Kategorien: Alle - red - detección - sensores - rendimiento

von Marlin Benuel Figueroa Rodriguez Vor 6 Jahren

182

Seguridad de Suistemas

Desde la década de los cincuenta, la detección de intrusos en sistemas informáticos ha evolucionado considerablemente. Inicialmente, la empresa Bell Telephone System fue pionera en desarrollar un sistema para analizar el uso de ordenadores en la industria telefónica, estableciendo la necesidad de auditorías electrónicas.

Seguridad de Suistemas

MECANISMOS PARA LA DETECCIÓN DE ATAQUES E INTRUSIONES

Sistemas de Decepción

Prevencion de Intrusos
Ataques Distibuidos
Celdas de aislamiento Las celdas de aislamiento tienen una metodología muy similar a los equipos de decepción que acabamos de ver. Mediante el uso de un dispositivo intermedio (con capacidades de detección y encaminamiento) todo el tráfico etiquetado como malicioso ser dirigido hacia un equipo de decepción (conocido en este caso como celda de aislamiento).
Equipos de decepción Los equipos de decepción, también conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el tráfico de uno o más atacantes.

Sistema de Detección de intrusos

Escáneres de Vulnerabilidad
Categorias

Escáner basado en red Los escáneres de vulnerabilidades basados en red aparecieron posteriormente y se han ido haciendo cada vez más populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.

Escáner basado en maquina Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de información de un sistema para la detección de vulnerabilidades

Los primeros sistemas aparecieron en la década de los cincuenta, cuando la empresa norteamericana Bell Telephone System creo un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en empresas de telefonía. Este equipo estableció la necesidad de utilizar auditorias mediante el procesamiento electrónico de los datos, rompiendo con el anterior sistema basado en la realización de informes en papel. Este hecho provoco que a finales de los años 50 la Bell Telephone System se embarcara en el primer sistema a gran escala de facturación telefónica controlada por ordenadores.
Recolectores de Información

Procesadores de Eventos

Las unidades de respuesta de un sistema de detección se encargarán de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva).a

Elección de sensores

•Sensores basados en red. La principal ventaja de los sensores basados en red, frente a las otras dos soluciones, es la posibilidad de trabajar de forma no intrusiva

• Sensores basados en equipo y en aplicación. Los sensores basados en equipo y en aplicación podrán recoger información de calidad, además de ser fácilmente configurables y de poder ofrecer información de gran precisión.

Arquitectura de sistemas y deteccion de intrusos

Requisitos

Tolerancia en fallos. El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio

Especificar el contenido de los mensajes intercambiados (eventos, alertas) entre los distintos elementos del sistema. Por esto, proponen el formato IDMEF y el protocolo de intercambio de mensajes IDXP.

Escalabilidad. A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentará el número de eventos que deberá tratar el sistema.

Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.

Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos).

Precisión: no debe de confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

Mecanismos de Prevención y Protección

Mecanismos
Sin embargo, esta acción pueda que no sea suficiente para proteger los datos del Sistema, ya que un intruso (hacker) puede acceder a ella a través de las siguientes fases:

• Fase de extracción de información. En esta última fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

• Fase de ocultación de huellas. Durante esta fase de ocultación se realizará toda aquella actividad ejecutada por el atacante

•Fase de explotación de servicio. Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior

•Fase de vigilancia. Durante la fase de vigilancia, el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar

Proteger la Red de la Empresa con un Sistema Cortafuegos, que permite únicamente la entrada de peticiones HTTP, HTTPS y consultas de DNS, aceptando también la transmisión de las respuestas a las peticiones HTTP, HTTPS y DNS.

Auditoria de Seguridad de Sistemas Marlin Benuel Figueroa Rodriguez