Mecanismos para la detección de ataques e intrusiones

1. Mecanismo de auditoria

1.1. Permitir la revisión de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protección del sistema.

1.2. Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protección.

1.3. Permitir el descubrimiento de la transición de usuario cuando pasa de un nivel menor de privilegios a otro mayor (escalada de privilegios).

1.4. Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de protección del sistema.

1.5. Servir de garantía frente a los usuarios de que toda la información que se recoja sobre ataques e intrusiones ser´a suficiente para controlar los posibles da˜nos ocasionados en el sistema.

2. Sistemas de detección de ataques

2.1. IDES

2.1.1. Utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos de sistema o ciclos de CPU). Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalias.

2.2. MIDAS

2.2.1. fue uno de los primeros sistemas de detección de intrusiones conectados a Internet. Fue publicado en la red en 1989 y monitorizo el mainframe Dockmaster en 1990, contribuyendo a fortalecer los mecanismos de identificación de usuarios.

3. Requisitos para cumplir con los estudios

3.1. Precisión

3.1.1. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

3.2. Eficiencia

3.2.1. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor ser´a la eficiencia del sistema de detección de intrusos. ´Este es un requisito complicado, ya que en ocasiones puede llegar a ser imposible obtener todo el conocimiento necesario sobre ataques pasados, actuales y futuros.

3.3. Rendimiento

3.3.1. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detección en tiempo real responde a la detección de la intrusión antes de que ´esta llegue a provocar daños en el sistema. Según los expertos, este tiempo debería de ser inferior a un minuto.

3.4. Escalibidad

3.4.1. A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentar´a el numero de eventos que deber´a tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el numero de eventos, sin que se produzca perdida de información. Este requisito es de gran relevancia en sistemas de detección de ataques distribuidos, donde los eventos son lanzados en diferentes equipos del sistema y deben ser puestos en correspondencia por el sistema de detección de intrusiones.

4. Escaners de vulnerabilidades

4.1. Son un conjunto de aplicaciones que nos permi tiran realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o co munidad de atacantes.

4.2. Funcionamiento

4.2.1. Durante la primera etapa se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

4.2.2. En la segunda etapa, estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos.

4.2.3. Finalmente, se generara un informe con las diferencias entre ambos conjuntos de datos

4.3. Basados en maquina

4.3.1. COPS

4.3.2. TIGER

4.4. Basados en red

4.4.1. Nessus

5. Equipos de Decepcion

5.1. tambien conocidos como tarros de miel o honeypots, son equipos informaticos conectados en que tratan de atraer el tr´afico de uno o mas atacantes. De esta forma, sus administradores podr´an ver intentos de ataques que tratan de realizar una intrusi´on en el sistema y analizar como se comportan los elementos de seguridad implementados en la red.

6. Fases del atacante

6.1. Fase de Vigilancia

6.1.1. Atacante intentar´a aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratar´a de descubrir servicios vulnerables y errores de configuración.

6.2. Fase de explotaci´on de servicio

6.2.1. Describe la actividad que permitir a al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior.

6.3. Fase de ocultación de huellas

6.3.1. Realizara toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.

6.4. Fase de extracción de información

6.4.1. El atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

7. Rootkits

7.1. Suelen contener versiones modificadas de las herramientas básicas de administración, con la finalidad de esconder las acciones ilegitimas de un atacante y hacer pasar inadvertida la intrusión. Ademas, trataran de garantizar futuras entradas en el equipo sin que el administrador del sistema las detecte.

8. Intrusión

8.1. Es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo.

9. Prevencion de intrusos

9.1. Son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de analisis y monitoritación de los sistemas de detección de intrusos.

10. Cortafuegos

10.1. elemento de prevención que realizara un control de acceso para separar la red de los equipos del exterior (potencialmente hostiles). En ingles, firewall.