Análisis de Difusión de un Gusano en una Red Peer-to-Peer

Análisis de Difusión de u n Gusano en u n a R e d Peer-to-Peer por Ing. Alfredo Guzmán Ortega Tesis P r e s e n t a d a a l P r o g r a m a de G r a

0 downloads 138 Views 4MB Size

Story Transcript

Análisis de Difusión de u n Gusano en u n a R e d Peer-to-Peer por

Ing. Alfredo Guzmán Ortega

Tesis P r e s e n t a d a a l P r o g r a m a de G r a d u a d o s de l a División de M e c a t r ó n i c a y Tecnologías de Información como requisito parcial p a r a obtener el grado

académico

de

Maestro en Ciencias especialidad en

Telecomunicaciones

Instituto Tecnológico y de Estudios Superiores de Monterrey Campus Monterrey M a y o de 2010

Instituto Tecnológico y de Estudios Superiores de Monterrey Campus Monterrey División de Mecatrónica y Tecnologías de Información P r o g r a m a de

Graduados

L o s m i e m b r o s d e l c o m i t é de tesis r e c o m e n d a m o s que l a presente tesis de A l f r e d o G u z m á n O r t e g a sea a c e p t a d a c o m o r e q u i s i t o p a r c i a l p a r a o b t e n e r e l g r a d o

académico

de M a e s t r o e n C i e n c i a s , e s p e c i a l i d a d e n :

Telecomunicaciones

Comité de tesis:

D r . Jorge Carlos M e x Perera Asesor de l a tesis

D r . G e r a r d o A n t o n i o Castañón

Ing. A r t e m i o Alfredo A g u i l a r

Avila

Coutiño

Sinodal

Sinodal

D r . G e r a r d o A n t o n i o Castañón Ávila D i r e c t o r de las maestrías en Electrónica y Automatización de la DMTI M a y o de 2010

E s t e t r a b a j o e s t a d e d i c a d o c o n cariño: A mis padres Concepción O r t e g a Verdugo y M a n u e l Guzmán Vargas por estar s i e m p r e c o n m i g o y h a b e r m e e n s e n a d o t o d o l o que se. A mis hermanos Hania, Luisito y M a r i e l . Y a t i P a u l i n a p o r e s t a r a m i l a d o y ser e l b r i l l o de m i v i d a .

Reconocimientos

A m i s profesores de p o s g r a d o p o r h a b e r f o r m a d o p a r t e de m i preparación

académi-

c a y p o r h a b e r t r a n s m i t i d o lecciones y c o n o c i m i e n t o s a lo l a r g o de l a maestría. A m i asesor, el D r . J o r g e C a r l o s M e x p o r h a b e r m e g u i a d o e n e l p r o c e s o de l a tesis, p o r sus consejos y o b s e r v a c i o n e s . A l T e c n o l ó g i c o de M o n t e r r e y p o r h a b e r m e d a d o l a o p o r t u n i d a d de r e a l i z a r m i s e s t u d i o s de p o s g r a d o . A m i s p a d r e s p o r a p o y a r m e i n c o n d i c i o n a l m e n t e e n t o d o s m i s p r o y e c t o s de v i d a . A m i s c o m p a ñ e r o s de e s t u d i o s p o r a y u d a r m e e n t o d o este t i e m p o . A m i s amigos por el apoyo b r i n d a d o .

ALFREDO GUZMÁN ORTEGA Instituto Tecnológico y de Estudios Superiores de Monterrey Mayo 2010

V

Análisis de Difusión de u n Gusano en u n a R e d Peer-to-Peer

Alfredo Guzmán Ortega, M . C . I n s t i t u t o T e c n o l ó g i c o y de E s t u d i o s S u p e r i o r e s de M o n t e r r e y , 2010

A s e s o r de l a tesis: D r . J o r g e C a r l o s M e x P e r e r a

L a s R e d e s P e e r - t o - P e e r h a n g a n a d o u n a g r a n p o p u l a r i d a d g r a c i a s a l c o n c e p t o de c o m partición de a r c h i v o s y r e c u r s o s , d o n d e m i l l o n e s de u s u a r i o s de I n t e r n e t h a c e n uso de e s t a función. U n a de las p r o p i e d a d e s de las R e d e s P 2 P P u r a s es que n o c u e n t a n c o n u n s i s t e m a que a d m i n i s t r e los c o n t e n i d o s y recursos. S u n a t u r a l e z a d e s c e n t r a l i z a d a es difícil m a n t e n e r u n c o n t r o l de e s q u e m a s de segu¬ r i d a d , d e j a n d o i n m u n e s a los u s u a r i o s ante u n a t a q u e a l a r e d . L o s g u s a n o s se h a n i d o p o p u l a r i z a n d o e n este t i p o de a t a q u e s , y a que s i n n i n g u n a i n f r a e s t r u c t u r a de s e g u r i d a d , les p e r m i t e d i f u n d i r s e rápidamente. L o s n o d o s g u a r d i a n e s s o n u n e s q u e m a de p r o t e c c i ó n p a r a estos s i s t e m a s P 2 P . For¬ m a n p a r t e de l a m i s m a p o b l a c i ó n a c t i v a de n o d o s , y a s u vez p r o t e g e n u n a p o r c i ó n de e l l a . E n estos t i e m p o s , se l i d i a c o n g u s a n o s m u y p o t e n t e s que e n t r a n p o r l u g a r e s a los que e l u s u a r i o n o t i e n e acceso o c o n o c i m i e n t o , d a n d o c o m o r e s u l t a d o u n a t a q u e seguro y efectivo. E n este t r a b a j o se a n a l i z a l a e f i c a c i a de los n o d o s g u a r d i a n e s e n u n a R e d P 2 P b a j o el a t a q u e de g u s a n o de rápida p r o p a g a c i ó n , m e d i a n t e m o d e l o s de difusión y p r o t e c c i ó n .

Índice general

Reconocimientos

V

Resumen

VI

Indice de cuadros

IX

Indice de C a p í t u l o 1.

figuras Introducción

X 1

1.1.

Objetivo

2

1.2.

Justificación

2

1.3.

Contribución

3

1.4.

Organización

3

C a p í t u l o 2.

Redes Peer-to-Peer

4

2.1.

Características de las R e d e s P e e r - t o - P e e r

2.2.

A p l i c a c i o n e s de las R e d e s P e e r - t o - P e e r

5

2.3.

T i p o s de R e d e s P e e r - t o - P e e r

6

2.4.

Redes Overlay

8

2.4.1.

8

2.5.

2.6. 2.7.

Características de las R e d e s O v e r l a y

Chord

5

9

2.5.1.

Funcionamiento General

9

2.5.2.

P r o c e d i m i e n t o de B ú s q u e d a de N o d o s

10

Gusanos

10

2.6.1.

11

Caracterización de los G u s a n o s

D e t e c c i ó n de I n t r u s i o n e s

12

2.7.1.

S i s t e m a s de D e t e c c i ó n y P r e v e n c i ó n de I n t r u s i o n e s

13

2.7.2.

F u n c i o n e s de u n I D P S

14

2.8.

V u l n e r a b i l i d a d e s del Software

14

2.9.

Buffer Overflow

15

2.9.1.

15

Incidentes

2.10. A t a q u e s e n l a H i s t o r i a

16

VII

2.11. T i p o s de V u l n e r a b i l i d a d e s E x p l o t a d a s

16

2.11.1. U n i x

17

2.11.2. D i s p o s i t i v o s M ó v i l e s

18

C a p í t u l o 3. M o d e l o s d e P r o p a g a c i ó n y C o n t e n c i ó n d e G u s a n o s e n R e d e s P2P 3.1.

20 T é c n i c a s de R e s p u e s t a a u n A t a q u e

21

3.1.1.

M e t o d o l o g í a de D e t e c c i ó n

21

3.1.2.

Detectores.

22

3.2.

E s t r a t e g i a s de A t a q u e de u n G u s a n o

22

3.3.

M o d e l o de Difusión de u n G u s a n o .

23

3.3.1.

23

Difusión de u n G u s a n o

3.4.

Análisis de G r a d o de R i e s g o

3.5.

C o n t r a a t a c a n d o l a a m e n a z a de los G u s a n o s

3.6.

24 27

3.5.1.

D e t e c c i ó n A u t o m á t i c a de G u s a n o s

27

3.5.2.

Nodos Guardianes

28

3.5.3.

M o d e l o de C o n t e n c i ó n de A m e n a z a s b a s a d o e n N o d o s G u a r d i a n e s .

28

A u t e n t i c a c i ó n de N o d o s G u a r d i a n e s .

C a p í t u l o 4.

Implementación y Resultados

30 32

4.1.

Simulador

32

4.2.

Diseño de l a Simulación

33

4.3.

Escenarios Propuestos

34

4.3.1.

Escenario General

34

4.3.2.

Escenario 1

. . .

35

4.3.3.

Escenario 2

. . .

37

4.3.4.

Escenario 3

. . .

38

C a p í t u l o 5. C o n c l u s i o n e s 5.0.5.

43

Trabajo a Futuro.

44

Bibliografía

45

Vita

47

VIII

Índice de cuadros

3.1.

T a b l a de Análisis de R i e s g o s

26

4.1.

D e s c r i p c i ó n de parámetros d e l s i m u l a d o r

33

4.2.

T a b l a de

35

4.3.

Resultados de l a simulación E s c e n a r i o 1

36

4.4.

Resultados

de l a simulación E s c e n a r i o 2

37

4.5.

Resultados

de l a simulación E s c e n a r i o 3

39

4.6.

Ponderación

Comparación

de I n f e c c i o n

de r e s u l t a d o s de

simulación.

IX

41

Índice de figuras

2.1.

U n a R e d Peer-to-Peer.

7

2.2.

A n i l l o lógico de C h o r d .

9

2.3.

Asignación de C l a v e s a N o d o s Sucesores

10

2.4.

Exploit

"ikee" activo en u n i P h o n e

19

3.1.

M o d e l o de Difusión e n t i e m p o = 0

24

3.2.

M o d e l o de Difusión e n t i e m p o = 1

25

3.3.

M o d e l o de Difusión e n t i e m p o = 2

25

3.4.

M o d e l o de P r o t e c c i ó n de los N o d o s G u a r d i a n e s

29

4.1.

C a m b i o s de estados e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 1. 36

4.2.

M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 1.

4.3.

C a m b i o s de e s t a d o e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 2. 38

4.4.

M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 2. 39

4.5.

C a m b i o s de e s t a d o e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 3. 40

4.6.

C o m p a r a c i ó n de Infecciones e n u n a t a q u e de u n g u s a n o n i v e l 3.

41

4.7.

M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 3.

42

x

37

Capítulo 1

Introducción

L o s s i s t e m a s c o n f o r m a de r e d a b u n d a n e n n u e s t r o m u n d o . L a s redes

complejas

s o n redes dinámicas, c o n j u n t o s de o b j e t o s c o n e c t a d o s que interactúan e n t r e s i , y p o r o b j e t o p u e d e n ser, n o d o s de u n a r e d informática, p e r s o n a s de u n a r e d s o c i a l , e l e m e n t o s de u n a r e d b i o l ó g i c a , entre o t r o s . A l g o que c a r a c t e r i z a a las redes c o m p l e j a s es que s u t o p o l o g í a es u n t e m a s u s t a n c i a l entres sus f u n c i o n e s . E n t r e las redes informáticas e n c o n t r a m o s a l I n t e r n e t o a l a W o r l d W i d e W e b , d e n t r o de estas redes e x i s t e n redes v i r t u a l e s f o r m a d a s p o r m i l l o n e s de n o d o s i n t e r a c t u a n d o entre s i , y a se

compartiendo

información o recursos, son conocidas como Redes Peer-to-Peer ( P 2 P ) . U n s i s t e m a de r e d P e e r - t o - P e e r es u n g r u p o de n o d o s que c o n s t r u y e n s u p r o p i a r e d c o n o b j e t i v o s especiales. D a d o a l reciente s u r g i m i e n t o de los s i s t e m a s P 2 P c o n g r a n d e s n ú m e r o s de u s u a r i o s , estos s i s t e m a s p u e d e n ser u n m e d i o m u y efectivo p a r a que los P i r a t a s Informáticos l a n c e n a t a q u e s c o n G u s a n o s ( W o r m s ) . L a p r o p a g a c i ó n de g u s a n o s p o r I n t e r n e t p u e d e p e r m i t i r que u n solo n o d o c o n t r o l e m i l e s de n o d o s l a n z a n d o a t a q u e s c o m o Negación de S e r v i c i o ( D o S , D e n i a l of Service) entre o t r o s , a c c e d i e n d o

información

c o n f i d e n c i a l y d e s t r u y e n d o i n f o r m a c i ó n v a l i o s a . L o s s i s t e m a s P 2 P se están c o n v i r t i e n d o e n u n f a c t o r i m p o r t a n t e e n l a c o m p a r t i c i ó n de recursos a m a y o r e s c a l a e n I n t e r n e t . U n g u s a n o es u n t i p o de v i r u s i n f o r m á t i c o que posee l a p r o p i e d a d de d u p l i c a r s e a si m i s m o . L o s gusanos e x p l o t a n p a r t e s de u n s i s t e m a o p e r a t i v o que g e n e r a l m e n t e s o n i n v i s i b l e s a l u s u a r i o . A d i f e r e n c i a de u n v i r u s , u n g u s a n o n o p r e c i s a a l t e r a r a r c h i v o s o p r o g r a m a s , sino c o p i a r s e e n l a m e m o r i a y d u p l i c a r s e a si m i s m o , c o n esto b u s c a n

dañar

l a r e d , m i e n t r a s los v i r u s s i e m p r e i n f e c t a n o c o r r o m p e n a r c h i v o s . E l p r o b l e m a de l a difusión de los gusanos sobre las redes P 2 P , t i e n e s u raíz desde el u s u a r i o final h a s t a los m i s m o s s i s t e m a s que se u t i l i z a n p a r a s u o p e r a c i ó n , y a que u n a infección se p u e d e o c a s i o n a r desde e l m í n i m o d e s c u i d o d e l u s u a r i o o y a sea p o r l a f a l t a de s e g u r i d a d d e l s i s t e m a , dícese v u l n e r a b i l i d a d , f a l t a de software a n t i v i r u s y / o

firewall.

g e n e r a costos que l a

mayoría

actualización

L a i m p l e m e n t a c i ó n de s i s t e m a s especiales de de las veces n o es costeable 1

e n los detección

p a r a los s i s t e m a s P 2 P y

p a r a los u s u a r i o s , y a s u vez estos s i s t e m a s especiales p u e d e n ser m e d i d a s c o n t r a p r o ¬ ducentes p a r a l a r e d , y a que u n a m e d i d a p u e d e ser e l a p a g a d o de a l g u n a

aplicación

o

a l m o m e n t o de q u e r e r n o t i f i c a r a l a r e d , p u e d e darse u n a saturación de a n c h o de b a n d a . U n a m e d i d a p a r a c o n t r a r r e s t a r este p r o b l e m a e n las redes P 2 P , p u e d e ser l a i m p l e m e n t a c i ó n de n o d o s especiales, d i s t r i b u i d o s y c o l o c a d o s e n l a población a c t i v a de l a red. Nodos Guardianes con

características

de u n g u s a n o y c i e r t o n i v e l de

contención

que les p e r m i t e n l a detección de u n a t a q u e d e l m i s m o . E s t o s n o d o s solo o c u p a n u n pe¬

q u e ñ o p o r c e n t a j e e n l a población de l a r e d y a que p o r s u h a r d w a r e y software a l c a n z a n costos elevados p a r a e l u s u a r i o p r o m e d i o .

[1]

E l diseño de u n a i n f r a e s t r u c t u r a de r e d i n m u n e , podría ser l a solución a este pro¬ b l e m a que a t a c a a m i l l o n e s de u s u a r i o s e n e l m u n d o . L a s redes están c o n

nosotros

c o t i d i a n a m e n t e , que a l g u n a s veces t e m e m o s de s u p o d e r , c o m o el 10 de a g o s t o de 1996, u n a f a l l a e n dos líneas de energía e n e l e s t a d o de O r e g ó n e n E s t a d o s U n i d o s , llevó a u n a serie de fallas e n c a s c a d a d e j a n d o a 7 m i l l o n e s de u s u a r i o s e n 11 estados y 2 p r o v i n c i a s de Canadá s i n energía d u r a n t e 16 h o r a s . [2] [4]

1.1.

Objetivo

E n este t r a b a j o a n a l i z a r e m o s el i m p a c t o de l a sistema P 2 P y el

método

de

contención

propagación

de u n g u s a n o e n u n

de a m e n a z a s b a s a d o e n N o d o s G u a r d i a n e s .

Se realizarán e x p e r i m e n t o s c o n diferentes t i p o s de g u s a n o s , e n c u a n t o a v e l o c i d a d de propagación

se refiere, b a s a d o e n u n m o d e l o de difusión c o n lo que se e s p e r a , los N o d o s

G u a r d i a n e s p u e d a n c o n t e n e r o d i s m i n u i r el i m p a c t o d e l g u s a n o ,

proveyéndonos

asó u n a

p o s i b l e solución a l p r o b l e m a de l a difusión de u n g u s a n o e n u n a R e d P 2 P .

1.2.

Justificación

E n c o n t r a m o s que las redes P 2 P se h a n v u e l t o v u l n e r a b l e s a los a t a q u e s de g u s a n o s c o n f o r m e h a c r e c i d o s u p o p u l a r i d a d entre l a c o m u n i d a d de I n t e r n e t . E s p o r eso que l a Aparición

de nuevos esquemas de a t a q u e s , e n f o r m a de g u s a n o n o h a s i d o l a

excepción.

E s t o s nuevos g u s a n o s son d e l t i p o i n d e t e c t a b l e p a r a las técnicas a c t u a l e s de s e g u r i d a d , p o r l o que c a u s a n g r a n daño a los s i s t e m a P 2 P . E s t e n u e v o m o d e l o i n c l u y e v a r i a s fases, p r i m e r o de a l e r t a y método de a i s l a m i e n t o .

2

detección

automática,

generación

1.3.

Contribución

C o n e l o b j e t i v o de d e t e r m i n a r el i m p a c t o que t i e n e l a difusión de u n g u s a n o e n u n a R e d P 2 P , se p r o p o n e u n a m e j o r a a l m o d e l o de Automática

contención

de a m e n a z a s " D e t e c c i ó n

de G u s a n o s " [1], e n este n u e v o m o d e l o es u n a m e j o r a d e l a n t e r i o r , y a que

t o m a e n c u e n t a elementos reales que i n f l u y e n d i r e c t a m e n t e a l a difusión de u n g u s a n o , asó c o m o l a

caracterización

d e l g u s a n o e n sí, c o n diferentes niveles de p e l i g r o , y a que e l

m o d e l o o r i g i n a l sólo t o m a e n c u e n t a , u n sólo t i p o de g u s a n o . L a base de este s i s t e m a de

detección

es l a i m p l e m e n t a c i ó n de N o d o s G u a r d i a n e s , los cuales s o n n o d o s d i s t r i ¬

b u i d o s p o r t o d a l a r e d c u i d a n d o s u flujo de parámetros

información.

c o n los que t r a b a j a u n s i s t e m a de

t i e m p o s de r e t r a s o de r e s p u e s t a de u n N o d o

Este nuevo modelo considera

detección

de i n t r u s o s r e a l , c o m o l o s o n

Guardián,

l a p o s i b i l i d a d de que u n o de

estos n o d o s c o m e t a u n e r r o r , lo c u a l l l e g a a suceder d e b i d o a s u Nuestro modelo trabaja bajo l a protocolos

topología

metodología

de t r a b a j o .

d e l p r o t o c o l o C h o r d , el c u a l es u n o de los

P 2 P m a s r o b u s t o s que se h a n d e s a r r o l l a d o , lo que nos g a r a n t i z a u n b u e n

d i r e c c i o n a m i e n t o de i n f o r m a c i ó n e n l a r e d . C o n este n u e v o m o d e l o o b s e r v a r e m o s l a efi¬ c a c i a de los n o d o s g u a r d i a n e s a c t u a n d o b a j o e l a t a q u e de diferentes t i p o s de g u s a n o s , p a r a d e t e r m i n a r asó, si son u n a m e d i d a e f e c t i v a de

1.4.

contención.

Organización

E s t e t r a b a j o está o r g a n i z a d o de l a s i g u i e n t e m a n e r a . E n e l c a p i t u l o 2 se d e t a l l a n los e l e m e n t o s claves que interactúan e n el p r o b l e m a p r i n c i p a l , las R e d e s P e e r - t o - P e e r y los g u s a n o s , asó c o m o sus

características,

t i p o s , etc. E l c a p i t u l o 3 m u e s t r a los m o d e l o s

que se e m p l e a n p a r a c a r a c t e r i z a r el c o m p o r t a m i e n t o de las p a r t e s claves, c o m o m o d e l o s de difusión de los g u s a n o s , m o d e l o s de

contención

de los n o d o s g u a r d i a n e s e i n f o r m a -

ción r e l e v a n t e . E n el c a p i t u l o 4 se e x p l i c a n los e x p e r i m e n t o s diseñados c o n e l fin de d a r solución

a l p r o b l e m a , los r e s u l t a d o s y n o t a s d e l a u t o r . E l c a p i t u l o 5 está c o m p u e s t o p o r

las c o n c l u s i o n e s a las que se llegó, r e c o m e n d a c i o n e s y el p o s i b l e t r a b a j o a f u t u r o .

3

Capítulo 2

Redes Peer-to-Peer

U n a R e d P e e r - t o - P e e r es u n a r e d de c o m p u t a d o r a s o n o d o s que c o m p a r t e n u n a p o r c i ó n de sus r e c u r s o s c o n los o t r o s n o d o s de l a r e d s i n l a n e c e s i d a d de e n t i d a d e s c e n t r a l e s de

administración.

T o d o s los n o d o s de l a r e d actúan simultáneamente

como

C l i e n t e s o S e r v i d o r e s , a l g u n o s r e c u r s o s que se c o m p a r t e n s o n p o d e r de p r o c e s a m i e n t o , a l m a c e n a m i e n t o o a n c h o de b a n d a . E n c o n t r a s t e c o n l a a r q u i t e c t u r a C l i e n t e S e r v i d o r , las redes P 2 P p r o m e t e n m e j o r e s c a l a b i l i d a d , m e n o r e s costos, m e j o r organización y administración de r e c u r s o s y o p t i m i z a c i ó n de r e c u r s o s l i m i t a d o s , m e j o r t o l e r a n c i a de fallos y u n m e j o r s o p o r t e p a r a l a i m p l e m e n t a c i ó n de redes a d h o c . A d e m á s las redes P 2 P , p r o v e e n a los nuevos u s u a r i o s o p o r t u n i d a d e s que solo f u e r a n p o s i b l e s c o n a r q u i t e c t u r a s p r o p i e t a r i a s . L a s redes P 2 P s o n f o r m a d a s dinámicamente p o r l a l l e g a d a y s a l i d a de n o d o s , l o cual no causa u n i m p a c t o significativo gracias a su arquitectura r o b u s t a y el manejo d i n á m i c o de sus t a b l a s de r u t e o , que le p e r m i t e n r e a c o m o d a r n o d o s s i n i n t e r r u m p i r s u operación. L a s redes P e e r - t o - P e e r ( P 2 P ) n o s o n algo n u e v o . C o m ú n m e n t e se c o n o c e n

bajo

l a m a r c a de N a p s t e r . E n e s t a aplicación e l c o n c e p t o de P 2 P e r a u s a d o p a r a c o m p a r t i r a r c h i v o s , p o r e j e m p l o a r c h i v o s de m ú s i c a c o m p r i m i d a ( m p 3 ) . S i n e m b a r g o , el c o n c e p t o de las redes P 2 P n o es s o l a m e n t e c o m p a r t i r a r c h i v o s , si n o t a m b i é n es c r e a r enlaces o c o m u n i c a c i o n e s m u l t i m e d i a b a j o estándares y p r o t o c o l o s b a s a d o s e n estas redes. L a d i f e r e n c i a que d i s t i n g u e a las redes P 2 P y a l a a r q u i t e c t u r a C l i e n t e - S e r v i d o r es que e n las redes P 2 P e l n o d o actúa c o m o c l i e n t e y s e r v i d o r , r e p r e s e n t a l a c a p a c i d a d de a c t u a r simultáneamente c o m o a m b o s . P o r o t r o l a d o e n l a a r q u i t e c t u r a C l i e n t e - S e r v i d o r , t o d o s los p a r t i c i p a n t e s actúan o c o m o c l i e n t e o c o m o s e r v i d o r , p e r o n u n c a desempeñaran ambas funciones.

4

2.1.

Características de las Redes Peer-to-Peer

• Escalabilidad.

L a s redes P 2 P l l e g a n a a b a r c a r alcances de m i l l o n e s de u s u a r i o s

c o n e c t a d o s entre sí. L o i d e a l es que entre el m a y o r sea e l n ú m e r o de u s u a r i o s o n o d o s c o n e c t a d o s a l a r e d m e j o r d e b e ser s u f u n c i o n a m i e n t o . E s asó, que c a d a vez que u n n u e v o n o d o i n g r e s a a l a r e d , los recursos de e s t a aumentarán. • Robustez.

P o r s u a r q u i t e c t u r a d i s t r i b u i d a las redes P 2 P i n c r e m e n t a n s u ro¬

b u s t e z e n caso de e x i s t i r u n f a l l o e n las c o n e x i o n e s de los n o d o s ,

permitiéndoles

e n c o n t r a r información o a r c h i v o s s i n h a c e r u n a petición d i r e c t a m e n t e a u n servi¬ d o r c e n t r a l de i n d e x a d o . •

Descentralización.

L a s redes P 2 P p o r n a t u r a l e z a s o n de e s q u e m a d e s c e n t r a l i z o

y t o d o s los n o d o s t i e n e n l a m i s m a

jerarquía.

P o r lo tanto, no existen nodos con

f u n c i o n e s especiales y p o r ende, ningún n o d o es i n d i s p e n s a b l e p a r a l a r e d . • Costos.

T o d o s los costos se e n c u e n t r a n r e p a r t i d o s entre los u s u a r i o s de l a r e d .

Según l a n e c e s i d a d de l a aplicación, los recursos p u e d e n ser a r c h i v o s , e s p a c i o e n d i s c o , a n c h o de b a n d a o p o d e r de p r o c e s a m i e n t o . • Seguridad.

L a s e g u r i d a d e n las redes P 2 P es u n a de las p r o p i e d a d e s m a s ne¬

cesidades p e r o a s u vez, l a m e n o s i m p l e m e n t a d a . L o s o b j e t i v o s de u n a r e d P 2 P s e g u r a s o n p o d e r i d e n t i f i c a r n o d o s i n f e c t a d o s o m a l i c i o s o s , así c o m o c o n t e n i d o i n f e c t a d o y e l acceso n o a u t o r i z a d o a

2.2.

información

delicada.

Aplicaciones de las Redes Peer-to-Peer

E n l a a c t u a l i d a d , e l a n c h o de b a n d a o las c a p a c i d a d e s de a l m a c e n a m i e n t o y c ó m p u t o s o n recursos caros. E n a q u e l l a s a p l i c a c i o n e s y s e r v i c i o s que r e q u i e r a n u n a e n o r m e c a n t i d a d de recursos p u e d e n usarse las redes P 2 P . A l g u n o s e j e m p l o s de aplicación de las redes P 2 P son: • I n t e r c a m b i o y bus queda de

ficheros.

A l g u n o s ejemplos son B i t T o r r e n t o l a red

eDonkey2000. • S i s t e m a s de ficheros d i s t r i b u i d o s . • S i s t e m a s de t e l e f o n a p o r I n t e r n e t , c o m o S k y p e . • Se h a n e m p e z a d o a v e r a las redes P 2 P c o m o u n a p o s i b l e a l t e r n a t i v a p a r a l a distribución •

Cálculos c o m o los

de m a t e r i a l de g r a n d e s e s t u d i o s de

televisión

y de c i n e .

científicos, redes capaces de p r o c e s a r u n a e n o r m e c a n t i d a d de d a t o s , bioinformáticas. 5

2.3.

T i p o s de Redes Peer-to-Peer

De acuerdo a l a

centralización

de u n a r e d P 2 P , las p o d e m o s c l a s i f i c a r c o m o C e n ¬

t r a l i z a d a s , Híbridas y P u r a s . • R e d e s P 2 P C e n t r a l i z a d a s . E s t a clasificación se b a s a e n u n a a r q u i t e c t u r a don¬ de t o d a s las t r a n s a c c i o n e s y p e t i c i o n e s se r e a l i z a n a través de u n único s e r v i d o r que sirve c o m o p u n t o de enlace entre los n o d o s , y que a s u vez a l m a c e n a y d i s t r i ¬ b u y e los n o d o s que a l m a c e n a n los c o n t e n i d o s de l a r e d . E s p o r eso que p o s e e n u n a alta

disposición

de c o n t e n i d o s , s i n e m b a r g o l a f a l t a de p r i v a c i d a d de los u s u a r i o s

es u n a de las d e s v e n t a j a s de e s t a a r q u i t e c t u r a , asó c o m o l a f a l t a de e s c a l a b i l i d a d a u n solo s e r v i d o r . A d e m á s se p u e d e n e n c o n t r a r a l t o s costos de m a n t e n i m i e n t o s y u n g r a n c o n s u m o de a n c h o de b a n d a .

U n a r e d c e n t r a l i z a d a t i e n e las siguientes p r o p i e d a d e s : • F u n c i o n a b a j o u n solo s e r v i d o r que s i r v e c o m o c e n t r a l de enlaces entre los n o d o s de l a r e d y c o m o acceso a l c o n t e n i d o . • T o d a s las c o m u n i c a c i o n e s d a d a s e n t r e los n o d o s , asó c o m o p e t i c i o n e s y e n rutamientos, dependen del servidor central. • Redes P 2 P Híbridas.

E n este t i p o de redes, también se e n c u e n t r a l a p r e s e n c i a

de u n s e r v i d o r c e n t r a l que a d m i n i s t r a los recursos de l a r e d (ancho de b a n d a , c o m u n i c a c i o n e s ) , p e r o s i n s a b e r l a i d e n t i d a d de c a d a n o d o y s i n a l m a c e n a r i n f o r m a c i ó n a l g u n a , p o r l o que e l s e r v i d o r n o c o m p a r t e información de ningún t i p o e n l a r e d . T i e n e n l a m a n e r a de o p e r a r de dos m o d o s e n caso de f a l l o de los s e r v i d o r e s , los n o d o s p u e d e n seguir c o n l a compartiendo

información

comunicación

d i r e c t a entre ellos y asó p o d e r seguir

y recursos.

E s t e t i p o de redes P 2 P t i e n e n las siguientes

características:

• L o s n o d o s s o n r e s p o n s a b l e s de h o s p e d a r l a central no almacena l a

información,

información,

pues e l s e r v i d o r

que p e r m i t e a l s e r v i d o r c e n t r a l r e c o n o c e r

los recursos que se desean c o m p a r t i r , y p a r a p o d e r d e s c a r g a r esos recursos c o m p a r t i d o s a los n o d o s que l o s o l i c i t a n . • L a s t a b l a s de e n r u t a m i e n t o s o n d i r e c c i o n e s u s a d a s p o r e l s e r v i d o r , que s o n a d m i n i s t r a d a s p o r u n s i s t e m a de índices p a r a o b t e n e r u n a dirección a b s o l u t a . • Redes

P 2 P Puras.

L a s redes P 2 P P u r a s s o n las más c o m u n e s y u t i l i z a d a s ,

s i e n d o las más versátiles a l n o n e c e s i t a r ningún t i p o de

administración,

lo que su¬

p r i m e l a n e c e s i d a d de u n a e n t i d a d c e n t r a l que c o n t r o l e los accesos, l a

distribución

6

F i g u r a 2.1: U n a R e d P e e r - t o - P e e r . de l a i n f o r m a c i ó n , etc. L a s c o m u n i c a c i o n e s son d i r e c t a s entre u s u a r i o y u s u a r i o p o r m e d i o de u n n o d o , el c u a l p e r m i t e e n l a z a r las c o m u n i c a c i o n e s .

L a s redes de este t i p o c u e n t a n c o n las siguientes

características:

• L o s n o d o s actúan c o m o c l i e n t e y s e r v i d o r . • N o e x i s t e u n s e r v i d o r c e n t r a l que m a n e j e las c o n e x i o n e s de r e d . • N o h a y u n e n r u t a d o r c e n t r a l que s i r v a c o m o n o d o y a d m i n i s t r e d i r e c c i o n e s . A l g u n o s p r e f i e r e n c l a s i f i c a r las redes P 2 P e n base a s u

estructuración,

e n base a

c o m o los n o d o s e n l a r e d o v e r l a y o de s o b r e c a p a se e n l a z a n e l u n o a l o t r o , p o d e m o s c l a s i f i c a r las redes d e l P 2 P c o m o N o E s t r u c t u r a d a s o E s t r u c t u r a d a s . • R e d e s P 2 P N o E s t r u c t u r a d a s . L a s redes P 2 P n o e s t r u c t u r a d a s son f o r m a das p o r enlaces lógicos a r b i t r a r i o s entre los n o d o s , l o que s i g n i f i c a que n o regidos p o r algún p r o t o c o l o algún t i p o de

información,

están

de r e d de s o b r e c a p a . S i u n n o d o desea e n c o n t r a r l a petición t i e n e que r e c o r r e r t o d a l a r e d h a s t a que

c o n s i g u e u n r e s u l t a d o . U n a de las d e s v e n t a j a s es que n o s i e m p r e las p e t i c i o n e s de

búsqueda,

r e g r e s a n r e s u l t a d o s s a t i s f a c t o r i o s . S i se b u s c a u n c o n t e n i d o o i n -

f o r m a c i ó n c o m ú n , e x i s t e u n a a l t a p r o b a b i l i d a d de é x i t o e n l a petición, p e r o a l caso c o n t r a r i o , c u a n d o es u n c o n t e n i d o r a r o o p o c o

común,

es m u y p r o b a b l e que

n o e n c u e n t r e c o i n c i d e n c i a s , d a d o que n o e x i s t e u n a relación e n t r e e l n o d o y e l c o n t e n i d o que c o m p a r t e .

Redes

P 2 P Estructuradas

L a s redes P 2 P e s t r u c t u r a d a s f u n c i o n a n b a j o el

e s q u e m a de D H T ( D i s t r i b u t e d H a s h T a b l e ) , d o n d e c a d a n o d o es r e l a c i o n a d o c o n u n a p a r t e e s p e c i f i c a d e l c o n t e n i d o de l a r e d . E s t e t i p o de redes a s i g n a n v a l o res a c o n t e n i d o s y a c a d a n o d o de l a r e d , l u e g o se i m p l e m e n t a u n p r o t o c o l o búsqueda

d i s t r i b u i d o , p a r a a s i g n a r a u n n o d o especifico u n c o n t e n i d o especifico.

D e e s t a m a n e r a , s i e m p r e que u n n o d o envíe u n a se

podrá

de

d e t e r m i n a r que n o d o g u a r d a l a

petición,

información

mediante el protocolo

s o l i c i t a d a . A l g u n a s redes

P 2 P estructuradas son: •

Chord.



Pastry.

• CAN. • Tapestry.

2.4.

Redes Overlay

L a s redes o v e r l a y o de s o b r e c a p a s o n redes

lógicas

que se p o s i c i o n a n t o p o l o g i c a -

m e n t e p o r e n c i m a de u n a r e d física. I m a g i n e m o s que los n o d o s de u n a r e d moverla están c o n e c t a d o s u n o s c o n otros p o r m e d i o de enlaces lógicos o v i r t u a l e s , c a d a u n o correspon¬ d i e n d o a u n a r u t a de u n a r e d física, p e r o p u e d e r e p r e s e n t a r m a s de u n enlace físico. L a s redes P 2 P s o n c o n s i d e r a d a s redes o v e r l a y y a que t r a b a j a n e n c i m a d e l I n t e r n e t , asó es e l caso de l a conexión a I n t e r n e t p o r e n c i m a de l a r e d

2.4.1.

telefónica.

telefónica,

es c o n s i d e r a d a u n a r e d o v e r l a y y a que t r a b a j a

[14]

Características de las Redes Overlay.

