Mecanismos de Prevención y proteccion

Fases las cuales un intruso usa para atacar un red.

Fase de vigilancia

Fase de explotacion de servicio

Fase de ocultacion de huellas

Fase de extracción de informacion

Sistema de detección de intrusos

Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa de la red.

Una intrusion son secuencias de acciones realizadas por un usuario o proceso deshonesto con el objetivo de provocar acceso no autorizado a la red.

La detección de intrusiones es el proceso de identificación y respuesta ante las actividades ilícitas de una o varios puntos de red.

Antecedentes de los sistemas de detección de intrusos

Los primeros sistemas aparecieron en la década de los 50ta cuando la empresa norteamericana bell telephone system creo un grupo de desarrollo con el objetivo de analizar el uso de ordenadores con el uso de procesamiento electronico de datos y olvidar el uso de papel.

Sistemas de confianza , estos aparecieron en los 70 por un esfuerzo del gobierno se le denomino de esa manera ya que emplea una serie de software y hardware que permite realizar de manera simultanea informes confidenciales o clasificadas

En el libro marrón (Tan book) se incluye los requisitos para contar con un sistema de confianza que cumpla con los estandares de auditoria elevado.

Permitir la revisión de patrones de acceso

Permitir el descubrimiento de intentos internos como externos
de burlas de mecanismos de proteccion.

Permitir el descubrimiento de transición de usuarios.

Permitir el bloque de usuarios que quieran saltarse políticas de protección.

Los primeros sistemas para la detención de ataques en tiempo real IDES (Instruction Detenction Expert System) utlizaba perfiles para descubrir a los sujetos de sistemas y reglas de actividad para definir las acciones. (Dentro del sistema)

El seundo sistema de detencion fue Discovery capaz de detectar ataques a una base de datos.

Arquitectura general de un sistema de detección de intrusos

Objetivos para cumplir con los requisitos para una buena detección de intrusos.

Presicion, no confunir acciones leales con acciones deshonestas.

Eficiencia, minimizar la detecciones de intrusos o acciones malisiosas.

Rendimiento, debe de ser capaz de detectar en tiempo real si puede pasar alguna anomalia en el sistema y evitarla.

Escabilidad, la herramienta tiene que ser capaz de que si la red aumenta no tendría que tener problemas de procesar mas datos.

Tolerancia en fallos, debe ser capaz de seguir ofreciendo el servicio de protección aunque presente fallos de ataques.

Escaner de bulnerabilidades

Son un conjunto de aplicaciones que nos permite hacer pruebas de ataques en una red y saber su vulnerabilidad.

Se

Se divide en 3 etapas :

1. Extracción de muestra de atributos de sistema para poder almacenarlas.

2. Los resultados se comparan con al menos un conjunto de referencia de datos.

3. Se genera un informe de ambos conjuntos de datos.

Escaners basados en maquinas , se basa en la utilizacion de informacion para la deteccion de vulnerabilidades (errores en permiso de ficheros cuenta de usuarios abiertas por defecto, entradas de usuarios duplicadas etc.)

Escaners basados en red, se obtiene la información necesaria a través de conexiones de red que establecen con el objetivo que hay que analizar.

Prueba por explotacion, consiste en mandar ataques por medio de la red y esta responde si son efectivas o no para futuras correcciones.

Métodos de indiferencia, este no explota ataques este se basa es busqueda de problemas en el sistema y la red.

Sistemas de decepcion

En vez de neutralizar los ataques, utilizan técnicas de monitoreo para registrar y analizar estas acciones tratando de aprender a los atacantes

Equipos de decepcion, mas conocidas como las honeypost, este metodo consiste en que los administradores generen trafico de red para que los atacantes caigan en esa trampa y realizen sus ataques mientras los adminitradores observan de que manera lo hacen y asi poder contrarestrar.

Celdas de aislamiento , son dispositivos intermedio que hacen una copia exacta del equipo que recibe el trafico de red este mismo por decirlo así simula todo lo que realmente ocurre y gracias a eso los ataques son recibidos hacia el y así puede encaminar los paquetes maliciosos a un sistema de decepción.

Redes de decepción, este es un poco mas avanzado ya que prepara todo un segmento de red con dispositivos de sistemas de decepción para neutralizar el atacante.

Prevención de intrusos

Es la el resultado de unir la capacidad de bloqueo de los mecanismos de prevencion con las capacidades de analisis y monitoreo de los sistemas de deteccion de instrusos.

Sistemas de deteccion en linea , se basa en la utilizacion de dos dispositivos uno de ellos se encarga de intercetar el trafico de red mientras el otro hace tareas de gestion y administracion

Conmutadores de nivel 7 , estos dispositivos suelen utilizarce para hace un balanceo en la carga de varios servidores para tomas de desiciones de ecaminamiento en otras palabras analiza lo que si tiene que pasar de un punto a otro y lo que no.

Sistema de cortafuego a nivel de aplicación, la característica principal de esta herramienta es que permite ser instalada sobre el sistemas que se desea proteger directamente.

Conmutadores híbridos es la combinación de los conmutadores nivel 7 y los sistemas de cortafuego a nivel de aplicación.

Detección de ataques distribuidos

Busca patrones aislados que pueden ser ataques a la red.

Esquemas tradicionales , esta propuesta plantea la idea de la instalación de sensores en cada uno de los equipos que se desea proteger y llevar la información a un punto central.

Prefiltradomasivo, en los propios sensores reduce el flujo de informacion que hay que trasmitir hacia el componente central de procesamiento.

Análisis descentralizado , recogida de información de manera distribuida crea una gran cantidad que debe de ser analizada en la mayoría de casos bajo una dura restricciones de tiempo real.

Analisis desentralizado mediante codigo movil, realiza un deteccion de ataques distribuidos utilizan el programa de agentes software para mover motores de deteccion por la red que hay que vigilar.

Analisis desentralizado por paso de mensaje, de la misma que funciona codigo movil con la diferencia que estos elementos son estaticos y solo necesitan una infraestructura de paso de mensaje para detectar alguna anomalia.

Una vez el atacante cumpla estas fases podrá tener el acceso a la información de una empresa y dejar puertas abiertas para futuros ataques

Esta ultima definición (Detención de intrusiones) , involucra toda una serie de tecnologías , usuarios y herramientas necesarias para llegar a un buen termino.

Una buena herramienta de protección de la red y equipos de trabajo proporciona estabilidad en una empresa.

Dos años mas tarde se replantean los requisitos y objetivos de una mejor seguridad ( Grupo de trabajo IETC) año 2000.

Recolectores de información, funciona como un sensor y es el responsable de la recogida de información por los equipos monitoreados por el sistema de detección.

Procesadores de eventos, también conocidos como analizadores conforma el núcleo central de un sistema de detención. Opera sobre la información recogida

Unida de respuesta , es la encargada de dar una respuesta positiva cuando se genere una detección o ataque al sistema.

Almacenamiento , permite recaudar información de actividades para ser analizadas por expertos en la materia.