Kategorier: Alle - detección - vulnerabilidades - información - análisis

av Allan Josue Cueva Mejia 6 år siden

206

Mecanismos para la detección de ataques e intrusiones

Se abordan diversas estrategias y herramientas para la prevención y detección de intrusiones en sistemas de redes. Entre ellas, los sistemas de detección en línea que operan a nivel de red utilizando el protocolo TCP/

Mecanismos para la detección de ataques e intrusiones

Sistemas de Detección de Intrusos(IDS). Tratan de encontrar y reportar actividad maliciosa en la red pudiendo reaccionar de manera adecuada a un ataque.

Una intrusion es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o sistema completo.

Sistemas de Detección de intrusos en la actualidad

A partit de los años 90 se fueron diseñando nuevos modelos de IDS gracias al crecimiento de las redes. Debido a los daños que fueron provocados por el gusano de Robert Morris en 1988 se contribuyo a realizar nuevos esfuerzos para el diseño de nuevas soluciones de seguridad en este campo.
el primero fue la fusion de los sistemas de deteccion basados en la monitorización de SO junto con otros sistemas distribuidos en la deteccion de redes capaces de monitorizar en grupos de ataques e intrusiones a través de redes.

Primeros Sistemas para la Detección de Ataques en Tiempo Real

Instruction Detection Expert System(IDES) desarrollado entre 1984 y 1986 fue uno de los primeros IDS en tiempo real.
Un segundo IDS ue hay que destacar fue Discovery, que era capaz de detectar e impedir ataques a base de datos en tiempo real.

Ultimo sistema a destacar en esa epoca fue MIDAS(Multics Intrusions Detection and Alerting System) creado por la National Computer Security Center. MiDAS fue uno de los primeros sistemas de detección de intrusos en estar conectado a internet publicado en la red en 1989 para monitorizar el Dockmaster en 1990 contribuyendo a fortalecer los sistemas de autenticacion de usuarios.

Sistemas de confianza.

sistemas que emplean suficientes recursos de hardware y software que permite el procesam -iento simultaneo de una variedad de informa- ción confidencial y clasificada.

Antecedentes de los sistemas de detección de intrusos

Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditoría, los primeros sistemas aparecierón en la decada de los cincuenta.

Mecanismos para la deteccion de ataques e intrusiones Allan Josue Cueva Mejia

Allan Josue Cueva Mejia

201510040123

Detección de Ataques Distribuídos ataques que no pueden ser identificados buscando patrones de forma aislada, deben ser detectados a partir de una combinacion de multiples indicios encontrados en distintos equipos de una red monitorizada.

Análisis Descentralizado mediante paso de mensajes
Busca eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o mas estaciones d e monitorización dedicadas, una serie de elemntos de control encargados de realizar operaciones similares de forma descentralizada.
Análisis Descentralizado mediante codigo móvil
utiliza el paradigma de agentes de software para mover los motores de detección por la red que hay que vigilar.
Análisis Descentralizado
aunque es realmente complicado identificar y analisar en paralelo distintos fragmentos de información, un algoritmo de detección descentralizada seria realmente efectivo para solventar la problemática planteada.
Esquemas Tradicionales
plantean la instalacion de sensores en cada uno de los equipos que desea proteger, configurados para poder retransmitir toda la información hacia un punto central de análisis

Prevencion de Intrusos son el resultado de unir las capacaidad de los mecanismos de prevención con las capacidades de monitorizacion y analisis.

Conmutadores Híbridos
Dispositivo de red instalado como conmutador de nivel siete pero sin conjunton de reglas.
Sistemas Cortafuegos a nivel de aplicacion
Trabajan con el nivel de aplicación del Modelo OSI. Heraamientas de prevención que pueden instalarse directammente sobre el sistema final que se quiere proteger.
Comunicadores de nivel siete
Hace uso del nivel 7(aplicación) del modelo OSI
Sistemas de Detección en línea
actua con la capa de red haciendo uso del protocolo TCP/IP como si se tratara de un dispositivo de puente

Sistemas de Decepción utilizan técnicas de monitorización para registrar y analizar estas acciones tratando de aprender de los atacantes.

