Sistemas de Detección de Intrusos(IDS).
Tratan de encontrar y reportar actividad maliciosa en la red pudiendo reaccionar de manera adecuada a un ataque.
Una intrusion es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o sistema completo.
Sistemas de Detección de intrusos en la actualidad
A partit de los años 90 se fueron diseñando nuevos modelos de IDS gracias al crecimiento de las redes.
Debido a los daños que fueron provocados por el gusano de Robert Morris en 1988 se contribuyo a realizar nuevos esfuerzos para el diseño de nuevas soluciones de seguridad en este campo.
el primero fue la fusion de los sistemas de deteccion basados en la monitorización de SO junto con otros sistemas distribuidos en la deteccion de redes capaces de monitorizar en grupos de ataques e intrusiones a través de redes.
Primeros Sistemas para la Detección de Ataques en Tiempo Real
Instruction Detection Expert System(IDES) desarrollado entre 1984 y 1986 fue uno de los primeros IDS en tiempo real.
Un segundo IDS ue hay que destacar fue Discovery, que era capaz de detectar e impedir ataques a base de datos en tiempo real.
Ultimo sistema a destacar en esa epoca fue MIDAS(Multics Intrusions Detection and Alerting System) creado por la National Computer Security Center.
MiDAS fue uno de los primeros sistemas de detección de intrusos en estar conectado a internet publicado en la red en 1989 para monitorizar el Dockmaster en 1990 contribuyendo a fortalecer los sistemas de autenticacion de usuarios.
Sistemas de confianza.
sistemas que emplean suficientes recursos de
hardware y software que permite el procesam
-iento simultaneo de una variedad de informa-
ción confidencial y clasificada.
Antecedentes de los sistemas de detección de intrusos
Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditoría, los primeros sistemas aparecierón en la decada de los cincuenta.
Mecanismos para la deteccion de ataques e intrusiones
Allan Josue Cueva Mejia
Allan Josue Cueva Mejia
201510040123
Detección de Ataques Distribuídos
ataques que no pueden ser identificados buscando patrones de forma aislada, deben ser detectados a partir de una combinacion de multiples indicios encontrados en distintos equipos de una red monitorizada.
Análisis Descentralizado mediante paso de mensajes
Busca eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o mas estaciones d e monitorización dedicadas, una serie de elemntos de control encargados de realizar operaciones similares de forma descentralizada.
Análisis Descentralizado mediante codigo móvil
utiliza el paradigma de agentes de software para mover los motores de detección por la red que hay que vigilar.
Análisis Descentralizado
aunque es realmente complicado identificar y analisar en paralelo distintos fragmentos de información, un algoritmo de detección descentralizada seria realmente efectivo para solventar la problemática planteada.
Esquemas Tradicionales
plantean la instalacion de sensores en cada uno de los equipos que desea proteger, configurados para poder retransmitir toda la información hacia un punto central de análisis
Prevencion de Intrusos
son el resultado de unir las capacaidad de los mecanismos de prevención con las capacidades de monitorizacion y analisis.
Conmutadores Híbridos
Dispositivo de red instalado como conmutador de nivel siete pero sin conjunton de reglas.
Sistemas Cortafuegos a nivel de aplicacion
Trabajan con el nivel de aplicación del Modelo OSI. Heraamientas de prevención que pueden instalarse directammente sobre el sistema final que se quiere proteger.
Comunicadores de nivel siete
Hace uso del nivel 7(aplicación) del modelo OSI
Sistemas de Detección en línea
actua con la capa de red haciendo uso del protocolo TCP/IP como si se tratara de un dispositivo de puente
Sistemas de Decepción
utilizan técnicas de monitorización para registrar y analizar estas acciones tratando de aprender de los atacantes.
Redes de Decepción
Consiste en la construcción de un segmento de red unicamente para equipos de decepción, preparados todos para engañar a los intrusos.
Celdas de Aislamiento
Mediante el uso de un dispositivo intermedio todo el tráfico etiquetado como malicisioso sera dirgido a un equipo de decepción.
Equipos de Decepción
Equipos conectados que tratan de atraer el tráfico de uno o más atacantes
Escáneres de Vulnerabilidades
conjunto de aplicaciones que nos permiten hacer pruebas o test de ataque para determinar si una red o equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante.
Escaneres basados en Red
Aparecieron posterioromente la informacion necesaria a traves de las conexiones a red que establecen con el objetivo que hay que analizar.
Escáneres basados en Máquinas
primero en utilizarse para la evaluacion de vulnerabilidades se basa en la utilización de la información de un sistemas para la detección de vulnerabilidades.
Elementos de Almacenamiento
el tiempo de almacenamiento de informacion a medio plazo puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores de los sistemas en el caso de que el proceso de analisis lo requiera.
Unidades de Respuestas
Se encargan de iniciar acciones de respuestas en el momento que se detecte un ataque o intrusión
Unidades de Respuesta basadas en red:
actuan a nivel de red cortando, intentos de conexión filtrando direcciones sospechosas.
Unidades de Respuesta basadas en equipo:
se encargan de actuar a nivel de sistema operativo
Arquitectura General de un Sistema de Detección de intrusos
Propuestas y Diseños que son un requisito para la construcción de un IDS
Tolerancia a Fallos
Debe de proporcionar servicios aunque sean comprometidos varios de sus elementos incluyendolo.
Escalabilidad
A medida que la red cresca el numero de enventos del sistema trambien debera hacerlo.
Rendimiento
su rendimiento debe ser suficiente para realizar detecciones de activiadad maliciosa en tiempo real.
Eficiencia
Debe minimiazr la tasa de actividad maliciosa no detectada.
Precision
un sistema de detección de intrusos
no debe confundir acciones legitimas
con acciones deshonestas.
Recolectores de Información
Un Recolector de informacion tambien conocido como sensor es el encardado de la recogida de informacion de los equipos monitorizados.
Clasificación Recolectore de Informacion
Sensores basados en aplicacion
Sensores basados en Red
Sensores basados en Equipo
Procesadores de Eventos
De los esquemas mas utilizados para realizar la detección son:
1)Los modelo de deteccion de uso indebido
2)Modelo de detección de anomalías.
Esquema de detección basados en usos Anomalías
Trataran de identificar actividades maliciosas
comparando el comportamiento de un usuario, proceso o servicio, con el comportamiento de perfil clasificado como normal.
Esquema de detección basados en usos Indebidos
cuenta con el conocimiento a priori de secuencias y actividades deshonestas.
Anlizadors basados en trancisiones de estado
Analizador basado en reconocimiento de patrones
Conocidos como analizadores que conforman el nucleo central del sistema de deteccion.
Necesidad de los mecanismos
en la prevencion y proteccion.
El protocolo HTTPS se utiliza como un mecanismo de protección de los datos de los clientes a la hora de realizar transferencias seguras al servidor HTTTP, utilizando las tecnicas criptograficas para proteger la informacion sensible que el usuraio transmite hacia el servidor. ("Datos personales");
Autor:
Allan Josue Cueva Mejia
Numero de Cuenta 201510040123
Fases por las que pasara
la intrusion que el atacante
llevara a cabo.
Fase de Extraccción de información
El atacante obtiene todo el acceso posible
a la información de la empresa.
Fase de ocultacion de huellas
El atacante intentara pasar desapercibido
respecto a toda su activiadad maliciosa en la red.
Fase de explotacion de servicios
En esta fase el atacante podra obtener
privilegios de administrador.
Fase de vigilancia
En esta Fase el atacante aprendera todo lo que pueda sobre la red que intertara atacar.
