1395364
Description
Mind Map by Javier Enrique Padilla Hernandez, updated more than 1 year ago
|
|
Created by Javier Enrique Padilla Hernandez
over 9 years ago
|
|
SISTEMA DE DETECCIÓN DE INTRUSOS - IDS
- Arquitectura de los IDSs
- CIDF (Common Intrusion Detection Framework)
Marco de Detección de Intrusos Común.
- Tipos básicos
- Equipos E. Generadores
de eventos
- Detectar eventos y lanzar informes
- Detectar eventos y lanzar informes
- Equipos A. Reciben
informes y realizan
análisis
- Ofrecen prescripción y un curso de acción
recomendado
- Ofrecen prescripción y un curso de acción
recomendado
- Equipos D.
Componentes de bases
de datos
- Determinar si se ha visto
antes una dirección IP
- Determinar si hubo ataque
- Realizar análisis de pistas
- Determinar si se ha visto
antes una dirección IP
- Equipos R. Equipos de
respuesta
- Responder a los eventos de los
equipos E, A y D
- Responder a los eventos de los
equipos E, A y D
- Equipos E. Generadores
de eventos
- Tipos básicos
- CISL (Common Intrusion Specification Language)
El Lenguaje de Especificación de Intrusiones
- Tipos
- Información de
eventos en bruto
- Auditoría de registros y tráfico de red
- Sería el encargado de unir equipos E con equipos A
- Auditoría de registros y tráfico de red
- Resultados de los análisis
- Descripciones de las anomalías del sistema
- Descripciones de los ataques detectados
- Uniría equipos A con D
- Descripciones de las anomalías del sistema
- Prescripciones de respuestas
- Detener determinadas actividades
- Modificar parámetros de seguridad de componentes
- Encargado de la unión entre equipos A y R
- Detener determinadas actividades
- Información de
eventos en bruto
- Tipos
- Arquitectura de IDWG
- Los resultados de este grupo de trabajo
- Documentos de los
requerimientos funcionales
- Lenguaje de
especificación de los
datos
- Marco de trabajo que
identifique protocolos
- Documentos de los
requerimientos funcionales
- Los resultados de este grupo de trabajo
- CIDF (Common Intrusion Detection Framework)
Marco de Detección de Intrusos Común.
- Clasificación de los IDSs
- Fuentes de información
- Puede recoger eventos
- Analizan paquetes de red
- Capturados del backbone de la red o
de segmentos LAN
- Analizan eventos generados
por los sistemas operativos
- Software de aplicación en busca de
señales de intrusión
- Analizan paquetes de red
- Puede recoger eventos
- IDSs basados en red (NIDS)
- Detectan ataques capturando y
analizando paquetes de la red
- Ventajas:
- IDS bien localizado puede monitorizar
una red grande
- NIDSs tienen un impacto
pequeño en la red
- Configurable para que sean
muy seguros ante ataques
- IDS bien localizado puede monitorizar
una red grande
- Desventajas
- Dificultades al procesando todos los
paquetes en una red grande
- No analizan la
información cifrada
- No saben si el ataque
tuvo o no éxito
- Dificultades al procesando todos los
paquetes en una red grande
- Detectan ataques capturando y
analizando paquetes de la red
- IDSs basados en host (HIDS)
- Operan sobre la información
recogida
- Ventajas
- Detectar ataques que no pueden ser
vistos por un IDS basado en red
- Operar en un entorno en el cual el
tráfico de red viaja cifrado
- Detectar ataques que no pueden ser
vistos por un IDS basado en red
- Desventajas
- Son más costosos de
administrar
- No son adecuados para detectar
ataques a toda una red
- Pueden ser deshabilitados
por ciertos ataques de DoS
- Usan recursos del host que están
monitorizando
- Son más costosos de
administrar
- Operan sobre la información
recogida
- Fuentes de información
- Tipo de análisis
- La detección de abusos
- Técnica usada por la mayoría de
sistemas comerciales
- Técnica usada por la mayoría de
sistemas comerciales
- La detección de anomalías
- Busca patrones
anormales de actividad
- Busca patrones
anormales de actividad
- Detección de abusos o firmas
- Analizan la actividad
del sistema
- Buscando eventos que
coincidan con ataque conocido
- Ventajas
- Efectivos en la detección
de ataques
- Efectivos en la
detección de ataques
- Efectivos en la detección
de ataques
- Desventajas
- Solo detectan aquellos
ataques que conocen
- Solo detectan aquellos
ataques que conocen
- Analizan la actividad
del sistema
- Detección de anomalías
- Identificar comportamientos
inusuales en un host y la red
- Ventajas
- Detectan comportamientos inusuales
- Detectar ataques que no tienen un
conocimiento específico
- Producen información para definir
firmas en la detección de abusos
- Detectan comportamientos inusuales
- Desventajas
- Produce un gran número
de falsas alarmas
- Requieren conjuntos de
entrenamiento muy grandes
- Produce un gran número
de falsas alarmas
- Identificar comportamientos
inusuales en un host y la red
- La detección de abusos
- Respuestas
- Pasivas
- Se notifica al responsable de
seguridad de la organización
- Envían informes para
tomar acciones
- Se notifica al responsable de
seguridad de la organización
- Activas
- Lanzan automáticamente
respuestas a dichos ataques
- Recogida de
información adicional
- incrementa el nivel de
sensibilidad de los sensores
- Puede parar el ataque
- Lanzan automáticamente
respuestas a dichos ataques
- Pasivas
- Ubicación Del IDS En Una Organización
- Zona Roja
- Zona de alto riesgo
- IDS debe ser configurado para
ser poco sensible
- Vera todo el tráfico que entre
o salga de nuestra red
- Habrá más posibilidad
de falsas alarmas
- Zona de alto riesgo
- Zona Azul
- Esta es la zona de confianza
- Esta es la zona de confianza
- Zona Verde
- configuración con sensibilidad mayor
que en la zona roja
- Firewall filtra algunos accesos
definidos en la política dela
organización
- Menor número de falsas alarmas
- configuración con sensibilidad mayor
que en la zona roja
- Zona Roja
- CARACTERISTICAS
- Debe funcionar continuamente
sin supervisión humana
- Debe ser tolerante a fallos
- Resistente a perturbaciones
- Debe ser fácilmente adaptable
al sistema ya instalado
- Debe ser difícil de engañar
- Debe funcionar continuamente
sin supervisión humana
- DEBILIDADES
- No existe un parche para la
mayoría de bugs de seguridad
- Se producen
falsas alarmas
- Se producen fallos en
las alarmas
- No es sustituto para un
buen Firewall
- No existe un parche para la
mayoría de bugs de seguridad
- INCOVENIENTES
- La alta tasa de
falsas alarmas
- El comportamiento puede
cambiar con el tiempo
- La alta tasa de
falsas alarmas
- FORTALEZAS
- Suministra información sobre el
tráfico malicioso de la red
- Útil como arma de
seguridad de la red
- Funciona como disuasor
de intrusos
- Detectar intrusiones
desconocidas e
imprevistas
- Suministra información sobre el
tráfico malicioso de la red
Media attachments
Want to create your own Mind Maps for free with GoConqr? Learn more.