Mecanismos para la Deteccion de Ataques e Inrusos

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Mecanismos para la Deteccion de Ataques e Inrusos por Mind Map: Mecanismos para la Deteccion de Ataques e Inrusos

1. Antecedentes de los Sistemas de Deteccion de Intrusos

1.1. Los sistemas de detección de intrusos son una evolución directa de los primeros sistemas de auditorias. Estos sistemas tenían como finalidad medir el tiempo que dedicaban los operadores a usar los sistemas.

2. Detección de Ataques Distribuidos

2.1. Esquemas Tradicionales

2.1.1. Plantean la instalación de sensores en cada uno de los equipos que se desea proteger, configurados para poder retransmitir toda la información hacia un punto central de análisis.

2.2. Análisis Desentralizado

2.2.1. Código Movil

2.2.1.1. Las propuestas basadas en código móvil para realizar una detección de ataques distribuidos utilizan el paradigma de agentes software para mover los motores de detección por la red que hay que vigilar.

2.2.2. Paso de Mensajes

2.2.2.1. Trata de eliminar la necesidad de nodos centrales o intermediarios ofreciendo, en lugar de una o mas estaciones de monitorizacion dedicadas, una serie de elementos de control encargados de realizar operaciones similares de forma descentralizada.

3. Prevención de Intrusos

3.1. Sistemas de Detección en Linea

3.1.1. Permite analizar el trafico del segmento de red. Ademas, esta interfaz no suele tener asignada ninguna direccion IP, disminuyendo de esta forma las posibilidades de ser detectada.

3.2. Conmutadores de Nivel SIete

3.2.1. Estos dispositivos se suelen utilizar para realizar tareas de balanceo de carga de una aplicación entre varios servidores.

3.3. Sistemas Cortafuegos a Nivel de Aplicacion

3.3.1. Se trata de unas herramientas de prevención que se puede instalar directamente sobre el sistema final que se quiere proteger.

3.4. Conmutadores Hibirdos

3.4.1. Permite reducir problemas de seguridad asociados a una programación deficiente, así como la posibilidad de detectar ataques a nivel de aplicación.

4. Escaner de Vulnerabilidades

4.1. Escaners Basados en Red

4.1.1. En este tipo se realizan pruebas de ataque y registran las respuestas obtenidas. No se deben confundir estos analizadores de vulnerabilidades basados en red con los analizadores de sistemas de detección de intrusos. Algunas Técnicas mas utilizadas: 1. Pruebas por explotación y 2. Métodos de Interferencia

4.2. Escaners Basados en Maquina

4.2.1. Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de información de un sistema para la detección de vulnerabilidades. Algunos ejemplos son el Tiger y el Cops.

5. Sistemas de Deteccion de Intrusos

5.1. Arquitectura General de un Sistema

5.1.1. Precision

5.1.1.1. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

5.1.2. Eficiencia

5.1.2.1. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor sera la eficiencia del sistema de detección de intrusos.

5.1.3. Rendimiento

5.1.3.1. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.

5.1.4. Estabilidad

5.1.4.1. A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentara el numero de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el numero de eventos, sin que se produzca perdida de información.

5.1.5. Tolerancia en Fallos

5.1.5.1. El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión).

5.2. Recolectores de Informacion

5.2.1. Un recolector de información, también conocido como sensor, es el responsable de la recogida de información de los equipos motorizados por el sistema de detección.

5.3. Procesadores de Eventos

5.3.1. También conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.

5.4. Unidades de Respuesta

5.4.1. Se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva).

5.5. Elementos de Almacenamiento

5.5.1. En algunas situaciones, el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento.