Detección de intrusos - Introducción

Este documento esta dirigido hacia aquellas personas con un cierto conocimiento de la materia o por lo menos conocimiento de administracion bajo Unix. Por eso es de vital interes para los administradores, auditores de seguridad, fuerzas de la autoridad y todo aquel interesado en la materia. No incluyo bocabulario y pueden que ciertas materias (como por ejemplos, comandos y ficheros) no sean explicados, ya que asumo un cierto conocimiento por parte del lector, ademas decir que solo nos enfocaremos al analisis logico, en ningun caso al fisico.

La labor de un administrador o de la persona encargada de la seguridad de un sistema informatico puede ser realmente frustrante. Sobre todo cuando nuestro sistema a sido invadido por un intruso o pirata (logicamente no usaremos la palaba Hacker). En este singular documento intentare explicar los diferentes peligros al cual se expone un administrador y como enfrentarse a los mismos, asi como tambien con quien se debe poner en contacto en caso de necesitar ayuda tecnica o demandar al intruso en cuestion.

En principio, si hemos configurado correctamente nuestro servidor y estamos al dia en materia de seguridad, asi como de fallos (bug) que van surgiendo, no tendremos problemas de que un intruso nos entre en nuestro sistema. Realmente con un poco de esfuerzo podemos tener un servidor altamente seguro que nos evitara alrededor del 85% de los intentos de acceso no autorizados a nuestro sistema, pero en muchas ocasiones el peligro viene de los propios usuarios internos del sistema, los cuales presentan un gran riesgo debido a que ya tiene acceso al sistema, pero como siempre existen metodos de seguridad para controlar a los usuarios legitimos.

Aqui nos enfocaremos a servidores con el sistema Unix, debido a que es uno de los sistemas operativos mas explotados del cyberespacio. Como ya he mencionado aqui solo trataremos el punto de vista de cuando un intruso ya ha invadido nuestro sistema.