Mecanismos para la detección de ataques intrusiones

1. En este módulo didáctico se fijan los siguientes objetivos:

1.1. 1) Entender la necesidad de utilizar mecanismos adicionales para garantizar la seguridad de una red ya protegida con mecanismos de seguridad tradicionales.

1.1.1. Supongamos que un atacante está preparando introducirse en la red de una pequeña empresa para obtener los datos de sus clientes:

1.1.1.1. El protocolo HTTPS se utiliza como un mecanismo de protección de los datos de los clientes a la hora de realizar transferencias seguras al servidor de HTTP, utilizando técnicas criptográficas para proteger la información sensible que el usuario transmite al servidor (número de tarjeta de crédito, datos personales).

1.1.1.2. La intrusión que el atacante intentar a llevar a cabo pasara por las siguientes cuatro fases:

1.1.1.2.1. Fase de vigilancia.

1.1.1.2.2. Fase de explotación de servicio.

1.1.1.2.3. Fase de ocultación de huellas.

1.1.1.2.4. Fase de extracción de información.

1.2. 2) Comprender el origen de los primeros sistemas de deteccion y ver la arquitectura general de estos sistemas.

1.2.1. Como acabamos de ver, desde el comienzo de la década de los ochenta se han llevado a cabo multitud de estudios referentes a la construcción de sistemas para la detección de Intrusos. En todos estos estudios se han realizado diferentes propuestas y diseños con el Objetivo de cumplir los siguientes requisitos:

1.2.1.1. Precision.

1.2.1.2. Eficiencia.

1.2.1.3. Rendimiento.

1.2.1.4. Escalabilidad.

1.2.1.5. Tolerancia en fallos.

1.3. 3) Ver otras tecnologıas complementarias a los sistemas de deteccion tradicionales

1.4. 5.2. Sistemas de deteccion de intrusos

1.4.1. La detección de ataques e intrusiones parte de la idea que un atacante es capaz de violar Nuestra política de seguridad, atacando parcial o totalmente los recursos de una red, con el Objetivo final de obtener un acceso con privilegios de administrador.

1.4.1.1. Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.

2. Detencion de ataques Distribuidos

2.1. las distintas propuestas que existen para poder poner en correspondencia los eventos recogidos en distintos equipos de la red, a fin de implementar una detección de ataques e intrusiones distribuida puede ser:

2.1.1. Esquemas tradicionales

2.1.2. Analisis descentralizado

2.1.2.1. Analisis descentralizado mediante codigo movil

2.1.2.2. Analisis descentralizado mediante paso de mensajes

3. Sistema de Decepcion

3.1. Los sistemas de decepción, en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorizacion para registrar y analizar estas acciones, tratando de aprender de los atacantes.

3.1.1. Las distintas estrategias que se pueden emplear para la construccion de este tipo de sistemas.

3.1.1.1. Equipos de decepcion

3.1.1.2. Celdas de aislamiento

3.1.1.3. Redes de decepcion

4. Prevencion de Intrusos

4.1. Los sistemas de prevención de intrusos son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención en caminadores con filtrado de paquetes y pasarelas con las capacidades de análisis y monitorización de los sistemas de detección de intrusos.

4.1.1. A continuación haremos un breve repaso sobre los modelos existentes mas relevantes para construir un sistema de prevención tal como acabamos de definir.

4.1.1.1. Sistemas de deteccion en lınea

4.1.1.2. Conmutadores de nivel siete

4.1.1.3. Sistemas cortafuegos a nivel de aplicacion

4.1.1.4. Conmutadores hıbridos

5. Escaners de Vulnerabilidaes

5.1. Los escaners de vulnerabilidades son un conjunto de aplicaciones que nos permitirán realizar pruebas de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.

5.1.1. El funcionamiento general de un escaner de vulnerabilidades se podria dividir en tres etapas:

5.1.1.1. Durante la primera etapa se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

5.1.1.2. En la segunda etapa, estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente, o bien ser una imagen del estado del sistema realizada con anterioridad.

5.1.1.3. Finalmente, se generara un informe con las diferencias entre ambos conjuntos de datos.