Mecanísmos para la Detección de Ataques e Intrusiones

Mecanísmos para la Detección de Ataques e Intrusiones

Sistema de detección de intrusos

Sistema de detección de intrusos

Arquitectura general de un sistema de detección de intrusiones

Requisitos

Precisión

Eficiencia

Rendimiento

Escalabilidad

Tolerancia en fallos

Elementos para la construcción de un sistema detección de intrusos

Precisión

Recolectores de información también conocido como sensor

Tipos de sensores

Sensores basados en en equipos

Sensores basados en red

Sensores basados en aplicación

Elección de sensores soluciónes hibrídas

Sesores basados en equipos y en aplicación

Sensorees basados en red

Procesadores de eventos

Esquema de detección basado en usos indebidos

Analizadores basados en reconocimiento de patrones(regla if-then-else)

Analizadores basados en transiciones de estado(uso de autómatas finitos)

Esquema de detección basado en anomalias

Unidades de respuestas

Tipos de respuestas

Automáticas(respuesta activa)

Requerir interacción humana

Categorias

Unidades de respuesta basadas en equipo

Unidades de respuesta basadas en red

Elementos de almacenamiento

Análisis a corto plazo

Análisis a medio plazo

Mecanismos adicionales en la prevención y protocolos

Mecanismos adicionales en la prevención y protocolos

Protocolo HTTPSS

mecanismo de protección de datos

Técnicas criptográficas

Fase de la intrusión

fase de vigilancia

Fase de explotación del servicio

fase de ocultación de huellas

fase de extracción de información

Escanceres de vulnerabilidad

Escanceres de vulnerabilidad

Etapas del funcionamiento general de un escáner de vulnerabilidad.

Realizar una extracción de muestras del conjunto de atributos del sistema.

Los resultados obtenidos son organizados y comparados con, al menos, un conjunto de referencia.

Se genera un informe con las diferencias entre ambos conjuntos de datos

Tipos

Dinámico

Estáticos

Escáneres basados en red

Técnicas para la evaluación

M´todos de inferencia

Prueba por explotación

Escáneres basados en máquinas

Detección de ataques distribuidos

Detección de ataques distribuidos

Estquemas tradicionales

Unifcar la recogida de información utilizando esquemas y modelos centralizados

Son vulnerables aerrores o a ataques deliberados contra la infraestructura de procesado de eventos

Análisis descentralizado

Análisis descentralizado mediante código móvil

A medida que estos detectores móviles vayan recogiendo la información que les ofrezcan los sensores, los agentes irán realizando un proceso de análisis descentralizado

Análisis descentralizado mediante paso de mensajes

Trata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o más estaciones de monitorización dedicadas

Previsión de Intrusos

Previsión de Intrusos

Sistemas de detección en linea

Aplicaciones que se pueden utilizar para desarrollar esta herramienta es hogwash

Conmutadores de nivel siete

HTTP

FTP

DNS

Sistema cortafuegos a nivel de aplicación

Primera fase inicialización de perfiles

Segunda fase, las acciones son comparadas para el sistema contra estas perfiles

Su método de detección está basado en políticas, como el de los sistemas cortafuegos a nivel de aplicacion

Previsión de Intrusos

Sistema de Decepción

Sistema de Decepción

Estrategias para construir un sistema de decepción

Equipos de decepción

Estos equipos suelen estar diseñados para imitar el comportamiento de equipos de producción

Deben ser instalados detrás de sistemas cortafuegos configurados para que se permitan conexiones de entrada al equipo de decepción

Celdas de aislamiento

Dispositivo intermedio

Equipo de decepción

Redes de decepción

Deben contemplar como herramientas de análisis para mejorar la seguridad de las redes de produccion

Todo el tráfico que entra en cualquiera de los equipos se debe considerar sospechoso