Mapa 1 - Mecanismos para la deteccion de ataques e intrusiones

ARQUITECTURA GENERAL DE UN SISTEMA PARA LA DETECCIÓN DE INTRUSIONES

Precision. Un sistema de deteccion de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su deteccion

Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos) cuando menor sea la tasa de falsos negativos, mayor sera la eficiencia del sistema de detección de intrusos. Este es un requisito complicado, ya que en ocasiones puede llegar a ser imposible obtener todo el conocimiento sobre ataque pasados, actuales y futuros

Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detección en tiempo real responde a la detección de la intrusión antes de que esta llegue a provocar daños en el sistema. Según los expertos, esta tiempo debería de ser inferior a un minuto

Escalabilidad. A medida que la red vaya creciendo (Tanto en medida como en velocidad), también aumentara el numero de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el numero de eventos, sin que se produzca perdida de información. Este requisito es de gran relevancia en sistemas de detección de ataques distribuidos, donde los eventos son lanzados en diferentes equipos del sistemas y deben ser puestos en correspondencia por el sistema de detección de intrusiones

Tolerancia en fallos. El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados destinos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión

Recolectores de informacion

Un recolector de información también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección

Necesidad de mecanismos adicionales en la prevención y protección

La empresa protege la red con un sistema cortafuegos, que permite únicamente la entrada de peticiones HTTP, HTTPS y consultas de DNS, aceptado también la transmision de las respuestas a las peticiones HTTP, HTTPS Y DNS

Sistema de detección de intrusos

La detección de ataques e intrusiones parte de la idea que un atacante es capaz de violar nuestra política de seguridad, atacando parcial o totalmente los recursos de una red con el objetivo final de obtener un acceso con privilegios de administrador

Antecedentes de los sistemas de detección de intrusos

Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditorias. Estos sistemas tenían como finalidad medir el tiempo que dedicar los operadores a usar los sistemas. Con esta finalidad, se monitorizaban con una presionen de milésimas de segundo y servían para poder facturar el servidor