Tercera Fase
Primera Fase
Cuarta Fase
Segunda Fase

Mecanismos de prevención y protección

Fases

Sistema de Detección de Intrusos

Primeros Sistemas

Arquitectura

Elementos de Almacenamiento

Escaners de Vulnerabiliad

Tipos

Escaners basados en máquina: fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de informacion de un sistema para la detección de vulnerabilidades como, errores con permisos de ficheros, cuentas de usuarios abiertas por defecto, entradas de usuarios duplicaos o sospechosas,etc.

Escaners basados en red: aparecieron posteriormente y se han ido haciendo cada vez más populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.

Sistema de Decepcion

Equipo de Decepcion

Redes de decepción

Fase de Explotación de Servicio

Fase de ocultación de huellas

Fase de extracción de Información

Fase de Vigilancia

el atacante intentará aprender todo lo que pude sobre la red que quiere atacar. En especial, intentar descubrir servicios vulnerables y errores de configuración.

describe la actividad que permitirá al atacante hacerse con privilegios de administrador abusando de algún de las deficiencias encontradas durante la etapa anterior.

toda actividad ejecutada por el atacante (una vez producida la intrusión) para pasar desapercibido en el sistema. Se contemplan actividades tales como: eliminación de entradas sospechosas en ficheros de registro, instalación y modificación de comandos de administración para ocultar la entrada en los sistemas de red, o la actualización de los servicios vulnerables que ha utilizado para la intrusión (para evitar que terceras partes se introduzcan de nuevo en el sistema).

el atacante ya con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.

Uno de los primeros fue Intrusion Detection Expert System (IDES) desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann. Financiado por la marina americana, proponía una correspondencia entre actividad anómala y abuso o uso indebido.

Discovery, capaz de detectar e impedir problemas de seguridad en bases de datos. La novedad del sistema radicaba en el monitoreo de aplicaciones en lugar de analizar el sistema operativo completo. Mediante métodos estadísticos desarrollados por COBOL, Discovery podía detectar posibles abusos.

MIDAS (Multics Intrusion Detection and Alerting System) creado por la NCSC (National Computer Security Center). Este Sistema de detección fue implementado para monitorizar el Dockmaster de la NCSC en el que se ejecutaba uno de los sistemas operativos más seguros de la época (Multics, precursor de sistemas Unix actuales).

Precisión: el sistema de detección de intrusos no debe confundir acciones legítimas con acciones deshonestas a la hora de realizar su detección. Si se detecta una acción maliciosa, se hace una denegación de servicio al usuario

Eficiencia: el detector de minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor será la eficiencia del sistema. Este es un requisito complicado, ya que en ocasiones puede llegar a ser imposible obtener todo el conocimiento necesario sobre ataques pasados, actuales y futuros.

Rendimiento: El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real, de esta manera se evita que el atacante realice daños al sistema. Según expertos este tiempo debe ser menor/inferior a un minuto.

Escalabilidad: a medida la red va creciendo (medida o velocidad) también aumentará el número de eventos que deberá tratar el sistema. El detector deber ser capaz de soportar este aumento sin producir pérdida de información.

Tolerancia en fallos: el sistema de detección de intrusiones debe ser capaz de continuar ofreciendo sus servicios aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba ataque o intrusión.

El tiempo de almacenamiento de una información a medio plazo puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores del sistema en el caso de que el proceso de análisis así lo requiera

son un conjunto de aplicaciones que nos permitirán realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que puedan ser explotadas por un posible atacante o comunidad de atacantes.

en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.

conocidos como honeypots son equipos informáticos conectados que tratan de atraer el tráfico de uno o más atacantes. De esta forma, sus administradores podrán ver intentos de ataques que tratan de realizar una intrusión en el sistema y analizar cómo se comportan los elementos de seguridad implementados en la red.

tiene un enfoque mas avanzado y consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos (permitiendo su acceso sin
demasiada dificultad) los equipos de este segmento ofrecerán servicios de tal modo que puedan atraer la atención de toda una comunidad de intrusos con el objetivo de registrar todos sus movimientos mediante los equipos de la red de decepción.