E s t a s s o n a l g u n a s de las a p l i c a c i o n e s y

características

de las redes o v e r l a y :

• P e r m i t e n e l r u t e o de m e n s a j e s a d i r e c c i o n e s n o especificadas p o r u n a

dirección

IP. • M e j o r a m i e n t o del ruteo en Internet. • M e j o r a m i e n t o de l a c a l i d a d de s e r v i c i o e n I n t e r n e t , c o m o l a

transmisión

de v o z ,

datos y video. • P a r a f o r m a r u n a r e d o v e r l a y solo es n e c e s a r i o d e s p l e g a r u n p r o t o c o l o , s i n l a ne¬ c e s i d a d de u n P r o v e e d o r de S e r v i c i o s de I n t e r n e t . • N o t i e n e n c o n t r o l e n c o m o los p a q u e t e s s o n e n r u t a d o s p o r l a r e d , p e r o sí c o n t r o l a l a s e c u e n c i a de n o d o s que paso e l p a q u e t e . 8

F i g u r a 2.2: A n i l l o lógico de C h o r d .

2.5.

Chord

C h o r d es u n p r o t o c o l o de búsqueda d i s t r i b u i d a e n redes P 2 P s e n c i l l o y e s c a l a b l e , r e l a c i o n a n d o claves (keys) c o n los n o d o s de l a r e d . F u e d i s e n a d o p a r a o p e r a r c o n redes de a r q u i t e c t u r a d e s c e n t r a l i z a d a y nos p e r m i t e r e a l i z a r búsquedas de n o d o s e n l a r e d , p a r a asó p o d e r e n l a z a r l a s c o m u n i c a c i o n e s e n t r e dos n o d o s . C h o r d es u n p r o t o c o l o de r e d de s o b r e c a p a q u e f o r m a u n a n i l l o lógico sobre l a r e d P 2 P , este a n i l l o r e p r e s e n t a t o d a s l a s c o n e x i o n e s e n t r e los n o d o s ( F i g u r a 2.2).

2.5.1.

Funcionamiento General

C h o r d es e l e n c a r g a d o de a s i g n a r las claves (keys) de l a s T a b l a s de H a s h ( D H T ) a los n o d o s a c t i v o s y m a n t e n e r de f o r m a red formada por 2

m

dinámica

estas a s i g n a c i o n e s . Se c o n s i d e r a u n a

n o d o s , q u e p u e d e n e s t a r a c t i v o s o ausentes de l a r e d . C a d a vez

que se u n e a l a r e d u n n o d o , C h o r d a s i g n a u n i d e n t i f i c a d o r (id) de a n i l l o y l o r e l a c i o n a c o n u n a clave de l a T a b l a de H a s h . E l Nodo Sucesor

( F i g u r a 2.3) o r e s p o n s a b l e

de e s a c l a v e , será e l n o d o q u e t e n g a e l m i s m o i d e n t i f i c a d o r q u e l a clave. P a r a l a clave c o n u n i d e n t i f i c a d o r de a n i l l o k se le asignará e l n o d o c o n i d e n t i f i c a d o r k, si e l n o d o c o n ese i d e n t i f i c a d o r n o e s t u v i e r a a c t i v o , l a clave se le a s i g n a a l n o d o m á s c e r c a n o q u e t e n g a u n i d e n t i f i c a d o r m a y o r . C u a n d o e l n o d o k se c o n e c t e a l a r e d , s u n o d o

sucesor

le transferirá l a s claves q u e e s t u v i e r a n d e s t i n a d a s a él. C u a n d o u n n o d o a b a n d o n a l a r e d , t r a n s f i e r e l a s claves de l a s q u e se hacía c a r g o a s u sucesor, es d e c i r , a l n o d o c o n i d s i g u i e n t e a l a s u y a . C o n estos m e c a n i s m o s , se g a r a n t i z a l a

autorregulación

de l a r e d y e l

m a n t e n i m i e n t o de l a s claves aún e n u n c o n t e x t o de m o v i l i d a d de los n o d o s p a r t i c i p a n t e s . E l resto de l a s t a r e a s que t i e n e n q u e v e r c o n l a r e d , c o m o n a m i e n t o de d a t o s , e t c . s o n r e s p o n s a b i l i d a d e s de los niveles de P 2 P . [10]

9

autenticación, administración

almace¬ de l a r e d

id nodo key successor(1) = 1

successor(6) = O

F i g u r a 2.3:

2.5.2.

Anillo Chord

Asignación

successor{2) = 3

de C l a v e s a N o d o s

Sucesores.

Procedimiento de Búsqueda de Nodos.

P a r a g a r a n t i z a r r e s u l t a d o s s a t i s f a c t o r i o s a l r e a l i z a r u n a b ú s q u e d a de u n n o d o c o n C h o r d , el c o r r e c t o m a n t e n i m i e n t o de los n o d o s sucesores es e s e n c i a l . C a d a n o d o a l m a cena

información

sobre l a r e d p a r a o p t i m i z a r las búsquedas, ésta información se g u a r d a

l o c a l m e n t e e n c a d a n o d o y se c o n o c e c o m o Finger

Table. E s así c o m o c a d a n o d o c o n o c e

que n o d o s están a s u a l r e d e d o r . L a función p a r a c o n o c e r e l t a m a ñ o t a b l a se d a p o r

máximo

de e s t a

O(log(N)).

C u a n d o u n n o d o s o l i c i t a l a búsqueda de o t r o n o d o , éste s o l i c i t a u n a clave j p o r e j e m p l o , p r i m e r o b u s c a e n s u t a b l a de r u t a s (finger t a b l e ) , si n o l a e n c u e n t r a , envía l a petición

a l n o d o c u y a id sea más c e r c a n a a j. E s así, c o m o e l n o d o s o l i c i t a n t e c a d a vez

se vá a c e r c a n d o a j, h a s t a e n c o n t r a r l o . [11]

2.6.

Gusanos

L o s g u s a n o s son c ó d i g o s de p r o g r a m a c i ó n o s c r i p t s que t i e n e n l a

finalidad

de

du-

p l i c a r s e así m i s m o s . U t i l i z a n u n a interfase de r e d p a r a p r o p a g a r s e y así a l c a n z a r más u s u a r i o s . P o r lo g e n e r a l e x p l o t a n v u l n e r a b i l i d a d e s de software, l o cuál los c o n v i e r t e e n el a r m a i d e a l p a r a u n a t a c a n t e e n u n a r e d P 2 P .

10

A d i f e r e n c i a de los v i r u s informáticos, los g u s a n o s n o b u s c a n a l t e r a r o d e s t r u i r información

o

aplicación,

s i n o p e r m a n e c e r e n l a m e m o r i a d e l e q u i p o p a r a asó d u p l i c a r s e

y d i f u n d i r s e . P o r l o g e n e r a l , los g u s a n o s c a u s a n p r o b l e m a s d i r e c t a m e n t e a l a r e d d o n d e a n d a n c i r c u l a n d o , s i m p l e m e n t e c o n s u m i e n d o a n c h o de b a n d a o recursos s i m i l a r e s . A l g u n o s g u s a n o s s o n fáciles de d e t e c t a r e n u n s i s t e m a de r e d , d e b i d o a l c o n s t a n t e envío de

información

a l e x t e r i o r , los recursos de l a r e d se c o n s u m e n a l g r a d o de que las

t a r e a s m a s s e n c i l l a s s i m p l e m e n t e n o p u e d e n ejecutarse. L o s g u s a n o s u t i l i z a n l a interfase de r e d p a r a d u p l i c a r s e y r e e n v i a r s e h a c i a otros e q u i p o s , y son capaces de r e a l i z a r esto sin l a

intervención

2.6.1.

d e l u s u a r i o . [12]

Caracterización

Podemos

de los Gusanos

c a t e g o r i z a r a los g u s a n o s

basándonos

e n e l n i v e l de

participación

del

u s u a r i o . L a e x p e r i e n c i a o h a b i l i d a d p e r s o n a l d e l u s u a r i o es f u n d a m e n t a l p a r a l a d i f u sión d e l g u s a n o y a que p u e d e i n f l u i r e n l a difusión. S i u n u s u a r i o c o n o c e de los p e l i g r o s y a m e n a z a s de los g u s a n o s , se e s p e r a que m a n t e n g a a l dóa s u s i s t e m a e n m a t e r i a de a c t u a l i z a c i o n e s de s e g u r i d a d , o que c u e n t e c o n algún software a n t i v i r u s y algún dispo¬ s i t i v o de

firewall

c o m o u n R o u t e r . P o r o t r o l a d o , también e x i s t e n u s u a r i o s s i m p l e s , que

d e s c o n o c e n o n o p o n e n atención e n l a s e g u r i d a d de s u s i s t e m a , n o c u e n t a c o n software a n t i v i r u s y s u firewall está p o b r e m e n t e c o n f i g u r a d o . E s t o s son b l a n c o ideales p a r a los g u s a n o s y sus a t a c a n t e s . Se c o n s i d e r a n los siguientes a s p e c t o s p a r a l a definición de u n g u s a n o :



Código

Malicioso.

P a r e c e que e x i s t e u n consenso g e n e r a l de que los g u s a n o s

s o n m a l i c i o s o s p o r n a t u r a l e z a . M i e n t r a s a l g u n o s h a n h a b l a d o de g u s a n o s

"buenos"

que e n t r a n a los s i s t e m a s p a r a r e p a r a r l o s , c o m o u n g u s a n o c r e a d o p o r

XEROX

c o m o u n p r o g r a m a de m a n t e n i m i e n t o . L a definición de g u s a n o e n estos días, es g e n e r a l m e n t e de u n p r o g r a m a n o b i e n v e n i d o . E l g l o s a r i o de v i r u s de N e t w o r k A s s o c i a t e s define a l " m a l w a r e " o g u s a n o c o m o ; p r o g r a m a s que son diseñados i n t e n c i o n a l m e n t e p a r a r e a l i z a r actos i n a u t o r i z a d o s , l a m a y o r í a dañinos o inde¬ seables, y los gusanos tópicamente se c o n s i d e r a n que están e n e s t a código •

categoría

de

malicioso.

Propagación

por

la Red.

O t r o a s p e c t o e n los gusanos es que p r o p a g a n ac¬

t i v a m e n t e p o r u n a r e d . C u a n d o e n t i e m p o s p a s a d o s , los v i r u s

dependían

de los

u s u a r i o s p a r a que los t r a n s p o r t a r a n e n floppy d i s k s de u n s i s t e m a a o t r o , a h o r a u n g u s a n o p u e d e a t a c a r o t r o s i s t e m a d i r e c t a m e n t e desde l a i n t e r f a z de r e d . L o s v i r u s 11

que i n f e c t a n a r c h i v o s de u n s i s t e m a , que v i e n e n de o t r o s i s t e m a , g e n e r a l m e n t e n o s o n c o n s i d e r a d o s g u s a n o s p o r q u e n o h u b o de p o r m e d i o u n a i n t e r f a z de r e d . •

Intervención de

H u m a n a . O t r a característica r e l e v a n t e de los gusanos es e l g r a d o

intervención

d e l u s u a r i o que se r e q u i e r e p a r a s u

c a es p a r t e de l a

distinción

propagación.

E s t a característi-

h e c h a e n t r e v i r u s y g u s a n o s . A veces se p i e n s a que

los gusanos a l g u n a s veces r e q u i e r e n a s i s t e n c i a h u m a n a o n i n g u n a p o r

completo,

p a r a d i f u n d i r s e , c u a n d o u n v i r u s s i e m p r e h a r e q u e r i d o de

d e l usua¬

intervención

r i o p a r a e s p a r c i r s e . S i n e m b a r g o , se h a n d e f i n i d o dos categorías de g u s a n o s , los que r e q u i e r e n información

intervención

del usuario p a r a propagarse, por ejemplo

a d j u n t a de u n correo

electrónico,

y los que n o r e q u i e r e n

h u m a n a e n a b s o l u t o . H a y también v a r i a c i o n e s d e l g r a d o de

descargar intervención

intervención

humana

que n e c e s i t a u n g u s a n o , p o r e j e m p l o h a y gusanos que n o n e c e s i t a n que e l u s u a r i o ejecute código m a l i c i o s o p e r o n e c e s i t a que e l u s u a r i o ejecute acciones s i n c o m o , r e i n i c i a r s u s i s t e m a o e j e c u t a r algún c l i e n t e de correo •

Infección

relación

electrónico.

d e A r c h i v o s . T r a d i c i o n a l m e n t e define a los g u s a n o s

contrastándolos

c o n los v i r u s . U n v i r u s i n f e c t a u n a r c h i v o d e l s i s t e m a , m i e n t r a s el g u s a n o n o . E n o t r a s p a l a b r a s u n v i r u s es u n p r o g r a m a que se c o p i a

adjuntándose

a otro objeto y

u n g u s a n o es u n p r o g r a m a que se c o p i a enviándose a o t r o s s i s t e m a s . S i n e m b a r g o h a y quienes n o h a c e n e s t a

distinción

y d e f i n e n que, c u a l q u i e r p r o g r a m a que se

c o p i a sobre u n a r e d d e b e ser c o n s i d e r a d o g u s a n o , i n d e p e n d i e n t e m e n t e si i n f e c t a o no archivos.

2.7. Detección de Intrusiones L a d e t e c c i ó n de i n t r u s i o n e s es e l f r u t o de l a aplicación d e l P r o c e s a m i e n t o Electrónico de D a t o s a las a u d i t o r i a s de s e g u r i d a d , u t i l i z a n d o m e c a n i s m o s de patrones y La

métodos

detección

identificación

estadísticos.

de i n t r u s i o n e s es e l p r o c e s o de m o n i t o r e a r redes de o r d e n a d o r e s

s i s t e m a s e n b u s c a de v i o l a c i o n e s de

políticas

p u e s t o s p o r tres elementos f u n c i o n a l e s

• U n a fuente de

de

información

y

de s e g u r i d a d . E s t o s s i s t e m a s están com¬

básicos:

que p r o p o r c i o n a eventos de s i s t e m a .

• U n m o t o r de análisis que b u s c a e v i d e n c i a s de i n t r u s i o n e s . • U n m e c a n i s m o de r e s p u e s t a que actúa según los r e s u l t a d o s d e l m o t o r de

12

análisis.

En

términos

de s e g u r i d a d

informática,

l l e v a r a c a b o l a a u d i t o r i a de u n s i s t e m a

s i g n i f i c a e x a m i n a r y a n a l i z a r e l r a s t r o de a u d i t o r i a ( " a u d i t t r a i l " ) que g e n e r a e l siste¬ m a o p e r a t i v o y o t r o s e l e m e n t o s . L a revisión de los eventos se l l e v a a c a b o entre o t r o s m o t i v o s p a r a asegurarse de que n o se v i o l a b a n u n a serie de políticas de s e g u r i d a d .

2.7.1.

[15]

Sistemas de Detección y Prevención de Intrusiones.

U n S i s t e m a de Detección de I n t r u s i o n e s ( I D S p o r sus siglas e n ingles) es u n s o f t w a re que a u t o m a t i z a l a detección de i n t r u s i o n e s . U n S i s t e m a de

Prevención

de I n t r u s i o n e s

( I P S p o r sus siglas e n ingles) es u n p r o g r a m a que t i e n e t o d a s las funciones de s i s t e m a de

detección

de i n t r u s i o n e s y tambióen p u e d e i n t e n t a r detener u n p o s i b l e a t a q u e .

U s o s d e los S i s t e m a s de

Detección

L o s S i s t e m a s de

y

Detección

y

Prevención

Prevención

de

Intrusiones.

de I n t r u s i o n e s ( I D P S p o r sus siglas e n

ingles) p r i n c i p a l m e n t e se e n f o c a n e n d e t e c t a r p o s i b l e s i n c i d e n t e s . P o r e j e m p l o , u n I D P S p u d i e r a d e t e c t a r c u a n d o algún u s u a r i o h a y a c o m p r o m e t i d o

u n sistema

explotando

u n a v u l n e r a b i l i d a d de software. E l I D P S p u d i e r a después r e p o r t a r e l i n c i d e n t e a los a d m i n i s t r a d o r e s de s e g u r i d a d de l a r e d , quienes i n m e d i a t a m e n t e p u d i e r a n a l a t a q u e p a r a asó, m i n i m i z a r e l daño a l a r e d . E l I D P S

también

responder

pudiera guardar u n

r e p o r t e que r e s u l t e útil p a r a los a d m i n i s t r a d o r e s de l a r e d . Muchos I D P S

también

p u e d e n ser c o n f i g u r a d o s

p a r a que r e c o n o z c a n

de s e g u r i d a d . P o r e j e m p l o , p u e d e n ser c o n f i g u r a d o s d a d a s las reglas de u n

violaciones firewall,

m i t i e n d o i d e n t i f i c a r el t r a f i c o de r e d que v i o l e l a s e g u r i d a d de l a m i s m a .

también

perun

I D P S p u e d e m o n i t o r e a r l a t r a n s f e r e n c i a de a r c h i v o s e i d e n t i f i c a r aquellos que t e n g a n comportamiento

sospechoso, c o m o l a c o p i a de u n a base de d a t o s a l a l a p t o p de u n

usuario. Los I D P S pueden

también

i d e n t i f i c a r a c t i v i d a d de r e c o n o c i m i e n t o ,

lo c u a l p u e d e

i n d i c a r que u n a t a q u e es i n m i n e n t e . P o r e j e m p l o , a l g u n a s h e r r a m i e n t a s m a l i c i o s a s , par¬ t i c u l a r m e n t e los g u s a n o s , r e a l i z a n a c t i v i d a d e s de r e c o n o c i m i e n t o s

c o m o e l escaneo de

huéspedes y p u e r t o s p a r a i d e n t i f i c a r p o s i b l e s v i c t i m a s p a r a u n a t a q u e subsecuente.

