s e v e r i d a d d e l g u s a n o , d i g a m o s e l t i p o de v u l n e r a b i l i d a d q u e e x p l o t a e n e l s i s t e m a . D e a c u e r d o a l g r a d o de s e v e r i d a d y de l a
intervención
h u m a n a que necesita u n
g u s a n o v a m o s a d e f i n i r dos t i p o s , e l t i p o " a r c h i v o " y e l t i p o " e x p l o i t " . E l g u s a n o t i p o a r c h i v o t i e n e n l a característica de q u e n e c e s i t a q u e e l u s u a r i o i n t e r v e n g a e n p a r t e , p o r
24
25
e j e m p l o que e l u s u a r i o s o l i c i t e o b u s q u e u n a r c h i v o e n l a r e d y este v e n g a i n f e c t a d o c o n e l g u s a n o , a u n asó e l g u s a n o está presente p e r o n e c e s i t a ser a c t i v a d o y a sea c o n la
ejecución
d e l a r c h i v o o de u n p r o g r a m a . L o s g u s a n o s d e l t i p o e x p l o i t son los m a s
severos, y a que n o n e c e s i t a n capítulos
intervención
d e l u s u a r i o a l g u n a , c o m o y a se e x p l i c o e n
a n t e r i o r e s , estos g u s a n o s h a c e n uso de las v u l n e r a b i l i d a d e s de u n s i s t e m a , a
las cuales el u s u a r i o n o t i e n e acceso e n l o a b s o l u t o . H e m o s d i s e n a d o u n e s q u e m a p a r a c o m p a r a r y t e n e r e n c u e n t a t o d o s los p o s i b l e s escenarios e n u n a r e d P 2 P a s i g n a n d o niveles de riesgo o s e v e r i d a d . S o n niveles que v a n desde u n a t a q u e n o t a n severo que r e a l m e n t e o c u p a más d e l u s u a r i o p a r a que e l g u s a n o p u e d a e n t r a r e n acción, h a s t a u n n i v e l d o n d e n o se r e q u i e r e a l u s u a r i o e n l o a b s o l u t o , s i e n d o este el más d e v a s t a d o r . A
continuación
se d e t a l l a n los n i v e l e s :
N i v e l de R i e s g o Nivel 1 - A m e n a z a Activada por Usuario
Intervención
del U s u a r i o
Ingreso
Activación
Requerida
Requerida
N i v e l 2 - A m e n a z a Ingresada por Usuario
Requerida
Automática
Nivel 3 - Amenaza Total
No Requerida
Automática
C u a d r o 3.1: T a b l a de Análisis de R i e s g o s .
• N i v e l 1 "Usuario
Activa
Amenaza".
E s t e g r a d o de riesgo se p o d r í a consi¬
d e r a r el más m í n i m o , s i n e m b a r g o es p e l i g r o s o , y a que a u n q u e n o sea u n a infección i n m e d i a t a e l p e l i g r o es l a t e n t e , p o r q u e i n t e r v i e n e n dos factores, el u s u a r i o y el g u s a n o . E l p e l i g r o e n este n i v e l es c u a n d o e l u s u a r i o d e s c a r g a u n a r c h i v o i n f e c t a d o c o n t e n i e n d o a l g u s a n o , e s p e r a n d o a ser a c t i v a d o . D e p e n d i e n d o de las h a b i l i d a d e s d e l u s u a r i o , h a y u n a p r o b a b i l i d a d de que se infecte o n o se i n f e c t e , y a que si c o n o c e d e l t e m a de las a m e n a z a s e n las redes, si m a n t i e n e a c t u a l i z a d o s u s i s t e m a , y sobre t o d o si es c u i d a d o s o a l d e s c a r g a r a r c h i v o s , que es d o n d e se e n c u e n t r a l a a m e n a z a p r i n c i p a l de este n i v e l , hará l a d i f e r e n c i a a l a h o r a de i n f e c t a r s e o n o i n f e c t a r s e . E n este n i v e l se n e c e s i t a que el u s u a r i o i n t r o d u z c a a l g u s a n o e n sus s i s t e m a y el g u s a n o n e c e s i t a ser a c t i v a d o p o r m e d i o d e l u s u a r i o , p a r a l o c u a l p u e d e n p a s a r , h o r a s , días o s e m a n a s . • N i v e l 2 "Amenaza
Ingresada
por
Usuario".
U n n i v e l u n t a n t o más p e l i -
groso que e l a n t e r i o r , y a que l a intervención d e l u s u a r i o es mínima, e l g u s a n o aún sigue d e p e n d i e n d o d e l u s u a r i o sólo p a r a l l e g a r a l s i s t e m a , u n a vez d e n t r o e l g u s a n o se p r o p a g a
automáticamente.
E n e l n i v e l 1 e r a n e c e s a r i o que e l m i s m o o p e r a d o r 26
d e l e q u i p o a c t i v a r a e l g u s a n o y a sea p o r m e d i o de u n a aplicación o a b r i e n d o algún a r c h i v o , e n c a m b i o e n el n i v e l 1 sólo es n e c e s a r i o que e l g u s a n o llegue a h o s p e d a r s e a l n o d o de a l g u n a m a n e r a , y a sea p o r c o p i a r a r c h i v o s a través de l a r e d , descar¬ g a r algún d a t o a d j u n t o de u n correo
electrónico
o medios similares. E l ingreso
d e l g u s a n o a l s i s t e m a c o m p r o m e t i d o es a cargo d e l u s u a r i o p o r los m e n c i o n a d o s , s i n e m b a r g o u n a vez d e n t r o , e l g u s a n o y por lo tanto empieza su • Nivel 3
"Amenaza
métodos
automáticamente
ya
se a c t i v a
difusión.
Total".
E n este n i v e l l a
intervención
d e l u s u a r i o n o es
r e q u e r i d a , sólo b a s t a c o n que el u s u a r i o sea p a r t e de u n a r e d P 2 P . L o s gusa¬ nos e n este n i v e l l l e g a n p o r si solos a l s i s t e m a y se d i f u n d e n s i n que el u s u a r i o l l e g u e a n o t a r l o . E n este n i v e l se t r a b a j a c o n g u s a n o s d e l t i p o C o d e - R e d o M o r r i s .
P a r a t r a t a r de c o n t e n e r l a infección y c o n t r a r r e s t a r el riesgo, l a i m p l e m e n t a c i ó n de n o d o s g u a r d i a n e s es p u e s t a e n práctica de m a n e r a f u n d a m e n t a l y n e c e s a r i a . S i e n d o este e l n i v e l m a s p e l i g r o s o , e l u s u a r i o es a j e n o a l a l l e g a d a d e l g u s a n o y s u
3.5.
difusión.
Contraatacando l a amenaza de los Gusanos
L o s g u s a n o s n o e x i s t i e r a n si
pudiéramos
e l i m i n a r las v u l n e r a b i l i d a d e s e n los sis¬
t e m a s o s i m p l e m e n t e c o r t a r las c o m u n i c a c i o n e s entre u s u a r i o s , p e r o n i n g u n a es v i a b l e en
práctica.
