Mecanismo para la detención de ataques e instrunciones

Escaneo basado en maquinas

Este tipo de herramientas fue el primero en utilizarse para la evaluacion de vulnerabilidades. Se basa en la utilizacion de informacion de un sistema para la deteccion de vulnerabilidades,

Escaners basados en red

realizan pruebas de ataque y registran las respuestas obtenidas. No se deben confundir estos analizadores de vulnerabilidades basados en red con los analizadores de sistemas de detección de intrusos. Técnicas mas utilizadas:

Esquemas tradicionales

plantean la instalacion de sensores en cada uno de los equipos que se desea proteger, configurados para poder retransmitir toda la informacion hacia un punto central de

Analisis descentralizado

trata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o mas estaciones de monitorizacion dedicadas , una serie de elementos de control encargados de realizar operaciones similares de forma descentralizada.

Antecedentes de los sistemas de detención de intruso

Los sistemas de deteccion de intrusos son una evolucion los primeros sistemas de auditorıas. Estos sistemas ten´ıan como

directa de finalidad medir el tiempo que dedicaban los operadores a usar los sistemas

Arquitectura general de un sistema de detención de intrusiones

Presicion El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor sera la eficiencia del sistema de detecci´on de intrusos.

Eficiencia El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor sera la eficiencia del sistema de detecci´on de intrusos.



Rendimiento El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección´no en tiempo real.



Escalabilidad A medida que la red vaya creciendo (tanto en medida como envelocidad), también aumentara el numero de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este tratar el sistema. El detector tiene que ser capaz de soportar este informacion. Tolerancia en fallos El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión).

Recolectadores de información

Un recolector de informacion, tambien conocido como sensor, es el responsable de la recogida de informacion de los equipos monitorizados por el sistema de deteccion. Los tipos de sensores son:

Procesadores de eventos

también conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la informacion recogida por los sensores para poder inferir posibles intrusiones.

Unidades de repuestos

se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta passiva).

Elementos de almacenamiento

En algunas situaciones, el volumen de informacion recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento.

Equipos de decepción

Los equipos de decepción, también conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el trafico de uno o mas atacantes.

Celdas de aislamiento

se pueden utilizar para comprender mejor los métodos utilizados por los intrusos

Redes de decepción

Son herramientas de análisis para mejorar la seguridad de las redes de producción. Son una solución muy valiosa si una organización puede dedicarle el tiempo y los recursos necesarios.

Sistema de detención en línea

permite analizar el tr´afico del segmento de red. Ademas, esta,interfaz no suele tener asignada ninguna direccion IP, disminuyendo de esta forma las posibilidades de ser detectada.

Conmutadores de nivel siete

Estos dispositivos se suelen utilizar para realizar tareas de balanceo de carga de una aplicación entre varios servidores.

Sistemas cortafuegos a nivel de aplicacion

Se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger

Conmutadores hibridos.

permite reducir problemas de seguridad asociados a una programación deficiente, ası como la posibilidad de detectar ataques a nivel de aplicacion