Un

I D P S p u e d e ser c a p a z de b l o q u e a r e l r e c o n o c i m i e n t o y n o t i f i c a r a los a d m i n i s t r a d o r e s de s e g u r i d a d , que p u e d e n t o m a r acciones y si es n e c e s a r i o m o d i f i c a r los controles s e g u r i d a d p a r a e v i t a r algún i n c i d e n t e .

[15]

13

de

2.7.2.

Funciones de un I D P S .

E x i s t e n m u c h o s t i p o s de

tecnologías

e n I D P S , que d i f i e r e n p r i n c i p a l m e n t e e n el

t i p o de eventos que p u e d e n r e c o n o c e r y las

metodologías

que u t i l i z a n p a r a i d e n t i f i c a r

los a t a q u e s . A d e m á s de m o n i t o r e a r y a n a l i z a r eventos p a r a así i d e n t i f i c a r a c t i v i d a d e s i n d e s e a b l e s , t o d a s las diferentes tecnologías de I D P S

comúnmente

r e a l i z a n las siguien¬

tes f u n c i o n e s :

• Registrar

información

r e l a c i o n a d a c o n los eventos o c u r r i d o s .

• N o t i f i c a r a los a d m i n i s t r a d o r e s de eventos i m p o r t a n t e s

observados.

• P r o d u c i r reportes. A l g u n o s I D P S también p u e d e n c a m b i a r s u p e r f i l de s e g u r i d a d c u a n d o u n a n u e v a a m e n a z a es d e t e c t a d a . P o r e j e m p l o , u n I D P S p u e d e ser c a p a z de r e c o l e c t a r i n f o r m a ción m a s d e t a l l a d a de u n a sesión e n p a r t i c u l a r después de que a c t i v i d a d m a l i c i o s a es detectada en d i c h a

2.8.

sesión.

Vulnerabilidades del Software

E l t e r m i n o de V u l n e r a b i l i d a d p o r l o g e n e r a l es r e l a c i o n a d o c o n l a s e g u r i d a d e n redes y s i s t e m a s . U n a v u l n e r a b i l i d a d es u n a violación a las políticas de s e g u r i d a d de u n s i s t e m a , l a c u a l se p u e d e d a r p o r v a r i a s causas. E n teoría t o d o s i s t e m a t i e n e a l m e n o s u n a v u l n e r a b i l i d a d , que t a r d e o t e m p r a n o será e x p l o t a d a si e l f a b r i c a n t e n o r e p a r a el error. P o d e m o s d e f i n i r V u l n e r a b i l i d a d c o m o e l e s t a d o e n u n s i s t e m a de o u n g r u p o de s i s t e m a s que, p e r m i t e que u n a t a c a n t e ejecute ordenes c o m o o t r o u s u a r i o , p e r m i t e que u n a t a c a n t e t e n g a acceso a l a duzca un

denegación

información

r e s t r i n g i d a , p e r m i t e que u n a t a c a n t e con¬

de s e r v i c i o .

C u a n d o u n a t a q u e es p o s i b l e p o r u n a d e b i l i d a d o política de s e g u r i d a d i n a p r o p i a d a d e l s i s t e m a , también se le c o n o c e c o m o Ò E x p o s i c i ó n Ó . U n a E x p o s i c i o n p e r m i t e que u n a t a c a n t e reúna

información

sobre las a c t i v i d a d e s d e l s i s t e m a , es u n p u n t o p r i m a r i o

de e n t r a d a p a r a u n a t a c a n t e que p u e d e i n t e n t a r o b t e n e r acceso a l s i s t e m a o a l a i n f o r mación. S i u n i n t r u s o quiere t e n e r acceso n o a u t o r i z a d o a u n s i s t e m a , g e n e r a l m e n t e p r i ¬ m e r o r e a l i z a u n escaneo o investigación d e l s i s t e m a o b j e t i v o , p a r a así r e u n i r c u a l q u i e r 14

información

que l o p u e d a l l e v a r a l a

explotación

que las v u l n e r a b i l i d a d e s d e b e n ser c e n t r o de

de u n a v u l n e r a b i l i d a d . E s p o r esto,

atención

e n m a t e r i a de s e g u r i d a d e n los

sistemas.

2.9.

Buffer Overflow

E l buffer-overflow ( d e s b o r d a m i e n t o de buffer) es u n a v u l n e r a b i l i d a d de software que se p r o d u c e c u a n d o se c o p i a n d a t o s e n u n área de m e m o r i a que n o es lo suficiente¬ m e n t e g r a n d e p a r a a l m a c e n a r l o s , s o b r e s c r i b i e n d o o t r a s z o n a s de m e m o r i a . E x i s t e n zonas de m e m o r i a de uso e x c l u s i v o p a r a e l s i s t e m a o p e r a t i v o , p e r o si se h a c e u n a s o b r e e s c r i t u r a f u e r a de estas z o n a s , se p r o v o c a u n a l o que o c a s i o n a l a

terminación

de l a

i n t e n c i o n e s es e x p e r t o y c o n o c e estos acceso a l s i s t e m a

aplicación métodos,

excepción

de software,

o programa. Si u n usuario con malas p u e d e a p r o v e c h a r estos errores y g a n a r

fácilmente.

E l i n t r u s o p u e d e l l e g a r a a l t e r a r e l flujo de l a aplicación e i n s e r t a r c o m a n d o s p a r a se e j e c u t e n i n s t r u c c i o n e s n o p r e v i s t a s .

2.9.1.

Incidentes.

E n 1988 se r e g i s t r o u n o de los p r i m e r o s i n c i d e n t e s d o n d e fué p r o t a g o n i s t a l a v u l n e r a b i l i d a d buffer-overflow. Fué u n a de las t a n t a s v u l n e r a b i l i d a d e s y errores de los que se valió e l g u s a n o M o r r i s p a r a s u p r o p a g a c i ó n . L a aplicación que fue s o m e t i d a fue " f i n g e r d " de U n i x . Después

e n 1995, T h o m a s L o p a t i c

descubrió

o f i c i a l m e n t e l a v u l n e r a b i l i d a d de

buffer-overflow, p u b l i c a n d o s u h a l l a z g o e n l i s t a s de correo. U n año

después,

e n 1996,

E l i a s " A l e p h O n e " L e v y p u b l i c ó e n u n a r e v i s t a d e l m e d i o , el artículo " S m a s h i n g t h e S t a c k for F u n a n d P r o f i t " , u n a guía p a s o a p a s o de c o m o a p r o v e c h a r el buffer-overflow. D e s d e entonces, dos de los g u s a n o s m á s c o n o c i d o s y p e l i g r o s o s , C o d e R e d y S l a m m e r , h a n u t i l i z a d o ésta v u l n e r a b i l i d a d p a r a l o g r a r sus o b j e t i v o s y c o m p r o m e t e r u n g r a n n ú m e r o de n o d o s a l r e d e d o r d e l m u n d o . C o d e R e d e n e l 2001 a t a c o a l S e r v i c i o de I n f o r m a c i ó n de I n t e r n e t (IIS) y después e n el 2003, S l a m m e r a t a c o a S Q L S e r v e r 2000, a m b a s a p l i c a c i o n e s de M i c r o s o f t .

15

2.10.

Ataques en l a H i s t o r i a

L o s gusanos h a n sido a m e n a z a s c o n s t a n t e s de s e g u r i d a d p a r a el I n t e r n e t y los s i s t e m a s P 2 P . E n e l año 2 0 0 1 , e l a h o r a f a m o s o g u s a n o C o d e - R e d , i n f e c t o 360,000 n o d o s e n 10 h o r a s y c a u s o m a s de $1.2 b i l l o n e s de dólares e n pérdidas e n los p r i m e r o s 10 días. A

continuación

se l i s t a n a l g u n o s de los g u s a n o s más famosos y d e v a s t a d o r e s de l a

historia: 1. I L O V E Y O U . correo

G u s a n o e s c r i t o e n V i s u a l B a s i c S c r i p t que se p r o p a g a a través de

electrónico.

Afectó

a m i l e s de u s u a r i o y c o r p o r a c i o n e s e n t o d o e l m u n d o .

S u p r o c e d e n c i a es de F i l i p i n a s . 2. C o d e

Red.

G u s a n o que

apareció

e n e l año 2 0 0 1 , infectó m a s de 300,000 m i l

n o d o s e n m e n o s de 10 h o r a s y causo p e r d i d a s m i l l o n a r i a s . 3. M y d o o m .

Se p r o p a g a a través de correo electrónico y l a r e d de K a Z a a .

Apa-

reció e l 26 de enero d e l 2004. T i e n e c a p a c i d a d e s " B a c k d o o r " que p e r m i t e n a u n usuario remoto ganar control del sistema. 4. B l a s t e r .

G u s a n o c o n g r a n c a p a c i d a d de p r o p a g a c i ó n . E x p l o t a v u l n e r a b i l i d a d e s

de los s i s t e m a s W i n d o w s N T , 2000, X P y 2003. L a p r i n c i p a l v u l n e r a b i l i d a d que e x p l o t a es buffer-overflow e n R P C D C O M , l a cuál fue r e p a r a d a e n j u n i o d e l 2003 c o n u n p a r c h e p u b l i c a d o p o r M i c r o s o f t . Sus efectos d e s t r u c t i v o s son l a n z a r a t a q u e s de D o S e n l a página p r i n c i p a l de W i n d o w s U p d a t e . 5. S a s s e r .

G u s a n o que e x p l o t a l a v u l n e r a b i l i d a d L S A S S de W i n d o w s 2000, X P y

S e r v e r 2004. L o s síntomas de

infección

es u n a v i s o de r e i n i c i o d e l e q u i p o e n u n

minuto. 6. K l e z .

G u s a n o que e x p l o t a u n a v u l n e r a b i l i d a d de I n t e r n e t E x p l o r e r de M i c r o s o f t ,

el c u a l es capáz de a c t i v a r s e c o n e l t a n solo hecho de v i s u a l i z a r e l correo

electrónico

donde viene adjunto. 7. N i m d a . Microsoft.

2.11.

G u s a n o que e x p l o t a v u l n e r a b i l i d a d W e b D i r e c t o r y T r a v e r s a l e n I S S de [13]

T i p o s de Vulnerabilidades E x p l o t a d a s .

M i c r o s o f t W i n d o w s es el s i s t e m a o p e r a t i v o que más se u t i l i z a p a r a n a v e g a r e n In¬ t e r n e t , p e r o aún asó c o n t i e n e múltiples y severas v u l n e r a b i l i d a d e s . A l g u n a s de éstas se encuentran en I S S , M S - S Q L , Internet E x p l o r e r y servicios y procesamientos del sistema

16

operativo en si. A

continuación

se l i s t a n las v u l n e r a b i l i d a d e s m a s c o m u n e s , e x p l o t a d a s p o r los

gusanos: 1. I S S .

E s u n a de las v u l n e r a b i l i d a d e s de W i n d o w s más e x p l o t a d a s . P o r m u c h o

t i e m p o , v a r i o s gusanos h a n s i d o escritos p a r a u t i l i z a r e s t a v u l n e r a b i l i d a d , c o m o Code Red. 2. M S - S Q L .

E l g u s a n o S p i d a u t i l i z o e s t a v u l n e r a b i l i d a d p a r a p r o p a g a r s e u n año

después de que a p a r e c i e r a C o d e R e d . Se a p r o v e c h a b a de las l i z a d a s de l a

aplicación

instalación m a l rea¬

S Q L de M i c r o s o f t , e n l a c u a l d e j a b a n c o n valores p o r

defecto los c a m p o s de n o m b r e de u s u a r i o y

contraseña.

E l g u s a n o e s c a n e a b a estos

c a m p o s y a l n o e n c o n t r a r u n a contraseña e s t a b l e c i d a , tenía acceso a l s i s t e m a y a su propia

propagación.

3. B u f f e r - O v e r f l o w .

E l g u s a n o S l a m m e r a finales d e l 2003, u t i l i z a b a u n b u f f e r -

overflow p a r a a t a c a r a S Q L . U n d e s b o r d a m i e n t o de buffer d e l s e r v i d o r e n u n a de las s u b r u t i n a s de m a n e j o de p a q u e t e s U D P . 4. L S A S S .

V u l n e r a b i l i d a d u t i l i z a d a p o r Sasser a m e d i a d o s d e l 2003. E l f a l l o e n

el S e r v i c i o de A u t o r i d a d de S u b s i s t e m a L o c a l ( L S A S S ) infectó m i l l o n e s de equi¬ pos e n t o d o el m u n d o , m u c h a s o r g a n i z a c i o n e s c e r r a r o n o p e r a c i o n e s d e b i d o a las i n t e r r u p c i o n e s e n l a r e d c a u s a d a s p o r el g u s a n o .

2.11.1.

[13]

Unix

T o d o s los s i s t e m a s o p e r a t i v o s s i n

excepción

c o n t i e n e n v u l n e r a b i l i d a d e s y exposi¬

ciones que p u e d e n ser e l b l a n c o de h a c k e r s y escritores de v i r u s . A u n q u e las v u l n e r a ¬ b i l i d a d e s de W i n d o w s r e c i b e n l a m a y o r c a n t i d a d de p u b l i c i d a d d e b i d o a l número de s i s t e m a s que t r a b a j a n c o n W i n d o w s , U n i x t i e n e sus p r o p i o s p u n t o s

débiles.

D u r a n t e años, u n a de las e x p o s i c i o n e s mías p o p u l a r e s e n el m u n d o U n i x h a u t i ¬ l i z a d o el s e r v i c i o F i n g e r . E s t e s e r v i c i o p e r m i t e a a l g u i e n que esté f u e r a de l a r e d v e r qué

u s u a r i o s están c o n e c t a d o s a ciertos e q u i p o s o desde que u b i c a c i ó n los u s u a r i o s

t i e n e n acceso. E l s e r v i c i o F i n g e r es útil, p e r o t a m b i é n e x p o n e u n a g r a n c a n t i d a d de información

que p u e d e ser u s a d a p o r los a t a c a n t e s , m e j o r c o n o c i d o s c o m o h a c k e r s .

E l s e r v i c i o fingers n o solo e x p o n e

información

i m p o r t a n t e sobre e l s e r v i d o r a n f i -

trión; s i n o que h a s i d o e l b l a n c o de m u c h o s e x p l o i t s , i n c l u y e n d o e l f a m o s o g u s a n o de r e d e s c r i t o p o r R o b e r t M o r r i s J r . e l que fue l a n z a d o e l 2 de n o v i e m b r e de 1988. P o r esto, las d i s t r i b u c i o n e s m á s m o d e r n a s de U n i x t i e n e n este s e r v i c i o d e s h a b i l i t a d o p o r 17

defecto. E l p r o g r a m a " S e n d m a i l " , o r i g i n a l m e n t e e s c r i t o p o r E r i c A l l m a n , es

también

otro

b l a n c o p o p u l a r p a r a los h a c k e r s . S e n d m a i l se desarrolló p a r a m a n e j a r l a t r a n s f e r e n c i a de m e n s a j e s p o r c o r r e o

electrónico

operativos y configuraciones

vía

I n t e r n e t . D e b i d o a l g r a n número de s i s t e m a s

de h a r d w a r e , e l S e n d m a i l se convirtió e n u n p r o g r a m a

e x t r e m a d a m e n t e c o m p l e j o , que t i e n e u n a h i s t o r i a l a r g a y n o t o r i a de v u l n e r a b i l i d a d e s severas. E l g u s a n o M o r r i s u t i l i z a b a u n e x p l o i t de s e n d m a i l así c o m o u n a v u l n e r a b i l i d a d "finger" p a r a propagarse. L o s e x p l o i t s , v u l n e r a b i l i d a d e s e i n c i d e n t e s l i s t a d o s a n t e r i o r m e n t e r e s a l t a n u n he¬ cho i m p o r t a n t e . M i e n t r a s el número de s i s t e m a s que f u n c i o n a n c o n I I S , M S - S Q L y o t r o s p a q u e t e s software específicos p u e d a n ser c o n t a d o s e n cientos de m i l e s , e l n ú m e r o t o t a l de s i s t e m a s c o n W i n d o w s r o n d a los v a r i o s cientos de m i l l o n e s . S i t o d o s estos s i s t e m a s f u e r a n e l b l a n c o de u n g u s a n o o u n h a c k e r u s a n d o u n a h e r r a m i e n t a de h a c k i n g auto¬ m a t i z a d a , p o d r í a p o n e r e n serio p e l i g r o l a e s t r u c t u r a i n t e r n a y e s t a b i l i d a d d e l I n t e r n e t .

2.11.2.

Dispositivos Móviles

Más r e c i e n t e m e n t e , el 8 de n o v i e m b r e d e l 2009, se

descubrió

que los c e l u l a r e s

i P h o n e , m a n u f a c t u r a d o s p o r l a e m p r e s a A p p l e I n c . , c u e n t a n c o n u n v u l n e r a b i l i d a d de s e g u r i d a d . Sólo a f e c t a a los e q u i p o s que s u s i s t e m a h a s i d o l i b e r a d o , el término que se u t i l i z a c o m u n m e n t e es " J a i l b r e a k " . E l g u s a n o que e x p l o t a ésta v u l n e r a b i l i d a d es " i k e e " . A l r e a l i z a r el j a i l b r e a k , se i n s t a l a u n a aplicación de S S H p a r a p o d e r accesar a l a partición p r i n c i p a l d e l s i s t e m a y p o d e r m o d i f i c a r a r c h i v o s , i n s t a l a r p r o g r a m a s entre o t r a s cosas. A l n o c a m b i a r l a contraseña p a r a S S H , ésta q u e d a c o n l a d e f a u l t y es así c o m o el g u s a n o se p r o p a g a e n e q u i p o s d o n d e l a contraseña n o h a s i d o c a m b i a d a . E l g u s a n o n o c a u s a u n d a ñ o severo a l e q u i p o , lo que hace es i n s t a l a r u n w a l l p a p e r a v i s a n d o que has s i d o i n f e c t a d o y d e s a c t i v a l a aplicación S S H , e n u n i n t e n t o p o r a s e g u r a r e l c e l u l a r . U n e j e m p l o es l a F i g u r a 2.4.

