Mecanismo para la detección de Ataque e Instrusiones

Get Started. It's Free
or sign up with your email address
Mecanismo para la detección de Ataque e Instrusiones by Mind Map: Mecanismo para la detección de Ataque e Instrusiones

1. 1. Necessidad de mecanismos adicionales en la prevencón y protección

1.1. El protocolo HTTPS se utiliza como un mecanismo de protección de los datos de los clientes a la hora de realizar transferencias seguras al servidor de HTTP, utilizando técnicas cartográficas para proteger la información sensible que el usuario transmite al servidor (número de tarjeta de crédito, datos personales, . . . ).

1.2. Fases

1.2.1. 1. Fase de vigilancia. Durante la fase de vigilancia, el atacante intentar´a aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratar´a de descubrir servicios vulnerables y errores de configuración.

1.2.2. 2. Fase de explotación de servicio. Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior.

1.2.3. 3. Fase de ocultación de huellas. Durante esta fase de ocultación se realizar´a toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.

1.2.4. 4.Fase de extracción de información. En esta ultima fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

2. 2. Sistemas de detección de intrusos

2.1. Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.

2.2. Los sistemas de confianza son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultáneo de una variedad de información confidencial o clasificada. En estos sistemas se incluían distintos tipos de información repartida en niveles, que correspondían a su grado de confidencialidad.

2.3. IDES utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos de sistema o ciclos de CPU). Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías.

3. 3. Escáners de vulnerabilidades

3.1. Los escáneres de vulnerabilidades son un conjunto de aplicaciones que nos permitirán realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.

3.2. Etapas de Funcionamiento

3.2.1. 1. Durante la primera etapa se realiza una extracci´on de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

3.2.2. 2. En la segunda etapa, estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos.

3.2.3. 3. Finalmente, se generar´a un informe con las diferencias entre ambos conjuntos de datos.

3.3. Categorias

3.3.1. 1. Escáners basados en máquina Se basa en la utilización de información de un sistema para la detección de vulnerabilidades como, errores en permisos de ficheros, cuentas de usuario abiertas por defecto, entradas de usuario duplicadas o sospechosas, etc.

3.3.2. 2. Escáners basados en red Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.

3.3.2.1. Tecnicas de evaluacion

3.3.2.1.1. 1. Prueba por explotación. Esta tecnica consiste en lanzar ataques reales contra el objetivo.

3.3.2.1.2. 2. Métodos de inferencia. El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.

3.4. Nessus es una herramienta basada en un modelo cliente-servidor que cuenta con su propio protocolo de comunicación

4. 4. Sistemas de decepción

4.1. Los sistemas de decepción, en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.

4.2. Estrategias

4.2.1. 1. Equipos de decepción. También conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el tráfico de uno o más atacantes

4.2.2. 2. Celdas de aislamiento. Al igual que los equipos de decepción, las celdas de aislamiento se pueden utilizar para comprender mejor los métodos utilizados por los intrusos.

4.2.3. 3. Redes de decepción. Se deben contemplar como herramientas de análisis para mejorar la seguridad de las redes de producción. Son una solución muy valiosa si una organización puede dedicarle el tiempo y los recursos necesarios.

5. 5. Prevención de intrusos

5.1. Los sistemas de prevención de intrusos: son el resultado de unir las capacidad de Prevention Systems (IPS). bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitoritación de los sistemas de detección de intrusos.

5.2. Modelos existentes

5.2.1. 1. Sistemas de detección en línea. La mayor parte de los productos y dispositivos existentes para la motorización y detección de ataques en red se basan en la utilización de dos dispositivos de red diferenciados.

5.2.2. 2. Conmutadores de nivel siete. Aunque los conmutadores han sido tradicionalmente dispositivos de nivel de red, la creciente necesidad de trabajar con grandes anchos de banda ha provocado que vayan ganando popularidad los conmutadores a nivel de aplicación (nivel siete del modelo OSI).

5.2.3. 3. Sistemas cortafuegos a nivel de aplicación. Al igual que los conmutadores de nivel siete trabajan en el nivel de aplicación del modelo OSI. Se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.

5.2.4. 4. Conmutadores híbridos. El último modelo de prevención de intrusos que veremos es una combinación de los conmutadores de nivel siete y de los sistemas cortafuegos a nivel de aplicación que acabamos de presentar. Así, un conmutador híbrido ser´a aquel dispositivo de red instalado como un conmutador de nivel siete, pero sin utilizar conjuntos de reglas.

6. 6. Detección de ataques distribuidos

6.1. 1. Esquemas tradicionales Las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados.

6.2. 5.6.2. Análisis descentralizado La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo durísimas restricciones de tiempo real.

6.2.1. tipos

6.2.1.1. a. Análisis descentralizado mediante código móvil. Las propuestas basadas en código móvil para realizar una detección de ataques distribuidos utilizan el paradigma de agentes software para mover los motores de detección por la red que hay que vigilar (en forma de agente móvil).

6.2.1.2. b. Análisis descentralizado mediante paso de mensajes. Al igual que la propuesta anterior, este nuevo esquema trata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o más estaciones de motorización dedicadas (encargadas de recibir toda la información recogida), una serie de elementos de control encargados de realizar operaciones similares de forma descentralizada.