Análisis de Difusión de un Gusano en una Red Peer-to-Peer

Análisis de Difusión de un Gusano en una R e d Peer-to-Peer

p o r

Ing. Alfredo Guzmán Ortega

Tesis

P r e s e n t a d a a l P r o g r a m a de G r a d u a d o s de l a

División de Mecatrónica y Tecnologías de Información

como requis i to p a r c i a l p a r a obtener el grado académico de

Maestro en Ciencias

espec ia l idad en

Telecomunicaciones

Instituto Tecnológico y de Estudios Superiores de Monterrey

Campus Monterrey

M a y o de 2010

Instituto Tecnológico y de Estudios Superiores de Monterrey

Campus Monterrey

División de Mecatrónica y Tecnologías de Información P r o g r a m a d e G r a d u a d o s

L o s miembros de l comité de tesis recomendamos que l a presente tesis de A l f r e d o Guzmán O r t e g a sea a c e p t a d a como requis i to p a r c i a l p a r a obtener el grado académico

de M a e s t r o e n C i e n c i a s , e spec ia l idad en:

T e l e c o m u n i c a c i o n e s

Comité de tesis:

D r . Jorge C a r l o s M e x P e r e r a

Asesor de la tesis

D r . G e r a r d o A n t o n i o Castañón A v i l a

Sinodal

Ing. A r t e m i o A l f r e d o A g u i l a r Coutiño

Sinodal

D r . G e r a r d o A n t o n i o Castañón Ávila

Director de las maestrías en Electrónica y Automatización de la

D M T I

M a y o de 2010

E s t e t r a b a j o esta dedicado con cariño: A mis padres Concepc ión O r t e g a V e r d u g o y M a n u e l Guzmán V a r g a s p o r estar

s iempre conmigo y h a b e r m e ensenado todo lo que se. A mis hermanos H a n i a , L u i s i t o y M a r i e l .

Y a t i P a u l i n a p o r estar a m i lado y ser el b r i l l o de m i v i d a .

Reconocimientos

A mis profesores de posgrado p o r haber f o rmado par te de m i preparación académi-ca y p o r haber t r a n s m i t i d o lecciones y conoc imientos a lo largo de l a maestría.

A m i asesor, el D r . Jorge C a r l o s M e x p o r h a b e r m e gu iado en el proceso de l a tesis, p o r sus consejos y observaciones.

A l Tecnológico de M o n t e r r e y p o r h a b e r m e dado l a o p o r t u n i d a d de rea l i zar m i s estudios de posgrado .

A m i s padres p o r apoyarme i n c o n d i c i o n a l m e n t e en todos m i s proyectos de v i d a .

A m i s compañeros de estudios por a y u d a r m e en t o d o este t i e m p o .

A m i s amigos p o r el apoyo b r i n d a d o .

A L F R E D O G U Z M Á N O R T E G A

Instituto Tecnológico y de Estudios Superiores de Monterrey Mayo 2010

V

Análisis de Difusión de un Gusano en una R e d Peer-to-Peer

A l f r e d o Guzmán O r t e g a , M . C . I n s t i t u t o Tecnológico y de E s t u d i o s Superiores de M o n t e r r e y , 2010

Asesor de l a tesis: D r . Jorge C a r l o s M e x P e r e r a

L a s Redes Peer - t o -Peer h a n ganado u n a g r a n p o p u l a r i d a d gracias a l concepto de c o m -partición de archivos y recursos, donde mi l l ones de usuarios de Internet hacen uso de esta función. U n a de las propiedades de las Redes P 2 P P u r a s es que no c u e n t a n con u n s i s tema que a d m i n i s t r e los contenidos y recursos.

S u n a t u r a l e z a descentra l i zada es difícil m a n t e n e r u n contro l de esquemas de segu¬r i d a d , de jando inmunes a los usuar ios ante u n ataque a l a red . L o s gusanos se h a n ido p o p u l a r i z a n d o en este t i p o de ataques , y a que s in n i n g u n a i n f r a e s t r u c t u r a de segur idad , les p e r m i t e d i fundirse rápidamente.

L o s nodos guardianes son u n esquema de protección p a r a estos sistemas P 2 P . For¬m a n parte de l a m i s m a poblac ión a c t i v a de nodos , y a su vez protegen u n a porción de e l la . E n estos t i empos , se l i d i a con gusanos m u y potentes que e n t r a n p o r lugares a los que el usuar io no t iene acceso o conoc imiento , dando como resu l tado u n ataque seguro y efectivo.

E n este t r a b a j o se a n a l i z a l a e f icacia de los nodos guardianes en u n a R e d P 2 P ba jo el ataque de gusano de rápida propagación, m e d i a n t e modelos de difusión y protección.

Índice general

R e c o n o c i m i e n t o s V

R e s u m e n V I

I n d i c e d e c u a d r o s I X

I n d i c e d e figuras X

C a p í t u l o 1. I n t r o d u c c i ó n 1

1.1. O b j e t i v o 2 1.2. Justificación 2 1.3. Contribución 3 1.4. Organización 3

C a p í t u l o 2. R e d e s P e e r - t o - P e e r 4 2.1. Características de las Redes Peer - t o -Peer 5 2.2. A p l i c a c i o n e s de las Redes Peer - t o -Peer 5 2.3. T i p o s de Redes Peer - t o -Peer 6 2.4. Redes O v e r l a y 8

2.4.1. Características de las Redes O v e r l a y 8 2.5. C h o r d 9

2.5.1. F u n c i o n a m i e n t o G e n e r a l 9 2.5.2. P r o c e d i m i e n t o de Búsqueda de N o d o s 10

2.6. Gusanos 10 2.6.1. Caracterización de los G u s a n o s 11

2.7. Detección de Intrusiones 12 2.7.1. S istemas de Detección y Prevención de Intrusiones 13 2.7.2. Func iones de u n I D P S 14

2.8. V u l n e r a b i l i d a d e s del Software 14 2.9. Buf fer Over f low 15

2.9.1. Incidentes 15 2.10. A t a q u e s en l a H i s t o r i a 16

VII

2.11. T i p o s de V u l n e r a b i l i d a d e s E x p l o t a d a s 16 2.11.1. U n i x 17 2.11.2. D i s p o s i t i v o s Móviles 18

C a p í t u l o 3. M o d e l o s d e P r o p a g a c i ó n y C o n t e n c i ó n d e G u s a n o s e n R e d e s

3.1. Técnicas de R e s p u e s t a a u n A t a q u e 21 3.1.1. Metodología de Detección 21 3.1.2. Detectores . 22

3.2. Es t ra teg ias de A t a q u e de u n G u s a n o 22 3.3. M o d e l o de Difusión de u n G u s a n o . 23

3.3.1. Difusión de u n G u s a n o 23 3.4. Análisis de G r a d o de Riesgo 24 3.5. C o n t r a a t a c a n d o l a a m e n a z a de los G u s a n o s 27

3.5.1. Detección Automát ica de Gusanos 27 3.5.2. N o d o s G u a r d i a n e s 28 3.5.3. M o d e l o de Contención de A m e n a z a s basado en N o d o s G u a r d i a n e s . 28

3.6. Autenticación de N o d o s G u a r d i a n e s . 30

C a p í t u l o 4 . I m p l e m e n t a c i ó n y R e s u l t a d o s 3 2 4.1. S i m u l a d o r 32 4.2. Diseño de l a Simulación 33 4.3. Escenar ios Propuestos 34

P 2 P 2 0

4.3.1. E s c e n a r i o G e n e r a l 4.3.2. E s c e n a r i o 1 . . . 4.3.3. E s c e n a r i o 2 . . . 4.3.4. E s c e n a r i o 3 . . .

34 35 37 38

C a p í t u l o 5. C o n c l u s i o n e s 5.0.5. T r a b a j o a F u t u r o .

4 3 44

B i b l i o g r a f í a 4 5

V i t a 4 7

VIII

Índice de cuadros

3.1. T a b l a de Análisis de Riesgos 26

4.1. Descripción de parámetros del s i m u l a d o r 33 4.2. T a b l a de Ponderación de Infecc ion 35 4.3. Resultados de l a simulación E s c e n a r i o 1 36 4.4. Resultados de l a simulación E s c e n a r i o 2 37 4.5. Resultados de l a simulación E s c e n a r i o 3 39 4.6. Comparación de resultados de simulación. 41

IX

Índice de figuras

2.1. U n a R e d Peer - to -Peer . 2.2. A n i l l o lógico de C h o r d .

7 9

2.3. Asignación de Claves a N o d o s Sucesores 10 2.4. E x p l o i t " ikee" ac t ivo en u n i P h o n e 19

3.1. M o d e l o de Difusión en t i e m p o = 0 24 3.2. M o d e l o de Difusión en t i e m p o = 1 25 3.3. M o d e l o de Difusión en t i e m p o = 2 25 3.4. M o d e l o de Protecc ión de los N o d o s G u a r d i a n e s 29

4.1. C a m b i o s de estados en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 1. 36 4.2. Mensa jes enviados en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 1. 37 4.3. C a m b i o s de estado en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 2. 38 4.4. Mensa jes enviados en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 2. 39 4.5. C a m b i o s de estado en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 3. 40 4.6. Comparación de Infecciones en u n ataque de u n gusano n i v e l 3. 41 4.7. Mensa jes enviados en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 3. 42

x

Capítulo 1

Introducción

Los sistemas con f o r m a de red a b u n d a n en nuestro m u n d o . L a s redes comple jas son redes dinámicas, conjuntos de objetos conectados que interactúan entre s i , y p o r ob je to pueden ser, nodos de u n a r e d informática, personas de u n a red soc ia l , e lementos de u n a r e d biológica, entre otros . A l g o que carac te r i za a las redes comple jas es que su topología es u n t e m a sus tanc ia l entres sus funciones. E n t r e las redes informáticas encontramos a l Internet o a l a W o r l d W i d e W e b , dentro de estas redes ex i s ten redes v i r tua les formadas por mi l l ones de nodos i n t e r a c t u a n d o entre s i , y a se c o m p a r t i e n d o información o recursos, son conoc idas como Redes Peer - t o -Peer ( P 2 P ) .

U n s i s tema de red Peer - t o -Peer es u n g r u p o de nodos que cons t ruyen su p r o p i a r e d con ob jet ivos especiales. D a d o a l reciente surg imiento de los s istemas P 2 P con grandes números de usuar ios , estos sistemas pueden ser u n med io m u y efectivo p a r a que los P i r a t a s Informáticos lancen ataques con G u s a n o s ( W o r m s ) . L a propagación de gusanos p o r Internet puede p e r m i t i r que u n solo nodo controle mi les de nodos l a n z a n d o ataques como Negación de Serv ic io ( D o S , D e n i a l of Service) entre otros , accediendo información conf idenc ia l y des truyendo información val iosa . L o s s istemas P 2 P se están c o n v i r t i e n d o en u n factor i m p o r t a n t e en l a compartic ión de recursos a m a y o r escala en Internet .

U n gusano es u n t i p o de v i r u s informático que posee l a p r o p i e d a d de dupl i carse a si m i s m o . L o s gusanos e x p l o t a n partes de u n s i s tema opera t ivo que generalmente son inv is ib les a l usuar io . A d i ferenc ia de u n v i r u s , u n gusano no prec isa a l terar archivos o p rogramas , sino copiarse en l a m e m o r i a y dupl i carse a si m i s m o , con esto b u s c a n dañar l a red , mientras los v i r u s s iempre in fec tan o c o r r o m p e n archivos .

E l p r o b l e m a de l a difusión de los gusanos sobre las redes P 2 P , t iene su raíz desde el usuar i o final h a s t a los mismos sistemas que se u t i l i z a n p a r a su operación, y a que u n a infección se puede ocas ionar desde el mínimo descuido del usuar i o o y a sea p o r l a f a l t a de segur idad de l s i s tema, dícese v u l n e r a b i l i d a d , f a l t a de actualización en los software a n t i v i r u s y / o firewall. L a implementación de s istemas especiales de detección genera costos que l a mayoría de las veces no es costeable p a r a los s istemas P 2 P y

1

p a r a los usuar ios , y a su vez estos s istemas especiales pueden ser med idas contrapro¬ducentes p a r a l a red , y a que u n a m e d i d a puede ser el apagado de a l g u n a aplicación o a l m o m e n t o de querer not i f i car a l a r ed , puede darse u n a saturación de ancho de b a n d a .

U n a m e d i d a p a r a contrarres tar este p r o b l e m a en las redes P 2 P , puede ser l a i m -plementación de nodos especiales, d i s t r i b u i d o s y colocados en l a población a c t i v a de l a red . N o d o s G u a r d i a n e s con características que les p e r m i t e n l a detección de u n ataque de u n gusano y c ierto n i v e l de contención de l m i s m o . E s t o s nodos solo o c u p a n u n pe¬queño porcenta je en l a población de l a red y a que por su h a r d w a r e y software a l c a n z a n costos elevados p a r a el usuar i o p romed io . [1]

E l diseño de u n a i n f r a e s t r u c t u r a de r e d i n m u n e , podría ser l a solución a este pro¬b l e m a que a t a c a a mi l l ones de usuar ios en el m u n d o . L a s redes están con nosotros c o t id ianamente , que a lgunas veces tememos de su poder , como el 10 de agosto de 1996, u n a f a l l a en dos líneas de energía en el estado de Oregón en E s t a d o s U n i d o s , llevó a u n a serie de fallas en cascada de jando a 7 mi l l ones de usuar ios en 11 estados y 2 prov inc ias de Canadá s in energía d u r a n t e 16 horas . [2] [4]

1.1. Objetivo E n este t r a b a j o ana l i zaremos el i m p a c t o de l a propagación de u n gusano en u n

s i s tema P 2 P y el método de contención de amenazas basado en N o d o s G u a r d i a n e s . Se realizarán exper imentos con diferentes t ipos de gusanos, en cuanto a v e l o c i d a d de propagación se refiere, basado en u n mode lo de difusión con lo que se espera, los N o d o s G u a r d i a n e s p u e d a n contener o d i s m i n u i r el i m p a c t o del gusano, proveyéndonos asó u n a pos ib le solución a l p r o b l e m a de l a difusión de u n gusano en u n a R e d P 2 P .