18

F i g u r a 2.4: E x p l o i t " i k e e " a c t i v o e n u n i P h o n e .

19

Capítulo 3

M o d e l o s de Propagación y Contención de Gusanos en Redes P 2 P

L o s g u s a n o s , c o m o C o d e - R e d o m á s r e c i e n t e m e n t e c o m o S a p h i r e , s o n u n a amena¬ z a e n ascenso p a r a los u s u a r i o s de I n t e r n e t y s u i n f r a e s t r u c t u r a . E s t o s gusanos p u e d e n i n f e c t a r g r a n c a n t i d a d de u s u a r i o s e n u n p e r i o d o c o r t o de t i e m p o , resumiéndolo a sólo m i n u t o s . L o s e q u i p o s i n f e c t a d o s p u e d e n ser u s a d o s p a r a r e a l i z a r o t r o s a t a q u e s , c o m o a t a q u e s m a s i v o s de N e g a c i ó n de S e r v i c i o s ( D o S ) . E l e s t u d i o d e l c o m p o r t a m i e n t o de u n g u s a n o d u r a n t e s u p r o p a g a c i ó n es i m p o r t a n ¬ te p o r v a r i a s r a z o n e s . U n a es l a creación de s i s t e m a s de a l e r t a que p u e d a n d e t e c t a r l a propagación de l a

de u n g u s a n o , y e n u n caso i d e a l también p o d e r d a r u n análisis p r e l i m i n a r

propagación

y también t a l vez c a p t u r a r u n espécimen. H o y e n día, estos s i s t e m a s

n o e x i s t e n y se n e c e s i t a u n g r a n t r a b a j o p a r a v o l v e r esto r e a l i d a d . O t r o a s p e c t o i m p o r ¬ t a n t e es e l análisis de l a a m e n a z a c o n r e s p e c t o a l a v e l o c i d a d y número de n o d o s que se i n f e c t a n p o r u n i d a d de t i e m p o .

Predicción

y análisis de daño c o l a t e r a l , es

también

u n a s p e c t o que se n e c e s i t a a n a l i z a r d e t e n i d a m e n t e . [4] [6] La

información

que se tenía de gusanos p a s a d o s , sólo c u b r e u n a

pequeña

porción

d e l e s p a c i o m u e s t r a p o s i b l e , es i m p o r t a n t e p a r a e l diseño de u n c o n t r a a t a q u e , p o d e r p r e d e c i r las

características

que u n g u s a n o p u e d e t e n e r .

L o s gusanos e x p l o t a n v u l n e r a b i l i d a d e s c o m u n e s e n los u s u a r i o s de u n a r e d P 2 P y se d i f u n d e n

tipológicamente,

escaneo e n b u s c a de p o s i b l e s

s i e n d o u n a e s t r a t e g i a p o t e n c i a l m e n t e más e f e c t i v a que el víctimas.

E s t e análisis nos m u e s t r a e l p e l i g r o que t r a e n los g u s a n o s e n las redes P 2 P y u n m e c a n i s m o de a u t o d e f e n s a que p u d i e r a m i t i g a r l a a m e n a z a y l a evaluación de d e s e m p e ñ o d e l m i s m o . E l d e s a r r o l l o de u n a h e r r a m i e n t a de simulación es clave e n estos casos. [9]

20

3.1.

Técnicas

La

tecnología

de Respuesta a u n A t a q u e .

de u n I D S difiere de u n I P S e n u n a característica:

los I P S p u e d e n

r e s p o n d e r a u n a a m e n a z a d e t e c t a d a , p r e v i e n d o que n o t e n g a éxito. U t i l i z a n v a r i o s t i p o s de r e s p u e s t a s , las cuales se d i v i d e n e n los siguientes g r u p o s :

• E l I P S detiene el ataque. • Finaliza la

conexión

de r e d o l a sesión d e l u s u a r i o u t i l i z a d a p a r a r e a l i z a r el

ataque. • B l o q u e a el acceso a l a c u e n t a de u s u a r i o , dirección I P desde d o n d e se r e a l i z a el a t a q u e . • B l o q u e a t o d o s los accesos d e l e q u i p o c o m p r o m e t i d o . • E l I P S c a m b i a los e s q u e m a s de s e g u r i d a d . E l I P S p u e d e c a m b i a r l a

configuración

de o t r o s c o n t r o l e s de s e g u r i d a d y p a r a e l a t a q u e . • E l I P S c a m b i a el contenido del ataque. A l g u n o s I P S pueden neutralizar o remover p o r c i o n e s de u n a t a q u e , h a s t a d e j a r l o s i n efecto.

3.1.1. La

Metodología de mayoría

Detección.

de los I D P S u t i l i z a n

múltiples

m a n e r a separada o integrada p a r a proveer u n a clases p r i m a r i a s de

detección

metodologías detección

de

detección,

y a sea de

mas a m p l i a y concisa. L a s

son:

1. B a s a d o e n F i r m a s . C o m p a r a firmas c o n o c i d a s c o n los eventos o b s e r v a d o s p a r a así i d e n t i f i c a r i n c i d e n t e s . E s m u y e f e c t i v a p a r a d e t e c t a r a m e n a z a s y a c o n o c i d a s p e r o m u y i n e f e c t i v a a l d e t e c t a r a m e n a z a s d e s c o n o c i d a s y v a r i a n t e s de a m e n a z a s c o n o c i d a s . L a detección b a s a d a e n firmas n o p u e d e seguir y e n t e n d e r e l e s t a d o c o m p l e j o de las c o m u n i c a c i o n e s , p o r l o que n o p u e d e d e t e c t a r l a mayoría de los a t a q u e s que c o m p r e n d e n 2.

Detección

múltiples

eventos.

B a s a d a en Anomalías.

C o m p a r a d e f i n i c i o n e s de a c t i v i d a d e s que

s o n c o n s i d e r a d a s n o r m a l e s c o n eventos o b s e r v a d o s p a r a i d e n t i f i c a r d e s v i a c i o n e s importantes. E l de las

método

características

entonces c o m p a r a las

u t i l i z a perfiles que s o n d e s a r r o l l a d o s p o r e l m o n i t o r e o

de a c t i v i d a d e s tópicas e n u n p e r i o d o de t i e m p o . E l I D P S características

de u n evento a c t u a l c o n las y a r e c o p i l a d a s .

E s t e t i p o de deteccióon p u e d e ser m u y e f e c t i v a c o n a m e n a z a s n o c o n o c i d a s .

21

3.

Análisis

d e E s t a d o d e P r o t o c o l o . C o m p a r a perfiles de a c t i v i d a d e s de proto¬

colos a c e p t a d a s c o m o a c t i v i d a d e s b e n i g n a s c o n c a d a e s t a d o de los eventos de u n p r o t o c o l o o b s e r v a d o p a r a i d e n t i f i c a r d e s v i a c i o n e s . [16]

3.1.2.

Detectores.

E s t o s s o n a l g u n o s software I D P S :



BroNIDS.

• OSSEC HIDS. • Prelude Hybrid IDS. • Snort. •

3.2.

Suricata.

Estrategias de A t a q u e de u n Gusano

• Pure Random-based Scan (PRS).

E n e s t a categoría, los e q u i p o s i n f e c t a d o s

p o r el g u s a n o n o t i e n e n información sobre n i n g u n a v u l n e r a b i l i d a d a n t e r i o r o i n formación sobre los demás n o d o s . E l n o d o que a l b e r g a a l g u s a n o a l e a t o r i a m e n t e s e l e c c i o n a d i r e c c i o n e s I P c o m o víctimas de entre t o d a s las d i r e c c i o n e s de l a r e d y l a n z a el a t a q u e . C u a n d o u n n u e v o n o d o es i n f e c t a d o , continúa a t a c a n d o a l s i s t e m a de r e d u s a n d o l a m i s m a m e t o d o l o g í a . • Offline P 2 P - b a s e d Hit-list ( O P H L S ) . recolecta t o d a l a

información

E n esta estrategia, el n o d o infectado

d e l s i s t e m a e s t a n d o offline, d e n o t a d a c o m o " h i t -

l i s t " . E l n o d o i n f e c t a d o l a n z a e l a t a q u e c o n t r a los n o d o s e n l a l i s t a . E n e s t a fase d e l a t a q u e , t o d o s los nuevos n o d o s i n f e c t a d o s s i g u e n a t a c a n d o a los n o d o s de l a l i s t a , h a s t a que t o d o s h a y a n s i d o i n f e c t a d o s . Después t o d o s los n o d o s i n f e c t a d o s a t a c a n a l r e s t o de l a r e d c o n u n a t a q u e P R S . • Online P2P-based Scan (OPS).

Después de i n g r e s a r a l a r e d , e l n o d o infec¬

t a d o i n m e d i a t a m e n t e l a n z a e l a t a q u e c o n t r a sus v e c i n o s de l a r e d P 2 P , c o n t o d a s u c a p a c i d a d de a t a q u e . A l m i s m o t i e m p o , a t a c a a l r e s t o de l a r e d m e d i a n t e P R S , si aún t i e n e recursos p a r a h a c e r l o . U n e j e m p l o de esto es, A1 es e l n o d o i n f e c t a d o c o n c a p a c i d a d de a t a q u e de 5 n o d o s , y A1 t i e n e tres v e c i n o s P 2 P , B1, B

y B .

2

C o m i e n z a a u s a r u n 60 % de s u c a p a c i d a d de a t a q u e p a r a a t a c a r a B 1 , B

22

3

2

y B

3

y el r e s t o (40 %) p a r a a t a c a r a l s i s t e m a vía P R S . A s u m i e n d o que B

2

y B

3

son

n o d o s v u l n e r a b l e s y s o n i n f e c t a d o s , estos dos nuevos n o d o s i n f e c t a d o s atacarán a sus v e c i n o u t i l i z a n d o e l

método

de A1.

Después

de eso, A1 utilizará el 1 0 0 % de

s u c a p a c i d a d p a r a s e g u i r a t a c a n d o a l r e s t o d e l s i s t e m a c o n P R S . [3]

3.3.

M o d e l o de Difusión de u n Gusano.

L o s g u s a n o s u t i l i z a n l a i n t e r f a z de r e d p a r a p r o p a g a r s e e i n f e c t a r n o d o s e n los s i s t e m a s P 2 P , p o r l o que se define e l s i g u i e n t e m o d e l o de difusión. [6] [7]

3.3.1.

Difusión de un Gusano.

Se c o n s i d e r a u n a r e d P 2 P y a sea c o n o s i n s i s t e m a s de u n p r o t o c o l o de r e d o v e r l a y p a r a l a de

inserción

comunicación

protección,

enlazada por

de sus n o d o s . U n n o d o Ai es el p u n t o

del gusano a l a red P 2 P , el gusano empieza su

difusión

envidándose

a las

d i r e c c i o n e s c o n t e n i d a s e n l a l i s t a de v e c i n o d e l n o d o Ai . T o d o s los n o d o s e n l a l i s t a de d i r e c c i o n e s de Ai se c o n v i e r t e n e n i n f e c t a d o s y

difundirán

el g u s a n o de l a m i s m a ma¬

n e r a . U n n o d o n o p u e d e i n f e c t a r a u n n o d o que y a h a s i d o i n f e c t a d o . E l g u s a n o i n f e c t a al nodo

huésped

asó c o m o p o r

e x p l o t a n d o v u l n e r a b i l i d a d e s o errores de

intervención

programación

del software,

d e l u s u a r i o a f a l t a de e x p e r i e n c i a o c o n o c i m i e n t o s . L a entra¬

d a y s a l i d a de n o d o s de l a r e d se o m i t e p a r a fines prácticos y m e j o r e n t e n d i m i e n t o d e l m o d e l o . L a s c o n e x i o n e s de l a r e d se s u p o n e s o n c o r r e c t a s y a que se t r a t a de u n a r e d lógica

overlay, d o n d e sólo se c o n s i d e r a e l enlace e n t r e dos e n t i d a d e s y n o i n t e r v i e n e n

factores

físicos

o

tecnológicos.

E n l a F i g u r a 3.1 se m u e s t r a e l e s t a d o i n i c i a l d e l m o d e l o de

difusión,

d o n d e el

g u s a n o está h o s p e d a d o e n e l n o d o 0. E l g u s a n o accede a s u t a b l a de v e c i n o s o

finger

t a b l e p a r a despues p r o p a g a r s e h a c i a esas d i r e c c i o n e s . Y a que o b t i e n e sus o b j e t i v o s , el g u s a n o l a n z a e l a t a q u e e n v i a n d o m e n s a j e s de cual caracteriza l a ubicación

geográfica

infección

c o n u n t i e m p o de l a t e n c i a , el

de los n o d o s y p o r l o t a n t o l a d i s t a n c i a que

t i e n e que v i a j a r e l p a q u e t e a travóes de l a r e d . L a s t a b l a s de vecinos o finger t a b l e s están f o r m a d a s b a j o las r e g u l a r i d a d e s d e l p r o t o c o l o C h o r d . C u a n d o se h a c u m p l i d o l a u n i d a d de t i e m p o d e l c i c l o d e l m o d e l o , el a n i l l o de C h o r d p a s a a s u s i g u i e n t e e s t a d o , d o n d e t e n e m o s que e l t i e m p o e q u i v a l e a 1. E n l a figura p o d e m o s o b s e r v a r c o m o los p a q u e t e s h a n v i a j a d o a p e n a s 1 u n i d a d de t i e m p o . E n e l e j e m p l o i l u s t r a d o , n o t a m o s que a l m e n o s u n p a q u e t e i n f e c c i o s o h a l l e g a d o a s u d e s t i n o , y c o m o l o m a r c a e l m o d e l o de difusión, éste d e s t i n o o n o d o h a s i d o i n f e c t a d o . E l n u e v o n o d o i n f e c t a d a realizará a s u vez l a difusión d e l g u s a n o , m a n d a n d o 23

Nodo infectado Nodo vulnerable

finger table 0+2^0=1 0+2^l=2

0+2^2=4 F i g u r a 3.1: M o d e l o de Difusión e n t i e m p o = 0.

m e n s a j e s m a l i g n o s a s u finger t a b l e . E l c i c l o de infección se r e p i t e h a s t a q u e e l g u s a n o h a s i d o c o m p l e t a m e n t e t r a n s f e r i d o a t o d o s los n o d o s o a l m e n o s e n s u mayoría, y a q u e c o m o l o m a r c a e l m o d e l o de difusión,

no es p o s i b l e i n f e c t a r a u n n o d o m á s d e u n a vez. E n l a F i g u r a 3.2 y F i g u r a 3.3

se sigue m o s t r a n d o e l m i s m o e j e m p l o y se o b s e r v a c o m o e l g u s a n o sigue a v a n z a n d o c o n l a infección e n p o c a s u n i d a d e s de t i e m p o . E n e l e j e m p l o gráfico l a t e n d e n c i a de infección d e l g u s a n o , i n d i c a q u e l l e g a r a a c o n s u m i r t o d o s los n o d o s d e l a r e d , p e r m i t i e n d o a l u s u a r i o q u e c o n t r o l e este a t a q u e t e n e r acceso a

3.4.

información

Análisis

d e l i c a d a , o m a n i p u l a r los e q u i p o s de m a n e r a r e m o t a . [6] [8]

de G r a d o de Riesgo

E l g r a d o de riesgo es l a p o s i b i l i d a d de q u e u n n o d o sea víctima d e l a infección de u n g u s a n o . E s t a p o s i b i l i d a d se día p o r e l g r a d o de

participación

del usuario en conjunto

c o n l a s e v e r i d a d d e l g u s a n o , d i g a m o s e l t i p o de v u l n e r a b i l i d a d q u e e x p l o t a e n e l s i s t e m a . D e a c u e r d o a l g r a d o de s e v e r i d a d y de l a

intervención

h u m a n a que necesita u n

g u s a n o v a m o s a d e f i n i r dos t i p o s , e l t i p o " a r c h i v o " y e l t i p o " e x p l o i t " . E l g u s a n o t i p o a r c h i v o t i e n e n l a característica de q u e n e c e s i t a q u e e l u s u a r i o i n t e r v e n g a e n p a r t e , p o r

24

25

e j e m p l o que e l u s u a r i o s o l i c i t e o b u s q u e u n a r c h i v o e n l a r e d y este v e n g a i n f e c t a d o c o n e l g u s a n o , a u n asó e l g u s a n o está presente p e r o n e c e s i t a ser a c t i v a d o y a sea c o n la

ejecución

d e l a r c h i v o o de u n p r o g r a m a . L o s g u s a n o s d e l t i p o e x p l o i t son los m a s

severos, y a que n o n e c e s i t a n capítulos

intervención

d e l u s u a r i o a l g u n a , c o m o y a se e x p l i c o e n

a n t e r i o r e s , estos g u s a n o s h a c e n uso de las v u l n e r a b i l i d a d e s de u n s i s t e m a , a

las cuales el u s u a r i o n o t i e n e acceso e n l o a b s o l u t o . H e m o s d i s e n a d o u n e s q u e m a p a r a c o m p a r a r y t e n e r e n c u e n t a t o d o s los p o s i b l e s escenarios e n u n a r e d P 2 P a s i g n a n d o niveles de riesgo o s e v e r i d a d . S o n niveles que v a n desde u n a t a q u e n o t a n severo que r e a l m e n t e o c u p a más d e l u s u a r i o p a r a que e l g u s a n o p u e d a e n t r a r e n acción, h a s t a u n n i v e l d o n d e n o se r e q u i e r e a l u s u a r i o e n l o a b s o l u t o , s i e n d o este el más d e v a s t a d o r . A

continuación

se d e t a l l a n los n i v e l e s :

N i v e l de R i e s g o Nivel 1 - A m e n a z a Activada por Usuario

Intervención

del U s u a r i o

Ingreso

Activación

Requerida

Requerida

N i v e l 2 - A m e n a z a Ingresada por Usuario

Requerida

Automática

Nivel 3 - Amenaza Total

No Requerida

Automática

C u a d r o 3.1: T a b l a de Análisis de R i e s g o s .

