HoneyPot Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas.
IDS significa : Instrusion Detection Software
Los cortafuegos proporcionan una eficaz primera linea de defensa, pero pueden dar una falsa seguridad?
Una mala configuración de cortafuegos puede dar una falsa seguridad.
Errores en software o hardware no efecta la seguridad a un cortafuego
Un cortafuego deja acceder a puerto 80 (web).
NIMDA es un software para detectar intrusiones del sistema
NIMDA se propagó explotando un agujero de IIS, enviando comandos para su ejecución en el servidor a través del puerto 80.
NIMDA establece sesiones TFTP (Protocolo de transferencia de archivos trivial) desde fuera hacia dentro.
Alrededor del 80% de los ataques se establecen sesiones TFTP desde fuera.
Los IDS nos permiten detectar actividades inadecuada o anómala dentro de un sistema informático.
Un buen IDS será capaz de detectar solo las acciones de atacantes externos pero no las atacantes internos.
Un IDS no reconoce los intentos de inicio de sesión atacado por fuerza bruta.
Un IDS no es capaz de denegar los servicios.
Un IDS de tipo Detección de patrones anómalos controla intentos de inicio de sesión de un usuario.
Un IDS de tipo Detección de firmas detecta las firmas de ataques novedosos.
NIDS es un IDS basados en host
HIDS es una IDS basados en host
Un solo NIDS puede detectar ataques en todos los equipos de una red.
Un IDS basado en red (NIDS) resultan independientes de la plataforma
NIDS no son capaces de detectar manipulación de cabeceras IP o ataques de denegación de servicio
IDS basados en red (NIDS) resultan eficientes con tráficos cifrado
Funcionamiento de NIDS se vuelve imprevisible en redes de alta velocidad
Si se produce una congestión de la red, el NIDS podría destacar paquetes.
NIDS debido a que trabajan en sistemas heterogéneos podrían no ser capaces de definir la relevancia de un ataque.
IDS basados en host (HIDS) detectan mejor los ataques desde dentro de la red ya que detectan inicios de sesión, cambios en archivos, etc.
IDS basados en host (HIDS) no son capaces de asociar usuarios + programas = efectos
Usando IDS basados en host (HIDS) no se necesita monitorizar todo el tráfico de la red
IDS basados en host (HIDS) sólo ve lo que le pasa a él y no ve ningún ataque en su conjunto.
Una de las desventajas de HIDS: se monitorizar los cambios en el sistema, se descubren los ataques una vez realizados
En una copia de seguridad completa se realiza una copia completa del sistema de archivos con la ventaja de fácil recuperación total y parcial del sistema.
Una copia de seguridad completa consume menos espacio.
una copia de seguridad incremental se realiza una comparación del contenido de los ficheros a la hora de determinar qué debe copiarse.
La copia incremental es más rápida de realizar que las copias completas.
La copia de seguridad incremental permite la conservación de varias versiones de un mismo fichero.
Una copia de seguridad incremental no se copia ficheros cuyos contenido no ha cambiado.
Una copia de seguridad incremental no necesita todas las copias incrementales para recuperar un sistema.
Un una restauración de copia de seguridad incremental los ficheros individuales consumen poco tiempo.
una copia de seguridad diferencial se realiza una copia de los ficheros modificados o creados desde la ultima copia que se realizó
Una copia de seguridad diferencial requiere menos espacio.
Una de las desventajas de copia diferencial es que no todas las herramientas permiten copias diferenciales.
Es una buena costumbre realizar las copias en el mismo dispositivo del cual se están obteniendo los datos.
Snort es un IDS basado en red
Un falso positivo se presenta cuando un tráfico inofensivo se considera erróneamente como ataque
Hay distintas formas de clasificar los Sistemas de detección de intrusos, siendo una de ellas según el origen de los datos
El tiempo que transcurre en la detección de un incidente no suele ser importante
La detección de uso indebido en un IDS se basa en la detección de unos patrones o firmas relacionados con ataques ya conocidos
Un IDS no puede colocarse nunca por delante de un firewall
La denegación de servicio no es una actividad anómala
En un sistema de copias de seguridad basada en niveles se recomienda utilizar 10 niveles (uno por cada día del mes)
La centralización de las copias de seguridad es una buena opción cuando una empresa tiene varios equipos informaticos
Una forma de clasificar las copias de seguridad es la basada en niveles, donde el nivel 0 representa una copia completa del sistema
Hay comandos básicos del Linux, como netstat, que permiten obtener evidencias no volátiles
Los procesos que se encuentran actualmente en ejecución no es una evidencia volátil
En un análisis forense, se puede recopilar las evidencias no volátiles
