1. Necesitamos entender como utilizar mecanismos de seguridad para garantizar la proteccion de la red. Cuales fueron los primeros sistemas de deteccion y sus arquitecturas. Tecnologias complementarias a los sistemas de deteccion.
1.1. FASE DE VIGILANCIA
1.2. FASE DE EXPLOTACION DE SERVICIO
1.3. OCULTACION DE HUELLAS
1.4. EXTRACCION DE INFORMACION
1.5. DE QUE MANERA SE ATACA !
2. DETECCION DE INTRUSOS
2.1. QUE ES UNA INTRUSION ?
2.2. QUE ENTENDEMOS COMO DETECCION DE INTRUSIONES ?
3. Autopsia de un ataque !!
3.1. Se decide atacar el servidor HTTP, se tiene que descubrir que servidor funciona. y en que equipo, datos importantes Nombre y Version, ya que pueden existir diferencias de programacion.
3.2. Se descubriran que S.O. y la arquitectura del hardware se ejecuta en el servidor.
3.3. Una vez que se haya comprometido el servidor y el atacante este en fase de Ocultacion, comenzara a ocultar aquello que lo delata o como se dice ocultar todo lo que lo pudiera delatar.
3.4. Algunos utilizan herramientas de sistemas como Rootkit, este deja puertas abiertas con la finalidad de esconder acciones ilegitimas.
4. Nota: Hay que tomar en cuenta que si nuestro sistema, contiene mecanismos de prevencion como ser un buen Firewall, la mayor parte de las conecciones seran eliminadas.
5. QUE ES UN SISTEMA DE CONFIANZA ?
5.1. A finales de 1970 Trusted Computer System Avaluation Criteria, se incluye con una serie de documentos de la agencia de seguridad nacional la cual permite:
5.1.1. Revision de patrones de acceso y mecanismos de proteccion del sistema.
5.1.2. Sirve de garantia frente a usuarios de que toda la informacion recopilada de ataques sera para controlar los posibles daños.
5.1.3. Permite bloquear los intentos de usuarios al momento de saltarse mecanismos de proteccion.
5.2. DETECCION DE ATAQUES EN TIEMPO REAL, PRIMEROS SISTEMAS
5.2.1. IDES
5.2.1.1. Utiliza perfiles para describir los sujetos de un sistema, reglas de actividad para definir acciones.
5.2.2. DISCOVERY
5.2.2.1. Detecta e impide problemas de seguridad en las bases de datos, su novedad radica en la monitorizacion de aplicaciones en lugar de analizar un sistema operativo completo.
5.3. SISTEMAS DE DETECCION DE INTRUSOS ACTUALES
5.3.1. ARQUITECTURA GENERAL DE UN SISTEMA DE DETECCION DE INTRUSIONES
5.3.1.1. Precision : No debe de confundir acciones legitimas con acciones deshonestas, A la hora de detectar algo.
5.3.1.2. Eficiencia : tiene que minimizar la tasa de actividad maliciosa no detectada Cuanto menor sea la tasa de falsos negativos, mayor sera la eficiencia del sistema.
5.3.1.3. Rendimiento : Debe de ser el suficiente, como para poder llegar a realizar una deteccion en tiempo real, esta responde a la deteccion antesde que llegue a provocar daños al sistema.
5.3.1.4. Escalabilidad : Si la red crece en medida y velocidad, se aumentaranel numero de eventos que el sistema debera de tratar, el detector debe de ser capaz de soportar este aumento de eventos.
5.3.2. RECOLECTORES DE INFORMACION
5.3.2.1. TIPOS
5.3.2.1.1. Sensor basado en equipo: analiza y recoge informacion de eventos a nivel de OS.
5.3.2.1.2. Sensor basado en red: recoge informacion de eventos basados en el nivel de trafico de la red, analizar las cabeceras IP de datagramas que pasan por la red.
5.3.2.1.3. Sensor basado en aplicacion: recibe informaicon de aplicaciones que se estan ejecutando