Sistema de Detección de Intrusos (IDS)

Beschreibung

Mapa conceptual sobre IDS.
wilmer.gutierrez
Mindmap von wilmer.gutierrez, aktualisiert more than 1 year ago
wilmer.gutierrez
Erstellt von wilmer.gutierrez vor etwa 10 Jahre
188
0

Zusammenfassung der Ressource

Sistema de Detección de Intrusos (IDS)
  1. Herramienta encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión
    1. Encontramos diferentes arquitecturas
      1. CIDF
        1. Tipos de equipos
          1. Equipo E - Generadores de eventos (sensores)
            1. Equipo A - Reciben informes y Realizan análisis (dan una ruta)
              1. Equipo D - Componentes de bases de datos (Puede realizar análisis basado en antecedentes)
                1. Equipo R - Equipos de respuesta (Toma los resultados de los equipos E, A y D y responde a eventos)
                2. CISL (Common Intrusion Specification Language)
                  1. Aparece de la necesidad de unir los 4 tipos de equipos de la arquitectura CIDF
                    1. Debe ser capaz de transmitir
                      1. Información de eventos en bruto. Auditoría de registros y tráfico de red. Sería el encargado de unir equipos E con equipos A
                        1. Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques detectados. Uniría equipos A con D.
                          1. Prescripciones de respuestas. Detener determinadas actividades o modificar parámetros de seguridad de componentes. Encargado de la unión entre equipos A y R. CISL es un lenguaje bastante complicado de sintaxis parecida a LISP que no llegó a cuajar en la comunidad de seguridad.
                      2. IDWG
                        1. Tiene como objetivo el de definir formatos y procedimientos de intercambio de información entre los diversos subsistemas del IDS
                          1. Permite generar documentos que describan los requerimientos funcionales de alto nivel para la comunicación entre sistemas de detección de intrusos y entre los sistemas de detección de intrusos y sus sistemas de gestión.
                            1. Maneja un lenguaje común de especificación que describa el formato de los datos
                              1. Permite manejar un marco de trabajo que identifique los mejores protocolos que se pueden usar para la comunicación entre los IDSs y que defina como se mapean en éstos lo formatos de datos.
                            2. Clasificación
                              1. Basados en red (NIDS)
                                1. Detectan ataques capturando y analizando paquetes de la red
                                  1. Constan de múltiples sensores.
                                    1. Puede monitorizar una red grande si cuenta con la capacidad. Tienen un impacto pequeño en la red haciéndolos casi invisibles. Sin embargo puede tener problemas al procesar paquetes en redes grandes, no analizan información cifrada, no sabe si el ataque tuvo éxito o no,, tiene problemas al analizar paquetes que viajan fragmentados y que su implementación de la pila de protocolos puede diferir de la pila de la red.
                                    2. Basados en Host (HIDS)
                                      1. Operan sobre la información recogida en la computadora, lo que los hace muy precisos.
                                        1. Monitorean eventos locales, detectan ataques que no se perciben por un NIDS y pueden analizar tráfico cifrado. Sin embargo son mas costosos de administrar ya que se deben integrar al host que protegen, además de que pueden proteger un sólo equipo , puede ser deshabilitado por ataques de DoS y usan recursos del sistema.
                                      2. Tipo de análisis
                                        1. Detección de abusos o firmas
                                          1. Analizan la actividad del sistema buscando eventos que coincidad con un patrón definido o ataque conocido.
                                            1. Son muy efectivos sin generar falsos positivos, caracterizan fácilmente el ataque, permite a los administradores seguir la pista de los problemas. Sin embargo sólo detectan ataques conocidos por lo que deben actualizarse constantemente y una pequeña variación en el ataque hace que no lo detecte.
                                            2. Detección de anomalias
                                              1. Identifica comportamientos inusuales en el Host o en la red, Crean perfiles basados en el comportamiento histórico de los usuarios y sobre esos, detectan anomalías. Estas se pueden representar por estadísticas o técnicas como redes neuronales, algoritmos genéticos, y modelos de sistema inmune.
                                                1. Tienen la ventaja de que pueden detectar ataques que no conocen y permiten recopilar información fácilmente reutilizable. Sin embargo produce falsos positivos por la variación en los comportamientos de los usuarios y requiere gran entrenamiento para generar patrones.
                                              2. Respuestas
                                                1. Respuesta Activa
                                                  1. Basado en los resultados toma acciones por si mismo.
                                                  2. Respuesta Pasiva
                                                    1. Genera notificaciones para que el personal encargado tome las medidas pertinentes.
                                                  3. Podemos encontrar herramientas complementarias que permiten verificar la integridad de los archivos, servicios y registros
                                                    1. Ubicación del IDS
                                                      1. Zona Roja
                                                        1. Zona de alto riego, por lo que no puede ser tan sensible ya que puede generar muchos falsos positivos.
                                                        2. Zona Verde
                                                          1. Debe ser configurado el IDS para ser mas sensible ya que el firewall filtra algunos contenidos
                                                          2. Zona Azul
                                                            1. Esta es una zona de confianza
                                                          3. Características
                                                            1. -Debe funcionar sin supervisión pero debe poderse examinar, debe tolerar fallos, debe resistir perturbaciones, debe generar mínima carga al sistema, debe detectar cambios en el comportamiento normal del sistema, debe adaptarse fácilmente al sistema y debe ser difícil de engañar.
                                                            2. Fortalezas
                                                              1. Suministra información del tráfico en la red, reacciona para prevenir daño, brinda seguridad en la red, permite identificar la procedencia de ataques, recoge evidencias de los intrusos, es una cámara de seguridad, alarma y disuasor de intrusos, alerta al personal de seguridad, protege contra invasión, brinda tranquilidad, es parte de la estrategia global, y permite detectar intrusiones desconocidas e imprevistas.
                                                              2. Debilidades
                                                                1. No hay parche para los bugs de seguridad, produce falsos positivos, produce fallos en las alarmas y no puede sustituir un Firewall.
                                                                2. Inconvenientes
                                                                  1. Alta tasa de falsas alarmas y comportamiento variable con el tiempo haciendo necesario reentrenar los perfiles.
                                                                  Zusammenfassung anzeigen Zusammenfassung ausblenden

                                                                  ähnlicher Inhalt

                                                                  SEGURIDAD EN REDES INALÁMBRICAS - REDES WI-FI
                                                                  Diana Marcela Caucai Beltrán
                                                                  seguridad Wi-Fi
                                                                  Sary Vasquez
                                                                  FUNDAMENTOS DE SEGURIDAD - TELEMATICA
                                                                  jjasprillam
                                                                  INGENIERÍA DEL SOFTWARE
                                                                  JL Px
                                                                  Lección 4
                                                                  Frida Rivera07
                                                                  seguridad en redes
                                                                  cesar augusto na
                                                                  preguntas fundamentos
                                                                  Oscar Eduardo Gonzalez Perez
                                                                  PROCEDIMIENTO DE FIRMA DIGITAL.
                                                                  Elmer Francisco Castro Serrato
                                                                  SEGURIDAD EN REDES WI-FI
                                                                  jargemirosarmien
                                                                  Autenticacion y Control Acceso
                                                                  Milton Valencia Rincon
                                                                  Codigos de gusano
                                                                  Diego Revelo