1. Detecccion de intrusos
1.1. Antecedentes de los sistemas de deteccion de intrusos
1.1.1. Primeros sistemas para la detección de ataques en tiempo real.
1.1.2. Sistemas de detección de intrusos actuales.
1.2. Arquitectura general de un sistema de deteccion de intrusos
1.2.1. Precision
1.2.2. Eficiencia
1.2.3. Rendimiento
1.3. Recolectores de informacion
1.4. Procesadores de eventos
1.5. Unidades de respuesta
1.6. Elementos de almacenamiento
2. Deteccion de ataques distribuidos
2.1. Esquemas tradicionales
2.2. Esquemas descentralizados
2.2.1. Análisis descentralizado mediante código movil.
2.2.2. Análisis descentralizado mediante mensaje.
3. Prevención de intrusos
3.1. Un sistema de prevención de intrusos, es un software que ejerce el control de acceso en una red informática para proteger los sistemas computacionales de ataques y abusos.
3.2. Funcionamiento
3.2.1. Funciona por medio de módulos, pero la diferencia es que este último alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor), mientras que un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege re activamente.
3.3. Los IPS se categorizan en la forma que detectan el tráfico malicioso:
3.3.1. Detección basada en firmas: como lo hace un antivirus.
3.3.2. Detección basada en políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad.
3.3.3. Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico.
3.3.4. Detección honey pot (jarra de miel): funciona usando un equipo que se configura para que llame la atención de los hackers.
4. Sistemas de decepcion
4.1. Equipo de decepción
4.1.1. Los equipos de decepción, también conocidos como tarros de miel o honeypots, son equipos informáticos conectados, tratan de atraer el tráfico de uno o más atacantes de esta forma, sus administradores podrán ver intentos de ataques que tratan de realizar una intrusión en el sistema y analizar cómo se comportan los elementos de seguridad implementados en la red.
4.2. Redes de decepcion
4.2.1. Este es un enfoque más avanzado que los anteriores consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos (permitiendo su acceso sin demasiada dificultad), los equipos de este segmento ofrecerán servicios configurados de tal modo que puedan atraer la atención a toda una comunidad de intrusos con el objetivo de registrar todos sus movimientos mediante los equipos de la red de decepción.
5. Sistemas de decepcion
5.1. Equipo de decepción
5.1.1. Los equipos de decepción, también conocidos como tarros de miel o honeypots, son equipos informáticos conectados, tratan de atraer el tráfico de uno o más atacantes de esta forma, sus administradores podrán ver intentos de ataques que tratan de realizar una intrusión en el sistema y analizar cómo se comportan los elementos de seguridad implementados en la red.
5.2. Redes de decepcion
5.2.1. Este es un enfoque más avanzado que los anteriores consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos (permitiendo su acceso sin demasiada dificultad), los equipos de este segmento ofrecerán servicios configurados de tal modo que puedan atraer la atención a toda una comunidad de intrusos con el objetivo de registrar todos sus movimientos mediante los equipos de la red de decepción.
6. Escaneres de vulnerabilidades
6.1. El escáner de vulnerabilidad o analizador de red, es una aplicación que permite realizar una verificación de seguridad en una red mediante el análisis de los puertos abiertos en uno de los equipos o en toda la red. El proceso de análisis utiliza sondas (solicitudes) que permiten determinar los servicios que se están ejecutando en un host remoto.
6.1.1. Cómo funciona un escáner
6.1.1.1. El escáner de vulnerabilidades permite identificar los puertos que están abiertos en un sistema al enviar solicitudes sucesivas a diversos puertos, además de analizar las respuestas para determinar cuáles están activos. Mediante un análisis exhaustivo de la estructura de los paquetes TCP/IP recibidos, los escáneres de seguridad avanzados pueden identificar, a veces, qué sistema operativo está utilizando el equipo remoto, así como las versiones de las aplicaciones asociadas con los puertos y, cuando sea necesario, recomendar actualizaciones (esto se conoce como caracterización de la versión).
6.2. Escaneres basados en maquinas
6.2.1. Esta fue una de las primeras herramientas que se utilizo para la evaluación de vulnerabilidades.