Mecanismos para la detección de ataques e intrusos

Lancez-Vous. C'est gratuit
ou s'inscrire avec votre adresse e-mail
Mecanismos para la detección de ataques e intrusos par Mind Map: Mecanismos para la detección de ataques e intrusos

1. Detección de Intrusos

1.1. Antecedentes de los sistemas de detección de intrusos

1.1.1. Primeros sistemas para la detección de ataques en tiempo real

1.1.1.1. El proyecto Instrusin Detection Expert System (IDES), desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros sistemas de deteccion de intrusos en tiempo real.

1.1.2. Sistemas de deteccion de intrusos actuales

1.1.2.1. A partir de los anos 90, el rápido crecimiento de las redes de ordenadores provoco la aparición de nuevos modelos de detección de intrusiones.

1.2. Arquitectura general de un sistema de deteccion de intrusiones

1.2.1. Precisión.

1.2.1.1. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.

1.2.2. Eficiencia.

1.2.2.1. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos).

1.2.3. Rendimiento.

1.2.3.1. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real.

1.3. Recolectores de informacion

1.3.1. Un recolector de información, también conocido como sensor, es el responsable de la recogida de información de los equipos monitorizados por el sistema de deteccion.

1.4. Procesadores de eventos

1.4.1. Los procesadores de eventos, también conocidos como analizadores, conforman el núcleo central del sistema de detección. Tienen la responsabilidad de operar sobre la información recogida por los sensores para poder inferir posibles intrusiones.

1.5. Unidades de respuesta

1.5.1. La unidad de respuesta de un sistema de detección se encargara de iniciar acciones de respuesta en el momento que detecte intrusos

1.6. Elementos de almacenamiento

1.6.1. En algunas situaciones, el volumen de información recogida por los sensores del sistema de detección llega a ser tan elevado que se hace necesario, previo análisis, un proceso de almacenamiento

2. Prevención de intrusos

2.1. Los Prevention Systems (IPS). sistemas de prevención de intrusos son el resultado de unir las capacidad de bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitoritacion de los sistemas de detección de intrusos.

2.2. Sistemas de detección en línea

2.2.1. La mayor parte de los productos y dispositivos existentes para la monitorizacion y deteccion de ataques en red se basan en la utilizacion de dos dispositivos de red diferenciados

2.3. Conmutadores de nivel siete

2.3.1. Aunque los conmutadores han sido tradicionalmente dispositivos de nivel de red.

2.4. Sistemas cortafuegos a nivel de aplicacion

2.4.1. Los sistemas cortafuegos a nivel de aplicación, al igual que los conmutadores de nivel siete que acabamos de ver, trabajan en el nivel de aplicación del modelo OSI.

2.5. Conmutadores híbridos

2.5.1. El ultimo modelo de prevención de intrusos que veremos es una combinación de los conmutadores de nivel siete y de los sistemas cortafuegos a nivel de aplicacion que acabamos de presentar

3. Detección de ataques distribuidos

3.1. Un caso de interes especial dentro de los mecanismos de detección es el de la identificación de ataques distribuidos o coordinados.

3.2. Esquemas tradicionales

3.2.1. Las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados

3.3. Análisis descentralizado

3.3.1. Análisis descentralizado mediante código móvil

3.3.1.1. A medida que estos detectores móviles vayan recogiendo la información que les ofrezcan los sensores.

3.3.2. Análisis descentralizado mediante paso de mensajes

3.3.2.1. Al igual que la propuesta anterior, este nuevo esquema trata de eliminar la necesidad de nodos centrales o intermediarios ofreciend

4. Necesidad de mecanismos adicionales en la prevención y protección

4.1. Fase de vigilancia.

4.1.1. Durante la fase de vigilancia, el atacante intentara aprender todo lo que pueda sobre la red que quiere atacar. En especial, tratara de descubrir servicios vulnerables y errores de configuración.

4.2. Fase de explotación de servicio:

4.2.1. Este segundo paso describe la actividad que permitirá al atacante hacerse con privilegios de administrador (escala de privilegios) abusando de alguna de las deficiencias encontradas durante la etapa anterior.

4.3. Fase de ocultación de huellas.

4.3.1. Durante esta fase de ocultación se realizara toda aquella actividad ejecutada por el atacante (una vez ya producida la intrusión) para pasar desapercibido en el sistema.

4.4. Fase de extracción de información.

4.4.1. En esta ultima fase, el atacante con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.

5. Escaners de vulnerabilidades

5.1. Los escaners de vulnerabilidades son un conjunto de aplicaciones que nos permitirán realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.

5.1.1. El funcionamiento general de un escaner de vulnerabilidades se podra dividir en tres etapas:

5.1.1.1. Primera etapa: se realiza una extracción de muestras del conjunto de atributos del sistema, para poder almacenarlas posteriormente en un contenedor de datos seguro.

5.1.1.2. Segunda etapa: estos resultandos son organizados y comparados con, al menos, un conjunto de referencia de datos.

5.1.1.3. Tercera Etapa: se generara un informe con las diferencias entre ambos conjuntos de datos

5.2. Escaners basados en maquina

5.2.1. Este tipo de herramientas fue el primero en utilizarse para la evaluación de vulnerabilidades.

5.3. Escaners basados en red

5.3.1. Los escaners de vulnerabilidades basados en red aparecieron posteriormente y se han ido haciendo cada vez mas populares.

6. Sistemas de decepcion

6.1. Hasta el momento, los mecanismos de seguridad que hemos visto buscan abordar el problema de la seguridad de una red desde un punto de vista defensivo.

6.2. Equipos de decepcion

6.2.1. Los equipos de decepción, también conocidos como tarros de miel o honeypots, son equipos informáticos conectados en que tratan de atraer el trafico de uno o mas atacantes

6.3. Celdas de aislamiento

6.3.1. Las celdas de aislamiento tienen una metodología muy similar a los equipos de decepción que acabamos de ver.

6.4. Redes de decepcion

6.4.1. Un enfoque mas avanzado que los anteriores consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos (permitiendo su acceso sin demasiada dificultad).