Mecanismos para la deteccion de ataques e intrusiones
Allan Josue Cueva Mejia
Necesidad de los mecanismos
en la prevencion y proteccion.
Fases por las que pasara
la intrusion que el atacante
llevara a cabo.
Fase de vigilancia
En esta Fase el atacante aprendera todo lo que pueda sobre la red que intertara atacar.
Fase de explotacion de servicios
En esta fase el atacante podra obtener
privilegios de administrador.
Fase de ocultacion de huellas
El atacante intentara pasar desapercibido
respecto a toda su activiadad maliciosa en la red.
Fase de Extraccción de información
El atacante obtiene todo el acceso posible
a la información de la empresa.
Procesadores de Eventos
Conocidos como analizadores que conforman el nucleo central del sistema de deteccion.
De los esquemas mas utilizados para realizar la detección son:
1)Los modelo de deteccion de uso indebido
2)Modelo de detección de anomalías.
Esquema de detección basados en usos Indebidos
cuenta con el conocimiento a priori de secuencias y actividades deshonestas.
Analizador basado en reconocimiento de patrones
Anlizadors basados en trancisiones de estado
Esquema de detección basados en usos Anomalías
Trataran de identificar actividades maliciosas
comparando el comportamiento de un usuario, proceso o servicio, con el comportamiento de perfil clasificado como normal.
Recolectores de Información
Un Recolector de informacion tambien conocido como sensor es el encardado de la recogida de informacion de los equipos monitorizados.
Clasificación Recolectore de Informacion
Sensores basados en Equipo
Sensores basados en Red
Sensores basados en aplicacion
Arquitectura General de un Sistema de Detección de intrusos
Propuestas y Diseños que son un requisito para la construcción de un IDS
Precision
un sistema de detección de intrusos
no debe confundir acciones legitimas
con acciones deshonestas.
Eficiencia
Debe minimiazr la tasa de actividad maliciosa no detectada.
Rendimiento
su rendimiento debe ser suficiente para realizar detecciones de activiadad maliciosa en tiempo real.
Escalabilidad
A medida que la red cresca el numero de enventos del sistema trambien debera hacerlo.
Tolerancia a Fallos
Debe de proporcionar servicios aunque sean comprometidos varios de sus elementos incluyendolo.
Unidades de Respuestas
Se encargan de iniciar acciones de respuestas en el momento que se detecte un ataque o intrusión
Unidades de Respuesta basadas en equipo:
se encargan de actuar a nivel de sistema operativo
Unidades de Respuesta basadas en red:
actuan a nivel de red cortando, intentos de conexión filtrando direcciones sospechosas.
Elementos de Almacenamiento
el tiempo de almacenamiento de informacion a medio plazo puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores de los sistemas en el caso de que el proceso de analisis lo requiera.
Escáneres de Vulnerabilidades
conjunto de aplicaciones que nos permiten hacer pruebas o test de ataque para determinar si una red o equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante.
Escáneres basados en Máquinas
primero en utilizarse para la evaluacion de vulnerabilidades se basa en la utilización de la información de un sistemas para la detección de vulnerabilidades.
Escaneres basados en Red
Aparecieron posterioromente la informacion necesaria a traves de las conexiones a red que establecen con el objetivo que hay que analizar.
Sistemas de Decepción
utilizan técnicas de monitorización para registrar y analizar estas acciones tratando de aprender de los atacantes.
Equipos de Decepción
Equipos conectados que tratan de atraer el tráfico de uno o más atacantes
Celdas de Aislamiento
Mediante el uso de un dispositivo intermedio todo el tráfico etiquetado como malicisioso sera dirgido a un equipo de decepción.
Redes de Decepción
Consiste en la construcción de un segmento de red unicamente para equipos de decepción, preparados todos para engañar a los intrusos.
Prevencion de Intrusos
son el resultado de unir las capacaidad de los mecanismos de prevención con las capacidades de monitorizacion y analisis.
Sistemas de Detección en línea
actua con la capa de red haciendo uso del protocolo TCP/IP como si se tratara de un dispositivo de puente
Comunicadores de nivel siete
Hace uso del nivel 7(aplicación) del modelo OSI
Sistemas Cortafuegos a nivel de aplicacion
Trabajan con el nivel de aplicación del Modelo OSI. Heraamientas de prevención que pueden instalarse directammente sobre el sistema final que se quiere proteger.
Conmutadores Híbridos
Dispositivo de red instalado como conmutador de nivel siete pero sin conjunton de reglas.
Detección de Ataques Distribuídos
ataques que no pueden ser identificados buscando patrones de forma aislada, deben ser detectados a partir de una combinacion de multiples indicios encontrados en distintos equipos de una red monitorizada.
Esquemas Tradicionales
plantean la instalacion de sensores en cada uno de los equipos que desea proteger, configurados para poder retransmitir toda la información hacia un punto central de análisis
Análisis Descentralizado
aunque es realmente complicado identificar y analisar en paralelo distintos fragmentos de información, un algoritmo de detección descentralizada seria realmente efectivo para solventar la problemática planteada.
Análisis Descentralizado mediante codigo móvil
utiliza el paradigma de agentes de software para mover los motores de detección por la red que hay que vigilar.
Análisis Descentralizado mediante paso de mensajes
Busca eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o mas estaciones d e monitorización dedicadas, una serie de elemntos de control encargados de realizar operaciones similares de forma descentralizada.
Sistemas de Detección de Intrusos(IDS).
Tratan de encontrar y reportar actividad maliciosa en la red pudiendo reaccionar de manera adecuada a un ataque.
Antecedentes de los sistemas de detección de intrusos
Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditoría, los primeros sistemas aparecierón en la decada de los cincuenta.
Sistemas de confianza.
sistemas que emplean suficientes recursos de
hardware y software que permite el procesam
-iento simultaneo de una variedad de informa-
ción confidencial y clasificada.
Primeros Sistemas para la Detección de Ataques en Tiempo Real
Instruction Detection Expert System(IDES) desarrollado entre 1984 y 1986 fue uno de los primeros IDS en tiempo real.
Un segundo IDS ue hay que destacar fue Discovery, que era capaz de detectar e impedir ataques a base de datos en tiempo real.
Ultimo sistema a destacar en esa epoca fue MIDAS(Multics Intrusions Detection and Alerting System) creado por la National Computer Security Center.
MiDAS fue uno de los primeros sistemas de detección de intrusos en estar conectado a internet publicado en la red en 1989 para monitorizar el Dockmaster en 1990 contribuyendo a fortalecer los sistemas de autenticacion de usuarios.
Sistemas de Detección de intrusos en la actualidad
A partit de los años 90 se fueron diseñando nuevos modelos de IDS gracias al crecimiento de las redes.
Debido a los daños que fueron provocados por el gusano de Robert Morris en 1988 se contribuyo a realizar nuevos esfuerzos para el diseño de nuevas soluciones de seguridad en este campo.
el primero fue la fusion de los sistemas de deteccion basados en la monitorización de SO junto con otros sistemas distribuidos en la deteccion de redes capaces de monitorizar en grupos de ataques e intrusiones a través de redes.