1.2. Justificación E n c o n t r a m o s que las redes P 2 P se h a n vue l t o vu lnerab les a los ataques de gusanos

conforme h a crec ido su p o p u l a r i d a d entre l a c o m u n i d a d de Internet . E s por eso que l a Aparición de nuevos esquemas de ataques, en f o r m a de gusano no h a sido l a excepción. E s t o s nuevos gusanos son del t i p o indetec tab le p a r a las técnicas actuales de segur idad , p o r lo que causan g r a n daño a los s i s tema P 2 P .

E s t e nuevo m o d e l o inc luye varias fases, p r i m e r o detección automática, generación de a l e r t a y método de a i s lamiento .

2

1.3. Contribución C o n el ob je t ivo de d e t e r m i n a r el i m p a c t o que t iene l a difusión de u n gusano en

u n a R e d P 2 P , se propone u n a m e j o r a a l mode lo de contención de amenazas "Detección Automática de G u s a n o s " [1], en este nuevo mode lo es u n a m e j o r a del anter ior , y a que t o m a en cuenta elementos reales que in f luyen d i rec tamente a l a difusión de u n gusano, asó como l a caracterización de l gusano en sí, con diferentes niveles de pe l igro , y a que el mode lo o r i g i n a l sólo t o m a en cuenta , u n sólo t i p o de gusano. L a base de este s i s t ema de detección es l a implementación de N o d o s G u a r d i a n e s , los cuales son nodos d is tr i¬bu idos p o r t o d a l a r e d c u i d a n d o su flujo de información. E s t e nuevo mode lo cons idera parámetros con los que t r a b a j a u n s i s tema de detección de intrusos r ea l , como lo son t i empos de retraso de respuesta de u n N o d o Guardián, l a p o s i b i l i d a d de que uno de estos nodos c o m e t a u n error , lo c u a l l l ega a suceder debido a su metodología de t r a b a j o . N u e s t r o mode lo t r a b a j a ba j o l a topología de l pro toco lo C h o r d , el c u a l es uno de los protoco los P 2 P mas robustos que se h a n desarro l lado , lo que nos g a r a n t i z a u n b u e n d i rec c i onamiento de información en l a red . C o n este nuevo mode lo observaremos l a efi¬cac ia de los nodos guardianes a c t u a n d o ba j o el ataque de diferentes t ipos de gusanos, p a r a d e t e r m i n a r asó, si son u n a m e d i d a efect iva de contención.

1.4. Organización E s t e t r a b a j o está organ izado de l a siguiente m a n e r a . E n el c a p i t u l o 2 se d e t a l l a n

los elementos claves que interactúan en el p r o b l e m a p r i n c i p a l , las Redes Peer - t o -Peer y los gusanos, asó como sus características, t ipos , etc. E l c a p i t u l o 3 m u e s t r a los modelos que se e m p l e a n p a r a carac ter i zar el c o m p o r t a m i e n t o de las partes claves, como modelos de difusión de los gusanos, modelos de contención de los nodos guardianes e i n f o r m a -ción relevante. E n el c a p i t u l o 4 se e x p l i c a n los exper imentos diseñados con el fin de dar solución a l p r o b l e m a , los resultados y notas de l autor . E l c a p i t u l o 5 está compuesto p o r las conclusiones a las que se llegó, recomendaciones y el pos ib le t r a b a j o a fu turo .

3

Capítulo 2

Redes Peer-to-Peer

U n a R e d Peer - t o -Peer es u n a red de c o m p u t a d o r a s o nodos que c o m p a r t e n u n a porc ión de sus recursos con los otros nodos de l a r e d s in l a neces idad de ent idades centrales de administración. Todos los nodos de l a red actúan simultáneamente como Cl i entes o Serv idores , algunos recursos que se c o m p a r t e n son poder de procesamiento , a l m a c e n a m i e n t o o ancho de b a n d a .

E n contraste con l a a r q u i t e c t u r a C l i e n t e Serv idor , las redes P 2 P p r o m e t e n me jor e s c a l a b i l i d a d , menores costos, me jor organización y administración de recursos y o p t i -mización de recursos l i m i t a d o s , me jor t o l e r a n c i a de fallos y u n me jor soporte p a r a l a implementación de redes a d hoc. Además las redes P 2 P , proveen a los nuevos usuar ios o p o r t u n i d a d e s que solo fueran posibles con arqu i tec turas prop ie tar ias .

L a s redes P 2 P son formadas dinámicamente por l a l l egada y s a l i d a de nodos , lo c u a l no causa u n i m p a c t o s igni f i cat ivo gracias a su a r q u i t e c t u r a r o b u s t a y el mane jo dinámico de sus tab las de ruteo , que le p e r m i t e n reacomodar nodos s in i n t e r r u m p i r su operación.

L a s redes Peer - t o -Peer ( P 2 P ) no son algo nuevo. Comúnmente se conocen ba jo l a m a r c a de N a p s t e r . E n esta aplicación el concepto de P 2 P era usado p a r a c o m p a r t i r archivos , por e jemplo archivos de música c o m p r i m i d a (mp3) . S i n embargo , el concepto de las redes P 2 P no es so lamente c o m p a r t i r archivos , si no también es crear enlaces o comunicac iones m u l t i m e d i a ba j o estándares y protoco los basados en estas redes.

L a d i ferenc ia que d i s t ingue a las redes P 2 P y a l a a r q u i t e c t u r a C l i e n t e - S e r v i d o r es que en las redes P 2 P el nodo actúa como cl iente y serv idor , representa l a c a p a c i d a d de a c t u a r simultáneamente como ambos . P o r o tro lado en l a a r q u i t e c t u r a C l i e n t e - S e r v i d o r , todos los par t i c ipantes actúan o como cl iente o como serv idor , pero n u n c a desempeñaran ambas funciones.

4

2.1. Características de las Redes Peer-to-Peer • E s c a l a b i l i d a d . L a s redes P 2 P l l egan a abarcar alcances de mi l l ones de usuar ios

conectados entre sí. L o idea l es que entre el m a y o r sea el número de usuar ios o nodos conectados a l a r e d me jor debe ser su func ionamiento . E s asó, que c a d a vez que u n nuevo nodo ingresa a l a r ed , los recursos de esta aumentarán.

• R o b u s t e z . P o r su a r q u i t e c t u r a d i s t r i b u i d a las redes P 2 P i n c r e m e n t a n su ro¬bustez en caso de ex i s t i r u n fal lo en las conexiones de los nodos , permitiéndoles encontrar información o archivos s in hacer u n a petición d i rec tamente a u n servi¬dor centra l de indexado .

• Descentralización. L a s redes P 2 P por n a t u r a l e z a son de esquema descentral izo y todos los nodos t i enen l a m i s m a jerarquía. P o r lo t a n t o , no ex i s ten nodos con funciones especiales y p o r ende, ningún nodo es ind ispensab le p a r a l a red .

• C o s t o s . Todos los costos se encuentran repar t idos entre los usuar ios de l a red . Según l a neces idad de l a aplicación, los recursos pueden ser archivos , espacio en disco, ancho de b a n d a o poder de procesamiento .

• S e g u r i d a d . L a segur idad en las redes P 2 P es u n a de las propiedades mas ne¬cesidades pero a su vez, l a menos i m p l e m e n t a d a . L o s ob jet ivos de u n a r e d P 2 P segura son poder ident i f i car nodos infectados o mal i c iosos , así como contenido in fectado y el acceso no a u t o r i z a d o a información de l i cada .

2.2. Aplicaciones de las Redes Peer-to-Peer E n l a a c t u a l i d a d , e l ancho de b a n d a o las capacidades de a l m a c e n a m i e n t o y c ómpu-

to son recursos caros. E n aquel las apl icac iones y servicios que requ ieran u n a enorme c a n t i d a d de recursos pueden usarse las redes P 2 P .

A l g u n o s e jemplos de aplicación de las redes P 2 P son:

• In tercambio y bus queda de ficheros. A l g u n o s e jemplos son B i t T o r r e n t o l a r e d

eDonkey2000 .

• Sistemas de ficheros d i s t r i b u i d o s .

• S istemas de t e l e f o n a p o r Internet , como S k y p e .

• Se h a n empezado a ver a las redes P 2 P como u n a pos ib le a l t e r n a t i v a p a r a l a distribución de m a t e r i a l de grandes estudios de televisión y de cine.

• Cálculos científicos, redes capaces de procesar u n a enorme c a n t i d a d de datos , como los bioinformáticas.

5

2.3. Tipos de Redes Peer-to-Peer D e acuerdo a l a centralización de u n a r e d P 2 P , las podemos clasi f icar como Cen¬

t r a l i z a d a s , Híbridas y P u r a s .

• R e d e s P 2 P C e n t r a l i z a d a s . E s t a clasificación se basa en u n a a r q u i t e c t u r a don¬de todas las transacc iones y pet ic iones se r e a l i z a n a través de u n único serv idor que sirve como p u n t o de enlace entre los nodos , y que a su vez a l m a c e n a y d is tr i¬buye los nodos que a l m a c e n a n los contenidos de l a red . E s p o r eso que poseen u n a a l t a disposición de contenidos , s in embargo l a f a l t a de p r i v a c i d a d de los usuar ios es u n a de las desventajas de esta a r q u i t e c t u r a , asó como l a f a l t a de e s c a l a b i l i d a d a u n solo serv idor . Además se pueden encontrar altos costos de m a n t e n i m i e n t o s y u n g r a n consumo de ancho de b a n d a .

U n a red c e n t r a l i z a d a t iene las siguientes propiedades :

• F u n c i o n a b a j o u n solo serv idor que sirve como centra l de enlaces entre los nodos de l a red y como acceso a l contenido .

• Todas las comunicac iones dadas entre los nodos , asó como pet ic iones y e n -r u t a m i e n t o s , dependen de l serv idor centra l .

• R e d e s P 2 P H í b r i d a s . E n este t i p o de redes, también se encuentra l a presenc ia de u n serv idor centra l que a d m i n i s t r a los recursos de l a red (ancho de b a n d a , comunicac iones ) , pero s in saber l a i d e n t i d a d de c a d a nodo y s in a lmacenar in for -mación a l g u n a , p o r lo que el serv idor no compar te información de ningún t i p o en l a red . T i e n e n l a m a n e r a de operar de dos modos en caso de fal lo de los servidores , los nodos pueden seguir con l a comunicación d i r e c t a entre ellos y asó poder seguir c o m p a r t i e n d o información y recursos.

E s t e t i p o de redes P 2 P t i enen las siguientes características:

• Los nodos son responsables de hospedar l a información, pues el serv idor centra l no a l m a c e n a l a información, que p e r m i t e a l serv idor cent ra l reconocer los recursos que se desean c o m p a r t i r , y p a r a poder descargar esos recursos c ompar t idos a los nodos que lo s o l i c i tan .

• L a s tab las de e n r u t a m i e n t o son direcciones usadas p o r el serv idor , que son a d m i n i s t r a d a s p o r u n s i s tema de índices p a r a obtener u n a dirección abso lu ta .

• R e d e s P 2 P P u r a s . L a s redes P 2 P P u r a s son las más comunes y u t i l i z a d a s , s iendo las más versátiles a l no necesitar ningún t i p o de administración, lo que su¬p r i m e l a neces idad de u n a e n t i d a d cent ra l que controle los accesos, l a distribución

6

F i g u r a 2.1: U n a R e d Peer - to -Peer .

de l a información, etc. L a s comunicac iones son directas entre usuar io y usuar i o p o r med io de u n nodo , el c u a l p e r m i t e en lazar las comunicac iones .

L a s redes de este t i p o c u e n t a n con las siguientes características:

• L o s nodos actúan como cl iente y serv idor .

• N o existe u n serv idor cent ra l que maneje las conexiones de red .

• N o hay u n e n r u t a d o r cent ra l que s i rva como nodo y a d m i n i s t r e direcciones.

A l g u n o s pref ieren c lasi f icar las redes P 2 P en base a su estructuración, en base a como los nodos en l a r e d overlay o de sobrecapa se en lazan el u n o a l o tro , podemos c lasi f icar las redes del P 2 P como N o E s t r u c t u r a d a s o E s t r u c t u r a d a s .

• R e d e s P 2 P N o E s t r u c t u r a d a s . L a s redes P 2 P no es t ruc turadas son f o r m a das p o r enlaces lógicos a rb i t rar i o s entre los nodos , lo que s igni f i ca que no están regidos por algún protoco lo de r e d de sobrecapa. S i u n nodo desea encontrar algún t i p o de información, l a petición t iene que recorrer t o d a l a red h a s t a que consigue u n resul tado . U n a de las desventajas es que no s iempre las pet ic iones de búsqueda, regresan resultados sat is factor ios . S i se b u s c a u n contenido o i n -formación común, existe u n a a l t a p r o b a b i l i d a d de éxi to en l a petición, pero a l caso contrar io , cuando es u n contenido raro o poco común, es m u y probab le que no encuentre co inc idenc ias , dado que no existe u n a relación entre el nodo y el contenido que comparte .

R e d e s P 2 P E s t r u c t u r a d a s L a s redes P 2 P es t ruc turadas f u n c i o n a n ba jo el esquema de D H T ( D i s t r i b u t e d H a s h T a b l e ) , donde c a d a nodo es re lac ionado con u n a par te especif ica de l contenido de l a red . E s t e t i p o de redes as ignan valo -res a contenidos y a c a d a nodo de l a r ed , luego se i m p l e m e n t a u n pro toco lo de búsqueda d i s t r i b u i d o , p a r a as ignar a u n nodo especifico u n contenido especifico. D e esta m a n e r a , s iempre que u n nodo envíe u n a petición, m e d i a n t e el pro toco lo se podrá d e t e r m i n a r que nodo g u a r d a l a información so l i c i tada . A l g u n a s redes P 2 P es t ruc turadas son:

• C h o r d .

