カテゴリー 全て - detección - análisis - monitorización - intrusos

によって Allan Gabriel Ordoñez Muñoz 7年前.

217

Mecanismos para la detección de ataques e instrusiones

Los mecanismos de detección y prevención de ataques e intrusiones combinan capacidades avanzadas para proteger redes y sistemas. Estos mecanismos incluyen conmutadores híbridos y de nivel siete, que facilitan la monitorización y balanceo de carga sin necesidad de reglas complejas.

Mecanismos para la detección de ataques e instrusiones

Mecanismos para la detección de ataques e instrusiones

Sistemas de detección de intrusos

Elementos de almacenamiento: En algunas situaciones, el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento.
Unidades de respuesta: Un sistema de detección se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva).
Unidades de respuesta basadas en red: Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas, etc.
Unidades de respuesta basada en equipo: Se encargan de actuar a nivel de sistema operativo (como, por ejemplo, bloqueo de usuarios, finalización de procesos, etc.)
Procesadores de eventos: Conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.
Esquema de detección basado en anomalías: Los procesadores de eventos que basan su detección en un esquema de anomalías tratarán de identificar actividades sospechosas comparando el comportamiento de un usuario, proceso o servicio, con el comportamiento de perfil clasificado como normal.
Esquema de detección basado en usos indebidos: Cuenta con el conocimiento a priori de secuencia y actividades deshonestas. Los procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos.
Recolectores de información: Es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.
Instalación de sensores
Elección de sensores: Durante los últimos años se ha debatido bastante cuál de los tres tipos de sensores ofrece mejores prestaciones.

Sensores basados en red: La principal ventaja de los sensores basados en red, frente a las otras dos soluciones, es la posibilidad de trabajar de forma no intrusiva.

Sensores basados en equipo y en aplicación: Los sensores basados en equipo y en aplicación podrán recoger información de calidad, además de ser fácilmente configurables y de poder ofrecer información de gran precisión.

Arquitectura general de un sistema de detección de instruciones
Tolerancia en fallos: El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo sus servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión.
Escalabilidad: A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentará el número de eventos que deberá tratar el sistema.
Rendimiento: El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.
Eficiencia: El detector de intrusos debe minimizar la taza de actividad maliciosa no detectada(conocida como falsos negativos).
Precisión: Un sistema de detección de intrusos no debe que confundir acciones legítimas con acciones deshonestas a la hora de realizar su detección.
Antecedentes de los sistemas de detección de intrusos
Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditorias. Estos sistemas tenían como finalidad medir el tiempo que dedicaban los operadores a usar los sistemas. Con esta finalidad, se monitorizaban con una precisión de milésimas de segundo y servían, entre otras cosas, para poder facturar el servidor.

Sistemas de decepción

Los sistemas de decepción, en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.
Redes de decepción: Son herramientas de análisis para mejorar la seguridad de las redes de producción. Son una evolución muy valiosa si una organización puede dedicarle el tiempo y los recursos necesarios.
Celdas de aislamiento: Se pueden utilizar para comprender mejor los métodos utilizados por los intrusos.
Equipos de decepción: Son equipos informáticos conectados en que tratan de atraer el tráfico de uno o más atacantes.

Detección de ataques distribuidos

Este tipo de ataques, que no pueden ser identificados buscando patrones de forma aislada, deben ser detectados a partir de la combinación de múltiples indicios encontrados en distintos equipos de una red monitorizada.
Análisis descentralizado: La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo durísimas restricciones de tiempo real
Esquemas tradicionales: La mayor parte de las soluciones existentes basadas en este esquema utilizan esquemas de reducción de información para minimizar este inconveniente.

Prevención de intrusos

Son el resultado de unir las capacidades de bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitoritación de los sistemas de detección de intrusos.
Conmutadores híbridos: Es el dispositivo de red instalado como un conmutador de nivel siete, pero sin utilizar conjuntos de reglas.
Sistemas cortafuegos a nivel de aplicación: Este sistema trabaja en el nivel de aplicación del modelo OSI, se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.
Conmutadores de nivel siete: Estos dispositivos se suelen utilizar para realizar tareas de balanceo de carga de una aplicación entre varios servidores.
Sistemas de detección en línea: La mayor parte de los productos y dispositivos existentes para la monitorización y detección de ataques en red se basan en la utilización de dos dispositivos de red diferenciados.

Escáners de vulnerabilidades

Los escáners de vulnerabilidades son un conjunto de aplicaciones que nos permitirán realizar pruebas o test de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.
Escáners basados en máquina: Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades.
Escáners basados en red: Aparecieron posteriormente y se han ido haciendo cada vez más populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.

Métodos de inferencia: El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.

Prueba por explotación: Esta técnica consiste en lanzar ataques reales contra el objetivo.

Necesidad de mecanismos adicionales en la prevención y protección

Fase de extracción de información: En esta última fase, el atacante con privilegios de administración tendrá acceso a los datos de los clientes mediante la base de datos de clientes.
Fase de ocultación de huellas: Durante esta fase de ocultación se realizará toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.
Fase de explotación de servicio: Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escalas de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior.
Fase de vigilancia: Durante la fase de vigilancia, el atacante intentará aprender todo lo que pueda sobre la red que quiero atacar.