1. 4.2Conmutadores de nivel siete
1.1. realizar detecciones de ataques en redes de alta velocidad conmutadas.
1.2. la posibilidad de redundancia se puede conseguir con la utilización de sistemas secundarios configurados para activarse en caso de fallo por parte de dispositivos primarios.
2. 3. Sistemas de decepción
2.1. 3.1 Equipos de decepción
2.1.1. tambien conocidos como tarros de miel o honeypots,son equipos informaticos conectados en que tratan de atraer el trafico de uno o mas atacantes
2.1.2. Se basa en la utilizacion de informacin de un sistema para la deteccion de vulnerabilidades
2.1.3. obtención de información sobre las herramientas y conocimientos necesarios para realizar una intrusión en entornos de red como los que pretendemos proteger.
2.2. 3.2 Celdas de aislamiento
2.2.1. se pueden utilizar para comprender mejor los métodos utilizados por los intrusos.
2.2.2. la celda estará protegida de tal manera que no pueda poner en riesgo al resto de equipos de la red o del exterior.
2.2.3. las celdas de aislamiento son copias exactas de los sistemas de producción reales hacia los que va dirigido el trafico malicioso, proporcionando de esta forma un escenario mas creıble
2.3. 3.3 Redes de decepción
2.3.1. se deben contemplar como herramientas de analisis para mejorar la seguridad de las redes de producci´on
2.3.2. se basa en un solo principio: todo el tráfico que entra en cualquiera de sus equipos se debe considerar sospechoso
3. 4. Prevención de intrusos
3.1. 4.1 Sistemas de deteccion en linea
3.1.1. se basa en la utilización de dos dispositivos de red diferenciados uno de los dispositivos se encarga de interceptar el trafico de su segmento de red, mientras que el otro se utiliza para efectuar tareas de gestión y administración.
3.1.2. implementa las capacidades de deteccion y de bloqueo de trafico.
3.1.3. ofrece la opcion de reescribir el trafico de red
3.2. 4.3 Sistemas de cortafuego a nivel de aplicación
3.2.1. trabajan en el nivel de aplicaci´on del modelo OSI. Se trata de unas herramientas de prevenci´on que se puede instalar directamente sobre el sistema final que se quiere proteger.
3.2.2. Realiza un análisis sobre el trafico de red, estos dispositivos se pueden configurar para analizar eventos tales como la gestión de memoria, las llamadas al sistema o intentos de conexión del sistema donde han sido instalados
3.3. 4.4 Conmutadores híbridos
3.3.1. Son una solucion muy valiosa si una organizacion puede dedicarle el tiempo y los recursos necesarios
3.3.2. La combinación de un sistema cortafuegos a nivel de aplicación junto con un conmutador de nivel siete permite reducir problemas de seguridad asociados a una programación deficiente, ası como la posibilidad de detectar ataques a nivel de aplicación.
4. 5. Detección de ataques distribuidos
4.1. 5.1 Esquemas tradicionales
4.1.1. tratan de unificar la recogida de información utilizando esquemas y modelos centralizados.
4.1.2. Un pre-filtrado masivo en los propios sensores reduce el flujo de información que hay que transmitir hacia al componente central de procesado.
4.2. 5.2 Analisis decentralizados
4.2.1. La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones.
4.2.1.1. Analisis descentralizado mediante codigo movil
4.2.1.1.1. utilizan el paradigma de agentes software para mover los motores de detección por la red que hay que vigilar (en forma de agente móvil).
4.2.1.2. Analisis descentralizado mediante paso de mensajes
4.2.1.2.1. trata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o mas estaciones de monitorizacion dedicadas a una serie de elementos de control encargados de realizar operaciones similares de forma descentralizada.
5. 1. Sistemas de detección de intrusos
5.1. 1.1 Antecedente de los sistemas de Detección de intrusos
5.1.1. Estos sistemas tenian como finalidad medir el tiempo que dedicaban los operadores a usar los sistemas
5.1.2. Los sistemas de confianza son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de informacion confidencial o clasificada
5.1.3. Primeros sistemas para la deteccion de ataques en tiempo real
5.1.3.1. IDES utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que tenıan lugar (eventos de sistema o ciclos de CPU)
5.1.3.2. Discovery, capaz de detectar e impedir problemas de seguridad en bases de datos
5.1.3.3. MIDAS fue uno de los primeros sistemas de detección de intrusiones conectados a Internet.,contribuyendo a fortalecer los mecanismos de autentificaci´on de usuarios