• P a s t r y .

• C A N .

• Tapestry .

2.4. Redes Overlay L a s redes overlay o de sobrecapa son redes lógicas que se p o s i c i o n a n t opo l og i ca -

mente p o r e n c i m a de u n a red física. Imaginemos que los nodos de u n a r e d moverla están conectados unos con otros p o r m e d i o de enlaces lógicos o v i r t u a l e s , c a d a uno correspon¬diendo a u n a r u t a de u n a r e d física, pero puede representar mas de u n enlace físico. L a s redes P 2 P son consideradas redes overlay y a que t r a b a j a n e n c i m a del Internet , asó es el caso de l a conexión a Internet telefónica, es cons iderada u n a r e d overlay y a que t r a b a j a p o r e n c i m a de l a r e d telefónica. [14]

2.4.1. Características de las Redes Overlay. E s t a s son a lgunas de las apl icac iones y características de las redes overlay:

• P e r m i t e n el ruteo de mensajes a direcciones no especif icadas por u n a dirección I P .

• M e j o r a m i e n t o del ruteo en Internet .

• M e j o r a m i e n t o de l a c a l i d a d de servic io en Internet , como l a transmisión de voz , datos y v ideo .

• P a r a f o rmar u n a red overlay solo es necesario desplegar u n protoco lo , s in l a ne¬ces idad de u n Proveedor de Servic ios de Internet .

• N o t i enen contro l en como los paquetes son enrutados p o r l a red , pero sí c o n t r o l a l a secuencia de nodos que paso el paquete .

8

F i g u r a 2.2: A n i l l o lógico de C h o r d .

2.5. C h o r d C h o r d es u n pro toco lo de búsqueda d i s t r i b u i d a en redes P 2 P senci l lo y escalable,

r e lac i onando claves (keys) con los nodos de l a red . Fue disenado p a r a operar con redes de a r q u i t e c t u r a descentra l i zada y nos p e r m i t e rea l i zar búsquedas de nodos en l a r ed , p a r a asó poder en lazar las comunicac iones entre dos nodos . C h o r d es u n pro toco lo de r e d de sobrecapa que f o r m a u n an i l l o lógico sobre l a red P 2 P , este an i l l o representa todas las conexiones entre los nodos ( F i g u r a 2.2).

2.5.1. Funcionamiento General C h o r d es el encargado de as ignar las claves (keys) de las Tab las de H a s h ( D H T ) a

los nodos act ivos y mantener de f o r m a dinámica estas asignaciones. Se cons idera u n a r e d f o r m a d a p o r 2m nodos , que pueden estar act ivos o ausentes de l a red . C a d a vez que se une a l a r e d u n nodo , C h o r d as igna u n ident i f i cador (id) de an i l l o y lo r e l a c i o n a con u n a clave de l a T a b l a de H a s h . E l Nodo Sucesor ( F i g u r a 2.3) o responsable de esa clave, será el nodo que tenga el m i s m o ident i f i cador que l a clave. P a r a l a clave con u n ident i f i cador de an i l l o k se le asignará el nodo con ident i f i cador k, si e l nodo con ese ident i f i cador no es tuv ie ra ac t ivo , l a clave se le as igna a l nodo más cercano que t e n g a u n ident i f i cador mayor . C u a n d o el nodo k se conecte a l a r ed , su nodo sucesor le transferirá las claves que e s t u v i e r a n dest inadas a él. C u a n d o u n nodo a b a n d o n a l a red , transf iere las claves de las que se hacía cargo a su sucesor, es decir , a l nodo con i d siguiente a l a suya . C o n estos mecanismos , se g a r a n t i z a l a autorregulación de l a red y el m a n t e n i m i e n t o de las claves aún en u n contexto de m o v i l i d a d de los nodos par t i c ipantes .

E l resto de las tareas que t i enen que ver con l a red , como autenticación, almace¬n a m i e n t o de datos , etc. son responsabi l idades de los niveles de administración de l a r e d P 2 P . [10]

9

10

id

nodo

key

successor(1) = 1

successor(6) = O Anil lo Chord

successor{2) = 3

F i g u r a 2.3: Asignación de Claves a N o d o s Sucesores.

2.5.2. Procedimiento de Búsqueda de Nodos. P a r a g a r a n t i z a r resultados sat is factorios a l r ea l i zar u n a búsqueda de u n nodo con

C h o r d , el correcto m a n t e n i m i e n t o de los nodos sucesores es esencial . C a d a nodo a l m a cena información sobre l a r e d p a r a o p t i m i z a r las búsquedas, ésta información se g u a r d a l o ca lmente en c a d a nodo y se conoce como Finger Table. E s así como c a d a nodo conoce que nodos están a su alrededor . L a función p a r a conocer el tamaño máximo de esta t a b l a se d a p o r O(log(N)).

C u a n d o u n nodo so l i c i ta l a búsqueda de o t ro nodo , éste so l i c i ta u n a clave j p o r e jemplo , p r i m e r o b u s c a en su t a b l a de ru tas (finger tab le ) , si no l a encuentra , envía l a petición a l nodo c u y a id sea más cercana a j. E s así, como el nodo so l i c i tante c a d a vez se vá acercando a j, h a s t a encontrar lo . [11]

2.6. Gusanos L o s gusanos son códigos de programación o scr ipts que t i enen l a finalidad de du-

pl i carse así mismos . U t i l i z a n u n a interfase de red p a r a propagarse y así a l canzar más usuar ios . P o r lo general e x p l o t a n v u l n e r a b i l i d a d e s de software, lo cuál los convierte en el a r m a idea l p a r a u n atacante en u n a r e d P 2 P .

A di ferenc ia de los v i r u s informáticos, los gusanos no b u s c a n a l terar o des t ru i r información o aplicación, s ino permanecer en l a m e m o r i a de l equ ipo p a r a asó dupl i carse y d i fundirse . P o r lo general , los gusanos causan prob lemas d i rec tamente a l a r e d donde a n d a n c i r c u l a n d o , s implemente consumiendo ancho de b a n d a o recursos s imi lares .

A l g u n o s gusanos son fáciles de detectar en u n s i s tema de r ed , debido a l constante envío de información a l exter ior , los recursos de l a red se c onsumen a l grado de que las tareas mas senci l las s implemente no pueden ejecutarse. L o s gusanos u t i l i z a n l a interfase de r e d p a r a dupl i carse y reenviarse h a c i a otros equipos , y son capaces de rea l i zar esto s in l a intervención de l usuar io . [12]

2.6.1. Caracterización de los Gusanos Podemos categor izar a los gusanos basándonos en el n i v e l de participación del

usuar io . L a exper i enc ia o h a b i l i d a d persona l de l usuar i o es f u n d a m e n t a l p a r a l a d i f u -sión del gusano y a que puede i n f l u i r en l a difusión. S i u n usuar io conoce de los pel igros y amenazas de los gusanos, se espera que m a n t e n g a a l dóa su s i s tema en m a t e r i a de actual izac iones de segur idad , o que cuente con algún software a n t i v i r u s y algún dispo¬s i t ivo de firewall como u n R o u t e r . P o r o t ro lado , también ex is ten usuar ios s imples , que desconocen o no p o n e n atención en l a segur idad de su s i s tema, no cuenta con software a n t i v i r u s y su firewall está pobremente conf igurado. E s t o s son b lanco ideales p a r a los gusanos y sus atacantes .

Se cons ideran los siguientes aspectos p a r a l a definición de u n gusano:

• Código M a l i c i o s o . Parece que existe u n consenso general de que los gusanos son mal ic iosos p o r n a t u r a l e z a . M i e n t r a s algunos h a n h a b l a d o de gusanos "buenos" que e n t r a n a los s istemas p a r a reparar los , como u n gusano creado p o r X E R O X como u n p r o g r a m a de m a n t e n i m i e n t o . L a definición de gusano en estos días, es generalmente de u n p r o g r a m a no b ienvenido . E l g losario de v i r u s de N e t w o r k Assoc iates define a l " m a l w a r e " o gusano como; programas que son diseñados in tenc i ona lmente p a r a rea l i zar actos i n a u t o r i z a d o s , l a mayoría dañinos o inde¬seables, y los gusanos tópicamente se cons ideran que están en esta categoría de código mal i c ioso .

• Propagación p o r l a R e d . O t r o aspecto en los gusanos es que p r o p a g a n ac¬t ivamente p o r u n a red . C u a n d o en t i empos pasados , los v i r u s dependían de los usuar ios p a r a que los t r a n s p o r t a r a n en floppy disks de u n s i s tema a o tro , a h o r a u n gusano puede atacar o t ro s i s tema d i rec tamente desde l a inter faz de red . L o s v i r u s

11

que in f e c tan archivos de u n s i s tema, que v i enen de o tro s i s tema, generalmente no son considerados gusanos porque no h u b o de p o r m e d i o u n a inter faz de red .

• Intervención H u m a n a . O t r a característica relevante de los gusanos es el grado de intervención de l usuar io que se requiere p a r a su propagación. E s t a característi-ca es par te de l a distinción hecha entre v i r u s y gusanos. A veces se p i ensa que los gusanos a lgunas veces requieren as is tenc ia h u m a n a o n i n g u n a p o r completo , p a r a d i fund irse , cuando u n v i r u s s iempre h a requer ido de intervención de l usua¬r io p a r a esparcirse. S i n embargo , se h a n def inido dos categorías de gusanos, los que requieren intervención de l usuar io p a r a propagarse , p o r e jemplo descargar información a d j u n t a de u n correo electrónico, y los que no requieren intervención h u m a n a en abso luto . H a y también variaciones de l grado de intervención h u m a n a que neces i ta u n gusano, p o r e jemplo hay gusanos que no neces i tan que el usuar i o ejecute código mal i c i o so pero neces i ta que el usuar i o ejecute acciones s in relación como, r e i n i c i a r su s i s tema o e jecutar algún cl iente de correo electrónico.

• Infección d e A r c h i v o s . T r a d i c i o n a l m e n t e define a los gusanos contrastándolos con los v i r u s . U n v i r u s in fec ta u n arch ivo de l s i s tema, m i e n t r a s el gusano no. E n otras pa labras u n v i r u s es u n p r o g r a m a que se c op ia adjuntándose a o tro ob je to y u n gusano es u n p r o g r a m a que se c op ia enviándose a otros s istemas. S i n embargo hay quienes no hacen esta distinción y def inen que, cua lqu ier p r o g r a m a que se c op ia sobre u n a r e d debe ser considerado gusano, independientemente si in fec ta o no archivos .

2.7. Detección de Intrusiones L a detección de intrus iones es el f ruto de l a aplicación de l P r o c e s a m i e n t o Electróni-

co de D a t o s a las aud i t o r ias de segur idad , u t i l i z a n d o mecanismos de identificación de patrones y métodos estadísticos.

L a detección de intrus iones es el proceso de m o n i t o r e a r redes de ordenadores y s istemas en b u s c a de v io lac iones de políticas de segur idad . E s t o s s istemas están com¬puestos p o r tres elementos funcionales básicos:

• U n a fuente de información que p r o p o r c i o n a eventos de s is tema.

• U n m o t o r de análisis que b u s c a evidencias de intrus iones .

• U n m e c a n i s m o de respuesta que actúa según los resultados de l m o t o r de análisis.

12

E n términos de segur idad informática, l levar a cabo l a a u d i t o r i a de u n s i s tema s igni f i ca e x a m i n a r y a n a l i z a r el ras t ro de a u d i t o r i a ( "aud i t t r a i l " ) que genera el siste¬m a opera t ivo y otros elementos. L a revisión de los eventos se l l eva a cabo entre otros mot ivos p a r a asegurarse de que no se v i o l a b a n u n a serie de políticas de segur idad . [15]

2.7.1. Sistemas de Detección y Prevención de Intrusiones. U n S i s t e m a de Detección de Intrusiones ( IDS por sus siglas en ingles) es u n sof twa

re que a u t o m a t i z a l a detección de intrus iones . U n S i s t e m a de Prevención de Intrusiones ( I P S p o r sus siglas en ingles) es u n p r o g r a m a que t iene todas las funciones de s i s t ema de detección de intrus iones y tambióen puede i n t e n t a r detener u n pos ib le ataque.

U s o s d e l o s S i s t e m a s d e Detección y Prevención d e I n t r u s i o n e s .

Los Sistemas de Detección y Prevención de Intrusiones ( I D P S p o r sus siglas en ingles) p r i n c i p a l m e n t e se enfocan en detectar posibles inc identes . P o r e jemplo , u n I D -P S p u d i e r a detectar cuando algún usuar io h a y a c o m p r o m e t i d o u n s i s tema e x p l o t a n d o u n a v u l n e r a b i l i d a d de software. E l I D P S p u d i e r a después repor tar el inc idente a los admin i s t radores de segur idad de l a r ed , quienes i n m e d i a t a m e n t e p u d i e r a n responder a l a taque p a r a asó, m i n i m i z a r el daño a l a red . E l I D P S también p u d i e r a g u a r d a r u n reporte que resulte útil p a r a los admin i s t radores de l a red .

M u c h o s I D P S también pueden ser configurados p a r a que reconozcan v io lac iones de segur idad . P o r e jemplo , pueden ser conf igurados dadas las reglas de u n firewall, per m i t i e n d o ident i f i car el traf ico de r e d que v io le l a segur idad de l a m i s m a . también u n I D P S puede m o n i t o r e a r l a t rans ferenc ia de archivos e ident i f i car aquellos que t e n g a n c o m p o r t a m i e n t o sospechoso, como l a c op ia de u n a base de datos a l a l a p t o p de u n usuar io .