• N i v e l 1 "Usuario

Activa

Amenaza".

E s t e g r a d o de riesgo se p o d r í a consi¬

d e r a r el más m í n i m o , s i n e m b a r g o es p e l i g r o s o , y a que a u n q u e n o sea u n a infección i n m e d i a t a e l p e l i g r o es l a t e n t e , p o r q u e i n t e r v i e n e n dos factores, el u s u a r i o y el g u s a n o . E l p e l i g r o e n este n i v e l es c u a n d o e l u s u a r i o d e s c a r g a u n a r c h i v o i n f e c t a d o c o n t e n i e n d o a l g u s a n o , e s p e r a n d o a ser a c t i v a d o . D e p e n d i e n d o de las h a b i l i d a d e s d e l u s u a r i o , h a y u n a p r o b a b i l i d a d de que se infecte o n o se i n f e c t e , y a que si c o n o c e d e l t e m a de las a m e n a z a s e n las redes, si m a n t i e n e a c t u a l i z a d o s u s i s t e m a , y sobre t o d o si es c u i d a d o s o a l d e s c a r g a r a r c h i v o s , que es d o n d e se e n c u e n t r a l a a m e n a z a p r i n c i p a l de este n i v e l , hará l a d i f e r e n c i a a l a h o r a de i n f e c t a r s e o n o i n f e c t a r s e . E n este n i v e l se n e c e s i t a que el u s u a r i o i n t r o d u z c a a l g u s a n o e n sus s i s t e m a y el g u s a n o n e c e s i t a ser a c t i v a d o p o r m e d i o d e l u s u a r i o , p a r a l o c u a l p u e d e n p a s a r , h o r a s , días o s e m a n a s . • N i v e l 2 "Amenaza

Ingresada

por

Usuario".

U n n i v e l u n t a n t o más p e l i -

groso que e l a n t e r i o r , y a que l a intervención d e l u s u a r i o es mínima, e l g u s a n o aún sigue d e p e n d i e n d o d e l u s u a r i o sólo p a r a l l e g a r a l s i s t e m a , u n a vez d e n t r o e l g u s a n o se p r o p a g a

automáticamente.

E n e l n i v e l 1 e r a n e c e s a r i o que e l m i s m o o p e r a d o r 26

d e l e q u i p o a c t i v a r a e l g u s a n o y a sea p o r m e d i o de u n a aplicación o a b r i e n d o algún a r c h i v o , e n c a m b i o e n el n i v e l 1 sólo es n e c e s a r i o que e l g u s a n o llegue a h o s p e d a r s e a l n o d o de a l g u n a m a n e r a , y a sea p o r c o p i a r a r c h i v o s a través de l a r e d , descar¬ g a r algún d a t o a d j u n t o de u n correo

electrónico

o medios similares. E l ingreso

d e l g u s a n o a l s i s t e m a c o m p r o m e t i d o es a cargo d e l u s u a r i o p o r los m e n c i o n a d o s , s i n e m b a r g o u n a vez d e n t r o , e l g u s a n o y por lo tanto empieza su • Nivel 3

"Amenaza

métodos

automáticamente

ya

se a c t i v a

difusión.

Total".

E n este n i v e l l a

intervención

d e l u s u a r i o n o es

r e q u e r i d a , sólo b a s t a c o n que el u s u a r i o sea p a r t e de u n a r e d P 2 P . L o s gusa¬ nos e n este n i v e l l l e g a n p o r si solos a l s i s t e m a y se d i f u n d e n s i n que el u s u a r i o l l e g u e a n o t a r l o . E n este n i v e l se t r a b a j a c o n g u s a n o s d e l t i p o C o d e - R e d o M o r r i s .

P a r a t r a t a r de c o n t e n e r l a infección y c o n t r a r r e s t a r el riesgo, l a i m p l e m e n t a c i ó n de n o d o s g u a r d i a n e s es p u e s t a e n práctica de m a n e r a f u n d a m e n t a l y n e c e s a r i a . S i e n d o este e l n i v e l m a s p e l i g r o s o , e l u s u a r i o es a j e n o a l a l l e g a d a d e l g u s a n o y s u

3.5.

difusión.

Contraatacando l a amenaza de los Gusanos

L o s g u s a n o s n o e x i s t i e r a n si

pudiéramos

e l i m i n a r las v u l n e r a b i l i d a d e s e n los sis¬

t e m a s o s i m p l e m e n t e c o r t a r las c o m u n i c a c i o n e s entre u s u a r i o s , p e r o n i n g u n a es v i a b l e en

práctica.

P a r a e l i m i n a r v u l n e r a b i l i d a d e s , los a p l i c a c i o n e s P 2 P d e b e n ser e s c r i t a s e n

l e n g u a j e s de

programación

seguros, c o m o J a v a o C + + , p a r a así l i b r a r n o s de las v u l n e -

r a b i l i d a d e s de buffer-overflow.

Incrementando l a diversidad en u n a red P 2 P , reduce l a

c o i n c i d e n c i a de v u l n e r a b i l i d a d e s c o m u n e s y hace m á s difícil p a r a e l g u s a n o p r o p a g a r s e e n l a r e d . [5]

3.5.1.

Detección

La tención

detección de

gusanos

Automática

automática ya

que

es las

un

de Gusanos

prerrequisito

reacciones

humanas

para son

cualquier

infraestructura

simplemente,

muy

lentas.

n o d o s de u n a r e d P 2 P c o n c a p a c i d a d p a r a d e t e c t a r u n g u s a n o , los l l a m a m o s

de

conA

los

Nodos

Guardianes. Los gusanos no m u e s t r a n c o m p o r t a m i e n t o s

fáciles

de d e t e c t a r e n l a r e d , p o r l o

t a n t o los n o d o s g u a r d i a n e s d e b e n d e t e c t a r a los g u s a n o s i d e n t i f i c a n d o p r o c e s o s de i n fección d e n t r o de las a p l i c a c i o n e s que se estóan e j e c u t a n d o . D e n t r o de éstas detecciones

27

d e b e n e n t r a r u n a g r a n clase de v u l n e r a b i l i d a d e s . S i n e m b a r g o e l m e c a n i s m o p r o p u e s t o r e q u i e r e m o d i f i c a c i o n e s de h a r d w a r e , o i n t e r p r e t a c i o n e s b i n a r i a s de c ó d i g o m u y g r a n d e s , es p o r eso que solo u n a p e q u e ñ a

fracción

de l a r e d P 2 P c o n s t i t u y e l a p o b l a c i ó n de n o d o s g u a r d i a n e s . Y a que e l m e c a n i s m o de detección

c o n t i e n e el

código

malicioso en u n ambiente

hermético,

a s u m i m o s que los

n o d o s g u a r d i a n e s s o n i n v u l n e r a b l e s a l a t a q u e d e l g u s a n o . [1]

3.5.2.

Nodos Guardianes

A l sólo c o n t a r c o n u n pequeño g r u p o de n o d o s g u a r d i a n e s , es c r u c i a l que u n a vez que e l n o d o

guardián

d e t e c t a u n g u s a n o , e n s e g u i d a genere u n m e n s a j e sobre e l a t a q u e

que se e s t a r e a l i z a n d o a l a r e d y l o envíe a otros n o d o s de l a r e d P 2 P . E s t o s m e n s a j e s serón l l a m a d o s alertas.

E l p r o p o s i t o de l a a l e r t a es que el n o d o r e c e p t o r o b t e n g a i n f o r -

m a c i ó n suficiente sobre el a t a q u e y p u e d a t o m a r las m e d i d a s a p r o p i a d a s p a r a volverse i n m u n e a l gusano. E s t e método p u d i e r a t e n e r u n efecto c o n t r a r i o a l b u s c a d o , y a que si e l n o d o recep¬ tor apagara o cerrara l a

aplicación

v u l n e r a b l e , entonces e l a t a q u e se convertiría e n u n

a t a q u e de D o S , p a r a e v i t a r este p r o b l e m a , los n o d o s g u a r d i a n e s d e b e n g e n e r a r a l e r t a r c e r t i f i c a d a s . L a s a l e r t a s c e r t i f i c a d a s s o n p r u e b a s de l a v u l n e r a b i l i d a d que está s i e n d o e x p l o t a d a y p u e d e n ser c o n f i r m a d a s p o r c u a l q u i e r n o d o , c o n t i e n e n u n a descripción

de

los eventos que l l e v a n a u n c o m p o r t a m i e n t o hóstil d e n t r o de l a r e d . U n a vez v e r i f i c a d a l a a u t e n t i c i d a d de l a a l e r t a , el n o d o p u e d e e j e c u t a r v a r i a s a c c i o nes p a r a p r o t e g e r s e , p o r e j e m p l o p u e d e r e c o n f i g u r a r s u firewall p a r a b l o q u e a r el acceso a l g u s a n o . I d e a l m e n t e u n n o d o debería p o d e r i d e n t i f i c a r l a v u l n e r a b i l i d a d e x p l o t a d a p o r el a t a q u e d e t e c t a d o y p a r c h e a r s e a u t o m á t i c a m e n t e .

E s t o s p a r c h e s p u e d e n ser ge¬

n e r a d o s l o c a l m e n t e p o r los n o d o s que r e c i b e n l a a l e r t a , s i n t e n e r que c o n f i a r e n p a r c h e s generados p o r otros n o d o s ( F i g u r a 3.4). Se a s u m e que las a l e r t a s se p r o p a g a n e n l a m i s m a r e d P 2 P que los g u s a n o s .

3.5.3.

Modelo de Contención de Amenazas basado en Nodos Guardianes.

Se c o n s i d e r a u n a r e d P 2 P y u n g u s a n o que e x p l o t a u n a v u l n e r a b i l i d a d e n los n o d o s de l a r e d . C o n s i d e r a r e m o s n o d o A c o m o v e c i n o de n o d o B si l a dirección de A aparece

28

29

e n l a l i s t a de d i r e c c i o n e s de B (finger

table).

C a d a n o d o e n l a r e d P 2 P t i e n e u n a p r o b a b i l i d a d i n d e p e n d i e n t e p de ser n o d o guardián;

o t r o caso, el n o d o es vulnerable.

do c u a n d o e l g u s a n o l l e g a a s u

dirección.

U n n o d o v u l n e r a b l e se c o n v i e r t e e n

infecta¬

U n g u s a n o e m p i e z a s u difusión e n u n n o d o

v u l n e r a b l e a l e a t o r i o p r o b a n d o las d i r e c c i o n e s de s u t a b l a de v e c i n o s . S i u n g u s a n o lle¬ ga a u n nodo difundirá

guardián,

el n o d o

guardián

detectara al gusano, generara l a alerta, y l a

i n m e d i a t a m e n t e a s u l i s t a de v e c i n o s . U n n o d o v u l n e r a b l e se c o n v i e r t e e n

n o d o inmune

después de r e c i b i r l a a l e r t a ; y éste l a difundirá a s u l i s t a de v e c i n o s . U n

n o d o i n f e c t a d o i g n o r a l a a l e r t a , p e r o éste y a n o se sigue p r o p a g a n d o . N o d o s i n m u n e s n o se c o n v i e r t e n e n n o d o s i n f e c t a d o s a u n h a y a n s i d o a l c a n z a d o s p o r e l g u s a n o . Se a s u m e que e l g u s a n o y l a a l e r t a t i e n e n e l m i s m o peso e n c a d a enlace. Se i g n o r a n los c a m b i o s dinámicos e n l a r e d , c o m o l a e n t r a d a y s a l i d a de n o d o s , p o r lo t a n t o se a s u m e u n a topología

3.6.

estática.

Autenticación de N o d o s G u a r d i a n e s .

P a r a que u n n o d o p u e d a e s t a r seguro que está r e c i b i e n d o u n m e n s a j e de p r o t e c c i ó n auténtico, que r e a l m e n t e p r o v i e n e de u n n o d o guardián auténtico, es n e c e s a r i o i m p l e m e n t a r u n s i s t e m a de c o n f i a n z a e n e l a m b i e n t e de l a r e d P 2 P . E x i s t e n v a r i a s tecnologías que se p u e d e n i m p l e m e n t a r e n este caso, p a r a e s t a b l e c e r u n s i s t e m a de c o n f i a n z a entre los n o d o s v u l n e r a b l e s y los n o d o s g u a r d i a n e s , los cuales s o n : • Criptografía de C l a v e s . • Certificados Digitales. E x i s t e n dos t i p o s de criptografía p o r claves, simétricas y asimétricas. E n l a c r i p t o grafía p o r claves simétricas se u t i l i z a l a m i s m a clave p a r a c i f r a r y d e s c i f r a r información, m i e n t r a s que e n l a criptografía

p o r claves asimétricas

se u t i l i z a n dos claves, l a clave

p r i v a d a y l a clave pública. A m b a s s i r v e n p a r a c i f r a r y d e s c i f r a r información.

L a clave

p u b l i c a es c o m p a r t i d a y de d o m i n i o g e n e r a l e n l a r e d , m i e n t r a s que l a clave p r i v a d a es única y p e r s o n a l p a r a c a d a n o d o . E l o b j e t i v o es que c u a n d o algún t i p o de

información

sea e n c r i p t a d a c o n u n a de las dos claves ( p o r e j e m p l o , l a clave p u b l i c a ) , solo p u e d a ser d e s c i f r a d a c o n s u clave c o m p l e m e n t a r i a ( l a clave p r i v a d a ) . E n el e s q u e m a de s e g u r i d a d p a r a l a c o n f i a n z a de n o d o s g u a r d i a n e s , esto se p u e d e a p l i c a r a los m e n s a j e s e n v i a d o s de a l e r t a . H a y u n a v e n t a j a sobre u t i l i z a r e l c i f r a d o p o r claves simétricas, l a c u a l es que es u n p r o c e s o m á s l i g e r o c o m p u t a c i o n a l m e n t e h a b l a n d o , que u t i l i z a r el c i f r a d o p o r claves asimétricas.

30

L a s e g u r i d a d p o r m e d i o de c e r t i f i c a d o s d i g i t a l e s , d e m a n d a l a i m p l e m e n t a c i ó n de u n a a u t o r i d a d de certificación, l o c u a l n o se ajustaría a l a m b i e n t e de u n a r e d P 2 P , y a que n o c u e n t a c o n a l g u n a e n t i d a d c e n t r a l i z a d a que p u e d a g e s t i o n a r este t i p o de s e r v i c i o . E n u n a m b i e n t e d i s t r i b u i d o c o m o los s o n las redes P 2 P , además son n e c e s a r i o c o n t r o l e s que p u e d a n d i s t r i b u i r c e r t i f i c a d o s de c o n f i a n z a a través de los n o d o s de l a r e d , que a c t u a r á n c o m o s e r v i d o r e s , c o n el o b j e t i v o de que e l s e r v i c i o s i e m p r e esté d i s p o n i b l e , aún si u n a p o r c i ó n de los n o d o s c e r t i f i c a d o r e s se c o l a p s a . P o r lo t a n t o e n redes P 2 P c o n i m p l e m e n t a c i ó n de n o d o s g u a r d i a n e s , estos c o n t r o l e s de s e g u r i d a d v a n a ser necesarios p a r a que c a d a n o d o c o m p o n e n t e d e l s i s t e m a , confíe e n las e n t i d a d e s de s e g u r i d a d p a r a p o d e r d e s e m p e ñ a r s u función de

protección.

31

[9]

Capítulo 4

Implementación y Resultados

U n s i m u l a d o r fué c o d i f i c a d o p a r a o b s e r v a r los m o d e l o s de p r o p a g a c i ó n d e s c r i t o s e n e l c a p i t u l o a n t e r i o r , que c a r a c t e r i z a n e j e m p l o s de redes P 2 P y dos t i p o s de g u s a n o s c o n n o d o s g u a r d i a n e s . E n e s t a sección m o s t r a r e m o s v a r i o s e j e m p l o s de s i m u l a c i o n e s que i l u s t r a n las p r o b a b i l i d a d e s que se p u e d e n p r e s e n t a r e n u n a infección r e a l . [5]

4.1.

Simulador

Se h a e s c o g i d o el l e n g u a j e de m i e n t a de

simulación,

programación

y a que c o n a y u d a de sus

r e s u l t a d o s que se b u s c a n . L a

interconexión

física

C++

p a r a el d e s a r r o l l o de l a herra¬

características

se p u e d e l l e g a r a los

entre los n o d o s se d a p o r e l p r o t o c o l o

T C P / I P , p e r o a l ser u n a simulación de l a r e d lógica se a s u m e que las c o n e x i o n e s físicas s o n f u n c i o n a l e s e n c u a l q u i e r i n s t a n t e de t i e m p o . L a conexión de l a r e d lógica es b a j o e l protocolo C h o r d el c u a l crea u n anillo. E l s i m u l a d o r c u e n t a c o n u n a clase " N o d e . h " , l a c u a l se e n c a r g a de c a r a c t e r i z a r a los n o d o s e n el p r o g r a m a . E s t a clase c u e n t a c o n a t r i b u t o s que p e r m i t e n m a n e j a r a l n o d o , c o m o n o d o guardián, n o d o v u l n e r a b l e o que actúe c o m o g u s a n o . A d e m á s c u e n t a c o n f u n c i o n e s que p e r m i t e n g e n e r a r l a t a b l a de vecinos o finger t a b l e , b a s á n d o s e e n las especificaciones

de l a t o p o l o g í a C h o r d , así c o m o f u n c i o n e s que p e r m i t e n e l envío y

r e c e p c i ó n de a l e r t a s . U n a vez c a r a c t e r i z a d a l a r e d i n i c i a l , lo c u a l se refiere a que y a se definió e l n o d o de e n t r a d a d e l g u s a n o , que n o d o s a c t u a r a n c o m o n o d o s g u a r d i a n e s , entonces se p r o c e d e a l envío de m e n s a j e s i n i c i a l e s d e l g u s a n o a s u t a b l a de v e c i n o s . Y a e m p e z a n d o e l envío de a l e r t a s e infecciones el t i e m p o de simulación se v a c o n s u m i e n d o h a s t a l l e g a r a s u fin y asó, se r e c o l e c t a n los r e s u l t a d o s o b t e n i d o s p a r a s u

32

análisis.

