Mecanismos Para la Detección de Ataques e Intrusos

1. Sistemas Antiguos de Detección de Ataques en Tiempo Real

2. *El primero en existir fue el proyecto Instrusion Detection Expert System (IDES), desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann, este proyecto utilizaba perfiles para describir los sujetos del sistema y reglas de actividad para definir las acciones que tenían lugar. *El segundo sistema fue el Discovery, este era capaz de detectar e impedir problemas de seguridad en bases de datos. La novedad de este sistema radicaba en la monitorización de métodos estadísticos. *El tercero en esa época fue el MIDAS creado por la NCSC, este sistema fue implementado para la detección de intrusos conectados a internet. Fue publicado en la red en 1989 y monitorizo el mainframe Dockmaster

3. Arquitectura General de un Sistema de Detección de Intrusos

4. *Precisión: Un sistema de detección de intrusos no debe de confundir acciones legitimas con acciones deshonestas a la hora realizar su detección. *Eficiencia: El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada. *Rendimiento: El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. *Escalabilidad: A medida que la red vaya creciendo también aumentara el numero de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el numero de eventos sin que hayan perdidas de información. *Tolerancia en Fallos: El sistema de detección de intrusos debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema recibe un ataque.

5. Un ataque informático es un método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático es decir un ordenador, red privada.

6. Unidades de Respuesta Las unidades de respuesta de un sistema de detección se encargan de iniciar acciones de respuestas en el momento en que se detecto un ataque o un intruso.

7. Tipos de Unidades de Respuestas

8. *Unidades de Respuesta Basadas en Equipos: Se encargan de actuar a nivel de sistemas operativos. *Unidades de Respuesta Basada en Red: Actúan a nivel de red cortando intentos de conexión, filtrando direcciones sospechosas.

9. Fases que realiza un intruso para atacar

10. *Fase de vigilancia: en esta fase el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar. *Fase de exploración de servicio: Esta fase es la que describe la actividad que permitirá al atacante hacerse con privilegios de administrador abusando de algunas de las deficiencias encontradas en la etapa anterior. *Fase de ocultación de huellas: Durante esta fase de ocultación se realizara toda aquella actividad ejecutada por el atacante para pasar desapercibido en el sistema. *Fase de extracción de información: es la última fase aquí el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

11. Sistemas Actuales de Detección de Ataques en Tiempo Real

12. *El primero fue la fusión de los sistemas de detección basados en la monitorización del sistema operativo junto con sistemas distribuidos de detección de redes que fueran capaces de monitorizar en grupo ataques e intrusos conectados a internet por medio de red. *Segundo aparecieron los sistemas de detección de intrusos de uso comercial, este es desarrollado para ocupar una posición destacada en el ámbito de la seguridad, y otras los creaban para mejorar los niveles de seguridad exigidos por la NCSC.

13. Escáner de Vulnerabilidad Son un conjunto de aplicaciones que nos permiten realizar pruebas o test de ataque para determinar si una red o un equipo tienen deficiencia de seguridad que pueden ser explotadas por un posible atacante.

14. Funcionamiento de un Escáner de Vulnerabilidad

15. *Primera etapa: Se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguros. *Segunda Etapa: Estos resultados son organizados y comparados con, al menos, un conjunto de referencia de datos. Este conjunto de referencia podría ser una plantilla con la configuración ideal generada manualmente. *Tercera Etapa: Se generara un informe con las diferencias entre ambos conjuntos de datos.