1. Prevencion de intrusos
1.1. Los sistemas de prevencion de intrusos* son el resultado de unir las capacidad de bloqueo de los mecanismos de prevencion (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de analisis y monitoritacion de los sistemas de deteccion de intrusos.
1.1.1. Sistemas de deteccion en lınea
1.1.2. Conmutadores de nivel siete
1.1.3. Sistemas cortafuegos a nivel de aplicacion
1.1.4. Conmutadores hıbridos
2. Sistemas de decepcion
2.1. Los sistemas de decepcion, en vez de neutralizar las acciones de los atacantes, utilizan tecnicas de monitorizacion para registrar y analizar estas acciones, tratando de aprender de los atacantes.
2.1.1. Equipos de decepcion
2.1.1.1. Los equipos de decepcion, tambien conocidos como tarros de miel o honeypots, son equipos informaticos conectados en que tratan de atraer el trafico de uno o mas atacantes.
2.1.2. Celdas de aislamiento
2.1.2.1. Al igual que los equipos de decepcion, las celdas de aislamiento se pueden utilizar para comprender mejor los metodos utilizados por los intrusos.
2.1.3. Redes de decepcion
2.1.3.1. Las redes de decepcion se deben contemplar como herramientas de analisis para mejorar la seguridad de las redes de produccion. Son una solucion muy valiosa si una organizacion puede dedicarle el tiempo y los recursos necesarios.
3. Escaners de vulnerabilidades
3.1. Los escaners de vulnerabilidades son un conjunto de aplicaciones que nos permitiran realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que pueden ser explotadas por un posible atacante o comunidad de atacantes.
3.1.1. Escaners basados en maquina
3.1.1.1. Este tipo de herramientas fue el primero en utilizarse para la evaluaci´on de vulnerabilidades. Se basa en la utilizaci´on de informaci´on de un sistema para la detecci´on de vulnerabilidades como, por ejemplo, errores en permisos de ficheros, cuentas de usuario abiertas por defecto, entradas de usuario duplicadas o sospechosas, etc.
3.1.2. Escaners basados en red
3.1.2.1. Los escaners de vulnerabilidades basados en red aparecieron posteriormente y se han ido haciendo cada vez mas populares. Obtienen la informacion necesaria a traves de las conexiones de red que establecen con el objetivo que hay que analizar.
3.1.2.2. tecnicas
3.1.2.2.1. Prueba por explotacion. Esta tecnica consiste en lanzar ataques reales contra el objetivo.
3.1.2.2.2. M´etodos de inferencia. El sistema no explota vulnerabilidades, sino que busca indicios que indiquen posibilidades de ataque, tratando de detectar posibles deficiencias de seguridad en el objetivo.
4. Necesidad de mecanismos adicionales en la prevencion y proteccion
4.1. La intrusion que el atacante intentar´a llevar a cabo pasar´a por las siguientes cuatro fases:
4.1.1. Fase de vigilancia.
4.1.2. Fase de explotacion de servicio.
4.1.3. Fase de ocultacion de huellas.
4.1.4. Fase de extraccion de informacion.
5. Sistemas de deteccion de intrusos
5.1. Antecedentes de los sistemas de deteccion de intrusos: Los sistemas de confianza son aquellos sistemas que emplean suficientes recursos software y hardware para permitir el procesamiento simultaneo de una variedad de informacion confidencial o clasificada. En estos sistemas se incluıan distintos tipos de informacion repartida en niveles, que correspondıan a su grado de confidencialidad.
5.1.1. Primeros sistemas para la detecci´on de ataques en tiempo real.El proyecto Instrusion Detection Expert System (IDES), desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros sistemas de deteccion de intrusos en tiempo real. Este proyecto,financiado entre otros por la marina norteamericana,proponıa una correspondencia entre actividad anomala y abuso o uso indebido (entendiendo por anomala aquella actividad extra˜na o inusual en un contexto estadıstico).
5.2. Arquitectura general de un sistema de detecci´on de intrusiones:
5.2.1. Precision. Un sistema de deteccion de intrusos no debe que confundir acciones legıtimas con acciones deshonestas a la hora de realizar su deteccion.
5.2.2. Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos).
5.2.3. Rendimiento. El rendimiento ofrecido por un sistema de detecci´on de intrusos debe ser suficiente como para poder llegar a realizar una detecci´on en tiempo real.
5.2.4. Escalabilidad. A medida que la red vaya creciendo (tanto en medida como en velocidad), tambi´en aumentar´a el n´umero de eventos que deber´a tratar el sistema.
5.2.5. Tolerancia en fallos. El sistema de detecci´on de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situaci´on de que el propio sistema reciba un ataque o intrusi´on).
5.3. Recolectores de informacion
5.3.1. Un recolector de informacion, tambien conocido como sensor, es el responsable de la recogida de informacion de los equipos monitorizados por el sistema de deteccion.
5.4. Procesadores de eventos
5.4.1. Los procesadores de eventos, tambien conocidos como analizadores, conforman el nucleo central del sistema de deteccion. Tienen la responsabilidad de operar sobre la informacion recogida por los sensores para poder inferir posibles intrusiones.
5.5. Unidades de respuesta
5.5.1. Las unidades de respuesta de un sistema de deteccion se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusion. Estas acciones de respuesta pueden ser automaticas (respuesta activa) o requerir interaccion humana (respuesta passiva).
5.6. Elementos de almacenamiento
5.6.1. El tiempo de almacenamiento de una informacion a medio plazo puede ser del orden de dos o tres dıas, con el objetivo de que pueda ser consultada por los analizadores del sistema en el caso de que el proceso de analisis ası lo requiera.
6. Las rootkits suelen contener versiones modificadas de las herramientas basicas de administracion, con la finalidad de esconder las acciones ilegıtimas de un atacante y hacer pasar inadvertida la intrusion. Ademas, trataran de garantizar futuras entradas en el equipo sin que el administrador del sistema las detecte.
7. Deteccion de ataques distribuidos
7.1. Esquemas tradicionales
7.1.1. Este diseno presenta un claro problema de sobrecarga sobre el punto central de analisis, debido a la gran cantidad de informacion que ´este podrıa llegar a recibir.
7.2. Analisis descentralizado
7.2.1. La recogida de eventos de forma distribuida crea una cantidad masiva de informacion que debe ser analizada, en la mayorıa de las situaciones, bajo durısimas restricciones de tiempo real.