Mecanismos para la deteccion de ataques e intrusiones

1. La detección de intrusiones* es el proceso de identificación y respuesta ante las Detección (ID). actividades ilícitas observadas contra uno o varios recursos de una red.

1.1. Los sistemas de confianza son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de informacion confidencial o clasificada. En estos sistemas se incluian distintos tipos de informacion repartida en niveles, que correspondian a su grado de confidencialidad.

2. El funcionamiento general de un esc´aner de vulnerabilidades se podr´ia dividir en tres etapas:

2.1. Finalmente, se generar´a un informe con las diferencias entre ambos conjuntos de datos.

2.2. En la segunda etapa, estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos

2.3. Durante la primera etapa se realiza una extracci´on de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

3. Preocupados por la seguridad de su red y, en concreto, por la seguridad de los datos de sus clientes, la empresa protege la red con un sistema cortafuegos, que permite únicamente la entrada de peticiones HTTP, HTTPS y consultas de DNS, aceptando también la transmisión de las respuestas a las peticiones HTTP, HTTPS y DNS.

4. Observando las propuestas tanto del CIDF como las del IDWG podemos ver que los elementos necesarios para la construcci´on de un sistema

4.1. Unidades de respuesta

4.2. Procesadores de eventos.

4.3. Recolectores de informacion.

4.4. Elementos de almacenamiento

5. En todos estos estudios se han realizado diferentes propuestas y disenos con el objetivo de cumplir los siguientes requisitos

5.1. Rendimiento

5.1.1. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.

5.2. Eficiencia

5.2.1. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos).

5.3. Precision.

5.3.1. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

5.4. Escalabilidad

5.4.1. A medida que la red vaya creciendo (tanto en medida como en velocidad), tambi´en aumentar´a el n´umero de eventos que deber´a tratar el sistema.

5.5. Tolerancia en fallos

5.5.1. El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión).

6. Libro marrón:

6.1. Permitir el bloqueo de los intentos de los usuarios de saltarse los mecanismos de proteccion del sistema.

6.2. Permitir el descubrimiento de la transici´on de usuario cuando pasa de un nivel menor de privilegios a otro mayor (escalada de privilegios).

6.3. Permitir el descubrimiento tanto de intentos internos como externos de burlar los mecanismos de protecci´on.

6.4. Permitir la revisi´on de patrones de acceso (por parte de un objeto o por parte de un usuario) y el uso de mecanismos de protecci´on del sistema.

6.5. Servir de garant´ia frente a los usuarios de que toda la informaci´on que se recoja sobre ataques e intrusiones ser´a suficiente para controlar los posibles da˜nos ocasionados en el sistema.

7. Un recolector de informaci´on

7.1. también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de detección.

8. -La intrusión que el atacante intentara llevar a cabo pasara por las siguientes cuatro fases:

8.1. Fase de vigilancia. Durante la fase de vigilancia, el atacante intentar´a aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratar´a de descubrir servicios vulnerables y errores de configuraci´on.

8.2. Fase de explotación de servicio. Este segundo paso describe la actividad que permitir´a al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior.

8.3. Fase de ocultación de huellas. Durante esta fase de ocultación se realizar´a toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.

8.4. Fase de extracción de información. En esta ´ultima fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

9. El protocolo HTTPS se utiliza como un mecanismo de protección de los datos de los clientes a la hora de realizar transferencias seguras al servidor de HTTP, utilizando técnicas criptograficas para proteger la información sensible que el usuario transmite al servidor (numero de tarjeta de crédito, datos personales, ).

9.1. Una intrusión es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo

10. rootkit

10.1. es una recopilación de herramientas de sistema, la mayoría de ellas fraudulentas, que se encargaran de dejar puertas abiertas en el sistema atacado, para garantizar as´i futuras conexiones con la misma escalada de privilegios, as´i como ofrecer la posibilidad de realizar nuevos ataques al sistema o a otros equipos de la red (denegaciones de servicio, escuchas en la red, ataques contra contraseñas del sistema, etc).

11. Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.

12. IDES

12.1. utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que ten´ian lugar (eventos de sistema o ciclos de CPU).

12.1.1. MIDAS

12.1.1.1. fue uno de los primeros sistemas de deteccion de intrusiones conectados a internet. Fue publicado en la red en 1989 y monitorizo el mainframe Dockmaster en 1990, contribuyendo a fortalecer los mecanismos de autentificaci´on de usuarios

13. Sensores

13.1. Sensores basados en equipo y en aplicacion

13.2. Sensores basados en red

14. Los procesadores de eventos, tambi´en conocidos como analizadores, conforman el n´ucleo central del sistema de detecci´on. Tienen la responsabilidad de operar sobre la informaci´on recogida por los sensores para poder inferir posibles intrusiones

14.1. La detecci´on de intrusiones basada en el modelo de usos indebidos cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades t´ipicas de los equipos.

14.2. Analizadores basados en transiciones de estados. Este modelo hace uso de aut´omatas finitos para representar los ataques, donde los nodos representan los estados, y las flechas (arcos), las transiciones.

14.3. Un perfil sirve como m´etrica (medida de un conjunto de variables) de comportamientos normales. Cualquier desviaci´on que supere un cierto umbral respecto al perfil almacenado ser´a tratado como una evidencia de ataque o intrusi´on.

14.4. Las unidades de respuesta de un sistema de detecci´on se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusi´on. Estas acciones de respuesta pueden ser autom´aticas (respuesta activa) o requerir interacci ´on humana (respuesta passiva).

15. Las dos categorias mas generales son

15.1. Unidades de respuesta basadas en equipo. Se encargan de actuar a nivel de sistema operativo (como, por ejemplo, bloqueo de usuarios, finalizacion de procesos).

15.2. Unidades de respuesta basadas basadas en red. Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas