Una buena herramienta de protección de la red y equipos de trabajo proporciona estabilidad en una empresa.
Dos años mas tarde se replantean los requisitos y objetivos de una mejor seguridad ( Grupo de trabajo IETC) año 2000.
Almacenamiento , permite recaudar información de actividades para ser analizadas por expertos en la materia.
Unida de respuesta , es la encargada de dar una respuesta positiva cuando se genere una detección o ataque al sistema.
Procesadores de eventos, también conocidos como analizadores conforma el núcleo central de un sistema de detención. Opera sobre la información recogida
Recolectores de información, funciona como un sensor y es el responsable de la recogida de información por los equipos monitoreados por el sistema de detección.
Esta ultima definición (Detención de intrusiones) , involucra toda una serie de tecnologías , usuarios y herramientas necesarias para llegar a un buen termino.
Una vez el atacante cumpla estas fases podrá tener el acceso a la información de una empresa y dejar puertas abiertas para futuros ataques
Mecanismos de Prevención y proteccion
Detección de ataques distribuidos
Analisis desentralizado por paso de mensaje, de la misma que funciona codigo movil con la diferencia que estos elementos son estaticos y solo necesitan una infraestructura de paso de mensaje para detectar alguna anomalia.
Analisis desentralizado mediante codigo movil, realiza un deteccion de ataques distribuidos utilizan el programa de agentes software para mover motores de deteccion por la red que hay que vigilar.
Análisis descentralizado , recogida de información de manera distribuida crea una gran cantidad que debe de ser analizada en la mayoría de casos bajo una dura restricciones de tiempo real.
Prefiltradomasivo, en los propios sensores reduce el flujo de informacion que hay que trasmitir hacia el componente central de procesamiento.
Esquemas tradicionales , esta propuesta plantea la idea de la instalación de sensores en cada uno de los equipos que se desea proteger y llevar la información a un punto central.
Busca patrones aislados que pueden ser ataques a la red.
Prevención de intrusos
Conmutadores híbridos es la combinación de los conmutadores nivel 7 y los sistemas de cortafuego a nivel de aplicación.
Sistema de cortafuego a nivel de aplicación, la característica principal de esta herramienta es que permite ser instalada sobre el sistemas que se desea proteger directamente.
Conmutadores de nivel 7 , estos dispositivos suelen utilizarce para hace un balanceo en la carga de varios servidores para tomas de desiciones de ecaminamiento en otras palabras analiza lo que si tiene que pasar de un punto a otro y lo que no.
Sistemas de deteccion en linea , se basa en la utilizacion de dos dispositivos uno de ellos se encarga de intercetar el trafico de red mientras el otro hace tareas de gestion y administracion
Es la el resultado de unir la capacidad de bloqueo de los mecanismos de prevencion con las capacidades de analisis y monitoreo de los sistemas de deteccion de instrusos.
Sistemas de decepcion
Redes de decepción, este es un poco mas avanzado ya que prepara todo un segmento de red con dispositivos de sistemas de decepción para neutralizar el atacante.
Celdas de aislamiento , son dispositivos intermedio que hacen una copia exacta del equipo que recibe el trafico de red este mismo por decirlo así simula todo lo que realmente ocurre y gracias a eso los ataques son recibidos hacia el y así puede encaminar los paquetes maliciosos a un sistema de decepción.
Equipos de decepcion, mas conocidas como las honeypost, este metodo consiste en que los administradores generen trafico de red para que los atacantes caigan en esa trampa y realizen sus ataques mientras los adminitradores observan de que manera lo hacen y asi poder contrarestrar.
En vez de neutralizar los ataques, utilizan técnicas de monitoreo para registrar y analizar estas acciones tratando de aprender a los atacantes
Escaner de bulnerabilidades
Escaners basados en red, se obtiene la información necesaria a través de conexiones de red que establecen con el objetivo que hay que analizar.
Métodos de indiferencia, este no explota ataques este se basa es busqueda de problemas en el sistema y la red.
Prueba por explotacion, consiste en mandar ataques por medio de la red y esta responde si son efectivas o no para futuras correcciones.
Escaners basados en maquinas , se basa en la utilizacion de informacion para la deteccion de vulnerabilidades (errores en permiso de ficheros cuenta de usuarios abiertas por defecto, entradas de usuarios duplicadas etc.)
Son un conjunto de aplicaciones que nos permite hacer pruebas de ataques en una red y saber su vulnerabilidad.
Se
Se divide en 3 etapas :
1. Extracción de muestra de atributos de sistema para poder almacenarlas.
2. Los resultados se comparan con al menos un conjunto de referencia de datos.
3. Se genera un informe de ambos conjuntos de datos.
Arquitectura general de un sistema de detección de intrusos
Objetivos para cumplir con los requisitos para una buena detección de intrusos.
Tolerancia en fallos, debe ser capaz de seguir ofreciendo el servicio de protección aunque presente fallos de ataques.
Escabilidad, la herramienta tiene que ser capaz de que si la red aumenta no tendría que tener problemas de procesar mas datos.
Rendimiento, debe de ser capaz de detectar en tiempo real si puede pasar alguna anomalia en el sistema y evitarla.
Eficiencia, minimizar la detecciones de intrusos o acciones malisiosas.
Presicion, no confunir acciones leales con acciones deshonestas.
Antecedentes de los sistemas de detección de intrusos
El seundo sistema de detencion fue Discovery capaz de detectar ataques a una base de datos.
Los primeros sistemas para la detención de ataques en tiempo real IDES (Instruction Detenction Expert System) utlizaba perfiles para descubrir a los sujetos de sistemas y reglas de actividad para definir las acciones. (Dentro del sistema)
En el libro marrón (Tan book) se incluye los requisitos para contar con un sistema de confianza que cumpla con los estandares de auditoria elevado.
Permitir el bloque de usuarios que quieran saltarse políticas de protección.
Permitir el descubrimiento de transición de usuarios.
Permitir el descubrimiento de intentos internos como externos
de burlas de mecanismos de proteccion.
Permitir la revisión de patrones de acceso
Sistemas de confianza , estos aparecieron en los 70 por un esfuerzo del gobierno se le denomino de esa manera ya que emplea una serie de software y hardware que permite realizar de manera simultanea informes confidenciales o clasificadas
Los primeros sistemas aparecieron en la década de los 50ta cuando la empresa norteamericana bell telephone system creo un grupo de desarrollo con el objetivo de analizar el uso de ordenadores con el uso de procesamiento electronico de datos y olvidar el uso de papel.
Sistema de detección de intrusos
La detección de intrusiones es el proceso de identificación y respuesta ante las actividades ilícitas de una o varios puntos de red.
Una intrusion son secuencias de acciones realizadas por un usuario o proceso deshonesto con el objetivo de provocar acceso no autorizado a la red.
Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa de la red.
Fases las cuales un intruso usa para atacar un red.
Fase de extracción de informacion
Fase de ocultacion de huellas
Fase de explotacion de servicio
Fase de vigilancia
