1. objetivos principales de auditorıa con un nivel de seguridad elevado
1.1. Permitir la revisión de patrones de acceso y el uso de mecanismos de proteccion del sistema.
1.2. Permitir el descubrimiento de intentos internos y externos de burlar los mecanismos de protección.
1.3. Permitir el descubrimiento de la transición de usuarios cuando pasa de un nivel menor de privilegios a otro mayor
1.4. bloqueo de los intentos de los usuarios de saltarse los mecanismos de protección del sistema.
1.5. toda la informacion que se recoja sobre ataques e intrusiones sera para controlar los posibles danos ocasionados en el sistema.
2. Primeros sistemas de deteccion de ataques en tiempo real
2.1. Instrusion Detection Expert System (IDES)
2.1.1. utilizaba perfiles para describir los sujetos del sistema y eventos de sistema o ciclos de CPU
2.2. Discovery,
2.2.1. capaz de detectar e impedir problemas de seguridad en bases de datos.
2.3. MIDAS (Multics Intrusion Detection and Alerting System)
2.3.1. sistema operativo Multics, precursor de los sistemas Unix
3. fases de la intrusion
3.1. Fase de vigilancia
3.1.1. el atacante intentara aprender todo lo que pueda sobre la red En especial, tratar de descubrir servicios vulnerables y errores
3.2. Fase de explotacion de servicio.
3.2.1. al atacante se hara con privilegios de administrador abusando de las deficiencias encontradas durante la etapa anterior
3.3. Fase de ocultacion de huellas.
3.3.1. una vez ya producida la intrusion para el atacante intentara pasar desapercibido en el sistema.
3.4. Fase de extraccion de informacion.
3.4.1. el atacante con privilegios de administrador tendra acceso a los datos de los clientes mediante la base de datos
4. Escaneres de vulnerabilidades
4.1. son un conjunto de aplicaciones que nos permitiran realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad
4.2. etapas de funcionamiento
4.2.1. Durante la primera etapa se realiza una extraccion de muestras del conjunto de atributos del sistema
4.2.2. la segunda etapa, estos resultados son organizados y comparados con al menos, un conjunto de referencia de datos
4.2.3. Finalmente, se genera un informe con las diferencias entre ambos conjuntos de datos
4.3. Escaners basados en maquina
4.3.1. Se basa en la utilizacion de informacion de un sistema para la deteccion de vulnerabilidades
4.3.1.1. COPS, una herramienta que se encargaba de analizar el sistema a la busqueda de problemas
4.3.1.2. TIGER se compone de un conjunto de aplicaciones y guiones de sistema con el objetivo de realizar auditorıas de seguridad
4.4. escaners basados en red.
4.4.1. Obtienen la informacion necesaria a traves de las conexiones de red que establecen con el objetivo que hay que analizar
4.4.2. tecnicas mas utilizadas
4.4.2.1. Prueba por explotacion
4.4.2.1.1. consiste en lanzar ataques reales contra el objetivo. Estos ataques estan programados normalmente mediante guiones de comandos
4.4.2.2. Metodos de inferencia.
4.4.2.2.1. busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad
5. elementos necesarios para la construccion de un sistema de deteccion de intrusos
5.1. Recolectores de informacion.
5.1.1. tambien llamados sensores es el responsable de la recogida de informacion de los equipos monitorizados por el sistema de deteccion.
5.1.2. tipos de sensores
5.1.2.1. El primer tipo: sensores basados en equipo se encarga de analizar y recoger informacion de eventos a nivel de sistema operativo
5.1.2.2. En el segundo tipo: sensores que recogen informacion de eventos sucedidos a nivel de trafico de red
5.1.2.3. El tercer tipo: sensores basados en aplicacion recibe la informacion de aplicaciones que se estan ejecutando
5.1.3. tipos de sensores
5.2. Procesadores de eventos.
5.2.1. tambien conocidos como analizadores conforman el nucleo central del sistema de deteccion. Tienen la responsabilidad de operar sobre la informacion recogida por los sensores
5.2.2. esquema de deteccion basado en usos indebidos modelos
5.2.2.1. Analizadores basados en reconocimiento de patrones
5.2.2.1.1. estos analizadores procesan la informacion por medio de funciones internas en el sistema
5.2.2.2. Analizadores basados en transiciones de estados
5.2.2.2.1. Este modelo hace uso de automatas finitos para representar los ataques
5.2.3. Esquema de deteccion basado en anomalıas
5.2.3.1. trataran de identificar actividades sospechosas comparando el comportamiento de un usuario, proceso o servicio, con el comportamiento de perfil clasificado como normal
5.3. Unidades de respuesta.
5.3.1. se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusion
5.3.2. tipo de unidades de respuesta
5.3.2.1. Unidades de respuesta basadas en equipo
5.3.2.1.1. Se encargan de actuar a nivel de sistema operativo
5.3.2.2. Unidades de respuesta basadas basadas en red
5.3.2.2.1. Actuan a nivel de red cortando intentos de conexion, filtrando direcciones sospechosas
5.4. Elementos de almacenamiento.
5.4.1. analisis a corto plazo
5.4.1.1. la informacion sera almacenada directamente en los propios sensores (en buffers internos
5.4.2. analisis informacion a medio plazo
5.4.2.1. los datos preprocesados ser´an almacenados en dispositivos secundarios
6. sistemas de deteccion de intrusos requisitos
6.1. Precision
6.1.1. Un sistema de detección de intrusos debe reconocer acciones legitimas y acciones deshonestas a la hora de realizar su detección y no confundirlas
6.2. Eficiencia
6.2.1. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada
6.3. Rendimiento
6.3.1. El rendimiento ofrecido por un sistema de deteccion de intrusos debe ser suficiente como para poder llegar a realizar una deteccion en tiempo real
6.4. Escalabilidad
6.4.1. A medida que la red vaya creciendo tambien aumentara el numero de eventos que debera tratar el sistema
6.5. Tolerancia en fallos
6.5.1. debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema