Automatización de la detección de intrusos a partir de políticas de seguridad

Abstract

La explosión de la Internet en esta última década involucra la búsqueda de “valor agregado” en las infraestructuras. Por esta raz´on, la seguridad de la información de los sistemas es una de las mayores preocupaciones de la actualidad. El control de acceso a un equipo, a una red, o a un dominio administrativo juega un papel esencial en un ambiente que se vuelve cada día más heterogéneo. Las arquitecturas de seguridad en redes consisten de un número de componentes dedicados, como routers de filtrado y firewalls. El eje del enfoque tradicional de la seguridad en redes es separar la red en una zona segura y otra insegura. Típicamente, la interfase entre ellas está compuesta por un punto de único acceso que garantiza una determinada política de seguridad. Este enfoque tradicional presenta dos problemas significativos, reducida flexibilidad y escalabilidad. Adicionalmente los firewalls convencionales solamente son capaces de observar un único punto en la red y por lo tanto cuentan con información limitada (parcial) de su entorno. Por último, los ataques masivos, como el Distributed Denial of Service (DDoS), han demostrado categóricamente las limitaciones y debilidades de este modelo. La valoración de la seguridad en redes requiere entonces que estos problemas sean considerados profundamente. El objetivo de esta investigación es crear metodologías de Detección de Intrusos efectivas que complementen a las tecnologías actuales y que sean capaces de responder a los nuevos desafíos.