Mecanismo para la detección de ataques e intrusiones
5.1 Mecanismos adicionales en la prevención y protección de la información
Es necesario siempre proteger la información con un equipo cortafuegos y crear reglas que permitan unicamente el servicio que queremos publicar a los clientes.
En un sitio web debemos de permitir siempre el puerto tcp/443 protocolo HTTPS que permite cifrar la información, utilizando técnicas criptográficas para proteger la información sensible que el usuario transmite al servidor.
5.2 Sistemas de detencción de Intrusos
Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.
¿Que es una intrusión?
Es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema completo.
¿Que es la detección de intrusiones?
Es el proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red.
Primeros sistemas para la detección de ataques en tiempo real
Discovery
Instrusión Detection Expert System (IDES)
MIDAS (Multics Intrusion Detection and Alerting System)
Sistemas de detección de intrusos actuales
Existen varios entre los mas destacados tenemos la solución cisco FirePower, Cisco IDS, CheckPoint, entre otros.
¿Que es un Sistema de Confianza?
Son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultáneo de una variedad de información confidencial o clasificada.
Ojetivos principales de un mecanismo de auditoría
Permitir la revisión de patrones de acceso y el uso de mecanismos de protección del sistema.
Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.
Permitir el descubimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor.
Servir de garantía frente a los usuarios de que toda la información que se capture sobre ataque será suficiente para controlar.
Arquitectura general de un sistema de detección de intrusiones
Precisión: No debe de confundir acciones legítimas con acciones deshonestas.
Eficiencia: Evitar los falsos negativos
Rendimiento: Debe de ser capaz de detectar una intrusión en tiempo real.
Escalabilidad: A medida que la red vaya creciendo, también aumentará el numero de eventos a tratar el sistema.
Tolerancia en fallos: Debe de ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema.
Elementos necesarios para la construcción de un sistema para la detección de intrusos
Recolectores de información
También conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.
Procesadores de Eventos
También conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.
Unidades de Respuesta
Se encargan de iniciar acciones de respuestas en el momento en que se detecte un ataque o intrusioón.
Elementos de Almacenamiento
Se debe de clasificar la información en términos de análisis a corto y largo plazo.
5.3 Escáners de Vulnerabilidades
Son un conjunto de Aplicaciones que nos permitirán realizar pruebas o tests de ataques para determinar si una red o un equipo tiene deficiencias de seguridad.
Etapas para el funcionamiento de un Escáner de vulnerabilidades
Primer Etapa se realiza una extracción de muestras del conjunto de atributos del sistema.
Segunda Etapa los resultados son organizados y comparados con, al menos un conjunto de referencias de datos.
Tercer Etapa se generará un informe con las diferencias entre ambos conjunto de datos.
Clasificación de Escáners
Escáners Basados en Maquinas
Escáners Basados en la Red
5.4 Sistemas de Decepción
Son aquellos sistemas que en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.
Se Clasifican en:
* Equipos de decepción.
* Celdas de Aislamiento.
* Redes de decepción.
5.5 Prevención de Intrusos
Son el Resultado de unir las capacidad de bloqueo de los mecanismos de prevención con las capacidades de análisis y monitorización de los sistemas de detección de intrusos.
Se clasifican en:
5.6 Detección de ataques distribuidos
Son Ataques que no pueden ser identificados buscando patrones de forma aislada, deben ser detectados a partir de la combinación de múltiples indicios encontrados en distintos equipos de una red monitorizada.
Se Clasifican en:
1. Esquemas Tradicionales.
2. Análisis Descentralizado
Análisis descentralizado
mediante código movil.
Análisis descentralizado
mediante paso de mensajes.
4 Fases que un atacante llevará a cabo para penetrar un sistema
1. Fase de Vigilancia
En esta etapa el atacante intentará aprender todo lo que pueda sobre la red que quiere atacar. Tratará de buscar errores en las configuraciones de router, switch, firewall, IPS o algún servicio expuesto y vulnerabilidad en los sistemas operativos.
2.Fase de Explotación de Servicio
En la segunda etapa, el atacante buscará obtener privilegios de administrador,abusando de alguna de las deficiencias encontradas en la primer etapa.
3. Fase de Ocultación de Huellas
El atacante buscará pasar desapercibido en el sistema, se eliminan entradas sospechosas en ficheros de registros, la instalación y modificación de comandos de administración.
¿Que es rootkit?
Es una recopilación de herramientas de sistema, la mayoría de ellas fraudulentas, que se encargarán de dejar puertas abiertas en el sistema atacado, para garantizar así futuras conexiones con la misma escala de privilegios así como ofrecer la posibilidad de realizar nuevos ataques al sistema u otro equipo de la red.
4. Fase de Extracción de Información
Robo de información, el atacante con privilegios de administrador tendrá accesos a los datos de los clientes o sistemas.