L o s I D P S pueden también ident i f i car a c t i v i d a d de reconoc imiento , lo c u a l puede i n d i c a r que u n ataque es i n m i n e n t e . P o r e jemplo , a lgunas herramientas mal i c i osas , par¬t i c u l a r m e n t e los gusanos, r e a l i z a n ac t iv idades de reconoc imientos como el escaneo de huéspedes y puertos p a r a ident i f i car posibles v i c t i m a s p a r a u n ataque subsecuente. U n I D P S puede ser capaz de b l oquear el r e conoc imiento y not i f i car a los admin i s t radores de segur idad , que pueden t o m a r acciones y si es necesario mod i f i ca r los controles de segur idad p a r a e v i t a r algún inc idente . [15]

13

2.7.2. Funciones de un I D P S . E x i s t e n muchos t ipos de tecnologías en I D P S , que di f ieren p r i n c i p a l m e n t e en el

t i p o de eventos que pueden reconocer y las metodologías que u t i l i z a n p a r a ident i f i car los ataques. Además de m o n i t o r e a r y a n a l i z a r eventos p a r a así ident i f i car ac t iv idades indeseables , todas las diferentes tecnologías de I D P S comúnmente r e a l i z a n las siguien¬tes funciones:

• R e g i s t r a r información re lac i onada con los eventos ocurr idos .

• N o t i f i c a r a los admin i s t radores de eventos i m p o r t a n t e s observados.

• P r o d u c i r reportes .

A l g u n o s I D P S también pueden c a m b i a r su per f i l de segur idad cuando u n a nueva a m e n a z a es detec tada . P o r e jemplo , u n I D P S puede ser capaz de recolectar i n f o r m a -ción mas d e t a l l a d a de u n a sesión en p a r t i c u l a r después de que a c t i v i d a d m a l i c i o s a es de tec tada en d i c h a sesión.

2.8. Vulnerabil idades del Software E l t e r m i n o de V u l n e r a b i l i d a d p o r lo general es re lac ionado con l a segur idad en

redes y s istemas. U n a v u l n e r a b i l i d a d es u n a violación a las políticas de segur idad de u n s i s tema, l a c u a l se puede dar p o r varias causas. E n teoría t odo s i s tema t iene a l menos u n a v u l n e r a b i l i d a d , que tarde o t e m p r a n o será e x p l o t a d a si e l fabr icante no r e p a r a el error .

P o d e m o s def inir V u l n e r a b i l i d a d como el estado en u n s i s tema de o u n g r u p o de s istemas que, p e r m i t e que u n atacante ejecute ordenes como otro usuar i o , p e r m i t e que u n atacante t enga acceso a l a información r e s t r i n g i d a , p e r m i t e que u n atacante con¬d u z c a u n denegación de servic io .

C u a n d o u n ataque es pos ib le p o r u n a d e b i l i d a d o política de segur idad i n a p r o p i a -d a de l s i s tema, también se le conoce como ÒExpos ic iónÓ. U n a E x p o s i c i o n p e r m i t e que u n atacante reúna información sobre las ac t iv idades de l s i s tema, es u n p u n t o p r i m a r i o de e n t r a d a p a r a u n atacante que puede i n t e n t a r obtener acceso a l s i s tema o a l a in for -mación.

S i u n i n t r u s o quiere tener acceso no a u t o r i z a d o a u n s i s tema, generalmente pr i¬mero r e a l i z a u n escaneo o investigación de l s i s tema ob je t ivo , p a r a así r e u n i r cua lqu ier

14

información que lo p u e d a l l evar a l a explotación de u n a v u l n e r a b i l i d a d . E s por esto, que las vu lnerab i l i dades deben ser centro de atención en m a t e r i a de segur idad en los s istemas.

2.9. Buffer Overflow E l buffer-overflow (desbordamiento de buffer) es u n a v u l n e r a b i l i d a d de software

que se produce cuando se c o p i a n datos en u n área de m e m o r i a que no es lo suficiente¬mente grande p a r a a lmacenar los , sobrescr ib iendo otras zonas de m e m o r i a .

E x i s t e n zonas de m e m o r i a de uso exc lus ivo p a r a el s i s tema opera t ivo , pero si se hace u n a sobreescr i tura fuera de estas zonas, se p r o v o c a u n a excepción de software, lo que ocas iona l a terminación de l a aplicación o p r o g r a m a . S i u n usuar i o con m a l a s intenciones es experto y conoce estos métodos, puede aprovechar estos errores y ganar acceso a l s i s tema fácilmente.

E l in t ruso puede l legar a a l terar el flujo de l a aplicación e inser tar comandos p a r a se e jecuten instrucc iones no prev is tas .

2.9.1. Incidentes. E n 1988 se registro uno de los pr imeros inc identes donde fué p r o t a g o n i s t a l a v u l

n e r a b i l i d a d buffer-overflow. Fué u n a de las tantas vu lnerab i l i dades y errores de los que se valió el gusano M o r r i s p a r a su propagación. L a aplicación que fue s o m e t i d a fue " f i n -g e r d " de U n i x .

Después en 1995, T h o m a s L o p a t i c descubrió o f i c ia lmente l a v u l n e r a b i l i d a d de buffer-overflow, p u b l i c a n d o su ha l lazgo en l istas de correo. U n año después, en 1996, E l i a s " A l e p h O n e " L e v y publicó en u n a r e v i s t a del med io , el artículo " S m a s h i n g the Stack for F u n a n d P r o f i t " , u n a guía paso a paso de como aprovechar el buffer-overflow.

Desde entonces, dos de los gusanos más conocidos y pel igrosos, C o d e R e d y S l a m -m e r , h a n u t i l i z a d o ésta v u l n e r a b i l i d a d p a r a l ograr sus ob jet ivos y c omprometer u n g r a n número de nodos a lrededor del m u n d o . C o d e R e d en el 2001 ataco a l Serv ic io de I n formación de Internet (IIS) y después en el 2003, S l a m m e r ataco a S Q L Server 2000, ambas apl icac iones de M i c r o s o f t .

15

2.10. Ataques en la His tor ia Los gusanos h a n sido amenazas constantes de segur idad p a r a el Internet y los

s istemas P 2 P . E n el año 2001, e l a h o r a famoso gusano C o d e - R e d , infecto 360,000 nodos en 10 horas y causo mas de $1.2 b i l lones de dólares en pérdidas en los pr imeros 10 días.

A continuación se l i s t a n algunos de los gusanos más famosos y devastadores de l a h i s t o r i a :

1. I L O V E Y O U . G u s a n o escrito en V i s u a l B a s i c Scr ip t que se p r o p a g a a través de correo electrónico. Afectó a mi les de usuar i o y corporaciones en t o d o el m u n d o . S u procedenc ia es de F i l i p i n a s .

2. C o d e R e d . G u s a n o que apareció en el año 2001, infectó mas de 300,000 m i l nodos en menos de 10 horas y causo perd idas m i l l o n a r i a s .

3. M y d o o m . Se p r o p a g a a través de correo electrónico y l a red de K a Z a a . A p a reció el 26 de enero de l 2004. T i e n e capacidades " B a c k d o o r " que p e r m i t e n a u n usuar i o r emoto ganar contro l de l s i s tema.

4. B l a s t e r . G u s a n o con g r a n c a p a c i d a d de propagación. E x p l o t a v u l n e r a b i l i d a d e s de los sistemas W i n d o w s N T , 2000, X P y 2003. L a p r i n c i p a l v u l n e r a b i l i d a d que e x p l o t a es buffer-overflow en R P C D C O M , l a cuál fue r e p a r a d a en j u n i o de l 2003 con u n parche p u b l i c a d o por M i c r o s o f t . Sus efectos destruct ivos son l a n z a r ataques de D o S en l a página p r i n c i p a l de W i n d o w s U p d a t e .

5. S a s s e r . G u s a n o que e x p l o t a l a v u l n e r a b i l i d a d L S A S S de W i n d o w s 2000, X P y Server 2004. L o s síntomas de infección es u n aviso de re in i c i o de l equ ipo en u n m i n u t o .

6. K l e z . G u s a n o que e x p l o t a u n a v u l n e r a b i l i d a d de Internet E x p l o r e r de M i c r o s o f t , e l c u a l es capáz de act ivarse con el t a n solo hecho de v i s u a l i z a r el correo electrónico donde viene ad junto .

7. N i m d a . G u s a n o que e x p l o t a v u l n e r a b i l i d a d W e b D i r e c t o r y T r a v e r s a l en ISS de M i c r o s o f t . [13]

2.11. Tipos de Vulnerabil idades Explotadas. Microso f t W i n d o w s es el s i s tema opera t ivo que más se u t i l i z a p a r a navegar en In¬

ternet , pero aún asó contiene múltiples y severas v u l n e r a b i l i d a d e s . A l g u n a s de éstas se e n c u e n t r a n en I S S , M S - S Q L , Internet E x p l o r e r y servicios y procesamientos de l s i s t ema

16

opera t ivo en s i .

A continuación se l i s t a n las v u l n e r a b i l i d a d e s mas comunes , exp lo tadas p o r los gusanos:

1. I S S . E s u n a de las v u l n e r a b i l i d a d e s de W i n d o w s más exp lo tadas . P o r m u c h o t i e m p o , varios gusanos h a n sido escritos p a r a u t i l i z a r esta v u l n e r a b i l i d a d , como C o d e R e d .

2. M S - S Q L . E l gusano S p i d a u t i l i z o esta v u l n e r a b i l i d a d p a r a propagarse u n año después de que aparec iera C o d e R e d . Se aprovechaba de las instalación m a l rea¬l i zadas de l a aplicación S Q L de M i c r o s o f t , en l a c u a l de jaban con valores p o r defecto los campos de nombre de usuar i o y contraseña. E l gusano escaneaba estos campos y a l no encontrar u n a contraseña es tab lec ida , tenía acceso a l s i s t ema y a su p r o p i a propagación.

3. B u f f e r - O v e r f l o w . E l gusano S l a m m e r a finales de l 2003, u t i l i z a b a u n buffer-overflow p a r a a tacar a S Q L . U n desbordamiento de buffer de l serv idor en u n a de las subrut inas de mane jo de paquetes U D P .

4. L S A S S . V u l n e r a b i l i d a d u t i l i z a d a p o r Sasser a mediados de l 2003. E l fal lo en el Serv ic io de A u t o r i d a d de S u b s i s t e m a L o c a l ( L S A S S ) infectó mi l l ones de equi¬pos en t o d o el m u n d o , muchas organizac iones cerraron operaciones debido a las in terrupc iones en l a r e d causadas p o r el gusano. [13]

2.11.1. Unix Todos los s istemas operat ivos s in excepción cont ienen vu lnerab i l i dades y exposi¬

ciones que pueden ser el b lanco de hackers y escritores de v i r u s . A u n q u e las vulnera¬bi l idades de W i n d o w s rec iben l a m a y o r c a n t i d a d de p u b l i c i d a d deb ido a l número de s istemas que t r a b a j a n con W i n d o w s , U n i x t iene sus propios puntos débiles.

D u r a n t e años, u n a de las exposic iones mías populares en el m u n d o U n i x h a ut i¬l i z a d o el servic io F i n g e r . E s t e servic io p e r m i t e a a lgu ien que esté fuera de l a red ver qué usuar ios están conectados a ciertos equipos o desde que ubicación los usuar ios t i enen acceso. E l servic io F i n g e r es útil, pero también expone u n a g r a n c a n t i d a d de información que puede ser u s a d a por los atacantes , me jor conocidos como hackers.

E l servic io fingers no solo expone información i m p o r t a n t e sobre el serv idor an f i -trión; s ino que h a sido el b lanco de muchos exp lo i t s , i n c l u y e n d o el famoso gusano de r e d escrito p o r R o b e r t M o r r i s J r . e l que fue l a n z a d o el 2 de nov iembre de 1988. P o r esto, las d i s t r ibuc iones más modernas de U n i x t i enen este servic io deshab i l i tado p o r

17

defecto.

E l p r o g r a m a " S e n d m a i l " , o r i g ina lmente escrito p o r E r i c A l l m a n , es también otro b lanco p o p u l a r p a r a los hackers. S e n d m a i l se desarrolló p a r a m a n e j a r l a t rans ferenc ia de mensajes p o r correo electrónico vía Internet . D e b i d o a l g r a n número de s istemas operat ivos y conf iguraciones de h a r d w a r e , e l S e n d m a i l se convirtió en u n p r o g r a m a e x t r e m a d a m e n t e comple jo , que t iene u n a h i s t o r i a l a r g a y n o t o r i a de v u l n e r a b i l i d a d e s severas. E l gusano M o r r i s u t i l i z a b a u n exp lo i t de s e n d m a i l así como u n a v u l n e r a b i l i d a d " f inger" p a r a propagarse .

Los exp lo i t s , v u l n e r a b i l i d a d e s e inc identes l i s tados anter iormente resa l tan u n he¬cho i m p o r t a n t e . M i e n t r a s el número de s istemas que f u n c i o n a n con I IS , M S - S Q L y otros paquetes software específicos p u e d a n ser contados en cientos de mi les , e l número t o t a l de s istemas con W i n d o w s r o n d a los varios cientos de mi l l ones . S i todos estos s istemas fueran el b lanco de u n gusano o u n hacker usando u n a h e r r a m i e n t a de h a c k i n g auto¬m a t i z a d a , podría poner en serio pe l igro l a e s t r u c t u r a i n t e r n a y e s t a b i l i d a d de l Internet .

2.11.2. Dispositivos Móviles Más rec ientemente , el 8 de nov iembre del 2009, se descubrió que los celulares

i P h o n e , m a n u f a c t u r a d o s p o r l a empresa A p p l e Inc. , cuentan con u n v u l n e r a b i l i d a d de segur idad . Sólo afecta a los equipos que su s i s tema h a sido l i be rado , el término que se u t i l i z a c o m u n m e n t e es " J a i l b r e a k " . E l gusano que e x p l o t a ésta v u l n e r a b i l i d a d es " ikee" . A l r ea l i zar el j a i l b r e a k , se i n s t a l a u n a aplicación de S S H p a r a poder accesar a l a partición p r i n c i p a l del s i s t ema y poder m o d i f i c a r archivos , i n s t a l a r p rogramas entre otras cosas. A l no c a m b i a r l a contraseña p a r a S S H , ésta queda con l a default y es así como el gusano se p r o p a g a en equipos donde l a contraseña no h a sido c a m b i a d a . E l gusano no causa u n daño severo a l equ ipo , lo que hace es i n s t a l a r u n w a l l p a p e r av isando que has sido infectado y desact iva l a aplicación S S H , en u n in tento p o r asegurar el ce lu lar . U n e jemplo es l a F i g u r a 2.4.

18

19

F i g u r a 2.4: E x p l o i t " ikee" ac t ivo en u n i P h o n e .

Capítulo 3

Modelos de Propagación y Contención de Gusanos en Redes P 2 P

Los gusanos, como C o d e - R e d o más rec ientemente como Saph i re , son u n a amena¬z a en ascenso p a r a los usuarios de Internet y su i n f r a e s t r u c t u r a . E s t o s gusanos pueden in fec tar g r a n c a n t i d a d de usuar ios en u n per i odo corto de t i e m p o , resumiéndolo a sólo m i n u t o s . Los equipos infectados pueden ser usados p a r a rea l i zar otros ataques, como ataques mas ivos de Negación de Servic ios ( D o S ) .

E l es tudio de l c o m p o r t a m i e n t o de u n gusano durante su propagación es i m p o r t a n ¬te p o r varias razones. U n a es l a creación de s istemas de a l e r t a que p u e d a n detectar l a propagación de u n gusano, y en u n caso i dea l también poder dar u n análisis p r e l i m i n a r de l a propagación y también t a l vez c a p t u r a r u n espécimen. H o y en día, estos s istemas no ex is ten y se neces i ta u n g r a n t r a b a j o p a r a vo lver esto r e a l i d a d . O t r o aspecto impor¬tante es el análisis de l a a m e n a z a con respecto a l a v e l o c i d a d y número de nodos que se in f e c tan p o r u n i d a d de t i e m p o . Predicción y análisis de daño co la tera l , es también u n aspecto que se neces i ta a n a l i z a r detenidamente . [4] [6]

L a información que se tenía de gusanos pasados , sólo cubre u n a pequeña porción del espacio m u e s t r a pos ib le , es i m p o r t a n t e p a r a el diseño de u n contraataque , poder predec ir las características que u n gusano puede tener.

Los gusanos e x p l o t a n vu lnerab i l i dades comunes en los usuarios de u n a r e d P 2 P y se d i f u n d e n tipológicamente, s iendo u n a estrateg ia po tenc ia lmente más efect iva que el escaneo en b u s c a de posibles víctimas.

E s t e análisis nos m u e s t r a el pe l igro que t r a e n los gusanos en las redes P 2 P y u n m e c a n i s m o de autodefensa que p u d i e r a m i t i g a r l a a m e n a z a y l a evaluación de desem-peño del m i s m o . E l desarro l lo de u n a h e r r a m i e n t a de simulación es clave en estos casos. [9]

20

3.1. Técnicas de Respuesta a un Ataque. L a tecnología de u n I D S difiere de u n I P S en u n a característica: los I P S pueden

responder a u n a a m e n a z a detec tada , prev iendo que no t enga éxito. U t i l i z a n varios t ipos de respuestas, las cuales se d i v i d e n en los siguientes grupos :

• E l I P S detiene el ataque.

• F i n a l i z a l a conexión de r e d o l a sesión de l usuar io u t i l i z a d a p a r a rea l i zar el ataque.

• B l o q u e a el acceso a l a cuenta de usuar i o , dirección I P desde donde se r e a l i z a el ataque.

• B l o q u e a todos los accesos de l equipo c o m p r o m e t i d o .

• E l I P S c a m b i a los esquemas de segur idad . E l I P S puede c a m b i a r l a configuración de otros controles de segur idad y p a r a el ataque.

• E l I P S c a m b i a el contenido de l ataque . A l g u n o s I P S pueden n e u t r a l i z a r o remover porc iones de u n ataque , h a s t a de jar lo s in efecto.

3.1.1. Metodología de Detección. L a mayoría de los I D P S u t i l i z a n múltiples metodologías de detección, y a sea de

m a n e r a separada o i n t e g r a d a p a r a proveer u n a detección mas a m p l i a y concisa . L a s clases p r i m a r i a s de detección son:

1. B a s a d o e n F i r m a s . C o m p a r a firmas conocidas con los eventos observados p a r a así ident i f i car inc identes . E s m u y efect iva p a r a detectar amenazas y a conoc idas pero m u y inefect iva a l detectar amenazas desconocidas y var iantes de amenazas conocidas . L a detección b a s a d a en firmas no puede seguir y entender el estado comple jo de las comunicac iones , p o r lo que no puede detectar l a mayoría de los ataques que c o m p r e n d e n múltiples eventos.

2. Detección B a s a d a e n A n o m a l í a s . C o m p a r a definiciones de ac t iv idades que son consideradas normales con eventos observados p a r a ident i f i car desviaciones i m p o r t a n t e s . E l método u t i l i z a perfiles que son desarrol lados p o r el mon i t o reo de las características de ac t iv idades tópicas en u n per iodo de t i e m p o . E l I D P S entonces c o m p a r a las características de u n evento a c t u a l con las y a recopi ladas . E s t e t i p o de deteccióon puede ser m u y efect iva con amenazas no conocidas .

21

3. Análisis d e E s t a d o d e P r o t o c o l o . C o m p a r a perfiles de ac t iv idades de proto¬colos aceptadas como ac t iv idades benignas con c a d a estado de los eventos de u n pro toco lo observado p a r a ident i f i car desviaciones. [16]

3.1.2. Detectores. Estos son algunos software I D P S :

• B r o N I D S .

• O S S E C H I D S .

• P r e l u d e H y b r i d I D S .

• Snor t .

• S u r i c a t a .

3.2. Estrategias de Ataque de un Gusano • P u r e R a n d o m - b a s e d S c a n ( P R S ) . E n esta categoría, los equipos infectados

p o r el gusano no t i enen información sobre n i n g u n a v u l n e r a b i l i d a d anter ior o i n -formación sobre los demás nodos . E l nodo que a lberga a l gusano a leator iamente selecciona direcciones I P como víctimas de entre todas las direcciones de l a r e d y l a n z a el ataque. C u a n d o u n nuevo nodo es in fectado , continúa a tacando a l s i s t ema de r e d usando l a m i s m a metodología .

• O f f l i n e P 2 P - b a s e d H i t - l i s t ( O P H L S ) . E n esta estrateg ia , e l nodo in fectado reco lecta t o d a l a información de l s i s tema estando offline, d e n o t a d a como " h i t -l i s t " . E l nodo in fectado l a n z a el ataque c o n t r a los nodos en l a l i s t a . E n esta fase de l ataque , todos los nuevos nodos infectados s iguen a tacando a los nodos de l a l i s t a , h a s t a que todos h a y a n sido infectados. Después todos los nodos infectados a t a c a n a l resto de l a red con u n ataque P R S .

• O n l i n e P 2 P - b a s e d S c a n ( O P S ) . Después de ingresar a l a red , e l nodo infec¬t a d o i n m e d i a t a m e n t e l a n z a el ataque c on t ra sus vecinos de l a r e d P 2 P , con t o d a su c a p a c i d a d de ataque . A l m i s m o t i e m p o , a t a c a a l resto de l a red m e d i a n t e P R S , si aún t iene recursos p a r a hacer lo . U n e jemplo de esto es, A1 es el nodo in fectado con c a p a c i d a d de ataque de 5 nodos , y A1 t iene tres vecinos P 2 P , B1, B2 y B 3 . C o m i e n z a a usar u n 60 % de su c a p a c i d a d de ataque p a r a a tacar a B 1 , B 2 y B 3

22

y el resto (40 %) p a r a a tacar a l s i s tema vía P R S . A s u m i e n d o que B 2 y B 3 son nodos vu lnerab les y son infectados , estos dos nuevos nodos infectados atacarán a sus vec ino u t i l i z a n d o el método de A1. Después de eso, A1 utilizará el 1 0 0 % de su c a p a c i d a d p a r a seguir a tacando a l resto de l s i s tema con P R S . [3]

3.3. Mode lo de Difusión de un Gusano. Los gusanos u t i l i z a n l a inter faz de r e d p a r a propagarse e in fec tar nodos en los

s istemas P 2 P , p o r lo que se define el s iguiente mode lo de difusión. [6] [7]

3.3.1. Difusión de un Gusano. Se cons idera u n a red P 2 P y a sea con o s in s istemas de protección, e n l a z a d a p o r

u n pro toco lo de r e d overlay p a r a l a comunicación de sus nodos. U n nodo Ai es el p u n t o de inserción de l gusano a l a r e d P 2 P , el gusano e m p i e z a su difusión envidándose a las direcciones contenidas en l a l i s t a de vec ino de l nodo Ai . Todos los nodos en l a l i s t a de direcciones de Ai se conv ier ten en infectados y difundirán el gusano de l a m i s m a ma¬nera . U n nodo no puede in fec tar a u n nodo que y a h a sido infectado . E l gusano in fec ta a l nodo huésped e x p l o t a n d o v u l n e r a b i l i d a d e s o errores de programación del software, asó como p o r intervención del usuar io a f a l t a de exper i enc ia o conoc imientos . L a entra¬d a y s a l i d a de nodos de l a r e d se o m i t e p a r a fines prácticos y mejor entend imiento del mode lo . L a s conexiones de l a r e d se supone son correctas y a que se t r a t a de u n a r e d lógica overlay, donde sólo se cons idera el enlace entre dos ent idades y no i n t e r v i e n e n factores físicos o tecnológicos.

E n l a F i g u r a 3.1 se m u e s t r a el estado i n i c i a l de l mode lo de difusión, donde el gusano está hospedado en el nodo 0. E l gusano accede a su t a b l a de vecinos o finger tab le p a r a despues propagarse h a c i a esas direcciones. Y a que obt iene sus ob je t ivos , el gusano l a n z a el ataque env iando mensajes de infección con u n t i e m p o de l a t e n c i a , el c u a l ca rac te r i za l a ubicación geográfica de los nodos y p o r lo t a n t o l a d i s t a n c i a que t iene que v i a j a r el paquete a travóes de l a red .

L a s tab las de vecinos o finger tables están formadas b a j o las regular idades del pro toco lo C h o r d . C u a n d o se h a c u m p l i d o l a u n i d a d de t i e m p o de l c ic lo de l mode lo , el an i l l o de C h o r d pasa a su siguiente estado, donde tenemos que el t i e m p o equivale a 1. E n l a figura podemos observar como los paquetes h a n v i a j a d o apenas 1 u n i d a d de t i e m p o . E n el e jemplo i l u s t r a d o , no tamos que a l menos u n paquete infeccioso h a l legado a su dest ino , y como lo m a r c a el mode lo de difusión, éste dest ino o nodo h a sido infectado . E l nuevo nodo in fe c tada realizará a su vez l a difusión de l gusano, m a n d a n d o

23

Nodo infectado

Nodo vulnerable

finger table 0 + 2 ^ 0 = 1

0 + 2 ^ l = 2

0 + 2 ^ 2 = 4

F i g u r a 3.1: M o d e l o de Difusión en t i e m p o = 0.

mensajes mal ignos a su finger tab le .

E l c ic lo de infección se repi te h a s t a que el gusano h a sido comple tamente t ransfe r i d o a todos los nodos o a l menos en su mayoría, y a que como lo m a r c a el mode lo de difusión, no es pos ib le infectar a u n nodo más de u n a vez. E n l a F i g u r a 3.2 y F i g u r a 3.3 se sigue m o s t r a n d o el m i s m o e jemplo y se observa como el gusano sigue avanzando con l a infección en pocas unidades de t i e m p o .

E n el e jemplo gráfico l a t e n d e n c i a de infección de l gusano, i n d i c a que l l egara a c o n s u m i r todos los nodos de l a red , p e r m i t i e n d o a l usuar io que controle este ataque tener acceso a información de l i cada , o m a n i p u l a r los equipos de m a n e r a r e m o t a . [6] [8]

3.4. Análisis de Grado de Riesgo E l grado de riesgo es l a p o s i b i l i d a d de que u n nodo sea víctima de l a infección de

u n gusano. E s t a p o s i b i l i d a d se día por el grado de participación de l usuar io en con junto con l a sever idad de l gusano, d igamos el t i p o de v u l n e r a b i l i d a d que e x p l o t a en el s i s tema.

D e acuerdo a l grado de sever idad y de l a intervención h u m a n a que necesita u n gusano vamos a def inir dos t ipos , e l t i p o " a r c h i v o " y el t i p o " e x p l o i t " . E l gusano t i p o arch ivo t i enen l a característica de que necesita que el usuar io in tervenga en parte , por

24

e jemplo que el usuar io sol ic i te o busque u n arch ivo en l a r e d y este venga in fectado con el gusano, a u n asó el gusano está presente pero necesita ser ac t ivado y a sea con l a ejecución de l arch ivo o de u n p r o g r a m a . L o s gusanos de l t i p o exp lo i t son los mas severos, y a que no neces i tan intervención de l usuar i o a l g u n a , como y a se exp l i co en capítulos anteriores , estos gusanos hacen uso de las vu lnerab i l i dades de u n s i s tema, a las cuales el usuar i o no t iene acceso en lo abso luto .

H e m o s disenado u n esquema p a r a c o m p a r a r y tener en cuenta todos los posibles escenarios en u n a red P 2 P as ignando niveles de riesgo o sever idad. S o n niveles que v a n desde u n ataque no t a n severo que realmente o c u p a más del usuar io p a r a que el gusano p u e d a entrar en acción, h a s t a u n n i v e l donde no se requiere a l usuar io en lo abso luto , s iendo este el más devastador .

A continuación se d e t a l l a n los niveles:

N i v e l de Riesgo Intervención del U s u a r i o

N i v e l de Riesgo Ingreso Activación

N i v e l 1 - A m e n a z a A c t i v a d a p o r U s u a r i o N i v e l 2 - A m e n a z a Ingresada p o r U s u a r i o

N i v e l 3 - A m e n a z a T o t a l

R e q u e r i d a R e q u e r i d a

N o R e q u e r i d a

R e q u e r i d a Automática Automática

C u a d r o 3.1: T a b l a de Análisis de Riesgos.

• N i v e l 1 "Usuario Activa Amenaza". E s t e grado de riesgo se podría consi¬derar el más mínimo, s in embargo es pel igroso , y a que aunque no sea u n a infección i n m e d i a t a el pe l igro es latente , porque in te rv i enen dos factores, el usuar io y el gusano. E l pe l igro en este n i v e l es cuando el usuar io descarga u n arch ivo in fectado conteniendo a l gusano, esperando a ser ac t ivado . D e p e n d i e n d o de las hab i l idades de l usuar io , hay u n a p r o b a b i l i d a d de que se infecte o no se infecte, y a que si conoce del t e m a de las amenazas en las redes, si mant i ene a c t u a l i z a d o su s i s tema, y sobre t o d o si es cu idadoso a l descargar archivos , que es donde se encuentra l a a m e n a z a p r i n c i p a l de este n i v e l , hará l a d i ferenc ia a l a h o r a de infectarse o no infectarse. E n este n i v e l se neces i ta que el usuar io i n t r o d u z c a a l gusano en sus s i s tema y el gusano neces i ta ser ac t ivado p o r med io del usuar i o , p a r a lo c u a l pueden pasar , horas , días o semanas.

• N i v e l 2 "Amenaza Ingresada por Usuario". U n n i v e l u n t a n t o más pe l i -groso que el anter ior , y a que l a intervención de l usuar io es mínima, el gusano aún sigue dependiendo de l usuar io sólo p a r a l legar a l s i s tema, u n a vez dentro el gusano se p r o p a g a automáticamente. E n el n i v e l 1 era necesario que el m i s m o operador

26

del equipo a c t i v a r a el gusano y a sea p o r m e d i o de u n a aplicación o abr iendo algún arch ivo , en cambio en el n i v e l 1 sólo es necesario que el gusano l legue a hospedarse a l nodo de a l g u n a m a n e r a , y a sea p o r cop iar archivos a través de l a red , descar¬gar algún dato ad junto de u n correo electrónico o medios s imi lares . E l ingreso de l gusano a l s i s tema c o m p r o m e t i d o es a cargo de l usuar i o p o r los métodos y a menc ionados , s in embargo u n a vez dentro , e l gusano automáticamente se a c t i v a y p o r lo t a n t o e m p i e z a su difusión.

• N i v e l 3 "Amenaza T o t a l " . E n este n i v e l l a intervención de l usuar i o no es requer ida , sólo b a s t a con que el usuar io sea parte de u n a red P 2 P . L o s gusa¬nos en este n i v e l l l egan p o r si solos a l s i s tema y se d i f u n d e n s in que el usuar i o l legue a no tar l o . E n este n i v e l se t r a b a j a con gusanos de l t i p o C o d e - R e d o M o r r i s .

P a r a t r a t a r de contener l a infección y contrarres tar el riesgo, l a implementación de nodos guardianes es pues ta en práctica de m a n e r a f u n d a m e n t a l y necesaria . S iendo este el n i v e l mas pel igroso , e l usuar io es a jeno a l a l l egada de l gusano y su difusión.

3.5. Contraatacando la amenaza de los Gusanos Los gusanos no ex i s t i e ran si pudiéramos e l i m i n a r las v u l n e r a b i l i d a d e s en los sis¬

temas o s implemente cor tar las comunicac iones entre usuar ios , pero n i n g u n a es v iab le en práctica. P a r a e l i m i n a r v u l n e r a b i l i d a d e s , los apl icac iones P 2 P deben ser escritas en lenguajes de programación seguros, como J a v a o C + + , p a r a así l i b rarnos de las v u l n e rab i l idades de buffer-overflow. Incrementando l a d i v e r s i d a d en u n a r e d P 2 P , reduce l a co inc idenc ia de v u l n e r a b i l i d a d e s comunes y hace más difícil p a r a el gusano propagarse en l a red . [5]

3.5.1. Detección Automática de Gusanos La detección automática es un prerrequisito para cualquier infraestructura de con-

tención de gusanos ya que las reacciones humanas son simplemente, muy lentas. A los nodos de u n a r e d P 2 P con c a p a c i d a d p a r a detectar u n gusano, los l l a m a m o s Nodos Guardianes.

Los gusanos no m u e s t r a n c o m p o r t a m i e n t o s fáciles de detectar en l a r ed , p o r lo t a n t o los nodos guardianes deben detectar a los gusanos ident i f i cando procesos de i n -fección dentro de las apl icac iones que se estóan e jecutando. D e n t r o de éstas detecciones

27

deben entrar u n a g r a n clase de v u l n e r a b i l i d a d e s .

S i n embargo el m e c a n i s m o propuesto requiere modi f i cac iones de h a r d w a r e , o i n t e r pretac iones b inar ias de código m u y grandes , es p o r eso que solo u n a pequeña fracción de l a red P 2 P const i tuye l a poblac ión de nodos guardianes . Y a que el m e c a n i s m o de detección contiene el código mal i c i oso en u n ambiente hermético, a s u m i m o s que los nodos guardianes son invu lnerab les a l ataque de l gusano. [1]

3.5.2. Nodos Guardianes A l sólo contar con u n pequeño g r u p o de nodos guard ianes , es c r u c i a l que u n a vez

que el nodo guardián detec ta u n gusano, enseguida genere u n mensaje sobre el ataque que se esta rea l i zando a l a r e d y lo envíe a otros nodos de l a r e d P 2 P . E s t o s mensajes serón l l amados alertas. E l propos i to de l a a l e r t a es que el nodo receptor ob tenga in for mación suficiente sobre el ataque y p u e d a t o m a r las med idas aprop iadas p a r a volverse i n m u n e a l gusano.

E s t e método p u d i e r a tener u n efecto contrar io a l buscado , y a que si e l nodo recep¬t o r apagara o c e r rara l a aplicación vu lnerab le , entonces el ataque se convertiría en u n ataque de D o S , p a r a e v i t a r este p r o b l e m a , los nodos guardianes deben generar a ler tar cert i f icadas. L a s alertas cert i f icadas son pruebas de l a v u l n e r a b i l i d a d que está siendo e x p l o t a d a y pueden ser conf i rmadas p o r cua lqu ier nodo , cont ienen u n a descripción de los eventos que l l evan a u n c o m p o r t a m i e n t o hóstil dentro de l a red .

U n a vez ver i f i cada l a a u t e n t i c i d a d de l a a l e r ta , el nodo puede e jecutar varias acc io nes p a r a protegerse, p o r e jemplo puede reconf igurar su firewall p a r a b l oquear el acceso a l gusano. Idealmente u n nodo debería poder ident i f i car l a v u l n e r a b i l i d a d e x p l o t a d a p o r el ataque detectado y parchearse automáticamente. E s t o s parches pueden ser ge¬nerados l o ca lmente p o r los nodos que rec iben l a a l e r ta , s in tener que confiar en parches generados por otros nodos ( F i g u r a 3.4).

Se asume que las alertas se p r o p a g a n en l a m i s m a red P 2 P que los gusanos.

3.5.3. Modelo de Contención de Amenazas basado en Nodos Guardianes.

Se cons idera u n a red P 2 P y u n gusano que e x p l o t a u n a v u l n e r a b i l i d a d en los nodos de l a red . Cons ideraremos nodo A como vec ino de nodo B si l a dirección de A aparece

28

en l a l i s t a de direcciones de B (finger table).

C a d a nodo en l a red P 2 P t iene u n a p r o b a b i l i d a d independiente p de ser nodo guardián; o t ro caso, el nodo es vulnerable. U n nodo vu lnerab le se convierte en infecta¬do cuando el gusano l l ega a su dirección. U n gusano e m p i e z a su difusión en u n nodo v u l n e r a b l e a leator io p r o b a n d o las direcciones de su t a b l a de vecinos. S i u n gusano lle¬g a a u n nodo guardián, e l nodo guardián detec tara a l gusano, generara l a a l e r ta , y l a difundirá i n m e d i a t a m e n t e a su l i s t a de vecinos. U n nodo vu lnerab le se convierte en nodo inmune después de rec ib i r l a a ler ta ; y éste l a difundirá a su l i s t a de vecinos. U n nodo in fectado i g n o r a l a a l e r ta , pero éste y a no se sigue propagando . N o d o s inmunes no se conv ier ten en nodos infectados a u n h a y a n sido a lcanzados p o r el gusano. Se asume que el gusano y l a a l e r t a t i enen el m i s m o peso en c a d a enlace. Se i g n o r a n los cambios dinámicos en l a r ed , como l a e n t r a d a y s a l i d a de nodos , p o r lo t a n t o se asume u n a topología estática.

3.6. Autenticación de Nodos Guardianes. P a r a que u n nodo p u e d a estar seguro que está rec ib iendo u n mensaje de protección

auténtico, que rea lmente proviene de u n nodo guardián auténtico, es necesario i m p l e -m e n t a r u n s i s tema de conf ianza en el ambiente de l a r e d P 2 P . E x i s t e n var ias tecnologías que se pueden i m p l e m e n t a r en este caso, p a r a establecer u n s i s tema de conf ianza entre los nodos vu lnerab les y los nodos guard ianes , los cuales son:

• Criptografía de C laves .

• Cert i f i cados D ig i ta l e s .

E x i s t e n dos t ipos de criptografía p o r claves, simétricas y asimétricas. E n l a c r i p t o -grafía por claves simétricas se u t i l i z a l a m i s m a clave p a r a c i f rar y desci frar información, m i e n t r a s que en l a criptografía p o r claves asimétricas se u t i l i z a n dos claves, l a clave p r i v a d a y l a clave pública. A m b a s s i rven p a r a c i f rar y desci frar información. L a clave p u b l i c a es c o m p a r t i d a y de d o m i n i o general en l a r ed , m i e n t r a s que l a clave p r i v a d a es única y persona l p a r a c a d a nodo . E l ob je t ivo es que cuando algún t i p o de información sea e n c r i p t a d a con u n a de las dos claves (por e jemplo , l a clave p u b l i c a ) , solo p u e d a ser desc i f rada con su clave c o m p l e m e n t a r i a ( la clave p r i v a d a ) . E n el esquema de segur idad p a r a l a conf ianza de nodos guard ianes , esto se puede a p l i c a r a los mensajes enviados de a le r ta . H a y u n a v e n t a j a sobre u t i l i z a r e l c i f rado por claves simétricas, l a c u a l es que es u n proceso más l igero c o m p u t a c i o n a l m e n t e h a b l a n d o , que u t i l i z a r el c i frado p o r claves asimétricas.

30

L a segur idad p o r med io de cert i f icados d ig i ta les , d e m a n d a l a implementación de u n a a u t o r i d a d de certificación, lo c u a l no se ajustaría a l ambiente de u n a r e d P 2 P , y a que no cuenta con a l g u n a e n t i d a d c e n t r a l i z a d a que p u e d a gest ionar este t i p o de servic io . E n u n ambiente d i s t r i b u i d o como los son las redes P 2 P , además son necesario controles que p u e d a n d i s t r i b u i r certi f icados de conf ianza a través de los nodos de l a red , que a c t u a r á n como servidores , con el ob j e t ivo de que el servic io s iempre esté d i spon ib le , aún si u n a porc ión de los nodos certi f icadores se co lapsa . P o r lo t a n t o en redes P 2 P con implementación de nodos guard ianes , estos controles de segur idad v a n a ser necesarios p a r a que c a d a nodo componente de l s i s tema, confíe en las ent idades de segur idad p a r a poder desempeñar su función de protección. [9]

31

Capítulo 4

Implementación y Resultados

U n s i m u l a d o r fué codi f icado p a r a observar los modelos de propagación descritos en el c a p i t u l o anter ior , que c a r a c t e r i z a n ejemplos de redes P 2 P y dos t ipos de gusanos con nodos guardianes . E n esta sección mostraremos varios e jemplos de s imulac iones que i l u s t r a n las probab i l idades que se pueden presentar en u n a infección rea l . [5]

4.1. Simulador Se h a escogido el lenguaje de programación C + + p a r a el desarro l lo de l a herra¬

m i e n t a de simulación, y a que con a y u d a de sus características se puede l legar a los resul tados que se buscan . L a interconexión física entre los nodos se d a p o r el pro toco lo T C P / I P , pero a l ser u n a simulación de l a r e d lógica se asume que las conexiones físicas son funcionales en cua lqu ier ins tante de t i e m p o . L a conexión de l a r e d lógica es ba j o el pro toco lo C h o r d el c u a l crea u n an i l l o .

E l s i m u l a d o r cuenta con u n a clase " N o d e . h " , l a c u a l se encarga de carac ter i zar a los nodos en el p r o g r a m a . E s t a clase cuenta con a t r i b u t o s que p e r m i t e n m a n e j a r a l nodo , como nodo guardián, nodo vu lnerab le o que actúe como gusano. Además cuenta con funciones que p e r m i t e n generar l a t a b l a de vecinos o finger tab le , basándose en las especificaciones de l a topología C h o r d , así como funciones que p e r m i t e n el envío y recepción de alertas .