5.2. 1.2 Arquitectura general de un sistema de detección de intrusiones
5.2.1. Se deben cumplir diferentes requisitos
5.2.1.1. Precision.
5.2.1.2. Eficiencia
5.2.1.3. Rendimiento
5.2.1.4. Escalabilidad
5.2.1.5. Tolerancia en fallos
5.3. 1.3 Recolectores de información
5.3.1. también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de deteccion
5.3.2. Eleccion de sensores
5.3.2.1. Sensores basados en equipo y en aplicaci´on
5.3.2.1.1. podrán recoger información de calidad, ademas de ser fácilmente con figurables y de poder ofrecer información de gran precisión.
5.3.2.1.2. estos sensores pueden repercutir notablemente en la eficiencia del sistema en el que se ejecuten.
5.3.2.2. Sensores basados en red.
5.3.2.2.1. posibilidad de trabajar de forma no intrusiva
5.3.2.2.2. son en realidad conmutadores con capacidad de analisis transparente frente al resto del sistema.
5.3.2.2.3. dificultades a la hora de trabajar en redes de alta velocidad
5.4. 1.4 Procesadores de eventos
5.4.1. también conocidos como analizadores, conforman el núcleo central del sistema de detección.
5.4.1.1. Esquema de deteccion basado en usos indebidos
5.4.1.1.1. cuenta con el conocimiento a priori de secuencias y actividades deshonestas
5.4.1.1.2. analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades tıpicas de los equipos
5.4.1.2. Analizadores basados en reconocimiento de patrones.
5.4.1.2.1. estos analizadores procesan la informacion por medio de funciones internas en el sistema
5.4.1.2.2. Detectar mediante este modelo ataques compuestos por una secuencia de eventos puede llegar a comportar grandes dificultades
5.4.1.2.3. el mantenimiento y la actualizacion de la base de datos de patrones son otros puntos crıticos de este modelo
5.4.1.3. Analizadores basados en transiciones de estados
5.4.1.3.1. hace uso de autómatas finitos para representar los ataques, donde los nodos representan los estados, y las flechas (arcos), las transiciones.
5.4.1.3.2. los diagramas de transicion permiten realizar una representacion a alto nivel de escenarios de intrusion, ofreciendo una forma de identificar una serie de secuencias que conforman el ataque
5.4.1.3.3. se deben crear mediante lenguajes especıficos que, en muchas ocasiones, suelen ser muy limitados e insuficientes para recrear ataques complejos
5.5. 1.6 Elementos de almacenamiento
5.5.1. el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento
5.5.2. Plantearse una jerarquía de almacenamiento que reduzca el volumen de informacion sin penalizar las posibilidades de analisis
5.5.3. la clasificación de la información en términos de análisis son a corto y largo plazo
5.6. 1.5 unidades de respuesta
5.6.1. se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión
5.6.2. las acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva).
5.6.3. se podrıan clasificar en distintas categorias segun el punto de actuacion
5.6.3.1. Unidades de respuesta basadas en equipo.: Se encargan de actuar a nivel de sistema operativo
5.6.3.2. Unidades de respuesta basadas basadas en red. Actuan a nivel de red cortando intentos de conexion, filtrando direcciones sospechosas, etc.
5.6.3.3. Unidades de respuesta basadas en equipo.: Se encargan de actuar a nivel de sistema operativo
6. 2. Escaners de vulnerabilidades
6.1. 2.1 Escaners basado en maquina
6.1.1. fue el primero en utilizarse para la evaluación de vulnerabilidades
6.1.2. Los motores de análisis de vulnerabilidades basados en maquina están muy relacionados con el sistema operativo que evalúan, lo cual provoca que su mantenimiento sea un tanto costoso y complica su administración en entornos heterogéneos.
6.2. 2.2 Escaners basado en red
6.2.1. Prueba por explotación.
6.2.1.1. consiste en lanzar ataques reales contra el objetivo.
6.2.1.2. Estos ataques estan programados normalmente mediante guiones de comandos
6.2.1.3. Este tipo de técnica es bastante agresiva, sobre todo cuando se prueban ataques de denegaci´on de servicio
6.2.2. Metodos de inferencia
6.2.2.1. El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque
6.2.2.2. Este método es menos agresivo que el anterior, aunque los resultados obtenidos son menos exactos.