realizată de Nelson Ely Andrade Benitez 6 ani în urmă
209
Mecanismos para la deteccion de ataques e intrusiones
El texto aborda los distintos mecanismos y estrategias necesarios para prevenir y proteger contra ataques cibernéticos. Se destaca la importancia de los sensores, que son responsables de recolectar información de los equipos monitorizados, y los procesadores de eventos, también conocidos como analizadores, que constituyen el núcleo central del sistema de detección.
Mecanismos adicionales en la prevencion y proteccion de ataques.
Intrusion
Es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo.
Procesadores de eventos
Tambien conocidos como analizadores
conforman el nucleo central el sistema
de deteccion.
Sistemas de confianza
son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variable de informacion confidencial o clasificada.
Deteccion de intrusiones
Es el procceso de identificacion y respuesta ante las actividades ilicitas observadas contra uno o varios recursos de una red.
Las rootkits
Son un conjunto de herramientas para garantizar,
entre otras, la fase de ocultacion de huellas durante
el ataque de intrusion en un sistema.
Equipos de decepcion
Tambien conocidos como tarros de miel o honeypots
son equipos informaticos conectados en que tratan de atraer el trafico de uno o mas ataques.
Objetivos a cumplir en los sistemas de deteccion de intrusos.
Tolerancia en fallos
El sistema deteccion de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados
distintos elementos del sistema.
Escalabilidad
A medida que la red vaya creciendo tanto en medida como en velocidad tambien aumentara el numero de eventos que debera tratar el sistema.
Rendimiento
El rendimiento ofrecido por un sistema de deteccion
de intrusos debe ser suficiente como para poder llegar
a realizar una deteccion en tiempo real.
Eficiencia
El detector de intrusos debe minimizar la tasa de actividad
maliciosa no detectada(conocida como falsos negativos).
Precision
Un sistema de deteccion de intrusos no debe que
confundir acciones degitimas con acciones deshonestas
a la horade realizarsu deteccion.
Sensor
Es el responsable de la recogida de informacionde los
equipos monitorizados por el sistema de deteccion.
Eleccion de sensores
Sensores basados en red
Sensores basados en equipos y en aplicacion
Dos de las tecnicas mas utilizadas para
la evaluacion de vulnerabilidades basadas
en red son las siguientes:
Metodos de inferencia
El sistema no explota vulnerabilidades, que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles diferencias de seguridad en el objetivo.
Prueba por explotacion
Esta tecnica consiste en lanzar ataques reales contra el objetivo.
Fases que utiliza el atacante
Fase de extracion de informacion
El atacante con privilegios de administrador tendra acceso a los datos de los clientes mediante la base de datos de clientes.
Fase de Vigilancia
El atacante intentara aprender todo lo que pueda
sobre la red que quiere atacar.
Fase Ocultacion de huellas
Durante esta face se realizara toda
aquella actividad ejecutada por el atacante.
Fase de explotacion de servicio
Este paso describe la actividad que permitira al
atacante hacerse con privilegios de administrador.
Primeros sistemas para la deteccion
de ataques en tiempo real.
MIDAS
Este sistema fue diseñado para monitorizar el Dockmaster d ela NCSC, en el que se ejecutaba uno de los sistemas operativos mas seguros de la epoca, MIDAS fue uno de los primeros sistema de deteccion de intrusiones conectados a internet.
Discovery
Capaz de detectar e impedir problemas de seguridad en bases de datos.
IDES
Utilizaba perfiles para describir los sujetos
del sistema(pincipalmente usuarios)
Snort
Es una de las herramientas de deteccion mas utilizadas
por la mayoria de los sistemas de deteccion actuales.