P a r a e l i m i n a r v u l n e r a b i l i d a d e s , los a p l i c a c i o n e s P 2 P d e b e n ser e s c r i t a s e n
l e n g u a j e s de
programación
seguros, c o m o J a v a o C + + , p a r a así l i b r a r n o s de las v u l n e -
r a b i l i d a d e s de buffer-overflow.
Incrementando l a diversidad en u n a red P 2 P , reduce l a
c o i n c i d e n c i a de v u l n e r a b i l i d a d e s c o m u n e s y hace m á s difícil p a r a e l g u s a n o p r o p a g a r s e e n l a r e d . [5]
3.5.1.
Detección
La tención
detección de
gusanos
Automática
automática ya
que
es las
un
de Gusanos
prerrequisito
reacciones
humanas
para son
cualquier
infraestructura
simplemente,
muy
lentas.
n o d o s de u n a r e d P 2 P c o n c a p a c i d a d p a r a d e t e c t a r u n g u s a n o , los l l a m a m o s
de
conA
los
Nodos
Guardianes. Los gusanos no m u e s t r a n c o m p o r t a m i e n t o s
fáciles
de d e t e c t a r e n l a r e d , p o r l o
t a n t o los n o d o s g u a r d i a n e s d e b e n d e t e c t a r a los g u s a n o s i d e n t i f i c a n d o p r o c e s o s de i n fección d e n t r o de las a p l i c a c i o n e s que se estóan e j e c u t a n d o . D e n t r o de éstas detecciones
27
d e b e n e n t r a r u n a g r a n clase de v u l n e r a b i l i d a d e s . S i n e m b a r g o e l m e c a n i s m o p r o p u e s t o r e q u i e r e m o d i f i c a c i o n e s de h a r d w a r e , o i n t e r p r e t a c i o n e s b i n a r i a s de c ó d i g o m u y g r a n d e s , es p o r eso que solo u n a p e q u e ñ a
fracción
de l a r e d P 2 P c o n s t i t u y e l a p o b l a c i ó n de n o d o s g u a r d i a n e s . Y a que e l m e c a n i s m o de detección
c o n t i e n e el
código
malicioso en u n ambiente
hermético,
a s u m i m o s que los
n o d o s g u a r d i a n e s s o n i n v u l n e r a b l e s a l a t a q u e d e l g u s a n o . [1]
3.5.2.
Nodos Guardianes
A l sólo c o n t a r c o n u n pequeño g r u p o de n o d o s g u a r d i a n e s , es c r u c i a l que u n a vez que e l n o d o
guardián
d e t e c t a u n g u s a n o , e n s e g u i d a genere u n m e n s a j e sobre e l a t a q u e
que se e s t a r e a l i z a n d o a l a r e d y l o envíe a otros n o d o s de l a r e d P 2 P . E s t o s m e n s a j e s serón l l a m a d o s alertas.
E l p r o p o s i t o de l a a l e r t a es que el n o d o r e c e p t o r o b t e n g a i n f o r -
m a c i ó n suficiente sobre el a t a q u e y p u e d a t o m a r las m e d i d a s a p r o p i a d a s p a r a volverse i n m u n e a l gusano. E s t e método p u d i e r a t e n e r u n efecto c o n t r a r i o a l b u s c a d o , y a que si e l n o d o recep¬ tor apagara o cerrara l a
aplicación
v u l n e r a b l e , entonces e l a t a q u e se convertiría e n u n
a t a q u e de D o S , p a r a e v i t a r este p r o b l e m a , los n o d o s g u a r d i a n e s d e b e n g e n e r a r a l e r t a r c e r t i f i c a d a s . L a s a l e r t a s c e r t i f i c a d a s s o n p r u e b a s de l a v u l n e r a b i l i d a d que está s i e n d o e x p l o t a d a y p u e d e n ser c o n f i r m a d a s p o r c u a l q u i e r n o d o , c o n t i e n e n u n a descripción
de
los eventos que l l e v a n a u n c o m p o r t a m i e n t o hóstil d e n t r o de l a r e d . U n a vez v e r i f i c a d a l a a u t e n t i c i d a d de l a a l e r t a , el n o d o p u e d e e j e c u t a r v a r i a s a c c i o nes p a r a p r o t e g e r s e , p o r e j e m p l o p u e d e r e c o n f i g u r a r s u firewall p a r a b l o q u e a r el acceso a l g u s a n o . I d e a l m e n t e u n n o d o debería p o d e r i d e n t i f i c a r l a v u l n e r a b i l i d a d e x p l o t a d a p o r el a t a q u e d e t e c t a d o y p a r c h e a r s e a u t o m á t i c a m e n t e .
E s t o s p a r c h e s p u e d e n ser ge¬
n e r a d o s l o c a l m e n t e p o r los n o d o s que r e c i b e n l a a l e r t a , s i n t e n e r que c o n f i a r e n p a r c h e s generados p o r otros n o d o s ( F i g u r a 3.4). Se a s u m e que las a l e r t a s se p r o p a g a n e n l a m i s m a r e d P 2 P que los g u s a n o s .
3.5.3.
Modelo de Contención de Amenazas basado en Nodos Guardianes.
Se c o n s i d e r a u n a r e d P 2 P y u n g u s a n o que e x p l o t a u n a v u l n e r a b i l i d a d e n los n o d o s de l a r e d . C o n s i d e r a r e m o s n o d o A c o m o v e c i n o de n o d o B si l a dirección de A aparece
28
29
e n l a l i s t a de d i r e c c i o n e s de B (finger
table).
C a d a n o d o e n l a r e d P 2 P t i e n e u n a p r o b a b i l i d a d i n d e p e n d i e n t e p de ser n o d o guardián;
o t r o caso, el n o d o es vulnerable.
do c u a n d o e l g u s a n o l l e g a a s u
dirección.
U n n o d o v u l n e r a b l e se c o n v i e r t e e n
infecta¬
U n g u s a n o e m p i e z a s u difusión e n u n n o d o
v u l n e r a b l e a l e a t o r i o p r o b a n d o las d i r e c c i o n e s de s u t a b l a de v e c i n o s . S i u n g u s a n o lle¬ ga a u n nodo difundirá
guardián,
el n o d o
guardián
detectara al gusano, generara l a alerta, y l a
i n m e d i a t a m e n t e a s u l i s t a de v e c i n o s . U n n o d o v u l n e r a b l e se c o n v i e r t e e n
n o d o inmune
después de r e c i b i r l a a l e r t a ; y éste l a difundirá a s u l i s t a de v e c i n o s . U n
n o d o i n f e c t a d o i g n o r a l a a l e r t a , p e r o éste y a n o se sigue p r o p a g a n d o . N o d o s i n m u n e s n o se c o n v i e r t e n e n n o d o s i n f e c t a d o s a u n h a y a n s i d o a l c a n z a d o s p o r e l g u s a n o . Se a s u m e que e l g u s a n o y l a a l e r t a t i e n e n e l m i s m o peso e n c a d a enlace. Se i g n o r a n los c a m b i o s dinámicos e n l a r e d , c o m o l a e n t r a d a y s a l i d a de n o d o s , p o r lo t a n t o se a s u m e u n a topología
3.6.
estática.
Autenticación de N o d o s G u a r d i a n e s .
