Please enable JavaScript.

Coggle requires JavaScript to display documents.

SISTEMA DE DETECCIÓN DE INTRUSOS :star: :star: (CLASIFICACIÓN DE LOS IDS,…

- - - - Existen atacantes :!!:
        
        Que pretenden acceder ilegitimamente a los sitemas informáticos, ya sea para sustraer información confidencial, modificar o eliminar información
        
        Pueden ser:
        
        Internos :unamused:
        
        Externos :silhouette:
- - - - Esto hace
        
        Que los ataques sean simplemente invisibles para ellos.
- - - - Un IDS puede se un dispositivo HARDWARE autocontenido con una o varias interfaces, que se conecta a una o varias redes.
      - Un IDS puede ser una APLICACIÓN que se ejecuta en una o varias máquinas y analiza el tráfico de red que sus interfaces ven y/o los eventos generados por el sistema operativo y las aplicaciones locales.
- - - - Son ataques bien definidos contra debilidades conocidas de los sistemas. Se los puede detectar buscando la ocurrencia de determinadas acciones concretas.
    - - Se basan en la observación de desviaciones de los patrones de uso normales en el sistema.
        Se las detecta construyendo previamente un perfil del sistema a monitorizar y posteriormente estudiando las desviaciones que se produzcan con respecto a este perfil.
      - Se detectan
        
        observando desviaciones significativas del comportamiento habitual
        
        Para ello se miden parámetros
        
        Carga de CPU
        
        Número de conexiones de red en una unidad de tiempo
        
        Números de procesos
        
        Entre otros...
      - Los detectores de anomalías
        
        Pasan por una fase de aprendizaje, actividad que resulta normal en el seno de un sistema.
        
        Mediante comparaciones
        
        Verifica la información recibida en cada instante con el modelo de información válida, y aquello que se aparte excesivamente será etiquetado como INTRUSIÓN.
        
        Usa técnicas estadísticas como:
        
        Redes neuronales
        
        Sistemas expertos
        
        O algún otro tipo de reconocimiento de patrones.
        
        Es difícil detectar este tipo de intrusión.
        
        Se usan aproximaciones "borrosas"
        
        Para monitorizar y las cuales producen altas tasas de error.
        
        PARADIGMA DE DETECCIÓN DE ANOMALÍAS
        
        Es capaz de detectar todo tipo de ataques, incluso ataques desconocidos, hasta la fecha de su ocurrencia.
  - - - NIDS Sistemas de Detección de Intrusos de Red
        
        Sistemas de detección de intrusos por red. Estos sistemas disponen de una o varias interfaces de red conectadas a determinados puntos estratégico de la red.
        
        Monitorizan el tráfico que pasa por dichos puntos en busca de tráfico malicioso.
        
        Se colocan los NIDS en cortafuegos y enrutadores, de manera que el propio sistema puede forzar el cierre de conexiones y modificar reglas de filtrado de una manera más directa.
        
        No controlan toda la red, sino puntos estratégicos.
        
        Son sistemas bastantes rápidos de instalar y mantener, y no dependen del sistema operativo instalado en las máquinas cubiertas.
      - Ayudan a mejorar la seguridad de redes, pero no se debe descuidar los cortafuegos ni dejar de actualizar el software de las máquinas.
    - - HIDS Sistemas de Detección de Intrusos de Máquina
        
        Se instalan en las máquinas que componen la red:
        
        Servidores
        
        Estaciones de trabajo
        
        Tienen acceso a los archivos de registro de lo que realmente sucedió, por lo que pueden conocer de manera fiable si un ataque fue exitoso o no, información no disponible para los NIDS.
        
        Sensor de máquina
        
        Dispone de información específica del sistema y las aplicaciones, como inicios/ cierres de sesión, acceso a ficheros, llamadas al sistema ( pueden utilizarlas para saber el disco libre, la ocupación de la red, etc), y otros eventos.
        
        Tiene ventaja sobre los NIDS
        
        Ya que permiten acceder a la información que por la red transita encriptada y que por lo tanto es opaca a ellos.
  - - - Son capaces de tomar acciones correctivas orientadas a detener ataques en el mismo instante en que se producen.
    - - Se limitaban a informar de los intentos de intrusión al administrador.
        
        No sirve, detectar un ataque para que horas después el administrador reciba un mensaje que se informe de que se vio la intrusión pero no se intentó hacer nada por abortarla.
  - - - Sistemas distribuidos
        
        Disponen de varios sensores repartidos por diversas máquinas y puntos de la red, que se comunican con un nodo central donde se reciben todas las informaciones relevantes y donde se cruzan los datos para disponer de una visión más amplia del sistema como conjunto y detectar con mayor eventualidad ataques.
- - - - Máquinas simuladas, verosímiles y relativamente poco ocultas.
      - Están configurados para registrar los eventos extensamente.
      - Permite a los administradores obtener información sobre su modus operandi.
      - Puede recabar pruebas o indicios que pudieran inculpar al delincuente en un juicio.
  - - - Sistema de código abierto de detección de intrusione de red, capaz de llevar a cabo análisis de tráfico en tiempo real y registro de paquetes en redes IP.
        
        Utiliza un lenguaje flexible de reglas
        
        Sirve como analizador de paquetes al estilo tcpdump
        
        Y como herramienta para registrar el tráfico.