Kategorien: Alle - seguridad - ataques - explotación - protección

von Reymer Ariel Vasquez Interiano Vor 6 Jahren

194

Mecanismos para la deteccion de ataques e intrusiones

La seguridad en los sistemas informáticos es un tema crítico debido a la creciente sofisticación de los ataques y las intrusiones. La protección estándar a menudo no es suficiente, lo que hace necesario implementar mecanismos adicionales.

Mecanismos para la deteccion de ataques e intrusiones

Reymer Ariel Vasquez Interinao 2015-100-500-20

Reymer Ariel Vasquez 2015-100-500-20

Mecanismos para la detección de ataque e intrusiones

Prevención de Intrusos son el resultado de unir las capacidades de bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitorización de los sistemas de detección de intrusos, Estos son los modelos existentes mas relevantes.

Conmutadores híbridos El último modelo de prevención de intrusos que veremos es una combinación de los conmutadores de nivel siete y de los sistemas cortafuegos a nivel de aplicación que acabamos de presentar. Así, un conmutador hibrido será aquel dispositivo de red instalado como un conmutador de nivel siete, pero sin utilizar conjuntos de reglas.
Sistemas cortafuegos a nivel de aplicación Los sistemas cortafuegos a nivel de aplicación, al igual que los conmutadores de nivel siete que acabamos de ver, trabajan en el nivel de aplicación del modelo OSI. Se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.
Conmutadores de nivel 7 Aunque los conmutadores han sido tradicionalmente dispositivos de nivel de red, la creciente necesidad de trabajar con grandes anchos de banda ha provocado que vayan ganando popularidad los conmutadores a nivel de aplicación (nivel siete del modelo OSI).
Sistemas de detección en línea La mayor parte de los productos y dispositivos existentes para la monitorización y detección de ataques en red se basan en la utilización de dos dispositivos de red diferenciados. Por una parte, uno de los dispositivos se encarga de interceptar el tráfico de su segmento de red, mientras que el otro se utiliza para efectuar tareas de gestión y administración.

Detección de Ataque Distribuido la identificación de ataques distribuidos o coordinados. Un ejemplo de este tipo de ataques son las denegaciones de servicio basadas en modelos master-slave. Este tipo de ataques, que no pueden ser identificados buscando patrones de forma aislada, miraremos distintas propuestas que existen.

Análisis descentralizado La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo durísimas restricciones de tiempo real.
Esquemas tradicionales Las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados. Así, estas propuestas plantean la instalación de sensores en cada uno de los equipos que se desea proteger, configurados para poder retransmitir toda la información hacia un punto central de análisis.

Necesidad de Mecanismos adicionales en la prevención y protección.

¿Porque es Necesario tomar Acciones Adicionales para proteger nuestros equipos? A veces lo que catalogamos como una Seguridad Estándar para nuestro Sistema no es suficiente, es por ellos de debemos tomar acciones adicionales para mantener la seguridad en nuestro equipo. Mencionaremos algunas
Fase de extracción de información. En esta última fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.
Fase de ocultación de huellas. Durante esta fase de ocultación se realizará toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.
Fase de vigilancia. Durante la fase de vigilancia, el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratara de descubrir servicios vulnerables y errores de configuración.
Fase de explotación de servicio. Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior

Sistema de Decepción Los sistemas de decepción tratan de cambiar las reglas del juego, ofreciendo al administrador de la red la posibilidad de tomar la iniciativa.

Estrategias
Redes de decepción Un enfoque más avanzado que los anteriores consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos (permitiendo su acceso sin demasiada dificultad).
Celdas de aislamiento Mediante el uso de un dispositivo intermedio con capacidades de detección y encaminamiento todo el tráfico etiquetado como malicioso ser dirigido hacia un equipo de decepción conocido en este caso como celda de aislamiento.
Los equipos de decepción también conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el tráfico de uno o más atacantes. De esta forma, sus administradores podrán ver intentos de ataques que tratan de realizar una intrusión en el sistema y analizar cómo se comportan los elementos de seguridad implementados en la red.

Escaners de Vulnerabilidad son un conjunto de aplicaciones que nos permitirán realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes, y se divide en etapas y tiene 2 categorias.

Categorias de los Escaner
Basados en Red Los escáneres de vulnerabilidades basados en red aparecieron posteriormente y se han ido haciendo cada vez más populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.
Basados en Maquina Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de información de un sistema para la detección de vulnerabilidades como, por ejemplo, errores en permisos de ficheros, cuentas de usuario abiertas por defecto, entradas de usuario duplicadas o sospechosas.
Etapa 3 se generará un informe con las diferencias entre ambos conjuntos de datos
Etapa 2 estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente, o bien ser una imagen del estado del sistema realizada con anterioridad.
Etapa 1 se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

Sistemas de detección de intrusos tiene que cumplir con los siguientes requisitos.

Procesadores de Evento también conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.
Recolectores de Información también conocido como sensor, es el responsable de la recogida de información de los equipos motorizados por el sistema de detección.
Sensores basados en red. La principal ventaja frente a las otras soluciones, es la posibilidad de trabajar de forma no intrusiva. Por lo tanto, la recogida de información no afecta a la forma de trabajar de los equipos o a la propia infraestructura.
Sensores basados en equipo y en aplicación. podrán recoger información de calidad, además de ser fácilmente configurables y de poder ofrecer información de gran precisión.
Arquitectura de un Sistema En todos los Sistemas de Detección de Intrusos se tiene que cumplir con los siguientes requisitos
Tolerancia en fallos. El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio, aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión.
Esca labilidad. A medida que la red vaya creciendo tanto en medida como en velocidad, también aumentará el número de eventos que deberá tratar el sistema.
Rendimiento. ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.
Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada conocida como falsos negativos.
Precisión. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.