P a r a que u n n o d o p u e d a e s t a r seguro que está r e c i b i e n d o u n m e n s a j e de p r o t e c c i ó n auténtico, que r e a l m e n t e p r o v i e n e de u n n o d o guardián auténtico, es n e c e s a r i o i m p l e m e n t a r u n s i s t e m a de c o n f i a n z a e n e l a m b i e n t e de l a r e d P 2 P . E x i s t e n v a r i a s tecnologías que se p u e d e n i m p l e m e n t a r e n este caso, p a r a e s t a b l e c e r u n s i s t e m a de c o n f i a n z a entre los n o d o s v u l n e r a b l e s y los n o d o s g u a r d i a n e s , los cuales s o n : • Criptografía de C l a v e s . • Certificados Digitales. E x i s t e n dos t i p o s de criptografía p o r claves, simétricas y asimétricas. E n l a c r i p t o grafía p o r claves simétricas se u t i l i z a l a m i s m a clave p a r a c i f r a r y d e s c i f r a r información, m i e n t r a s que e n l a criptografía
p o r claves asimétricas
se u t i l i z a n dos claves, l a clave
p r i v a d a y l a clave pública. A m b a s s i r v e n p a r a c i f r a r y d e s c i f r a r información.
L a clave
p u b l i c a es c o m p a r t i d a y de d o m i n i o g e n e r a l e n l a r e d , m i e n t r a s que l a clave p r i v a d a es única y p e r s o n a l p a r a c a d a n o d o . E l o b j e t i v o es que c u a n d o algún t i p o de
información
sea e n c r i p t a d a c o n u n a de las dos claves ( p o r e j e m p l o , l a clave p u b l i c a ) , solo p u e d a ser d e s c i f r a d a c o n s u clave c o m p l e m e n t a r i a ( l a clave p r i v a d a ) . E n el e s q u e m a de s e g u r i d a d p a r a l a c o n f i a n z a de n o d o s g u a r d i a n e s , esto se p u e d e a p l i c a r a los m e n s a j e s e n v i a d o s de a l e r t a . H a y u n a v e n t a j a sobre u t i l i z a r e l c i f r a d o p o r claves simétricas, l a c u a l es que es u n p r o c e s o m á s l i g e r o c o m p u t a c i o n a l m e n t e h a b l a n d o , que u t i l i z a r el c i f r a d o p o r claves asimétricas.
30
L a s e g u r i d a d p o r m e d i o de c e r t i f i c a d o s d i g i t a l e s , d e m a n d a l a i m p l e m e n t a c i ó n de u n a a u t o r i d a d de certificación, l o c u a l n o se ajustaría a l a m b i e n t e de u n a r e d P 2 P , y a que n o c u e n t a c o n a l g u n a e n t i d a d c e n t r a l i z a d a que p u e d a g e s t i o n a r este t i p o de s e r v i c i o . E n u n a m b i e n t e d i s t r i b u i d o c o m o los s o n las redes P 2 P , además son n e c e s a r i o c o n t r o l e s que p u e d a n d i s t r i b u i r c e r t i f i c a d o s de c o n f i a n z a a través de los n o d o s de l a r e d , que a c t u a r á n c o m o s e r v i d o r e s , c o n el o b j e t i v o de que e l s e r v i c i o s i e m p r e esté d i s p o n i b l e , aún si u n a p o r c i ó n de los n o d o s c e r t i f i c a d o r e s se c o l a p s a . P o r lo t a n t o e n redes P 2 P c o n i m p l e m e n t a c i ó n de n o d o s g u a r d i a n e s , estos c o n t r o l e s de s e g u r i d a d v a n a ser necesarios p a r a que c a d a n o d o c o m p o n e n t e d e l s i s t e m a , confíe e n las e n t i d a d e s de s e g u r i d a d p a r a p o d e r d e s e m p e ñ a r s u función de
protección.
31
[9]
Capítulo 4
Implementación y Resultados
U n s i m u l a d o r fué c o d i f i c a d o p a r a o b s e r v a r los m o d e l o s de p r o p a g a c i ó n d e s c r i t o s e n e l c a p i t u l o a n t e r i o r , que c a r a c t e r i z a n e j e m p l o s de redes P 2 P y dos t i p o s de g u s a n o s c o n n o d o s g u a r d i a n e s . E n e s t a sección m o s t r a r e m o s v a r i o s e j e m p l o s de s i m u l a c i o n e s que i l u s t r a n las p r o b a b i l i d a d e s que se p u e d e n p r e s e n t a r e n u n a infección r e a l . [5]
4.1.
Simulador
Se h a e s c o g i d o el l e n g u a j e de m i e n t a de
simulación,
programación
y a que c o n a y u d a de sus
r e s u l t a d o s que se b u s c a n . L a
interconexión
física
C++
p a r a el d e s a r r o l l o de l a herra¬
características
se p u e d e l l e g a r a los
entre los n o d o s se d a p o r e l p r o t o c o l o
T C P / I P , p e r o a l ser u n a simulación de l a r e d lógica se a s u m e que las c o n e x i o n e s físicas s o n f u n c i o n a l e s e n c u a l q u i e r i n s t a n t e de t i e m p o . L a conexión de l a r e d lógica es b a j o e l protocolo C h o r d el c u a l crea u n anillo. E l s i m u l a d o r c u e n t a c o n u n a clase " N o d e . h " , l a c u a l se e n c a r g a de c a r a c t e r i z a r a los n o d o s e n el p r o g r a m a . E s t a clase c u e n t a c o n a t r i b u t o s que p e r m i t e n m a n e j a r a l n o d o , c o m o n o d o guardián, n o d o v u l n e r a b l e o que actúe c o m o g u s a n o . A d e m á s c u e n t a c o n f u n c i o n e s que p e r m i t e n g e n e r a r l a t a b l a de vecinos o finger t a b l e , b a s á n d o s e e n las especificaciones
de l a t o p o l o g í a C h o r d , así c o m o f u n c i o n e s que p e r m i t e n e l envío y
r e c e p c i ó n de a l e r t a s . U n a vez c a r a c t e r i z a d a l a r e d i n i c i a l , lo c u a l se refiere a que y a se definió e l n o d o de e n t r a d a d e l g u s a n o , que n o d o s a c t u a r a n c o m o n o d o s g u a r d i a n e s , entonces se p r o c e d e a l envío de m e n s a j e s i n i c i a l e s d e l g u s a n o a s u t a b l a de v e c i n o s . Y a e m p e z a n d o e l envío de a l e r t a s e infecciones el t i e m p o de simulación se v a c o n s u m i e n d o h a s t a l l e g a r a s u fin y asó, se r e c o l e c t a n los r e s u l t a d o s o b t e n i d o s p a r a s u
32
análisis.
Parámetro
Descripción
N
N u m e r o de n o d o s .
U
U n i v e r s o de I D s . Tiempo
t tm
T i e m p o máximo del mensaje enviado.
ng
P o r c e n t a j e de n o d o s g u a r d i a n e s .
pi C u a d r o 4.1:
4.2.
simulación.
P r o b a b i l i d a d de Descripción
Diseno de l a
infección.
de parámetros d e l s i m u l a d o r .
Simulación
P a r a p o d e r o b s e r v a r y e v a l u a r el d e s e m p e ñ o de los n o d o s g u a r d i a n e s , es necesa¬ r i o s i m u l a r escenarios d o n d e se t o m e n e n c u e n t a los
parámetros
i n f l u y e n e n u n a r e d P 2 P r e a l . L a redes se c r e a r a n u s a n d o l a
y
características
topología
que
de C h o r d , l a
c u a l c r e a u n a n i l l o lógico de enlaces e n t r e los n o d o s y c a d a u n o t i e n e u n n u m e r o ú n i c o que l o i d e n t i f i c a , a s u vez c a d a n o d o t i e n e u n a finger t a b l e o t a b l a de v e c i n o s , c u e n t a n también
c o n u n buzón p a r a r e c i b i r m e n s a j e s de o t r o s n o d o s , estos m e n s a j e s p u e d e n ser
a l e r t a s o gusanos. E n el C u a d r o 4.1 p r e s e n t a m o s los
parámetros
de l a
simulación.
P a r a o b t e n e r e l tamaño de l a F i n g e r T a b l e se c a l c u l a o b t e n i e n d o U de los parámet r o s c a p t u r a d o s y se le a p l i c a l a s i g u i e n t e f o r m u l a : f t = log(U
)/log(2)
Se fijaron 3 t a m a ñ o s a p r o x i m a d o s de l a r e d P 2 P p a r a las
simulación,
que s o n de
50,000, 100,000 y 150,000 n o d o s , esto c o n e l fín de v e r que e l c o m p o r t a m i e n t o s i g a l a m i s m a t e n d e n c i a y o b t e n e r r e s u l t a d o s confiables. A l h a b e r i n t r o d u c i d o los
parámetros
elige a l e a t o r i a m e n t e de e n t r e l a
población
necesarios p a r a e m p e z a r l a
simulación,
se
de n o d o s , a l n o d o que será l a e n t r a d a d e l
g u s a n o a l a r e d y a los n o d o s g u a r d i a n e s , t o d o s c o n l a m i s m a p r o b a b i l i d a d de r e s u l t a r elegidos. E l n o d o c o n e l g u s a n o i n i c i a el a t a q u e a l a r e d , m a n d a d o m e n s a j e s de infección a t o d a s u t a b l a de v e c i n o s . C a d a m e n s a j e e n v i a d o t i e n e u n t i e m p o a l e a t o r i o de d e m o r a , y a que le t o m a u n o s segundos v i a j a r p o r l a r e d y t o d o e l p r o c e s o que esto i m p l i c a . U n a vez que e l m e n s a j e l l e g a a l b u z ó n d e s t i n o , d e p e n d i e n d o d e l n i v e l de riesgo d e l g u s a n o , éste t o m a r á acción e n e l n o d o huésped. S i e l n o d o huésped es u n n o d o guardióan, éste difundirá i n m e d i a t a m e n t e u n a a l e r t a de que los m e n s a j e s de
infección,
éstas
protección
alertas
a t o d a s u l i s t a de v e c i n o s , a l i g u a l
también
c u e n t a c o n u n t i e m p o de
envío.
C a s o c o n t r a r i o , si el n o d o huésped es v u l n e r a b l e , éste se c o n v i e r t e e n n o d o i n f e c t a d o e i n m e d i a t a m e n t e d i f u n d e el g u s a n o a través de s u l i s t a de v e c i n o s . E s t e t i p o de a t a q u e se le c o n o c e c o m o O P S y se e n c u e n t r a d e s c r i t o e n e l c a p i t u l o a n t e r i o r . E s asó c o m o , el 33
g u s a n o se vá d i f u n d i e n d o p o r l a r e d P 2 P y los n o d o s g u a r d i a n e s t r a t a n de m i t i g a r l a a m e n a z a , c o m o se m e n c i o n a e n el M o d e l o de C o n t e n c i ó n de A m e n a z a s . Después de h a b e r t e r m i n a d o el t i e m p o de simulación, o b t e n e m o s los r e s u l t a d o s p a r a proceder con el
4.3.
análisis.
Escenarios Propuestos
D e a c u e r d o a l análisis de riesgo, h e m o s d e f i n i d o tres escenarios. E n t o d o s los es¬ cenarios i m p l e m e n t a m o s nodos guardianes con el como
método
propósito
de a n a l i z a r s u e f e c t i v i d a d
p a r a m i t i g a r a m e n a z a s de gusanos e n las redes P 2 P . Se a s u m e que las
redes P 2 P m o d e l a d a s s o n de de n o d o e n t i e m p o de
tipología
ejecución.
estática,
es d e c i r , n o e x i s t e n e n t r a d a s n i s a l i d a s
L a e s t r a t e g i a de a t a q u e de los g u s a n o s e n los escena¬
rios será O P S . Se a s u m e que t o d o s los n o d o s de l a r e d u t i l i z a n u n s i s t e m a o p e r a t i v o c o n a l m e n o s u n a v u l n e r a b i l i d a d p o r e x p l o t a r . L a s t a b l a s de r u t e o o finger t a b l e s se c r e a n m e d i a n t e C h o r d . L a s a s u n c i o n e s hechas son c o n fines de p r a c t i c i d a d y s i m p l i c i d a d . L o s escenarios que a
continuación
se d e s c r i b e n , f u e r o n
p o r c e n t a j e de infección d e l g u s a n o , m e d i a n t e l a
intervención
diseñados
p a r a m e d i r el
del usuario en el proceso,
y a que c o n s i d e r a m o s que e l u s u a r i o t i e n e l a r e s p o n s a b i l i d a d casó s i e m p r e de que s u s i s t e m a n o sea c o m p r o m e t i d o p o r u n g u s a n o . S i e l u s u a r i o final se i n f o r m a r a y t o m a r a las m e d i d a s n e c e s a r i a s , el n i v e l de también
infección
bajaría
considerablemente. S i n embargo
t r a t a m o s c o n a m e n a z a s que están f u e r a de l a m a n o s de los u s u a r i o s , d o n d e
p r á c t i c a m e n t e n o se p u e d e h a c e r n a d a a l r e s p e c t o . L o s escenarios se d e s c r i b e n a
4.3.1.
continuación.
Escenario General
S o n t o d o s los n o d o s p a r t e de u n a r e d P 2 P , e n l a c u a l h a y u n n o d o p o r t a d o r de u n g u s a n o y u n 5 % de n o d o s g u a r d i a n e s . E l p o r c e n t a j e de n o d o s g u a r d i a n e s es solo u n a pequeñas fracción de l a r e d , y a que son n o d o s especiales c o n c a p a c i d a d e s diferentes de i m p l e m e n t a c i ó n y costos. A u n asó, los n o d o s g u a r d i a n e s n e c e s i t a n u n t i e m p o p a r a a c t u a l i z a r sus firmas y p o d e r l l e v a r a c a b o l a
protección
c o n s i d e r a d o u n t i e m p o d e l a y c a d a vez que u n n o d o
de l a r e d , es p o r eso que se h a
guardián
actúa,
este t i e m p o o s c i l a
e n t r e los 5 y 10 u n i d a d e s de t i e m p o , y a que es u n t i e m p o p r u d e n t e p a r a que r e a l i c e n estos procesos. A d e m á s , los n o d o s g u a r d i a n e s c u e n t a n c o n u n a serie de falsas acciones, esto c o n e l fin de c a r a c t e r i z a r las p o s i b l e s f a l l a s , c o m o lo s o n e l hecho de que p u e d a n o m i t i r u n a t a q u e d i r e c t o , c o m o y a se h a m e n c i o n a d o e n los s i s t e m a s I D P S , e x i s t e n 34
p o s i b i l i d a d e s de que los n o d o s g u a r d i a n e s n o r e c o n o z c a n p a t r o n e s de
detección.
