Auditoria de Seguridad de Sistemas
Marlin Benuel Figueroa Rodriguez

MECANISMOS PARA LA DETECCIÓN DE ATAQUES E INTRUSIONES

Mecanismos de Prevención y Protección

Mecanismos

Proteger la Red de la Empresa con un Sistema Cortafuegos, que permite únicamente la entrada de peticiones HTTP, HTTPS y consultas de DNS, aceptando también la transmisión de las respuestas a las peticiones HTTP, HTTPS y DNS.

Sin embargo, esta acción pueda que no sea suficiente para proteger los datos del Sistema, ya que un intruso (hacker) puede acceder a ella a través de las siguientes fases:

•Fase de vigilancia. Durante la fase de vigilancia, el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar

•Fase de explotación de servicio. Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior

• Fase de ocultación de huellas. Durante esta fase de ocultación se realizará toda aquella actividad ejecutada por el atacante

• Fase de extracción de información. En esta última fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

Sistema de Detección de intrusos

Los primeros sistemas aparecieron en la década de los cincuenta, cuando la empresa norteamericana Bell Telephone System creo un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en empresas de telefonía. Este equipo estableció la necesidad de utilizar auditorias mediante el procesamiento electrónico de los datos, rompiendo con el anterior sistema basado en la realización de informes en papel. Este hecho provoco que a finales de los años 50 la Bell Telephone System se embarcara en el primer sistema a gran escala de facturación telefónica controlada por ordenadores.

Arquitectura de sistemas y deteccion de
intrusos

Requisitos

Precisión: no debe de confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos).

Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.

Escalabilidad. A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentará el número de eventos que deberá tratar el sistema.

Tolerancia en fallos. El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio

Especificar el contenido de los mensajes intercambiados (eventos, alertas) entre los distintos elementos del sistema. Por esto, proponen el formato IDMEF y el protocolo de intercambio de mensajes IDXP.

Recolectores de Información

Elección de sensores

• Sensores basados en equipo y en aplicación. Los sensores basados en equipo y en aplicación podrán recoger información de calidad, además de ser fácilmente configurables y de poder ofrecer información de gran precisión.

•Sensores basados en red. La principal ventaja de los sensores basados en red, frente a las otras dos soluciones, es la posibilidad de trabajar de forma no intrusiva

Procesadores de Eventos

Las unidades de respuesta de un sistema de detección se encargarán de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva).a

Escáneres de Vulnerabilidad

Categorias

Escáner basado en maquina
Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de información de un sistema para la detección de vulnerabilidades

Escáner basado en red
Los escáneres de vulnerabilidades basados en red aparecieron posteriormente y se han ido haciendo cada vez más populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.

Sistemas de Decepción

Equipos de decepción
Los equipos de decepción, también conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el tráfico de uno o más atacantes.

Celdas de aislamiento
Las celdas de aislamiento tienen una metodología muy similar a los equipos de decepción que acabamos de ver. Mediante el uso de un dispositivo intermedio (con capacidades de detección y encaminamiento) todo el tráfico etiquetado como malicioso ser dirigido hacia un equipo de decepción (conocido en este caso como celda de aislamiento).

Prevencion de Intrusos

Ataques Distibuidos