1. Prevención de intrusos
1.1. Prevention Systems (IPS). Los sistemas de prevencion de intrusos son el resultado de unir las capacidad de bloqueo de los mecanismos de prevencion (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de analisis y monitoritacion de los sistemas de deteccion de intrusos.
1.2. Sistemas de deteccion en lınea
1.2.1. Una de las aplicaciones que podrıamos utilizar para desarrollar esta idea es la herramienta Hogwash Ved la pagina web hogwash. Se trata de una utilidad de red que utiliza el procesador de eventos des nort para anular todo aquel trafico malicioso encaminado contra la red que se quiere proteger.
1.3. Sistemas cortafuegos a nivel de aplicacion
1.3.1. Los sistemas cortafuegos a nivel de aplicacion, al igual que los conmutadores de nivel siete que acabamos de ver, trabajan en el nivel de aplicacion del modelo OSI. Se trata de unas herramientas de prevencion que se puede instalar directamente sobre el sistema final que se quiere proteger.
1.4. Conmutadores hıbridos
1.4.1. El ultimo modelo de prevencion de intrusos que veremos es una combinacion de los conmutadores de nivel siete y de los sistemas cortafuegos a nivel de aplicacion que acabamos de presentar. Ası, un conmutador hıbrido sera aquel dispositivo de red instalado como un conmutador de nivel siete, pero sin utilizar conjuntos de reglas.
1.5. Esquemas tradicionales
1.5.1. Las primeras propuestas para extender la deteccion de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de informacion utilizando esquemas y modelos centralizados. As´ı, estas propuestas plantean la instalacion de sensores en cada uno de los equipos que se desea proteger, configurados para poder retransmitir toda la informacion hacia un punto central de analisis.
2. Sistemas de decepciones
2.1. Los equipos de decepcion, tambien conocidos como tarros de miel o honeypots, son equipos informaticos conectados en que tratan de atraer el trafico de uno o mas atacantes. De esta forma, sus administradores podran ver intentos de ataques que tratan de realizar una intrusion en el sistema y analizar como se comportan los elementos de seguridad implementados en la red.
2.2. Celdas de aislamiento
2.2.1. Las celdas de aislamiento tienen una metodolog´ıa muy similar a los equipos de decepcion En ingles, padded cell. que acabamos de ver. Mediante el uso de un dispositivo intermedio (con capacidades de deteccion y encaminamiento) todo el trafico etiquetado como malicioso sera dirigido hacia un equipo de decepcion (conocido en este caso como celda de aislamiento).
2.3. Redes de decepcion
2.3.1. Los equipos de este segmento ofreceran servicios configurados de tal modo que puedan atraer la atencion a toda una comunidad de intrusos con el objetivo de registrar todos sus movimientos mediante los equipos de la red de decepcion.
3. Sistema de detección de intrusos
3.1. 1. Fase de vigilancia: Durante la fase de vigilancia, el atacante intentar a aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratar a de descubrir servicios vulnerables y errores de configuracion.
3.2. 2. Fase de explotación de servicio: Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior.
3.3. 3. Fase de ocultacion de huellas. Durante esta fase de ocultacion se realizara toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusion) para pasar desapercibido en el sistema.
3.4. 4. Fase de extraccion de informacion. En esta ultima fase, el atacante con privilegios de administrador tendra acceso a los datos de los clientes mediante la base de datos de clientes.
4. Escaneres de vulnerabilidades
4.1. Durante la primera etapa se realiza una extraccion de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.
4.2. En la segunda etapa, estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos. Este conjunto de referencia podr´ıa ser una plantilla con la configuracion ideal generada manualmente, o bien ser una imagen del estado del sistema realizada con anterioridad.
4.3. Finalmente, se generara un informe con las diferencias entre ambos conjuntos de datos.
4.4. Escaners basados en maquina
4.4.1. Este tipo de herramientas fue el primero en utilizarse para la evaluacion de vulnerabilida- des. Se basa en la utilizacion de informacion de un sistema para la deteccion de vulnera- bilidades como, por ejemplo, errores en permisos de ficheros, cuentas de usuario abiertas por defecto, entradas de usuario duplicadas o sospechosas, etc.
4.5. Escaners basados en red
4.5.1. Prueba por explotacion. Esta tecnica consiste en lanzar ataques reales contra el ob-jetivo. Estos ataques estan programados normalmente mediante guiones de comandos. En lugar de aprovechar la vulnerabilidad para acceder al sistema, se devuelve un indicador que muestra si se ha tenido ´ exito o no. Obviamente, este tipo de tecnica es bastante agresiva, sobre todo cuando se prueban ataques de denegaci ´ on de servicio.
4.5.2. Metodos de inferencia. El sistema no explota vulnerabilidades, sino que busca indici- os que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.