Por
o t r o l a d o , e x i s t e l a p o s i b i l i d a d de que los n o d o s g u a r d i a n e s d e t e c t e n u n a anomalía e n u n p r o c e s o n o r m a l , p a r a esto se h a i m p l e m e n t a d o u n a serie de falsas p r o b a b i l i d a d e s d e l 3 % e n los n o d o s g u a r d i a n e s , c o n el fin de c a r a c t e r i z a r estas p o s i b l e s acciones. E l n o d o de e n t r a d a d e l g u s a n o se escoge a l e a t o r i a m e n t e de e n t r e l a
población
de n o d o s
v u l n e r a b l e s . E l g u s a n o e m p i e z a s u a t a q u e ( O P S ) desde el n o d o de e n t r a d a , h a b i e n d o u n a p r o b a b i l i d a d de
infección,
d e p e n d i e n d o d e l n i v e l de
intervención
h u m a n a e n que
se e n c u e n t r e , d e s c r i t o e n el análisis de riesgo. C o m o y a se m e n c i o n o , C h o r d es u t i l i z a ¬ do p a r a c r e a r l a r e d lógica, es d e c i r l a r e d o v e r l a y de l a r e d P 2 P . M e d i a n t e C h o r d se d e f i n e n las t a b l a s de v e c i n o s de c a d a n o d o , estas t a b l a s c o n t i e n e n l a
dirección
lógica
de c a d a n o d o c o n e l que habrá c o m u n i c a c i ó n . D e este escenario g e n e r a l se d e r i v a n tres escenarios, e n los que v a r i a l a p r o b a b i l i d a d de infección, de a c u e r d o a l a s i g u i e n t e t a b l a de p o n d e r a c i ó n : ( C u a d r o 4.2).
N i v e l de R i e s g o
P r o b a b i l i d a d de Infección
Usuario Activa Amenaza
0.3
U s u a r i o A c t i v a Ingreso
0.6
Amenaza Total
1.0
C u a d r o 4.2: T a b l a de
Ponderación
de
Infección.
P a r a c a d a e s c e n a r i o s i g u i e n t e se c r e a r o n redes de 50,000, 100,000 y 150,000 n o d o s . E l t i e m p o t o t a l de l a simulación es de 1,800 u n i d a d e s de t i e m p o y e l m e n s a j e de a l e r t a o g u s a n o p u e d e t e n e r u n t i e m p o v a r i a b l e de e n t r e 50 y 300 u n i d a d e s de t i e m p o . Se es¬ c o g i e r o n estos t i e m p o s , y a que se llegó a l a conclusión de que e r a n los t i e m p o s
óptimos
p a r a o b s e r v a r el c o m p o r t a m i e n t o de l a r e d , de los n o d o s g u a r d i a n e s y d e l g u s a n o .
4.3.2.
Escenario 1
E s t e escenario es b a s a d o e n e l n i v e l U s u a r i o A c t i v a A m e n a z a d e l Análisis de R i e s g o . Se t o m a l a p r o b a b i l i d a d de infección d e l n i v e l 1 c o r r e s p o n d i e n t e a l a t a b l a de p o n d e r a ción, que es de 0.3. D e b i d o a que es e l n i v e l m e n o s severo, l a p r o b a b i l i d a d 0.3 e n g l o b a t o d o s los aspectos y a m e n c i o n a d o s , c o m o h a b i l i d a d d e l u s u a r i o , e s t a d o d e l s i s t e m a , etc. Se m u e s t r a n los r e s u l t a d o s o b t e n i d o s p a r a u n a r e d c o n los t a m a ñ o s y p r o b a b i l i d a ¬ des y a i n d i c a d o s e n e l C u a d r o 4.3. E n este e s c e n a r i o , a n a l i z a n d o los r e s u l t a d o s o b t e n i d o s c o n l a simulación, p o d e m o s n o t a r que l a infección es c o n t e n i d a fácilmente p o r los n o d o s g u a r d i a n e s , c a b e señalar que s i e n d o u n p o r c e n t a j e
de infección r e l a t i v a m e n t e 35
pequeño,
los n o d o s g u a r d i a n e s
F i g u r a 4.1: C a m b i o s de estados e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 1.
f u e r o n capaces de d e t e c t a r e l a t a q u e , p r o t e g e r a sus v e c i n o s a l g r a d o de d e t e n e r l o c o m p l e t a m e n t e . E n l a F i g u r a 4.1 se m u e s t r a n los c a m b i o s de e s t a d o s , t a n t o las i n f e c c i o n e s p o r e l g u s a n o y las p r o t e c c i o n e s hechas p o r los n o d o s g u a r d i a n e s , p o d e m o s o b s e r v a r c o m o e l g u s a n o e m p i e z a s u difusión e n l a r e d y a l l l e g a r a u n n o d o guardián
este
e m p i e z a a m a n d a r a l e r t a s a sus v e c i n o s . A l e s t a r l i d i a n d o c o n u n g u s a n o de n i v e l de riesgo 1, n o c a u s a i n f e c c i o n e s y se p u e d e o b s e r v a r que fue c o n t r o l a d o p o r los g u a r d i a n e s . E l envío de m e n s a j e s d u r a n t e l a simulación fue d o m i n a d a c a s i e n s u t o t a l i d a d p o r m e n s a j e s de
protección
e n v i a d o s p o r n o d o s g u a r d i a n e s . E n l a F i g u r a 4.2, o b s e r v a m o s
c l a r a m e n t e c o m o a l m o m e n t o de c o m e n z a r e l g u s a n o s u infección, los n o d o s g u a r d i a n e s e m p i e z a n a p r o t e g e r a sus n o d o s v e c i n o s , l l e g a n d o a l p u n t o e n que las a l e r t a s de p r o t e c c i ó n s u p e r a n a los m e n s a j e s de infección, y c o m p r o b a m o s que l a a m e n a z a h a s i d o contenida.
No. Nodos
Nodos
Nodos
Porcentaje
Nodos
Nodos
Porcentaje
Guardianes
Protegidos
Protección
Vulnerables
Infectados
Infección
Finales
(%)
Iniciales
Finales
(%)
50,000
2,444
45,668
92.44
46,956
590
1.19
100,000
4,775
90,239
92.49
92,785
892
0.91
150,000
7,329
133,936
92.59
137,313
1,267
0.87
C u a d r o 4.3: Resultados de l a simulación E s c e n a r i o 1. 36
F i g u r a 4.2: M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 1.
4.3.3.
Escenario 2
E n este e s c e n a r i o se analizó l a difusión de u n g u s a n o n i v e l U s u a r i o I n g r e s a A m e n a z a , de a c u e r d o a l a t a b l a de
ponderación
de
infección.
S i c o m p a r a m o s los r e s u l t a d o s
o b t e n i d o s e n este e s c e n a r i o c o n los r e s u l t a d o s o b t e n i d o s e n el e s c e n a r i o 1, e x i s t e u n a d i f e r e n c i a a f a v o r de l a infecciona. E s t o se d e b e a que l a p r o b a b i l i d a d de que e l g u s a n o i n f e c t e a l n o d o es de 0.6, d e b i d o a que se t r a t a de u n g u s a n o c o n más p o d e r d e v a s t a d o r o de
infección.
No. Nodos
Se m u e s t r a n los r e s u l t a d o s o b t e n i d o s e n l a simulación e n e l C u a d r o 4.4.
Nodos
Nodos
Guardianes
Protegidos
Porcentaje Protección
Nodos
Nodos
Porcentaje
Vulnerables
Infectados
Infección
Finales
(%)
Iniciales
Finales
(%)
46,897
12,005
24.31
50,000
2,475
33,933
68.72
100,000
4,819
67,117
68.81
92,710
23,530
24.12
150,000
7,080
96,576
68.85
137,368
38,009
26.31
C u a d r o 4.4: Resultados de l a simulación E s c e n a r i o 2. Se p u e d e o b s e r v a r e n los r e s u l t a d o s que e l p o r c e n t a j e de infección aumentó signi¬ ficativamente,
p a s o de ser m e n o s de 2 % e n el e s c e n a r i o 1 a u n r a n g o de e n t r e e l 24 y 37
F i g u r a 4.3: C a m b i o s de e s t a d o e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 2.
27 % , lo c u a l nos dice que a m e d i d a que a u m e n t a l a p r o b a b i l i d a d de infección, dismi¬ n u y e e l r e n d i m i e n t o de los n o d o s g u a r d i a n e s , p e r o aún así, se l o g r a c o n t e n e r l a difusión del gusano. E n l a F i g u r a 4.3 p o d e m o s o b s e r v a r c o m o este g u s a n o c o n u n n i v e l más de p e l i g r o a u m e n t a s i g n i f i c a t i v a m e n t e l a infección e n l a r e d . E s t o p u e d e c a u s a r otros
problemas
p a r a l a i n t e g r i d a d de l a r e d , d i g a m o s a t a q u e s de D o S , saturación de l a r e d o d i s m i n u ción d e l a n c h o de b a n d a . E s t o se p u e d e d a r d e b i d o a que e n p r i m e r l u g a r , los n o d o s que r e c i b e n a l e r t a s de p r o t e c c i ó n , p u e d e n a p a g a r o d e s c o n e c t a r a p l i c a c i o n e s v u l n e r a b l e s y simultáneamente o t r o u s u a r i o p u d i e r a e s t a r r e q u i r i e n d o de ese s e r v i c i o o aplicación, que y a n o se encontrará
d i s p o n i b l e d e b i d o a l a a l e r t a . E n l a F i g u r a 4.4
observamos
el a u m e n t o de envío de m e n s a j e s de infección p o r p a r t e d e l g u s a n o . E n el s i g u i e n t e e s c e n a r i o se d e s c r i b e e l p e o r de los casos y sus i m p a c t o s .
4.3.4.
Escenario 3
L o s gusanos de n i v e l 3, c o m o se h a v e n i d o e x p l i c a n d o a l o l a r g o de los capítulos a n t e r i o r e s , s o n gusanos que n o n e c e s i t a n
intervención
h u m a n a p o r lo t a n t o h e m o s asig¬
n a d o u n a p r o b a b i l i d a d de infección de 1.0, lo c u a l a r r o j a los r e s u l t a d o s m o s t r a d o s e n el C u a d r o 4.5.
38
F i g u r a 4.4: M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 2.
No. Nodos
Nodos
Nodos
Guardianes
Protegidos Finales
Porcentaje Protección
Nodos
Nodos
Vulnerables
Infectados
Porcentaje
Iniciales
Finales
46,903
40,599
(%) 82.19
Infección
50,000
2,418
5,627
(%) 11.39
100,000
4,886
13,223
13.55
92,641
77,787
79.75
150,000
7,212
20,387
14.10
137,331
114,823
79.43
C u a d r o 4.5: Resultados de l a
simulación
E s c e n a r i o 3.
E n este caso o b t e n e m o s r e s u l t a d o s que m u e s t r a n que e l g u s a n o logró i n f e c t a r más de l a m i t a d de l a
población
de n o d o s de l a r e d P 2 P , c u a n d o los n o d o s g u a r d i a n e s solo
a l c a n z a r o n a p r o t e g e r a l r e d e d o r d e l 10 a 15 % de l a r e d , e n l a F i g u r a 4.5 se m u e s t r a s u avance. O b s e r v a m o s que e l g u s a n o e m p i e z a c o n infecciones c o n t r o l a d a s p o r los n o d o s guar¬ d i a n e s , h a s t a e l t i e m p o 200 a 400 es d o n d e se d i s p a r a n los c o n t a g i o s d e l g u s a n o , aun las p r o t e c c i o n e s n o s o n suficientes p a r a c o n t e n e r l a a m e n a z a y s o b r e p a s a p o r c o m p l e t o l a protección
de los n o d o s g u a r d i a n e s . S i n e m b a r g o esto n o s i g n i f i c a e n este caso, que los
n o d o s g u a r d i a n e s n o sean eficientes, y a que s i n s u p r e s e n c i a el g u s a n o t o m a r í a casi e n s u t o t a l i d a d e l c o n t r o l de l a r e d , t r a y e n d o c o n s i g o o t r o t i p o s de p r o b l e m a s p a r a l a r e d y los u s u a r i o s . A
continuación
m o s t r a m o s u n a c o m p a r a t i v a e n t r e u n a t a q u e de u n g u s a n o 39
F i g u r a 4.5: C a m b i o s de e s t a d o e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 3.
n i v e l 3 ( A m e n a z a T o t a l ) c o n l a p r e s e n c i a de n o d o s g u a r d i a n e s e n l a r e d y s i n p r e s e n c i a de los m i s m o s . E n l a F i g u r a 4.6 se m u e s t r a l a
comparación
el entre ataque del m i s m o
gusano
n i v e l 3 e n u n a r e d c o n n o d o s g u a r d i a n e s y s i n n o d o s g u a r d i a n e s . L a gráfica m u e s t r a l a e f e c t i v i d a d de los n o d o s g u a r d i a n e s y c o m p a r a n d o r e s u l t a d o s d e l caso c o n y d e l caso s i n
protección,
t e n e m o s que el
número
máximo
protección
de n o d o s i n f e c t a d o s e n u n a
s o l a u n i d a d de t i e m p o p o r e l g u s a n o fue de 6,806 n o d o s , m i e n t r a s que c o n l a
protección
de los n o d o s g u a r d i a n e s t a n solo fue de 438 n o d o s , l o c u a l nos dice que, a u n q u e n o logran m i t i g a r l a amenaza, reducen considerablemente el i m p a c t o del gusano,
dejando
las p u e r t a s a b i e r t a s p a r a t r a b a j o s a f u t u r o . E n l a t a b l a se m u e s t r a n los p o r c e n t a j e s o b t e n i d o s e n u n a simulación de u n a r e d P 2 P de 150,000 n o d o s t a n t o e n m o d o de
protección
y sin
protección.
