Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Para detectar anomalías en el tráfico de red es necesario en primera instancia<br />
definir unos indicadores y crear una base de información inicial del<br />
comportamiento de ese protocolo y sus características en nuestra red, a partir de<br />
la cual se pueda determinar qué es anómalo y qué no lo es. Los siguientes<br />
indicadores estadísticos pueden ayudar a nuestra organización para la<br />
identificación de un Covert Channel:<br />
Medir la cantidad de paquetes en nuestra organización y definir unos<br />
umbrales de alerta que puedan llevar al descubrimiento de un Covert<br />
Channel. Por ejemplo, un aumento considerable y repentino de paquetes<br />
ICMP en nuestra red de repente requiere una investigación para determinar<br />
el origen de esta anomalía; pero para detectar esto es necesario conocer a<br />
priori cual es la gráfica de paquetes ICMP habitual en nuestra organización.<br />
Tal como estamos comentando sobre el protocolo ICMP, aplica para el resto<br />
de protocolos; número de peticiones DNS, número de peticiones HTTP, etc.<br />
Para la detección de Covert Channels en tráfico Web, en el año 2004, Kevin<br />
258 Webtap<br />
Borders y Atul Prakash definieron Webtap 258 que consiste en una serie de<br />
indicadores, que permitan crearse un perfil base del protocolo HTTP y<br />
alertar cuando algo no cumpla ese perfil:<br />
o Tamaño habitual de las peticiones. Por regla general las peticiones<br />
suelen tener un tamaño aproximado o un orden de magnitud similar,<br />
por lo que detectar cambios en este tamaño debe considerarse una<br />
anomalía y por tanto investigarlo. En el caso de HTTP el tamaño no es<br />
muy grande por lo que ver peticiones HTTP muy grandes se considera<br />
según Webtap como un indicador de anomalía.<br />
o Rango horario de las peticiones. Una práctica habitual de los Covert<br />
Channel es aprovechar rangos horarios donde no existe personal<br />
examinando los sensores.<br />
o Volumen de tráfico. El volumen de tráfico puede ser un indicador de<br />
filtraciones de información hacia el exterior realizadas por un Covert<br />
Channel.<br />
http://www.gray-world.net/es/papers/Webtap.pdf<br />
174