1. Escaneres de vulnerabilidad
1.1. Tipos
1.1.1. Dinámico
1.1.2. Estáticos
1.2. Etapas del funcionamiento general de un escáner de vulnerabilidad
1.2.1. Realizar una extracción de muestras del conjunto de atributos del sistema
1.2.2. Los resultados obtenidos son organizados y comparados con, al menos, un conjunto de referencia
1.2.3. Se genera un informe con las diferencias entre ambos conjuntos de datos.
1.3. Escáneres basados en máquinas
1.4. Escáneres basados en red
1.4.1. Técnicas para la evaluación
1.4.1.1. Prueba por explotación
1.4.1.2. Métodos de inferencia
2. Sistema de Decepción
2.1. Estrategias para construir un sistema de decepción
2.1.1. Equipos de decepción
2.1.1.1. Estos equipos suelen estar diseñados para imitar el comportamiento de equipos de producción reales
2.1.1.2. Deben ser instalados detrás de sistemas cortafuegos configurados para que se permitan conexiones de entrada al equipo de decepción
2.1.2. Celdas de aislamiento
2.1.2.1. Dispositivo intermedio
2.1.2.2. Equipo de decepción
2.1.3. Redes de decepción
2.1.3.1. Todo el tráfico que entra en cualquiera de los equipos se debe considerar sospechoso.
2.1.3.2. Deben contemplar como herramientas de análisis para mejorar la seguridad de las redes de producción.
3. Previsión de Intrusos
3.1. Sistemas de detección en línea
3.1.1. Aplicaciones que se pueden utilizar para desarrollar esta herramienta es hogwash
3.2. Conmutadores de nivel siete
3.2.1. HTTP
3.2.2. FTP
3.2.3. DNS
3.3. Sistema cortafuegos a nivel de aplicación
3.3.1. Primera fase inicialización de perfiles
3.3.2. Segunda fase, las acciones son comparadas por el sistema contra estos perfiles.
3.4. Conmutadores híbridos
3.4.1. Su método de detección está basado en políticas, como el de los sistemas cortafuegos a nivel de aplicación
4. Detección de ataques distribuidos
4.1. Esquemas tradicionales
4.1.1. Unificar la recogida de información utilizando esquemas y modelos centralizados.
4.1.2. Son vulnerables a errores o a ataques deliberados contra la infraestructura de procesado de eventos.
4.2. Análisis descentralizado
4.2.1. Análisis descentralizado mediante código móvil
4.2.1.1. : A medida que estos detectores móviles vayan recogiendo la información que les ofrezcan los sensores, los agentes irán realizando un proceso de análisis descentralizado.
4.2.2. Análisis descentralizado mediante paso de mensajes
4.2.2.1. Tata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o más estaciones de monitorización dedicadas.
5. Mecanismos adicionales en la prevención y protocolos
5.1. Protocolo HTTPSS
5.1.1. Mecanismo de protección de datos
5.1.2. Técnicas criptográficas
5.2. Fase de la intrusión
5.2.1. Fase de vigilancia
5.2.2. Fase de explotación del servicio
5.2.3. Fase de ocultación de huellas
5.2.4. Fase de extracción de información
6. Sistema de detección de intrusos
6.1. Antecedentes
6.1.1. Años 50
6.1.1.1. Bell Telephone System creo un grupo de desarrollo
6.1.1.2. Auditoria mediante el procesamiento electrónico
6.1.2. Años 70
6.1.2.1. Departamento de EEUU invirtió en investigación de políticas de seguridad
6.1.2.2. Se define el concepto de “Sistema de Confianza”
6.1.2.3. El Trusted Computer System Avaluation Criteria (TSCSEC) un apartado sobre los mecanismos de las auditorías como requisito para cualquier sistema de confianza
6.1.3. Años 80
6.1.3.1. Se desarrolla el proyecto Instrusion Detection Expert System (IDES)
6.1.3.2. Otros sistemas de detección
6.1.3.2.1. Discovery
6.1.3.2.2. MIDAS (Multics Intrusion Detection and Alerting System), creado por la NCSC (National Computer Security Center).
6.1.4. Años 90
6.1.4.1. Fusión de los sistemas de detección basados en la monitorización del sistema operativo junto con sistemas distribuidos de detección de redes
6.1.4.2. Aparecen los primeros programas de detección de intrusos de uso comercial.
6.2. Arquitectura general de un sistema de detección de intrusiones
6.2.1. Requisitos
6.2.1.1. Precisión
6.2.1.2. Eficiencia
6.2.1.3. Rendimiento
6.2.1.4. Escalabilidad
6.2.1.5. Tolerancia en fallos
6.2.2. Elementos para la construcción de un sistema detección de intrusos
6.2.2.1. Recolectores de información también conocido como sensor
6.2.2.1.1. Tipos de sensores
6.2.2.1.2. Elección de sensores soluciones híbridas
6.2.2.2. Procesadores de eventos
6.2.2.2.1. Esquema de detección basado en usos indebidos (conocimiento a priori)
6.2.2.2.2. Esquema de detección basado en anomalías
6.2.2.3. Unidades de respuestas
6.2.2.3.1. Tipos de respuestas
6.2.2.3.2. Categorías
6.2.2.4. Elementos de almacenamiento
6.2.2.4.1. Análisis a corto plazo
6.2.2.4.2. Análisis a medio plazo