T e n e m o s que c o n
l a protección de los n o d o s g u a r d i a n e s , e l g u s a n o l o g r a i n f e c t a r e l 79.43 % de l a
población
de l a r e d , y s i n protección l o g r a o b t e n e r e l 98.42 % de l a r e d , l o c u a l lo c a t e g o r i z a c o m o u n a t a q u e severo y d e v a s t a d o r . P o r o t r o l a d o , a u n q u e e l g u s a n o l o g r a t o m a r más de l a m i t a d de l a r e d , s u difusión es m a s l e n t a , y a que los n o d o s g u a r d i a n e s l o g r a n r e d u c i r a l 5.8 % las infecciones
máximas
e n u n a u n i d a d de t i e m p o , p o r e j e m p l o s i n l a
protección
de estos n o d o s , e l g u s a n o logró i n f e c t a r 6,806 n o d o s e n u n a u n i d a d de t i e m p o , m i e n t r a s que l a p r e s e n c i a de los n o d o s g u a r d i a n e s solo pudo i n f e c t a r 438 n o d o s e n u n s e g u n d o . 40
F i g u r a 4.6: C o m p a r a c i ó n de Infecciones e n u n a t a q u e de u n g u s a n o n i v e l 3.
E l C u a d r o 4.6 m u e s t r a los r e s u l t a d o s de l a
Protección
(%)
Infección
comparación.
M á x i m a s Infecciones p o r U n i d a d de T i e m p o
C o n Nodos Guardianes
69.75
403
Sin Nodos Guardianes
98.51
6,875
C u a d r o 4.6:
Comparación
de r e s u l t a d o s de
simulación.
E l a t a q u e d e l g u s a n o p u e d e ser u n p u n t o de p a r t i d a p a r a o t r o s a t a q u e s a l a r e d in¬ directamente. C o m o y a sabemos, el gusano procede a infectar u n nodo
transportándose
p o r m e d i o de l a r e d c o m o u n m e n s a j e o p a q u e t e c u a l q u i e r a , p e r o t i e n e l a p a r t i c u l a r i d a d de que h a c e u n g r a n número de p e t i c i o n e s y enlaces
simultáneamente,
c o m o se m u e s t r a
e n l a F i g u r a 4.7. E l envío m a s i v o de m e n s a j e s p u e d e o c a s i o n a r que l a r e d se colapse p o r c a u s a de la
saturación
de p a q u e t e s que se envían a l m i s m o t i e m p o y esto a s u vez, p r o v o c a n d o
errores de D o S a los u s u a r i o s de l a r e d . E n c o n t r a m o s éste e s c e n a r i o c o m o e l más p r o m e t e d o r e n e l p r o c e s o de d e s a r r o l l o de los n o d o s g u a r d i a n e s , y a que e n los escenarios a n t e r i o r e s se m u e s t r a que p u e d e n c o n t r o l a r l a situación d e l a t a q u e de u n g u s a n o de esos n i v e l e s , p e r o
41
tratándose
de u n
F i g u r a 4.7: M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 3.
g u s a n o que e x p l o t a tales v u l n e r a b i l i d a d e s de los s i s t e m a s , es d o n d e se p o n e a p r u e b a este c o n c e p t o de s e g u r i d a d e n redes.
42
Capítulo 5
Conclusiones
G r a c i a s a l t r a b a j o r e a l i z a d o , d e s c r i t o e n los
capítulos
anteriores p o d e m o s llegar
a las siguientes c o n c l u s i o n e s y a p o r t a c i o n e s a l c o n t e x t o sobre los n o d o s g u a r d i a n e s y s e g u r i d a d e n redes P 2 P . M a n t e n e r los s i s t e m a s de s e g u r i d a d tales c o m o a n t i v i r u s o firewall j u e g a n u n pa¬ p e l i m p o r t a n t e , y a que p u e d e n h a c e r l a d i f e r e n c i a a l m o m e n t o de u n a t a q u e , c o m o se demostró
e n e l e s c e n a r i o 1.
L o s n o d o s g u a r d i a n e s c o m o método de
contención
de a m e n a z a s r e s u l t a r o n ser u n a
m e d i d a eficiente, y a que c o n u n p e q u e ñ o p o r c e n t a j e l o g r a r o n m i t i g a r e l a t a q u e d e l gu¬ sano c o m o se
demostró
e n e l e s c e n a r i o 1 y e n e l e s c e n a r i o 2 de este t r a b a j o .
E n e l e s c e n a r i o 3, p u d i m o s o b s e r v a r que n o se logró c o n t e n e r e n s u t o t a l i d a d l a a m e n a z a , s i n e m b a r g o se r e d u j o e n u n p o r c e n t a j e c o n s i d e r a b l e , e v i t a n d o que el g u s a n o t o m a r a e l c o n t r o l de flujo de l a r e d . E l a u m e n t o de n o d o s g u a r d i a n e s se p u d i e r a p e n s a r que es l a m e j o r
opción
para
m e j o r a r los r e s u l t a d o s e n casos s i m i l a r e s a l d e l e s c e n a r i o 3, p e r o este a u m e n t o a l a p o blación a c t i v a de n o d o s g u a r d i a n e s p u e d e n t r a e r c o n s i g o o t r o t i p o de c o n s i d e r a c i o n e s . Se
necesitará
rediseñar el e s q u e m a a c t u a l de autenticación
de n o d o s g u a r d i a n e s , y a
que el c o n s i d e r a d o p a r a este t r a b a j o n o p u d i e r a s o p o r t a r l a n u e v a
configuración,
sería
n e c e s a r i o p r o b a r s u r o b u s t e z . E l c o s t o de l a i n f r a e s t r u c t u r a de r e d se elevará considera¬ b l e m e n t e , y a que l a implementación
y
manutención
de los n o d o s g u a r d i a n e s es e l e v a d o
y a l a u m e n t a r el p o r c e n t a j e a c t i v o , aumentarían estos costos. U n a contribución i m p o r t a n t e h e c h a c o n este t r a b a j o , fue l a ampliación d e l t r a b a j o de o t r o s a u t o r e s , y a que se m a n e j a n m á s c o n c e p t o s a e v a l u a r , c o m o u n diferente proto¬ colo, diferentes t i p o s de a m e n a z a s e n diferentes escenarios, asó c o m o l a procesos de autentificación
consideración
de
p a r a los m i s m o s n o d o s g u a r d i a n e s , l o c u a l le dá u n m a y o r
g r a d o de r o b u s t e z a l e s q u e m a de s e g u r i d a d . 43
E l s i m u l a d o r c o d i f i c a d o p a r a este t r a b a j o , fue u n a p i e z a clave p a r a l a o b t e n c i ó n de los r e s u l t a d o s , y a que b r i n d ó r e s u l t a d o s p a r a o b t e n e r las a la
conclusión
final.
estadísticas
y poder llegar
A d e m á s fue l a h e r r a m i e n t a u t i l i z a d a p a r a e v a l u a r l a e f i c i e n c i a de
los n o d o s g u a r d i a n e s a n t e e l a t a q u e de u n g u s a n o e n u n a r e d P 2 P . E x i s t e n p o s i b l e s e x t e n s i o n e s de f u n c i o n e s que se le p u e d e n a d e c u a r , c o m o l a integración de o t r o s proto¬ colos de r e d y l a adición y
5.0.5.
eliminación
de n o d o s e n t i e m p o r e a l de
simulación.