U n a vez c a r a c t e r i z a d a l a red i n i c i a l , lo c u a l se refiere a que y a se definió el nodo de e n t r a d a de l gusano, que nodos a c t u a r a n como nodos guard ianes , entonces se procede a l envío de mensajes in ic ia les de l gusano a su t a b l a de vecinos. Y a e m p e z a n d o el envío de alertas e infecciones el t i e m p o de simulación se v a consumiendo h a s t a l legar a su fin y asó, se reco lec tan los resul tados obtenidos p a r a su análisis.

32

Parámetro Descripción N N u m e r o de nodos . U U n i v e r s o de I D s . t T i e m p o simulación.

t m T i e m p o máx imo de l mensaje env iado . n g Porcenta j e de nodos guardianes . p i P r o b a b i l i d a d de infección.

C u a d r o 4.1: Descripción de parámetros del s i mul ador .

4.2. Diseno de la Simulación P a r a poder observar y eva luar el desempeño de los nodos guard ianes , es necesa¬

r io s i m u l a r escenarios donde se t o m e n en cuenta los parámetros y características que in f luyen en u n a r e d P 2 P rea l . L a redes se c rearan usando l a topología de C h o r d , l a c u a l crea u n an i l l o lógico de enlaces entre los nodos y c a d a uno t iene u n n u m e r o único que lo ident i f i ca , a su vez c a d a nodo t iene u n a finger tab le o t a b l a de vecinos, c u e n t a n también con u n buzón p a r a rec ib i r mensajes de otros nodos , estos mensajes pueden ser alertas o gusanos. E n el C u a d r o 4.1 presentamos los parámetros de l a simulación.

P a r a obtener el tamaño de l a F i n g e r Tab le se c a l c u l a obteniendo U de los paráme-tros capturados y se le a p l i c a l a s iguiente f o r m u l a :

f t = log(U )/log(2)

Se fijaron 3 tamaños a p r o x i m a d o s de l a red P 2 P p a r a las simulación, que son de 50,000, 100,000 y 150,000 nodos , esto con el fín de ver que el c o m p o r t a m i e n t o s iga l a m i s m a t e n d e n c i a y obtener resultados confiables.

A l haber i n t r o d u c i d o los parámetros necesarios p a r a empezar l a simulación, se elige a leator iamente de entre l a población de nodos , a l nodo que será l a e n t r a d a de l gusano a l a r e d y a los nodos guardianes , todos con l a m i s m a p r o b a b i l i d a d de resu l tar elegidos. E l nodo con el gusano i n i c i a el ataque a l a red , m a n d a d o mensajes de infección a t o d a su t a b l a de vecinos. C a d a mensa je env iado t iene u n t i e m p o a leator io de d e m o r a , y a que le t o m a unos segundos v i a j a r p o r l a r e d y t o d o el proceso que esto i m p l i c a . U n a vez que el mensa je l l ega a l buzón dest ino , dependiendo de l n i v e l de riesgo del gusano, éste tomará acción en el nodo huésped. S i e l nodo huésped es u n nodo guardióan, éste difundirá i n m e d i a t a m e n t e u n a a l e r t a de protección a t o d a su l i s t a de vecinos, a l i g u a l que los mensajes de infección, éstas alertas también cuenta con u n t i e m p o de envío. C a s o contrar io , si el nodo huésped es v u l n e r a b l e , éste se convierte en nodo in fectado e i n m e d i a t a m e n t e d i funde el gusano a través de su l i s t a de vecinos. E s t e t i p o de ataque se le conoce como O P S y se encuentra descr i to en el c a p i t u l o anter ior . E s asó como, el

33

gusano se vá d i fund iendo p o r l a r e d P 2 P y los nodos guardianes t r a t a n de m i t i g a r l a a m e n a z a , como se m e n c i o n a en el M o d e l o de Contención de A m e n a z a s .

Después de haber t e r m i n a d o el t i e m p o de simulación, obtenemos los resul tados p a r a proceder con el análisis.

4.3. Escenarios Propuestos D e acuerdo a l análisis de riesgo, hemos def inido tres escenarios. E n todos los es¬

cenarios i m p l e m e n t a m o s nodos guardianes con el propósito de a n a l i z a r su e fe c t iv idad como método p a r a m i t i g a r amenazas de gusanos en las redes P 2 P . Se asume que las redes P 2 P mode ladas son de tipología estática, es decir , no ex i s ten entradas n i sal idas de nodo en t i e m p o de ejecución. L a estrateg ia de ataque de los gusanos en los escena¬rios será O P S . Se asume que todos los nodos de l a r e d u t i l i z a n u n s i s tema opera t ivo con a l menos u n a v u l n e r a b i l i d a d p o r exp lo tar . L a s tab las de ruteo o finger tables se crean med iante C h o r d . L a s asunciones hechas son con fines de p r a c t i c i d a d y s i m p l i c i d a d .

Los escenarios que a continuación se descr iben , fueron diseñados p a r a m e d i r el porcenta je de infección de l gusano, med iante l a intervención del usuar io en el proceso, y a que cons ideramos que el usuar i o t iene l a r e s p o n s a b i l i d a d casó s iempre de que su s i s tema no sea c o m p r o m e t i d o p o r u n gusano. S i e l usuar i o final se i n f o r m a r a y t o m a r a las medidas necesarias, el n i v e l de infección bajaría cons iderablemente . S i n embargo también t r a t a m o s con amenazas que están fuera de l a manos de los usuar ios , donde prácticamente no se puede hacer n a d a a l respecto.

Los escenarios se descr iben a continuación.

4.3.1. Escenario General Son todos los nodos parte de u n a red P 2 P , en l a c u a l hay u n nodo p o r t a d o r de

u n gusano y u n 5 % de nodos guardianes . E l porcenta je de nodos guardianes es solo u n a pequeñas fracción de l a r ed , y a que son nodos especiales con capacidades diferentes de implementación y costos. A u n asó, los nodos guardianes neces i tan u n t i e m p o p a r a a c t u a l i z a r sus firmas y poder l levar acabo l a protección de l a red , es p o r eso que se h a cons iderado u n t i e m p o delay c a d a vez que u n nodo guardián actúa, este t i e m p o osc i la entre los 5 y 10 unidades de t i e m p o , y a que es u n t i e m p o prudente p a r a que rea l i cen estos procesos. Además , los nodos guardianes cuentan con u n a serie de falsas acciones, esto con el fin de carac ter i zar las posibles fa l las , como lo son el hecho de que p u e d a n o m i t i r u n ataque d irecto , como y a se h a m e n c i o n a d o en los s istemas I D P S , ex i s ten

34

pos ib i l idades de que los nodos guardianes no reconozcan patrones de detección. P o r o t ro lado , existe l a p o s i b i l i d a d de que los nodos guardianes detecten u n a anomalía en u n proceso n o r m a l , p a r a esto se h a i m p l e m e n t a d o u n a serie de falsas probab i l idades de l 3 % en los nodos guard ianes , con el fin de carac ter i zar estas posibles acciones. E l nodo de e n t r a d a de l gusano se escoge a leator iamente de entre l a población de nodos vu lnerab les . E l gusano e m p i e z a su ataque ( O P S ) desde el nodo de e n t r a d a , hab iendo u n a p r o b a b i l i d a d de infección, dependiendo del n i v e l de intervención h u m a n a en que se encuentre , descr i to en el análisis de riesgo. C o m o y a se menc iono , C h o r d es u t i l i z a ¬do p a r a crear l a r e d lógica, es decir l a r e d overlay de l a r e d P 2 P . M e d i a n t e C h o r d se def inen las tab las de vecinos de c a d a nodo , estas tab las cont ienen l a dirección lógica de c a d a nodo con el que habrá comunicación. D e este escenario general se der ivan tres escenarios, en los que v a r i a l a p r o b a b i l i d a d de infección, de acuerdo a l a s iguiente t a b l a de ponderación: ( C u a d r o 4.2).

N i v e l de Riesgo P r o b a b i l i d a d de Infección U s u a r i o A c t i v a A m e n a z a 0.3

U s u a r i o A c t i v a Ingreso 0.6 A m e n a z a T o t a l 1.0

C u a d r o 4.2: T a b l a de Ponderación de Infección.

P a r a c a d a escenario siguiente se crearon redes de 50,000, 100,000 y 150,000 nodos. E l t i e m p o t o t a l de l a simulación es de 1,800 unidades de t i e m p o y el mensaje de a l e r t a o gusano puede tener u n t i e m p o var iab le de entre 50 y 300 un idades de t i e m p o . Se es¬cogieron estos t i empos , y a que se llegó a l a conclusión de que e ran los t i empos óptimos p a r a observar el c o m p o r t a m i e n t o de l a r ed , de los nodos guardianes y de l gusano.

4.3.2. Escenario 1 E s t e escenario es basado en el n i v e l U s u a r i o A c t i v a A m e n a z a de l Análisis de Riesgo .

Se t o m a l a p r o b a b i l i d a d de infección de l n i v e l 1 correspondiente a l a t a b l a de p o n d e r a -ción, que es de 0.3. D e b i d o a que es el n i v e l menos severo, l a p r o b a b i l i d a d 0.3 eng loba todos los aspectos y a menc ionados , como h a b i l i d a d de l usuar io , estado del s i s tema, etc.

Se m u e s t r a n los resultados obtenidos p a r a u n a red con los tamaños y probab i l ida¬des y a ind i cados en el C u a d r o 4.3.

E n este escenario, a n a l i z a n d o los resultados obtenidos con l a simulación, podemos n o t a r que l a infección es c onten ida fácilmente p o r los nodos guard ianes , cabe señalar que siendo u n porcenta je de infección re la t ivamente pequeño, los nodos guardianes

35

F i g u r a 4.1: C a m b i o s de estados en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 1.

fueron capaces de detectar el ataque , proteger a sus vecinos a l grado de detenerlo c o m p le tamente . E n l a F i g u r a 4.1 se m u e s t r a n los cambios de estados, t a n t o las infecciones p o r el gusano y las protecciones hechas p o r los nodos guard ianes , podemos observar como el gusano e m p i e z a su difusión en l a red y a l l legar a u n nodo guardián este e m p i e z a a m a n d a r alertas a sus vecinos. A l estar l i d i a n d o con u n gusano de n i v e l de riesgo 1, no causa infecciones y se puede observar que fue contro lado p o r los guardianes .

E l envío de mensajes durante l a simulación fue d o m i n a d a cas i en su t o t a l i d a d p o r mensajes de protección enviados p o r nodos guardianes . E n l a F i g u r a 4.2, observamos c laramente como a l m o m e n t o de comenzar el gusano su infección, los nodos guardianes e m p i e z a n a proteger a sus nodos vecinos, l l egando a l p u n t o en que las alertas de pro -tección superan a los mensajes de infección, y c o m p r o b a m o s que l a a m e n a z a h a sido conten ida .

N o d o s N o d o s Porcenta j e N o d o s N o d o s P o r c e n t a j e N o . N o d o s G u a r d i a n e s Pro teg idos Protección Vu lnerab les Infectados Infección

F i n a l e s (%) Inic iales F i n a l e s (%) 50,000 2,444 45,668 92.44 46,956 590 1.19 100,000 4,775 90,239 92.49 92,785 892 0.91 150,000 7,329 133,936 92.59 137,313 1,267 0.87

C u a d r o 4.3: Resultados de l a simulación E s c e n a r i o 1.

36

F i g u r a 4.2: Mensa j e s enviados en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 1.

4.3.3. Escenario 2 E n este escenario se analizó l a difusión de u n gusano n i v e l U s u a r i o Ingresa A m e

n a z a , de acuerdo a l a t a b l a de ponderación de infección. S i c omparamos los resul tados obtenidos en este escenario con los resultados obtenidos en el escenario 1, existe u n a d i ferenc ia a favor de l a infecciona. E s t o se debe a que l a p r o b a b i l i d a d de que el gusano infecte a l nodo es de 0.6, deb ido a que se t r a t a de u n gusano con más poder devastador o de infección. Se m u e s t r a n los resultados obtenidos en l a simulación en el C u a d r o 4.4.


F i n a l e s (%) Inic iales F i n a l e s (%) 50,000 2,475 33,933 68.72 46,897 12,005 24.31 100,000 4,819 67,117 68.81 92,710 23,530 24.12 150,000 7,080 96,576 68.85 137,368 38,009 26.31


Se puede observar en los resultados que el porcenta je de infección aumentó signi¬ficativamente, paso de ser menos de 2 % en el escenario 1 a u n rango de entre el 24 y

37

F i g u r a 4.3: C a m b i o s de estado en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 2.

27 %, lo c u a l nos dice que a m e d i d a que a u m e n t a l a p r o b a b i l i d a d de infección, dismi¬nuye el r e n d i m i e n t o de los nodos guard ianes , pero aún así, se l ogra contener l a difusión del gusano.

E n l a F i g u r a 4.3 podemos observar como este gusano con u n n i v e l más de pe l igro a u m e n t a s igni f i cat ivamente l a infección en l a red . E s t o puede causar otros prob lemas p a r a l a i n t e g r i d a d de l a r ed , d igamos ataques de D o S , saturación de l a r e d o d i s m i n u -ción de l ancho de b a n d a . E s t o se puede dar deb ido a que en p r i m e r lugar , los nodos que rec iben alertas de protección, pueden apagar o desconectar apl icac iones vu lnerab les y simultáneamente o t ro usuar i o p u d i e r a estar requ i r i endo de ese servic io o aplicación, que y a no se encontrará d i spon ib le debido a l a a l e r ta . E n l a F i g u r a 4.4 observamos el aumento de envío de mensajes de infección p o r parte de l gusano. E n el s iguiente escenario se describe el peor de los casos y sus impac tos .

4.3.4. Escenario 3 L o s gusanos de n i v e l 3, como se h a ven ido exp l i cando a lo largo de los capítulos

anteriores , son gusanos que no neces i tan intervención h u m a n a p o r lo t a n t o hemos asig¬n a d o u n a p r o b a b i l i d a d de infección de 1.0, lo c u a l a r r o j a los resultados mostrados en el C u a d r o 4.5.