Redes de Decepción
Consiste en la construcción de un segmento de red unicamente para equipos de decepción, preparados todos para engañar a los intrusos.
Celdas de Aislamiento
Mediante el uso de un dispositivo intermedio todo el tráfico etiquetado como malicisioso sera dirgido a un equipo de decepción.
Equipos de Decepción
Equipos conectados que tratan de atraer el tráfico de uno o más atacantes

Escáneres de Vulnerabilidades conjunto de aplicaciones que nos permiten hacer pruebas o test de ataque para determinar si una red o equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante.

Escaneres basados en Red
Aparecieron posterioromente la informacion necesaria a traves de las conexiones a red que establecen con el objetivo que hay que analizar.
Escáneres basados en Máquinas
primero en utilizarse para la evaluacion de vulnerabilidades se basa en la utilización de la información de un sistemas para la detección de vulnerabilidades.

Elementos de Almacenamiento

el tiempo de almacenamiento de informacion a medio plazo puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores de los sistemas en el caso de que el proceso de analisis lo requiera.

Unidades de Respuestas

Se encargan de iniciar acciones de respuestas en el momento que se detecte un ataque o intrusión
Unidades de Respuesta basadas en red: actuan a nivel de red cortando, intentos de conexión filtrando direcciones sospechosas.
Unidades de Respuesta basadas en equipo: se encargan de actuar a nivel de sistema operativo

Arquitectura General de un Sistema de Detección de intrusos

Propuestas y Diseños que son un requisito para la construcción de un IDS
Tolerancia a Fallos

Debe de proporcionar servicios aunque sean comprometidos varios de sus elementos incluyendolo.

Escalabilidad

A medida que la red cresca el numero de enventos del sistema trambien debera hacerlo.

Rendimiento

su rendimiento debe ser suficiente para realizar detecciones de activiadad maliciosa en tiempo real.

Eficiencia

Debe minimiazr la tasa de actividad maliciosa no detectada.

Precision

un sistema de detección de intrusos no debe confundir acciones legitimas con acciones deshonestas.

Recolectores de Información

Un Recolector de informacion tambien conocido como sensor es el encardado de la recogida de informacion de los equipos monitorizados.
Clasificación Recolectore de Informacion

Sensores basados en aplicacion

Sensores basados en Red

Sensores basados en Equipo

Procesadores de Eventos

De los esquemas mas utilizados para realizar la detección son: 1)Los modelo de deteccion de uso indebido 2)Modelo de detección de anomalías.
Esquema de detección basados en usos Anomalías Trataran de identificar actividades maliciosas comparando el comportamiento de un usuario, proceso o servicio, con el comportamiento de perfil clasificado como normal.
Esquema de detección basados en usos Indebidos cuenta con el conocimiento a priori de secuencias y actividades deshonestas.

Anlizadors basados en trancisiones de estado

Analizador basado en reconocimiento de patrones

Conocidos como analizadores que conforman el nucleo central del sistema de deteccion.

Necesidad de los mecanismos en la prevencion y proteccion.

El protocolo HTTPS se utiliza como un mecanismo de protección de los datos de los clientes a la hora de realizar transferencias seguras al servidor HTTTP, utilizando las tecnicas criptograficas para proteger la informacion sensible que el usuraio transmite hacia el servidor. ("Datos personales");

Autor:

Allan Josue Cueva Mejia

Numero de Cuenta 201510040123

Fases por las que pasara la intrusion que el atacante llevara a cabo.
Fase de Extraccción de información El atacante obtiene todo el acceso posible a la información de la empresa.
Fase de ocultacion de huellas El atacante intentara pasar desapercibido respecto a toda su activiadad maliciosa en la red.
Fase de explotacion de servicios En esta fase el atacante podra obtener privilegios de administrador.
Fase de vigilancia En esta Fase el atacante aprendera todo lo que pueda sobre la red que intertara atacar.