Trabajo a Futuro.
Con la
intención
de e x t e n d e r el análisis de éste t r a b a j o , se c o n s i d e r a que a l g u n o s
aspectos q u e d a n a b i e r t o s p a r a c o n t i n u a r s u d e s a r r o l l o , c o m o l o s e r á n : • L a implementación t r a l e s de
de n o d o s g u a r d i a n e s e n o t r o t i p o de redes s i n e n t i d a d e s cen¬
administración,
c o m o redes a d h o c , o e n o t r o t i p o de redes P 2 P .
• C a r a c t e r i z a r y d e t a l l a r a los n o d o s que p u d i e r a n desempeñar l a función de n o d o s c e r t i f i c a d o r e s , e n el c o n t e x t o de c o n f i a n z a . • Integración de u n m o d u l o a l a h e r r a m i e n t a de de n o d o s e n t i e m p o e n
simulación.
44
simulación,
de a d i c i o n y
eliminación
Bibliografía
[1] L i d o n g Z h o u , L i n t a o Z h a n g , F r a n k M c S h e r r y , N i c o l e I m m o r l i c a , M a n u e l C o s t a , Steve C h i e n , " A F i r s t L o o k at P e e r - t o - P e e r W o r m s : T h r e a t s a n d D e f e n s e s " , International
Workshop on Peer-To-Peer
Systems (IPTPS
'05),
2005.
[2] W e i Y u , " A n a l y z e t h e W o r m - b a s e d A t t a c k i n L a r g e Scale P 2 P N e t w o r k s " , ceeding of the Eighth Engineering
IEEE
(HASE
International
Symposium
4th
on High Assurance
Pro-
Systems
2004.
'04),
[3] W e i Y u , C o r e y B o y e r , D o n g X u a n , ' A n a l y z i n g I m p a c t s of P e e r - t o - P e e r S y s t e m s o n P r o p a g a t i o n of A c t i v e W o r m A t t a c k s " , ACM
Computer
Communications
Volume
31, Issue 17, N o v i e m b r e 2008. [4] M i c h a e l L i l j e n s t a m , D a v i d M . N i c o l , " C o m p a r i n g P a s s i v e a n d A c t i v e W o r m Defen¬ ses", IEEE
Proceedings
Evaluation
of Systems
of the First (QEST
'04),
International
Conference
on the
Quantitative
2004.
[5] A r n o W a g n e r , B e r n h a r d P l a t t n e r , T h o m a s D i i b e n d o r f e r , R o m a n H i e s t a n d , " E x p e riences w i t h W o r m P r o p a g a t i o n S i m u l a t i o n s " , ACM (WORM
'03),
Workshop on Rapid
Malcode
2003.
[6] F a n g w e i W a n g , Y u n k a i Z h a n g , J i a n f e n g M a , " M o d e l i n g a n d D e f e n d i n g P a s s i v e W o r m s over U n s t r u c t u r e d P e e r - t o - P e e r N e t w o r k s " , SpringerLink Tianjin
University
Transactions
of
14 Issue 1, N o v i e m b r e 2008.
Volume
[7] J i e M a , X i n m e n g C h e n , G u a n n g l i X i a n g , " M o d e l i n g P a s s i v e W o r m P r o p a g a t i o n i n P e e r - t o - P e e r S y s t e m s " , IEEE gence and Security,
International
Conference
on Computational
Intelli¬
2006.
[8] W e i Y u , C o r e y B o y e r , S r i r a m C h e i l l a p p a n , D o n g X u a n , " P e e r - t o - P e e r S y s t e m - b a s e d A c t i v e W o r m A t t a c k s : M o d e l i n g a n d A n a l y s i s " , IEEE Communications,
International
Conference
on
2005.
[9] N a s s i m a K h i a t , Y a n n i c k C a r l i n e t , N a z i m A g o u l m i n e , " T h e E m e r g i n g T h r e a t of P e e r - t o - P e e r W o r m s " , IEEE Detection
and Mitigation,
Proceedings ofFirst
S e p t i e m b r e 2006. 45
Workshop on Monitoring,
Attack
[10] P r a n k D a b e k , E m m a B r u n s k i l l , M . F r a n s K a a s h o e k , D a v i d K a r g e r , R o b e r t
Mo-
rris, Ion Stoica, H a r i B a l a k r i s h n a n , " B u i l d i n g Peer-to-Peer Systems w i t h C h o r d ,
a D i s t r i b u t e d L o o k u p S e r v i c e " , IEEE
Proceedings of the Eighth
Workshop on
Hot
Topics in Operating Systems, 2001. [11] I o n S t o i c a , R o b e r t M o r r i s , D a v i d K a r g e r , H a r i B a l a k r i s h n a n , " C h o r d : A P e e r - t o - P e e r L o o k u p S e r v i c e for I n t e r n e t A p p l i c a t i o n s " , ACM
2001 Conference
on Applications,
Computer Communications,
Technologies, Architectures,
Scalabe
Proceedings
of
the
and Protocols
for
2001.
[12] S r i n i v a s S h a k k o t t a i , R . S r i k a n t , " P e e r t o P e e r N e t w o r k s for Defense A g a i n s t I n t e r -
net W o r m s " , ACM Proceedings from the 2006 workshop on Interdisciplinary approach in performance
evaluation
systems
and design ofcomputer & communications
Sys-
terns, 2006. [13] K a p e r s k y L a b s . 2009. [14] J o h n J a n n o t t i , D a v i d K . G i f f o r d , K i r k L . J o h n s o n , M . F r a n s K a a s h o e k , J a m e s W . O'Toole J r , "Overcast: Reliable M u l t i c a s t i n g w i t h an Overlay Network",
Proceedings of the 4th conference on Symposium Implementation,
on Operating
ACM
System Design
&
Volume 4, 2000.
[15] G i o v a n n i V i g n a , F r e d i c k V a l e u r , R i c h a r d A . K e m m e r e r , " D e s i g n i n g a n d I m p l e m e n t i n g a F a m i l y of I n t r u s i o n D e t e c t i o n S y s t e m s " , Proceedings of the 9th
software engineering conference held jointly with 11th ACM SIGSOFT symposium on Foundations
ofsoftware
European
international
engineering, S e p t i e m b r e 2003.
[16] M a r i o G u i m a r a e s , M e g M u r r a y , " O v e r v i e w of I n t r u s i o n D e t e c t i o n a n d I n t r u s i o n
P r e v e n t i o n " , Proceedings of the 5th annual conference on Information rriculum
development, S e p t i e m b r e 2008.
46
security cu-