1. Prevención e intrusos
1.1. Sistemas de detección en línea
1.1.1. Herramientas de prevención como Hogwash
1.2. Conmutadores de nivel siete
1.2.1. HTTP
1.2.2. FTP
1.2.3. DNS
1.3. Sistema cortafuegos a nivel de aplicación
1.3.1. Inicialización de perfiles
1.3.2. Acciones de comparación por el sistema contra estos perfiles
1.4. Equipos de decepción
1.4.1. Sus métodos de detección están basados en políticas, como el de los sistemas cortafuegos a nivel de aplicación
2. Detección de ataques distribuidos
2.1. Esquemas tradicionales
2.1.1. Unificación dela información utilizando esquemas y modelos centralizados
2.1.2. Son vulnerables a errores o ataques deliberados contra la infraestructura de procesado de eventos.
2.2. Análisis descentralizado
2.2.1. Análisis descentralizado mediante código móvil
2.2.1.1. A media que estos detectores móviles vayan recogiendo la información que les ofrezca los sensores, los agentes irán realizando un proceso de análisis descentralizado.
2.2.2. Análisis descentralizado mediante paso de mensajes
2.2.2.1. Trata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o más estaciones de monitorización dedicadas.
3. Sistema de decepción
3.1. Estrategias para construir un sistema de decepción
3.1.1. Equipos de decepción
3.1.1.1. Estos equipos normalmente están diseñados para imitar el comportamiento de equipos de producción reales
3.1.1.2. Deben ser instalados detrás de sistemas cortafuegos configurados para que se permitan conexiones de entrada al equipo de decepción
3.1.2. Celdas de aislamiento
3.1.2.1. Dispositivos intermedios
3.1.2.2. Equipos de decepción
3.1.3. Redes de decepción
3.1.3.1. Todo el tráfico que entra en cualquiera de los equipos se debe considerar sospechosos
3.1.3.2. Deben contemplar como herramientas de análisis para mejorar la seguridad de las redes de producción
4. Mecanismos adicionales en la prevención y protección
4.1. Protocolo HTTPS
4.2. Fases de intrusión
4.2.1. Fase de vigilancia
4.2.2. Fase de explotación de servicio
4.2.3. Fase de ocultación de huella
4.2.4. Fase de extracción de información
5. Escáners de vulnerabilidades
5.1. Tipos
5.1.1. Dinámicos
5.1.2. Estáticos
5.2. Etapas del funcionamiento de un escáner de vulnerabilidad
5.2.1. Realizar una extracción muestra del conjunto de atributos del sistema
5.2.2. Los resultados obtenidos son organizados y comparados con, al menos, un conjunto de referencias
5.2.3. Se genera un informe con las diferencias entre ambos conjuntos de datos
5.3. Escáners basados en maquinas
5.4. Escáners basados en redes
5.4.1. Técnicas de evaluación
5.4.1.1. Prueba de explotación
5.4.1.2. Métodos de interferencia
6. Sistemas de detección de intrusos
6.1. Mecanismos para la detección de ataques e intrusos: tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.
6.2. Una intrusión es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo.
6.3. La detección de intrusiones es el proceso de identificación y respuesta ante las actividades Ilícitas observadas contra uno o varios recursos de una red.
6.4. Antecedentes de los sistemas de detección de intrusos
6.4.1. Años 50
6.4.1.1. Bell Telephone Systems creo un grupo de desarrollo
6.4.1.2. Auditoria mediante el proceso electrónico
6.4.2. Años 70
6.4.2.1. Departamento de EEUU invirtió en investigación de políticas de seguridad
6.4.2.2. Se define el concepto de “Sistema de confianza”
6.4.2.3. El Trusted Computer System Avaluation Criteria (TSCSEC) un apartado sobre los mecanismos de las auditorias como requisito para cualquier sistema de confianza con un nivel de seguridad elevado.
6.4.3. Años 80
6.4.3.1. Se desarrolla el proyecto Instrusion Detection Expert System (IDES)
6.4.3.2. Desarrollo de otros sistemas de detección
6.4.3.2.1. MIDAS (Multics Intrusion Detection and Alerting System), fue uno de los primeros sistemas de detección de intrusiones conectados a internet. Fue publicado en la red en 1989 y monitorizó el mainframe Dockmaster en 1990, contribuyendo a fortalecer los mecanismos de autentificación de usuarios
6.4.4. Años 90
6.5. Arquitectura general de un sistema de detección de intrusiones
6.5.1. Requisitos
6.5.1.1. Precisión
6.5.1.2. Eficiencia
6.5.1.3. Rendimiento
6.5.1.4. Escalabilidad
6.5.1.5. Tolerancia en fallos
6.5.2. Elementos necesarios para la construcción de un sistema para la detección de intrusos
6.5.2.1. Recolectores de información
6.5.2.1.1. Tipos de Sensores: -Sensores basados en equipo y en aplicación -Sensores basados en red -Sensores basados en aplicación
6.5.2.2. Procesadores de eventos
6.5.2.2.1. Esquema de detección en usos indebidos
6.5.2.2.2. Esquema de detección basado en anomalías
6.5.2.3. Unidades de respuesta
6.5.2.3.1. Tipos de respuestas: -Automáticas -Con interacción humana
6.5.2.3.2. Categorías: -Unidades de respuesta en equipo -Unidades de respuesta basas en red
6.5.2.4. Elementos de almacenamiento
6.5.2.4.1. Análisis de corto plazo
6.5.2.4.2. Análisis de medio plazo