Parámetro

Descripción

N

N u m e r o de n o d o s .

U

U n i v e r s o de I D s . Tiempo

t tm

T i e m p o máximo del mensaje enviado.

ng

P o r c e n t a j e de n o d o s g u a r d i a n e s .

pi C u a d r o 4.1:

4.2.

simulación.

P r o b a b i l i d a d de Descripción

Diseno de l a

infección.

de parámetros d e l s i m u l a d o r .

Simulación

P a r a p o d e r o b s e r v a r y e v a l u a r el d e s e m p e ñ o de los n o d o s g u a r d i a n e s , es necesa¬ r i o s i m u l a r escenarios d o n d e se t o m e n e n c u e n t a los

parámetros

i n f l u y e n e n u n a r e d P 2 P r e a l . L a redes se c r e a r a n u s a n d o l a

y

características

topología

que

de C h o r d , l a

c u a l c r e a u n a n i l l o lógico de enlaces e n t r e los n o d o s y c a d a u n o t i e n e u n n u m e r o ú n i c o que l o i d e n t i f i c a , a s u vez c a d a n o d o t i e n e u n a finger t a b l e o t a b l a de v e c i n o s , c u e n t a n también

c o n u n buzón p a r a r e c i b i r m e n s a j e s de o t r o s n o d o s , estos m e n s a j e s p u e d e n ser

a l e r t a s o gusanos. E n el C u a d r o 4.1 p r e s e n t a m o s los

parámetros

de l a

simulación.

P a r a o b t e n e r e l tamaño de l a F i n g e r T a b l e se c a l c u l a o b t e n i e n d o U de los parámet r o s c a p t u r a d o s y se le a p l i c a l a s i g u i e n t e f o r m u l a : f t = log(U

)/log(2)

Se fijaron 3 t a m a ñ o s a p r o x i m a d o s de l a r e d P 2 P p a r a las

simulación,

que s o n de

50,000, 100,000 y 150,000 n o d o s , esto c o n e l fín de v e r que e l c o m p o r t a m i e n t o s i g a l a m i s m a t e n d e n c i a y o b t e n e r r e s u l t a d o s confiables. A l h a b e r i n t r o d u c i d o los

parámetros

elige a l e a t o r i a m e n t e de e n t r e l a

población

necesarios p a r a e m p e z a r l a

simulación,

se

de n o d o s , a l n o d o que será l a e n t r a d a d e l

g u s a n o a l a r e d y a los n o d o s g u a r d i a n e s , t o d o s c o n l a m i s m a p r o b a b i l i d a d de r e s u l t a r elegidos. E l n o d o c o n e l g u s a n o i n i c i a el a t a q u e a l a r e d , m a n d a d o m e n s a j e s de infección a t o d a s u t a b l a de v e c i n o s . C a d a m e n s a j e e n v i a d o t i e n e u n t i e m p o a l e a t o r i o de d e m o r a , y a que le t o m a u n o s segundos v i a j a r p o r l a r e d y t o d o e l p r o c e s o que esto i m p l i c a . U n a vez que e l m e n s a j e l l e g a a l b u z ó n d e s t i n o , d e p e n d i e n d o d e l n i v e l de riesgo d e l g u s a n o , éste t o m a r á acción e n e l n o d o huésped. S i e l n o d o huésped es u n n o d o guardióan, éste difundirá i n m e d i a t a m e n t e u n a a l e r t a de que los m e n s a j e s de

infección,

éstas

protección

alertas

a t o d a s u l i s t a de v e c i n o s , a l i g u a l

también

c u e n t a c o n u n t i e m p o de

envío.

C a s o c o n t r a r i o , si el n o d o huésped es v u l n e r a b l e , éste se c o n v i e r t e e n n o d o i n f e c t a d o e i n m e d i a t a m e n t e d i f u n d e el g u s a n o a través de s u l i s t a de v e c i n o s . E s t e t i p o de a t a q u e se le c o n o c e c o m o O P S y se e n c u e n t r a d e s c r i t o e n e l c a p i t u l o a n t e r i o r . E s asó c o m o , el 33

g u s a n o se vá d i f u n d i e n d o p o r l a r e d P 2 P y los n o d o s g u a r d i a n e s t r a t a n de m i t i g a r l a a m e n a z a , c o m o se m e n c i o n a e n el M o d e l o de C o n t e n c i ó n de A m e n a z a s . Después de h a b e r t e r m i n a d o el t i e m p o de simulación, o b t e n e m o s los r e s u l t a d o s p a r a proceder con el

4.3.

análisis.

Escenarios Propuestos

D e a c u e r d o a l análisis de riesgo, h e m o s d e f i n i d o tres escenarios. E n t o d o s los es¬ cenarios i m p l e m e n t a m o s nodos guardianes con el como

método

propósito

de a n a l i z a r s u e f e c t i v i d a d

p a r a m i t i g a r a m e n a z a s de gusanos e n las redes P 2 P . Se a s u m e que las

redes P 2 P m o d e l a d a s s o n de de n o d o e n t i e m p o de

tipología

ejecución.

estática,

es d e c i r , n o e x i s t e n e n t r a d a s n i s a l i d a s

L a e s t r a t e g i a de a t a q u e de los g u s a n o s e n los escena¬

rios será O P S . Se a s u m e que t o d o s los n o d o s de l a r e d u t i l i z a n u n s i s t e m a o p e r a t i v o c o n a l m e n o s u n a v u l n e r a b i l i d a d p o r e x p l o t a r . L a s t a b l a s de r u t e o o finger t a b l e s se c r e a n m e d i a n t e C h o r d . L a s a s u n c i o n e s hechas son c o n fines de p r a c t i c i d a d y s i m p l i c i d a d . L o s escenarios que a

continuación

se d e s c r i b e n , f u e r o n

p o r c e n t a j e de infección d e l g u s a n o , m e d i a n t e l a

intervención

diseñados

p a r a m e d i r el

del usuario en el proceso,

y a que c o n s i d e r a m o s que e l u s u a r i o t i e n e l a r e s p o n s a b i l i d a d casó s i e m p r e de que s u s i s t e m a n o sea c o m p r o m e t i d o p o r u n g u s a n o . S i e l u s u a r i o final se i n f o r m a r a y t o m a r a las m e d i d a s n e c e s a r i a s , el n i v e l de también

infección

bajaría

considerablemente. S i n embargo

t r a t a m o s c o n a m e n a z a s que están f u e r a de l a m a n o s de los u s u a r i o s , d o n d e

p r á c t i c a m e n t e n o se p u e d e h a c e r n a d a a l r e s p e c t o . L o s escenarios se d e s c r i b e n a

4.3.1.

continuación.

Escenario General

S o n t o d o s los n o d o s p a r t e de u n a r e d P 2 P , e n l a c u a l h a y u n n o d o p o r t a d o r de u n g u s a n o y u n 5 % de n o d o s g u a r d i a n e s . E l p o r c e n t a j e de n o d o s g u a r d i a n e s es solo u n a pequeñas fracción de l a r e d , y a que son n o d o s especiales c o n c a p a c i d a d e s diferentes de i m p l e m e n t a c i ó n y costos. A u n asó, los n o d o s g u a r d i a n e s n e c e s i t a n u n t i e m p o p a r a a c t u a l i z a r sus firmas y p o d e r l l e v a r a c a b o l a

protección

c o n s i d e r a d o u n t i e m p o d e l a y c a d a vez que u n n o d o

de l a r e d , es p o r eso que se h a

guardián

actúa,

este t i e m p o o s c i l a

e n t r e los 5 y 10 u n i d a d e s de t i e m p o , y a que es u n t i e m p o p r u d e n t e p a r a que r e a l i c e n estos procesos. A d e m á s , los n o d o s g u a r d i a n e s c u e n t a n c o n u n a serie de falsas acciones, esto c o n e l fin de c a r a c t e r i z a r las p o s i b l e s f a l l a s , c o m o lo s o n e l hecho de que p u e d a n o m i t i r u n a t a q u e d i r e c t o , c o m o y a se h a m e n c i o n a d o e n los s i s t e m a s I D P S , e x i s t e n 34

p o s i b i l i d a d e s de que los n o d o s g u a r d i a n e s n o r e c o n o z c a n p a t r o n e s de

detección.

Por

o t r o l a d o , e x i s t e l a p o s i b i l i d a d de que los n o d o s g u a r d i a n e s d e t e c t e n u n a anomalía e n u n p r o c e s o n o r m a l , p a r a esto se h a i m p l e m e n t a d o u n a serie de falsas p r o b a b i l i d a d e s d e l 3 % e n los n o d o s g u a r d i a n e s , c o n el fin de c a r a c t e r i z a r estas p o s i b l e s acciones. E l n o d o de e n t r a d a d e l g u s a n o se escoge a l e a t o r i a m e n t e de e n t r e l a

población

de n o d o s

v u l n e r a b l e s . E l g u s a n o e m p i e z a s u a t a q u e ( O P S ) desde el n o d o de e n t r a d a , h a b i e n d o u n a p r o b a b i l i d a d de

infección,

d e p e n d i e n d o d e l n i v e l de

intervención

h u m a n a e n que

se e n c u e n t r e , d e s c r i t o e n el análisis de riesgo. C o m o y a se m e n c i o n o , C h o r d es u t i l i z a ¬ do p a r a c r e a r l a r e d lógica, es d e c i r l a r e d o v e r l a y de l a r e d P 2 P . M e d i a n t e C h o r d se d e f i n e n las t a b l a s de v e c i n o s de c a d a n o d o , estas t a b l a s c o n t i e n e n l a

dirección

lógica

de c a d a n o d o c o n e l que habrá c o m u n i c a c i ó n . D e este escenario g e n e r a l se d e r i v a n tres escenarios, e n los que v a r i a l a p r o b a b i l i d a d de infección, de a c u e r d o a l a s i g u i e n t e t a b l a de p o n d e r a c i ó n : ( C u a d r o 4.2).

N i v e l de R i e s g o

P r o b a b i l i d a d de Infección

Usuario Activa Amenaza

0.3

U s u a r i o A c t i v a Ingreso

0.6

Amenaza Total

1.0

C u a d r o 4.2: T a b l a de

Ponderación

de

Infección.

P a r a c a d a e s c e n a r i o s i g u i e n t e se c r e a r o n redes de 50,000, 100,000 y 150,000 n o d o s . E l t i e m p o t o t a l de l a simulación es de 1,800 u n i d a d e s de t i e m p o y e l m e n s a j e de a l e r t a o g u s a n o p u e d e t e n e r u n t i e m p o v a r i a b l e de e n t r e 50 y 300 u n i d a d e s de t i e m p o . Se es¬ c o g i e r o n estos t i e m p o s , y a que se llegó a l a conclusión de que e r a n los t i e m p o s

óptimos

p a r a o b s e r v a r el c o m p o r t a m i e n t o de l a r e d , de los n o d o s g u a r d i a n e s y d e l g u s a n o .

4.3.2.

Escenario 1

E s t e escenario es b a s a d o e n e l n i v e l U s u a r i o A c t i v a A m e n a z a d e l Análisis de R i e s g o . Se t o m a l a p r o b a b i l i d a d de infección d e l n i v e l 1 c o r r e s p o n d i e n t e a l a t a b l a de p o n d e r a ción, que es de 0.3. D e b i d o a que es e l n i v e l m e n o s severo, l a p r o b a b i l i d a d 0.3 e n g l o b a t o d o s los aspectos y a m e n c i o n a d o s , c o m o h a b i l i d a d d e l u s u a r i o , e s t a d o d e l s i s t e m a , etc. Se m u e s t r a n los r e s u l t a d o s o b t e n i d o s p a r a u n a r e d c o n los t a m a ñ o s y p r o b a b i l i d a ¬ des y a i n d i c a d o s e n e l C u a d r o 4.3. E n este e s c e n a r i o , a n a l i z a n d o los r e s u l t a d o s o b t e n i d o s c o n l a simulación, p o d e m o s n o t a r que l a infección es c o n t e n i d a fácilmente p o r los n o d o s g u a r d i a n e s , c a b e señalar que s i e n d o u n p o r c e n t a j e

de infección r e l a t i v a m e n t e 35

pequeño,

los n o d o s g u a r d i a n e s

F i g u r a 4.1: C a m b i o s de estados e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 1.

f u e r o n capaces de d e t e c t a r e l a t a q u e , p r o t e g e r a sus v e c i n o s a l g r a d o de d e t e n e r l o c o m p l e t a m e n t e . E n l a F i g u r a 4.1 se m u e s t r a n los c a m b i o s de e s t a d o s , t a n t o las i n f e c c i o n e s p o r e l g u s a n o y las p r o t e c c i o n e s hechas p o r los n o d o s g u a r d i a n e s , p o d e m o s o b s e r v a r c o m o e l g u s a n o e m p i e z a s u difusión e n l a r e d y a l l l e g a r a u n n o d o guardián

este

e m p i e z a a m a n d a r a l e r t a s a sus v e c i n o s . A l e s t a r l i d i a n d o c o n u n g u s a n o de n i v e l de riesgo 1, n o c a u s a i n f e c c i o n e s y se p u e d e o b s e r v a r que fue c o n t r o l a d o p o r los g u a r d i a n e s . E l envío de m e n s a j e s d u r a n t e l a simulación fue d o m i n a d a c a s i e n s u t o t a l i d a d p o r m e n s a j e s de

protección

e n v i a d o s p o r n o d o s g u a r d i a n e s . E n l a F i g u r a 4.2, o b s e r v a m o s

c l a r a m e n t e c o m o a l m o m e n t o de c o m e n z a r e l g u s a n o s u infección, los n o d o s g u a r d i a n e s e m p i e z a n a p r o t e g e r a sus n o d o s v e c i n o s , l l e g a n d o a l p u n t o e n que las a l e r t a s de p r o t e c c i ó n s u p e r a n a los m e n s a j e s de infección, y c o m p r o b a m o s que l a a m e n a z a h a s i d o contenida.

No. Nodos

Nodos

Nodos

Porcentaje

Nodos

Nodos

Porcentaje

Guardianes

Protegidos

Protección

Vulnerables

Infectados

Infección

Finales

(%)

Iniciales

Finales

(%)

50,000

2,444

45,668

92.44

46,956

590

1.19

100,000

4,775

90,239

92.49

92,785

892

0.91

150,000

7,329

133,936

92.59

137,313

1,267

0.87

C u a d r o 4.3: Resultados de l a simulación E s c e n a r i o 1. 36

F i g u r a 4.2: M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 1.

4.3.3.

Escenario 2

E n este e s c e n a r i o se analizó l a difusión de u n g u s a n o n i v e l U s u a r i o I n g r e s a A m e n a z a , de a c u e r d o a l a t a b l a de

ponderación

de

infección.

S i c o m p a r a m o s los r e s u l t a d o s

o b t e n i d o s e n este e s c e n a r i o c o n los r e s u l t a d o s o b t e n i d o s e n el e s c e n a r i o 1, e x i s t e u n a d i f e r e n c i a a f a v o r de l a infecciona. E s t o se d e b e a que l a p r o b a b i l i d a d de que e l g u s a n o i n f e c t e a l n o d o es de 0.6, d e b i d o a que se t r a t a de u n g u s a n o c o n más p o d e r d e v a s t a d o r o de

infección.

No. Nodos

Se m u e s t r a n los r e s u l t a d o s o b t e n i d o s e n l a simulación e n e l C u a d r o 4.4.

Nodos

Nodos

Guardianes

Protegidos

Porcentaje Protección

Nodos

Nodos

Porcentaje

Vulnerables

Infectados

Infección

Finales

(%)

Iniciales

Finales

(%)

46,897

12,005

24.31

50,000

2,475

33,933

68.72

100,000

4,819

67,117

68.81

92,710

23,530

24.12

150,000

7,080

96,576

68.85

137,368

38,009

26.31

C u a d r o 4.4: Resultados de l a simulación E s c e n a r i o 2. Se p u e d e o b s e r v a r e n los r e s u l t a d o s que e l p o r c e n t a j e de infección aumentó signi¬ ficativamente,

p a s o de ser m e n o s de 2 % e n el e s c e n a r i o 1 a u n r a n g o de e n t r e e l 24 y 37

F i g u r a 4.3: C a m b i o s de e s t a d o e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 2.

27 % , lo c u a l nos dice que a m e d i d a que a u m e n t a l a p r o b a b i l i d a d de infección, dismi¬ n u y e e l r e n d i m i e n t o de los n o d o s g u a r d i a n e s , p e r o aún así, se l o g r a c o n t e n e r l a difusión del gusano. E n l a F i g u r a 4.3 p o d e m o s o b s e r v a r c o m o este g u s a n o c o n u n n i v e l más de p e l i g r o a u m e n t a s i g n i f i c a t i v a m e n t e l a infección e n l a r e d . E s t o p u e d e c a u s a r otros

problemas

p a r a l a i n t e g r i d a d de l a r e d , d i g a m o s a t a q u e s de D o S , saturación de l a r e d o d i s m i n u ción d e l a n c h o de b a n d a . E s t o se p u e d e d a r d e b i d o a que e n p r i m e r l u g a r , los n o d o s que r e c i b e n a l e r t a s de p r o t e c c i ó n , p u e d e n a p a g a r o d e s c o n e c t a r a p l i c a c i o n e s v u l n e r a b l e s y simultáneamente o t r o u s u a r i o p u d i e r a e s t a r r e q u i r i e n d o de ese s e r v i c i o o aplicación, que y a n o se encontrará

d i s p o n i b l e d e b i d o a l a a l e r t a . E n l a F i g u r a 4.4

observamos

el a u m e n t o de envío de m e n s a j e s de infección p o r p a r t e d e l g u s a n o . E n el s i g u i e n t e e s c e n a r i o se d e s c r i b e e l p e o r de los casos y sus i m p a c t o s .

4.3.4.

Escenario 3

L o s gusanos de n i v e l 3, c o m o se h a v e n i d o e x p l i c a n d o a l o l a r g o de los capítulos a n t e r i o r e s , s o n gusanos que n o n e c e s i t a n

intervención

h u m a n a p o r lo t a n t o h e m o s asig¬

n a d o u n a p r o b a b i l i d a d de infección de 1.0, lo c u a l a r r o j a los r e s u l t a d o s m o s t r a d o s e n el C u a d r o 4.5.

38

F i g u r a 4.4: M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 2.

No. Nodos

Nodos

Nodos

Guardianes

Protegidos Finales

Porcentaje Protección

Nodos

Nodos

Vulnerables

Infectados

Porcentaje

Iniciales

Finales

46,903

40,599

(%) 82.19

Infección

50,000

2,418

5,627

(%) 11.39

100,000

4,886

13,223

13.55

92,641

77,787

79.75

150,000

7,212

20,387

14.10

137,331

114,823

79.43

C u a d r o 4.5: Resultados de l a

simulación

E s c e n a r i o 3.

E n este caso o b t e n e m o s r e s u l t a d o s que m u e s t r a n que e l g u s a n o logró i n f e c t a r más de l a m i t a d de l a

población

de n o d o s de l a r e d P 2 P , c u a n d o los n o d o s g u a r d i a n e s solo

a l c a n z a r o n a p r o t e g e r a l r e d e d o r d e l 10 a 15 % de l a r e d , e n l a F i g u r a 4.5 se m u e s t r a s u avance. O b s e r v a m o s que e l g u s a n o e m p i e z a c o n infecciones c o n t r o l a d a s p o r los n o d o s guar¬ d i a n e s , h a s t a e l t i e m p o 200 a 400 es d o n d e se d i s p a r a n los c o n t a g i o s d e l g u s a n o , aun las p r o t e c c i o n e s n o s o n suficientes p a r a c o n t e n e r l a a m e n a z a y s o b r e p a s a p o r c o m p l e t o l a protección

de los n o d o s g u a r d i a n e s . S i n e m b a r g o esto n o s i g n i f i c a e n este caso, que los

n o d o s g u a r d i a n e s n o sean eficientes, y a que s i n s u p r e s e n c i a el g u s a n o t o m a r í a casi e n s u t o t a l i d a d e l c o n t r o l de l a r e d , t r a y e n d o c o n s i g o o t r o t i p o s de p r o b l e m a s p a r a l a r e d y los u s u a r i o s . A

continuación

m o s t r a m o s u n a c o m p a r a t i v a e n t r e u n a t a q u e de u n g u s a n o 39

F i g u r a 4.5: C a m b i o s de e s t a d o e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 3.

n i v e l 3 ( A m e n a z a T o t a l ) c o n l a p r e s e n c i a de n o d o s g u a r d i a n e s e n l a r e d y s i n p r e s e n c i a de los m i s m o s . E n l a F i g u r a 4.6 se m u e s t r a l a

comparación

el entre ataque del m i s m o

gusano

n i v e l 3 e n u n a r e d c o n n o d o s g u a r d i a n e s y s i n n o d o s g u a r d i a n e s . L a gráfica m u e s t r a l a e f e c t i v i d a d de los n o d o s g u a r d i a n e s y c o m p a r a n d o r e s u l t a d o s d e l caso c o n y d e l caso s i n

protección,

t e n e m o s que el

número

máximo

protección

de n o d o s i n f e c t a d o s e n u n a

s o l a u n i d a d de t i e m p o p o r e l g u s a n o fue de 6,806 n o d o s , m i e n t r a s que c o n l a

protección

de los n o d o s g u a r d i a n e s t a n solo fue de 438 n o d o s , l o c u a l nos dice que, a u n q u e n o logran m i t i g a r l a amenaza, reducen considerablemente el i m p a c t o del gusano,

dejando

las p u e r t a s a b i e r t a s p a r a t r a b a j o s a f u t u r o . E n l a t a b l a se m u e s t r a n los p o r c e n t a j e s o b t e n i d o s e n u n a simulación de u n a r e d P 2 P de 150,000 n o d o s t a n t o e n m o d o de

protección

y sin

protección.

T e n e m o s que c o n

l a protección de los n o d o s g u a r d i a n e s , e l g u s a n o l o g r a i n f e c t a r e l 79.43 % de l a

población

de l a r e d , y s i n protección l o g r a o b t e n e r e l 98.42 % de l a r e d , l o c u a l lo c a t e g o r i z a c o m o u n a t a q u e severo y d e v a s t a d o r . P o r o t r o l a d o , a u n q u e e l g u s a n o l o g r a t o m a r más de l a m i t a d de l a r e d , s u difusión es m a s l e n t a , y a que los n o d o s g u a r d i a n e s l o g r a n r e d u c i r a l 5.8 % las infecciones

máximas

e n u n a u n i d a d de t i e m p o , p o r e j e m p l o s i n l a

protección

de estos n o d o s , e l g u s a n o logró i n f e c t a r 6,806 n o d o s e n u n a u n i d a d de t i e m p o , m i e n t r a s que l a p r e s e n c i a de los n o d o s g u a r d i a n e s solo pudo i n f e c t a r 438 n o d o s e n u n s e g u n d o . 40

F i g u r a 4.6: C o m p a r a c i ó n de Infecciones e n u n a t a q u e de u n g u s a n o n i v e l 3.

E l C u a d r o 4.6 m u e s t r a los r e s u l t a d o s de l a

Protección

(%)

Infección

comparación.

M á x i m a s Infecciones p o r U n i d a d de T i e m p o

C o n Nodos Guardianes

69.75

403

Sin Nodos Guardianes

98.51

6,875

C u a d r o 4.6:

Comparación

de r e s u l t a d o s de

simulación.

E l a t a q u e d e l g u s a n o p u e d e ser u n p u n t o de p a r t i d a p a r a o t r o s a t a q u e s a l a r e d in¬ directamente. C o m o y a sabemos, el gusano procede a infectar u n nodo

transportándose

p o r m e d i o de l a r e d c o m o u n m e n s a j e o p a q u e t e c u a l q u i e r a , p e r o t i e n e l a p a r t i c u l a r i d a d de que h a c e u n g r a n número de p e t i c i o n e s y enlaces

simultáneamente,

c o m o se m u e s t r a

e n l a F i g u r a 4.7. E l envío m a s i v o de m e n s a j e s p u e d e o c a s i o n a r que l a r e d se colapse p o r c a u s a de la

saturación

de p a q u e t e s que se envían a l m i s m o t i e m p o y esto a s u vez, p r o v o c a n d o

errores de D o S a los u s u a r i o s de l a r e d . E n c o n t r a m o s éste e s c e n a r i o c o m o e l más p r o m e t e d o r e n e l p r o c e s o de d e s a r r o l l o de los n o d o s g u a r d i a n e s , y a que e n los escenarios a n t e r i o r e s se m u e s t r a que p u e d e n c o n t r o l a r l a situación d e l a t a q u e de u n g u s a n o de esos n i v e l e s , p e r o

41

tratándose

de u n

F i g u r a 4.7: M e n s a j e s e n v i a d o s e n u n a R e d P 2 P de 150,000 n o d o s - N i v e l de R i e s g o 3.

g u s a n o que e x p l o t a tales v u l n e r a b i l i d a d e s de los s i s t e m a s , es d o n d e se p o n e a p r u e b a este c o n c e p t o de s e g u r i d a d e n redes.

42

Capítulo 5

Conclusiones

G r a c i a s a l t r a b a j o r e a l i z a d o , d e s c r i t o e n los

capítulos

anteriores p o d e m o s llegar

a las siguientes c o n c l u s i o n e s y a p o r t a c i o n e s a l c o n t e x t o sobre los n o d o s g u a r d i a n e s y s e g u r i d a d e n redes P 2 P . M a n t e n e r los s i s t e m a s de s e g u r i d a d tales c o m o a n t i v i r u s o firewall j u e g a n u n pa¬ p e l i m p o r t a n t e , y a que p u e d e n h a c e r l a d i f e r e n c i a a l m o m e n t o de u n a t a q u e , c o m o se demostró

e n e l e s c e n a r i o 1.

L o s n o d o s g u a r d i a n e s c o m o método de

contención

de a m e n a z a s r e s u l t a r o n ser u n a

m e d i d a eficiente, y a que c o n u n p e q u e ñ o p o r c e n t a j e l o g r a r o n m i t i g a r e l a t a q u e d e l gu¬ sano c o m o se

demostró

e n e l e s c e n a r i o 1 y e n e l e s c e n a r i o 2 de este t r a b a j o .

E n e l e s c e n a r i o 3, p u d i m o s o b s e r v a r que n o se logró c o n t e n e r e n s u t o t a l i d a d l a a m e n a z a , s i n e m b a r g o se r e d u j o e n u n p o r c e n t a j e c o n s i d e r a b l e , e v i t a n d o que el g u s a n o t o m a r a e l c o n t r o l de flujo de l a r e d . E l a u m e n t o de n o d o s g u a r d i a n e s se p u d i e r a p e n s a r que es l a m e j o r

opción

para

m e j o r a r los r e s u l t a d o s e n casos s i m i l a r e s a l d e l e s c e n a r i o 3, p e r o este a u m e n t o a l a p o blación a c t i v a de n o d o s g u a r d i a n e s p u e d e n t r a e r c o n s i g o o t r o t i p o de c o n s i d e r a c i o n e s . Se

necesitará

rediseñar el e s q u e m a a c t u a l de autenticación

de n o d o s g u a r d i a n e s , y a

que el c o n s i d e r a d o p a r a este t r a b a j o n o p u d i e r a s o p o r t a r l a n u e v a

configuración,

sería

n e c e s a r i o p r o b a r s u r o b u s t e z . E l c o s t o de l a i n f r a e s t r u c t u r a de r e d se elevará considera¬ b l e m e n t e , y a que l a implementación

y

manutención

de los n o d o s g u a r d i a n e s es e l e v a d o

y a l a u m e n t a r el p o r c e n t a j e a c t i v o , aumentarían estos costos. U n a contribución i m p o r t a n t e h e c h a c o n este t r a b a j o , fue l a ampliación d e l t r a b a j o de o t r o s a u t o r e s , y a que se m a n e j a n m á s c o n c e p t o s a e v a l u a r , c o m o u n diferente proto¬ colo, diferentes t i p o s de a m e n a z a s e n diferentes escenarios, asó c o m o l a procesos de autentificación

consideración

de

p a r a los m i s m o s n o d o s g u a r d i a n e s , l o c u a l le dá u n m a y o r

g r a d o de r o b u s t e z a l e s q u e m a de s e g u r i d a d . 43

E l s i m u l a d o r c o d i f i c a d o p a r a este t r a b a j o , fue u n a p i e z a clave p a r a l a o b t e n c i ó n de los r e s u l t a d o s , y a que b r i n d ó r e s u l t a d o s p a r a o b t e n e r las a la

conclusión

final.

estadísticas

y poder llegar

A d e m á s fue l a h e r r a m i e n t a u t i l i z a d a p a r a e v a l u a r l a e f i c i e n c i a de

los n o d o s g u a r d i a n e s a n t e e l a t a q u e de u n g u s a n o e n u n a r e d P 2 P . E x i s t e n p o s i b l e s e x t e n s i o n e s de f u n c i o n e s que se le p u e d e n a d e c u a r , c o m o l a integración de o t r o s proto¬ colos de r e d y l a adición y

5.0.5.

eliminación

de n o d o s e n t i e m p o r e a l de

simulación.

Trabajo a Futuro.

Con la

intención

de e x t e n d e r el análisis de éste t r a b a j o , se c o n s i d e r a que a l g u n o s

aspectos q u e d a n a b i e r t o s p a r a c o n t i n u a r s u d e s a r r o l l o , c o m o l o s e r á n : • L a implementación t r a l e s de

de n o d o s g u a r d i a n e s e n o t r o t i p o de redes s i n e n t i d a d e s cen¬

administración,

c o m o redes a d h o c , o e n o t r o t i p o de redes P 2 P .

• C a r a c t e r i z a r y d e t a l l a r a los n o d o s que p u d i e r a n desempeñar l a función de n o d o s c e r t i f i c a d o r e s , e n el c o n t e x t o de c o n f i a n z a . • Integración de u n m o d u l o a l a h e r r a m i e n t a de de n o d o s e n t i e m p o e n

simulación.

44

simulación,

de a d i c i o n y

eliminación

Bibliografía

[1] L i d o n g Z h o u , L i n t a o Z h a n g , F r a n k M c S h e r r y , N i c o l e I m m o r l i c a , M a n u e l C o s t a , Steve C h i e n , " A F i r s t L o o k at P e e r - t o - P e e r W o r m s : T h r e a t s a n d D e f e n s e s " , International

Workshop on Peer-To-Peer

Systems (IPTPS

'05),

2005.

[2] W e i Y u , " A n a l y z e t h e W o r m - b a s e d A t t a c k i n L a r g e Scale P 2 P N e t w o r k s " , ceeding of the Eighth Engineering

IEEE

(HASE

International

Symposium

4th

on High Assurance

Pro-

Systems

2004.

'04),

[3] W e i Y u , C o r e y B o y e r , D o n g X u a n , ' A n a l y z i n g I m p a c t s of P e e r - t o - P e e r S y s t e m s o n P r o p a g a t i o n of A c t i v e W o r m A t t a c k s " , ACM

Computer

Communications

Volume

31, Issue 17, N o v i e m b r e 2008. [4] M i c h a e l L i l j e n s t a m , D a v i d M . N i c o l , " C o m p a r i n g P a s s i v e a n d A c t i v e W o r m Defen¬ ses", IEEE

Proceedings

Evaluation

of Systems

of the First (QEST

'04),

International

Conference

on the

Quantitative

2004.

[5] A r n o W a g n e r , B e r n h a r d P l a t t n e r , T h o m a s D i i b e n d o r f e r , R o m a n H i e s t a n d , " E x p e riences w i t h W o r m P r o p a g a t i o n S i m u l a t i o n s " , ACM (WORM

'03),

Workshop on Rapid

Malcode

2003.

[6] F a n g w e i W a n g , Y u n k a i Z h a n g , J i a n f e n g M a , " M o d e l i n g a n d D e f e n d i n g P a s s i v e W o r m s over U n s t r u c t u r e d P e e r - t o - P e e r N e t w o r k s " , SpringerLink Tianjin

University

Transactions

of

14 Issue 1, N o v i e m b r e 2008.

Volume

[7] J i e M a , X i n m e n g C h e n , G u a n n g l i X i a n g , " M o d e l i n g P a s s i v e W o r m P r o p a g a t i o n i n P e e r - t o - P e e r S y s t e m s " , IEEE gence and Security,

International

Conference

on Computational

Intelli¬

2006.

[8] W e i Y u , C o r e y B o y e r , S r i r a m C h e i l l a p p a n , D o n g X u a n , " P e e r - t o - P e e r S y s t e m - b a s e d A c t i v e W o r m A t t a c k s : M o d e l i n g a n d A n a l y s i s " , IEEE Communications,

International

Conference

on

2005.

[9] N a s s i m a K h i a t , Y a n n i c k C a r l i n e t , N a z i m A g o u l m i n e , " T h e E m e r g i n g T h r e a t of P e e r - t o - P e e r W o r m s " , IEEE Detection

and Mitigation,

Proceedings ofFirst

S e p t i e m b r e 2006. 45

Workshop on Monitoring,

Attack

[10] P r a n k D a b e k , E m m a B r u n s k i l l , M . F r a n s K a a s h o e k , D a v i d K a r g e r , R o b e r t

Mo-

rris, Ion Stoica, H a r i B a l a k r i s h n a n , " B u i l d i n g Peer-to-Peer Systems w i t h C h o r d ,

a D i s t r i b u t e d L o o k u p S e r v i c e " , IEEE

Proceedings of the Eighth

Workshop on

Hot

Topics in Operating Systems, 2001. [11] I o n S t o i c a , R o b e r t M o r r i s , D a v i d K a r g e r , H a r i B a l a k r i s h n a n , " C h o r d : A P e e r - t o - P e e r L o o k u p S e r v i c e for I n t e r n e t A p p l i c a t i o n s " , ACM

2001 Conference

on Applications,

Computer Communications,

Technologies, Architectures,

Scalabe

Proceedings

of

the

and Protocols

for

2001.

[12] S r i n i v a s S h a k k o t t a i , R . S r i k a n t , " P e e r t o P e e r N e t w o r k s for Defense A g a i n s t I n t e r -

net W o r m s " , ACM Proceedings from the 2006 workshop on Interdisciplinary approach in performance

evaluation

systems

and design ofcomputer & communications

Sys-

terns, 2006. [13] K a p e r s k y L a b s . 2009. [14] J o h n J a n n o t t i , D a v i d K . G i f f o r d , K i r k L . J o h n s o n , M . F r a n s K a a s h o e k , J a m e s W . O'Toole J r , "Overcast: Reliable M u l t i c a s t i n g w i t h an Overlay Network",

Proceedings of the 4th conference on Symposium Implementation,

on Operating

ACM

System Design

&

Volume 4, 2000.

[15] G i o v a n n i V i g n a , F r e d i c k V a l e u r , R i c h a r d A . K e m m e r e r , " D e s i g n i n g a n d I m p l e m e n t i n g a F a m i l y of I n t r u s i o n D e t e c t i o n S y s t e m s " , Proceedings of the 9th

software engineering conference held jointly with 11th ACM SIGSOFT symposium on Foundations

ofsoftware

European

international

engineering, S e p t i e m b r e 2003.

[16] M a r i o G u i m a r a e s , M e g M u r r a y , " O v e r v i e w of I n t r u s i o n D e t e c t i o n a n d I n t r u s i o n

P r e v e n t i o n " , Proceedings of the 5th annual conference on Information rriculum

development, S e p t i e m b r e 2008.

46

security cu-

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.