Protección de la Información con Sistemas IDS/IPS
4 Fases de la Intrusion:
- Fase de Vigilancia: El atacante aprenderá todo lo que pueda sobre la red a atacar.
- Fase de Explotación de Servicio: Actividad que permite al atacante conseguir privilegios de administrador.
- Fase de Ocultasion de Huellas: Actividad del atacante para pasar desapercibido en el sistema.
- Fase de Extracción de Información: El atacante accede a la información del sistema.
Son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de información confidencial o clasificada.
- Permitir la revision de patrones de acceso y el uso de mecanismo de proteccion del sistema.
- Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismo de protección.
- Permitir el descubrimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor.
- Permitir el bloqueo de los intentos de los usuarios de saltare los mecanismo de protección del sistema.
- Servir de garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones sera suficiente para controlar los posibles da;os ocasionados en el sistema.
1. Analizadores basados en reconocimiento de patrones: Procesan la información mediante funciones internas del sistema.
2. Analizadores basados en transiciones de estados: Uso de autómatas finitos para representar los ataques.
Sensores:
1. Sensores Basados en Equipo: Se encarga de analizar y recoger información de eventos a nivel del OS.
2. Sensores Basados en Red: Recogen información de eventos sucedidos a nivel de trafico de red.
3. Sensores Basados en Aplicación: Reciben la información de aplicaciones que se están ejecutando y se pueden considerar como caso especial de los sensores basados en equipo.
Se encargan de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión.
1. Unidades basadas en Equipo: Actúan a nivel del sistema operativo.
2. Unidades basadas en Red: Actúan a nivel de red cortando conexión, filtrando direcciones sospechosas, etc.
Conjunto de aplicaciones que nos permitirán realizar pruebas o test de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por u posible atacante o comunidad de atacantes.
- Durante la primera etapa una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.
- En la segunda etapa estos resultados son organizados y comparado con al menos un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente o bien ser una imagen del estado del sistema con anterioridad.
- Finalmente se generara un informe con las diferencias entre ambos conjuntos de datos.
Es la secuencia de acciones realizadas por el usuario o proceso deshonesto con el fin de provocar un acceso no autorizado sobre un equipo o sistema completo.
Requisitos para un Sistema de Intrusión:
1. Precisión: No debe de confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección
2. Eficiencia: Se debe de minimizar la tasa de actividad maliciosa no detectada.
3. Rendimiento: Ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.
4. Escalabilidad: A medida que la red vaya creciendo también aumentara el numero de eventos que deberá tratar el sistema.