38



F i n a l e s (%) Inic iales F i n a l e s (%) 50,000 2,418 5,627 11.39 46,903 40,599 82.19 100,000 4,886 13,223 13.55 92,641 77,787 79.75 150,000 7,212 20,387 14.10 137,331 114,823 79.43


E n este caso obtenemos resultados que m u e s t r a n que el gusano logró in fectar más de l a m i t a d de l a población de nodos de l a red P 2 P , cuando los nodos guardianes solo a l c a n z a r o n a proteger a lrededor de l 10 a 15 % de l a r ed , en l a F i g u r a 4.5 se m u e s t r a su avance.

Observamos que el gusano e m p i e z a con infecciones contro ladas p o r los nodos guar¬dianes, h a s t a el t i e m p o 200 a 400 es donde se d i s p a r a n los contagios del gusano, aun las protecc iones no son suficientes p a r a contener l a a m e n a z a y sobrepasa p o r comple to l a protección de los nodos guardianes . S i n embargo esto no s igni f i ca en este caso, que los nodos guardianes no sean eficientes, y a que s in su presenc ia el gusano tomaría casi en su t o t a l i d a d el c ontro l de l a r ed , t rayendo consigo o tro t ipos de prob lemas p a r a l a red y los usuar ios . A continuación m o s t r a m o s u n a c o m p a r a t i v a entre u n ataque de u n gusano

39

F i g u r a 4.5: C a m b i o s de estado en u n a R e d P 2 P de 150,000 nodos - N i v e l de Riesgo 3.

n i v e l 3 ( A m e n a z a Tota l ) con l a presenc ia de nodos guardianes en l a red y s in presenc ia de los mismos .

E n l a F i g u r a 4.6 se m u e s t r a l a comparación el entre ataque del m i s m o gusano n i v e l 3 en u n a r e d con nodos guardianes y s in nodos guardianes . L a gráfica m u e s t r a l a e f e c t i v idad de los nodos guardianes y c o m p a r a n d o resultados de l caso con protección y de l caso s in protección, tenemos que el número máximo de nodos infectados en u n a so la u n i d a d de t i e m p o p o r el gusano fue de 6,806 nodos , mientras que con l a protección de los nodos guardianes t a n solo fue de 438 nodos , lo c u a l nos dice que, aunque no l o g r a n m i t i g a r l a a m e n a z a , reducen cons iderablemente el i m p a c t o de l gusano, de jando las puertas abiertas p a r a t raba jos a fu turo .

E n l a t a b l a se m u e s t r a n los porcentajes obtenidos en u n a simulación de u n a r e d P 2 P de 150,000 nodos t a n t o en m o d o de protección y s in protección. Tenemos que con l a protección de los nodos guard ianes , e l gusano l o g r a in fectar el 79.43 % de l a población de l a r ed , y s in protección l ogra obtener el 98.42 % de l a r ed , lo c u a l lo categor iza como u n ataque severo y devastador . P o r o tro lado , aunque el gusano l ogra t o m a r más de l a m i t a d de l a r ed , su difusión es mas l e n t a , y a que los nodos guardianes l ogran reduc i r a l 5.8 % las infecciones máximas en u n a u n i d a d de t i e m p o , p o r e jemplo s in l a protección de estos nodos , e l gusano logró in fectar 6,806 nodos en u n a u n i d a d de t i e m p o , mientras que l a presenc ia de los nodos guardianes solo pudo in fec tar 438 nodos en u n segundo.

40

F i g u r a 4.6: Comparación de Infecciones en u n ataque de u n gusano n i v e l 3.

E l C u a d r o 4.6 m u e s t r a los resultados de l a comparación.

Protección (%) Infección Máximas Infecciones por U n i d a d de T i e m p o C o n N o d o s G u a r d i a n e s 69.75 403 S i n N o d o s G u a r d i a n e s 98.51 6,875

C u a d r o 4.6: Comparación de resul tados de simulación.

E l a taque del gusano puede ser u n p u n t o de p a r t i d a p a r a otros ataques a l a red in¬direc tamente . C o m o y a sabemos, e l gusano procede a in fectar u n nodo transportándose p o r med io de l a red como u n mensaje o paquete cua lqu ie ra , pero t iene l a p a r t i c u l a r i d a d de que hace u n g r a n número de pet ic iones y enlaces simultáneamente, como se m u e s t r a en l a F i g u r a 4.7.

E l envío mas ivo de mensajes puede ocas ionar que l a red se colapse p o r causa de l a saturación de paquetes que se envían a l m i s m o t i e m p o y esto a su vez, p rovocando errores de D o S a los usuarios de l a red .

E n c o n t r a m o s éste escenario como el más prometedor en el proceso de desarro l lo de los nodos guardianes , y a que en los escenarios anteriores se m u e s t r a que pueden contro lar l a situación de l ataque de u n gusano de esos niveles , pero tratándose de u n

41


gusano que e x p l o t a tales v u l n e r a b i l i d a d e s de los s istemas, es donde se pone a p r u e b a este concepto de segur idad en redes.

42

Capítulo 5

Conclusiones

G r a c i a s a l t r a b a j o rea l i zado , descr i to en los capítulos anteriores podemos l legar a las siguientes conclusiones y aportac iones a l contexto sobre los nodos guardianes y segur idad en redes P 2 P .

M a n t e n e r los s istemas de segur idad tales como a n t i v i r u s o firewall j u e g a n u n pa¬p e l i m p o r t a n t e , y a que pueden hacer l a d i ferenc ia a l m o m e n t o de u n ataque , como se demostró en el escenario 1.

Los nodos guardianes como método de contención de amenazas r e s u l t a r o n ser u n a m e d i d a eficiente, y a que con u n pequeño porcenta je l og raron m i t i g a r el ataque de l gu¬sano como se demostró en el escenario 1 y en el escenario 2 de este t r a b a j o .

E n el escenario 3, p u d i m o s observar que no se logró contener en su t o t a l i d a d l a a m e n a z a , s in embargo se redujo en u n porcenta je considerable , e v i t a n d o que el gusano t o m a r a el c ontro l de flujo de l a red .

E l aumento de nodos guardianes se p u d i e r a pensar que es l a me jor opción p a r a me jo rar los resul tados en casos s imi lares a l del escenario 3, pero este a u m e n t o a l a p o -blación a c t i v a de nodos guardianes pueden t raer consigo o t ro t i p o de consideraciones. Se necesitará rediseñar el esquema a c t u a l de autenticación de nodos guard ianes , y a que el considerado p a r a este t r a b a j o no p u d i e r a soportar l a nueva configuración, sería necesario p r o b a r su robustez . E l costo de l a i n f r a e s t r u c t u r a de red se elevará considera¬blemente , y a que l a implementación y manutención de los nodos guardianes es elevado y a l a u m e n t a r el porcenta je ac t ivo , aumentarían estos costos.

U n a contribución i m p o r t a n t e hecha con este t r a b a j o , fue l a ampliación del t r a b a j o de otros autores , y a que se m a n e j a n más conceptos a eva luar , como u n diferente proto¬colo, diferentes t ipos de amenazas en diferentes escenarios, asó como l a consideración de procesos de autentificación p a r a los m i s m o s nodos guard ianes , lo c u a l le dá u n m a y o r grado de robustez a l esquema de segur idad .

43

E l s i m u l a d o r codi f icado p a r a este t r a b a j o , fue u n a p i eza clave p a r a l a obtención de los resul tados , y a que brindó resul tados p a r a obtener las estadísticas y poder l legar a l a conclusión final. Además fue l a h e r r a m i e n t a u t i l i z a d a p a r a eva luar l a ef ic iencia de los nodos guardianes ante el ataque de u n gusano en u n a red P 2 P . E x i s t e n posibles extensiones de funciones que se le pueden adecuar , como l a integración de otros proto¬colos de r e d y l a adición y eliminación de nodos en t i e m p o rea l de simulación.

5.0.5. Trabajo a Futuro. C o n l a intención de extender el análisis de éste t r a b a j o , se cons idera que algunos

aspectos qu e dan abiertos p a r a cont inuar su desarro l lo , como lo serán :

• L a implementación de nodos guardianes en otro t i p o de redes s in ent idades cen¬trales de administración, como redes a d hoc , o en otro t i p o de redes P 2 P .

• C a r a c t e r i z a r y de ta l lar a los nodos que p u d i e r a n desempeñar l a función de nodos cert i f icadores , en el contexto de conf ianza .

• Integración de u n m o d u l o a l a h e r r a m i e n t a de simulación, de a d i c i o n y eliminación de nodos en t i e m p o en simulación.

44

Bibliografía

[1] L i d o n g Z h o u , L i n t a o Z h a n g , F r a n k M c S h e r r y , N i c o l e I m m o r l i c a , M a n u e l C o s t a , Steve C h i e n , " A F i r s t L o o k at Peer - t o -Peer W o r m s : T h r e a t s a n d Defenses" , 4th International Workshop on Peer-To-Peer Systems (IPTPS '05), 2005.

[2] W e i Y u , " A n a l y z e the W o r m - b a s e d A t t a c k i n L a r g e Scale P 2 P N e t w o r k s " , Proceeding of the Eighth IEEE International Symposium on High Assurance Systems Engineering (HASE '04), 2004.

[3] W e i Y u , C o r e y B o y e r , D o n g X u a n , ' A n a l y z i n g Impac ts of Peer - t o -Peer Systems o n P r o p a g a t i o n of A c t i v e W o r m A t t a c k s " , ACM Computer Communications Volume 31, Issue 17, N o v i e m b r e 2008.

[4] M i c h a e l L i l j e n s t a m , D a v i d M . N i c o l , " C o m p a r i n g Pass ive a n d A c t i v e W o r m Defen¬ses", IEEE Proceedings of the First International Conference on the Quantitative Evaluation of Systems (QEST '04), 2004.

[5] A r n o W a g n e r , B e r n h a r d P l a t t n e r , T h o m a s D i i b e n d o r f e r , R o m a n H i e s t a n d , " E x p e riences w i t h W o r m P r o p a g a t i o n S i m u l a t i o n s " , ACM Workshop on Rapid Malcode (WORM '03), 2003.

[6] F a n g w e i W a n g , Y u n k a i Z h a n g , J i a n f e n g M a , " M o d e l i n g a n d D e f e n d i n g Pass ive W o r m s over U n s t r u c t u r e d Peer - t o -Peer N e t w o r k s " , SpringerLink Transactions of Tianjin University Volume 14 Issue 1, N o v i e m b r e 2008.

[7] J i e M a , X i n m e n g C h e n , G u a n n g l i X i a n g , " M o d e l i n g Pass ive W o r m P r o p a g a t i o n i n Peer - t o -Peer S y s t e m s " , IEEE International Conference on Computational Intelli¬gence and Security, 2006.

[8] W e i Y u , C o r e y B o y e r , S r i r a m C h e i l l a p p a n , D o n g X u a n , "Peer - t o -Peer Sys tem-based A c t i v e W o r m A t t a c k s : M o d e l i n g a n d A n a l y s i s " , IEEE International Conference on Communications, 2005.

[9] N a s s i m a K h i a t , Y a n n i c k C a r l i n e t , N a z i m A g o u l m i n e , " T h e E m e r g i n g T h r e a t of Peer - t o -Peer W o r m s " , IEEE Proceedings ofFirst Workshop on Monitoring, Attack Detection and Mitigation, Sept iembre 2006.

45

[10] P r a n k D a b e k , E m m a B r u n s k i l l , M . F r a n s K a a s h o e k , D a v i d K a r g e r , R o b e r t M o r r i s , Ion S to i ca , H a r i B a l a k r i s h n a n , " B u i l d i n g Peer - t o -Peer Systems w i t h C h o r d , a D i s t r i b u t e d L o o k u p S e r v i c e " , IEEE Proceedings of the Eighth Workshop on Hot Topics in Operating Systems, 2001.

[11] Ion S to i ca , R o b e r t M o r r i s , D a v i d K a r g e r , H a r i B a l a k r i s h n a n , " C h o r d : A Scalabe Peer - t o -Peer L o o k u p Service for Internet A p p l i c a t i o n s " , ACM Proceedings of the 2001 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications, 2001.

[12] Sr in ivas S h a k k o t t a i , R . S r i k a n t , "Peer to Peer N e t w o r k s for Defense A g a i n s t Inter net W o r m s " , ACM Proceedings from the 2006 workshop on Interdisciplinary systems approach in performance evaluation and design ofcomputer & communications Sys-terns, 2006.

[13] K a p e r s k y L a b s . 2009.

[14] J o h n J a n n o t t i , D a v i d K . G i f f o r d , K i r k L . J o h n s o n , M . F r a n s K a a s h o e k , James W . O ' T o o l e J r , "Overcas t : R e l i a b l e M u l t i c a s t i n g w i t h a n O v e r l a y N e t w o r k " , ACM Proceedings of the 4th conference on Symposium on Operating System Design & Implementation, Volume 4, 2000.

[15] G i o v a n n i V i g n a , F r e d i c k V a l e u r , R i c h a r d A . K e m m e r e r , " D e s i g n i n g a n d I m p l e m e n t i n g a F a m i l y of I n t r u s i o n D e t e c t i o n S y s t e m s " , Proceedings of the 9th European software engineering conference held jointly with 11th ACM SIGSOFT international symposium on Foundations ofsoftware engineering, Sept iembre 2003.

[16] M a r i o G u i m a r a e s , M e g M u r r a y , " O v e r v i e w of I n t r u s i o n D e t e c t i o n a n d I n t r u s i o n P r e v e n t i o n " , Proceedings of the 5th annual conference on Information security curriculum development, Sept iembre 2008.

46

Análisis de Difusión de un Gusano en una Red Peer-to-Peer

Documents

Transcript of Análisis de Difusión de un Gusano en una Red Peer-to-Peer