Kategorien: Alle - privilegios - ataque - información - vigilancia

von Wilmer Javier Lopez Turcios Vor 6 Jahren

127

Mecanismo para la detección de ataques e intrusiones

Un atacante atraviesa diversas fases para comprometer un sistema. Inicialmente, realiza una vigilancia exhaustiva para identificar vulnerabilidades en la red, como fallos en la configuración de dispositivos y servicios expuestos.

Mecanismo para la detección de ataques e intrusiones

Conmutadores híbridos: Un conmutador híbrido será aquel dispositivo de red instalado como un conmutador de nivel siete, pero sin utilizar conjunto de reglas. Su método de detección está basado en políticas, como el de los sistemas cortafuegos a nivel de aplicación.

Sistemas cortafuegos a nivel de aplicación: Trabajan en el nivel de aplicación del modelo OSI. Se trata de una herramienta de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.

Sistemas de detección en linea: Conectada a la red para la monitorización generalmente escucha, que permite analizar el tráfico del segmento de red.

Conmutadores de nivel Siete: Descarta tráfico procedente de una denegación de servicio. Se utilizan para realizar tareas de balanceo de carga de una aplicación entre varios servidores.

4 Fases que un atacante llevará a cabo para penetrar un sistema

4. Fase de Extracción de Información

Robo de información, el atacante con privilegios de administrador tendrá accesos a los datos de los clientes o sistemas.

3. Fase de Ocultación de Huellas

El atacante buscará pasar desapercibido en el sistema, se eliminan entradas sospechosas en ficheros de registros, la instalación y modificación de comandos de administración.
¿Que es rootkit?

Es una recopilación de herramientas de sistema, la mayoría de ellas fraudulentas, que se encargarán de dejar puertas abiertas en el sistema atacado, para garantizar así futuras conexiones con la misma escala de privilegios así como ofrecer la posibilidad de realizar nuevos ataques al sistema u otro equipo de la red.

2.Fase de Explotación de Servicio

En la segunda etapa, el atacante buscará obtener privilegios de administrador,abusando de alguna de las deficiencias encontradas en la primer etapa.

1. Fase de Vigilancia

En esta etapa el atacante intentará aprender todo lo que pueda sobre la red que quiere atacar. Tratará de buscar errores en las configuraciones de router, switch, firewall, IPS o algún servicio expuesto y vulnerabilidad en los sistemas operativos.

Mecanismo para la detección de ataques e intrusiones

5.6 Detección de ataques distribuidos

Son Ataques que no pueden ser identificados buscando patrones de forma aislada, deben ser detectados a partir de la combinación de múltiples indicios encontrados en distintos equipos de una red monitorizada.
2. Análisis Descentralizado

Análisis descentralizado mediante paso de mensajes.

Análisis descentralizado mediante código movil.

Se Clasifican en: 1. Esquemas Tradicionales.

5.5 Prevención de Intrusos

Son el Resultado de unir las capacidad de bloqueo de los mecanismos de prevención con las capacidades de análisis y monitorización de los sistemas de detección de intrusos.
Se clasifican en:

5.4 Sistemas de Decepción

Son aquellos sistemas que en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.
Se Clasifican en: * Equipos de decepción. * Celdas de Aislamiento. * Redes de decepción.

5.3 Escáners de Vulnerabilidades

Clasificación de Escáners
Escáners Basados en la Red
Escáners Basados en Maquinas
Son un conjunto de Aplicaciones que nos permitirán realizar pruebas o tests de ataques para determinar si una red o un equipo tiene deficiencias de seguridad.
Etapas para el funcionamiento de un Escáner de vulnerabilidades

Tercer Etapa se generará un informe con las diferencias entre ambos conjunto de datos.

Segunda Etapa los resultados son organizados y comparados con, al menos un conjunto de referencias de datos.

Primer Etapa se realiza una extracción de muestras del conjunto de atributos del sistema.

5.2 Sistemas de detencción de Intrusos

Elementos necesarios para la construcción de un sistema para la detección de intrusos
Elementos de Almacenamiento

Se debe de clasificar la información en términos de análisis a corto y largo plazo.

Unidades de Respuesta

Se encargan de iniciar acciones de respuestas en el momento en que se detecte un ataque o intrusioón.

Procesadores de Eventos

También conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.

Recolectores de información

También conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.

Arquitectura general de un sistema de detección de intrusiones
Tolerancia en fallos: Debe de ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema.
Escalabilidad: A medida que la red vaya creciendo, también aumentará el numero de eventos a tratar el sistema.
Rendimiento: Debe de ser capaz de detectar una intrusión en tiempo real.
Eficiencia: Evitar los falsos negativos
Precisión: No debe de confundir acciones legítimas con acciones deshonestas.
¿Que es un Sistema de Confianza?
Son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultáneo de una variedad de información confidencial o clasificada.

Ojetivos principales de un mecanismo de auditoría

Servir de garantía frente a los usuarios de que toda la información que se capture sobre ataque será suficiente para controlar.

Permitir el descubimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor.

Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.

Permitir la revisión de patrones de acceso y el uso de mecanismos de protección del sistema.

¿Que es la detección de intrusiones?
Es el proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red.

Sistemas de detección de intrusos actuales

Existen varios entre los mas destacados tenemos la solución cisco FirePower, Cisco IDS, CheckPoint, entre otros.

Primeros sistemas para la detección de ataques en tiempo real

MIDAS (Multics Intrusion Detection and Alerting System)

Instrusión Detection Expert System (IDES)

Discovery

Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.
¿Que es una intrusión?

Es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema completo.

5.1 Mecanismos adicionales en la prevención y protección de la información

Es necesario siempre proteger la información con un equipo cortafuegos y crear reglas que permitan unicamente el servicio que queremos publicar a los clientes.
En un sitio web debemos de permitir siempre el puerto tcp/443 protocolo HTTPS que permite cifrar la información, utilizando técnicas criptográficas para proteger la información sensible que el usuario transmite al servidor.