Sistema de Detección de Intrusos (IDS)

wilmer.gutierrez
Mind Map by wilmer.gutierrez, updated more than 1 year ago
40
0
0

Description

Mapa conceptual sobre IDS.
Tags

Resource summary

Sistema de Detección de Intrusos (IDS)
1 Herramienta encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión
2 Encontramos diferentes arquitecturas
2.1 CIDF
2.1.1 Tipos de equipos
2.1.1.1 Equipo E - Generadores de eventos (sensores)
2.1.1.2 Equipo A - Reciben informes y Realizan análisis (dan una ruta)
2.1.1.3 Equipo D - Componentes de bases de datos (Puede realizar análisis basado en antecedentes)
2.1.1.4 Equipo R - Equipos de respuesta (Toma los resultados de los equipos E, A y D y responde a eventos)
2.1.2 CISL (Common Intrusion Specification Language)
2.1.2.1 Aparece de la necesidad de unir los 4 tipos de equipos de la arquitectura CIDF
2.1.2.2 Debe ser capaz de transmitir
2.1.2.2.1 Información de eventos en bruto. Auditoría de registros y tráfico de red. Sería el encargado de unir equipos E con equipos A
2.1.2.2.2 Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques detectados. Uniría equipos A con D.
2.1.2.2.3 Prescripciones de respuestas. Detener determinadas actividades o modificar parámetros de seguridad de componentes. Encargado de la unión entre equipos A y R. CISL es un lenguaje bastante complicado de sintaxis parecida a LISP que no llegó a cuajar en la comunidad de seguridad.
2.2 IDWG
2.2.1 Tiene como objetivo el de definir formatos y procedimientos de intercambio de información entre los diversos subsistemas del IDS
2.2.2 Permite generar documentos que describan los requerimientos funcionales de alto nivel para la comunicación entre sistemas de detección de intrusos y entre los sistemas de detección de intrusos y sus sistemas de gestión.
2.2.3 Maneja un lenguaje común de especificación que describa el formato de los datos
2.2.4 Permite manejar un marco de trabajo que identifique los mejores protocolos que se pueden usar para la comunicación entre los IDSs y que defina como se mapean en éstos lo formatos de datos.
3 Clasificación
3.1 Basados en red (NIDS)
3.1.1 Detectan ataques capturando y analizando paquetes de la red
3.1.2 Constan de múltiples sensores.
3.1.3 Puede monitorizar una red grande si cuenta con la capacidad. Tienen un impacto pequeño en la red haciéndolos casi invisibles. Sin embargo puede tener problemas al procesar paquetes en redes grandes, no analizan información cifrada, no sabe si el ataque tuvo éxito o no,, tiene problemas al analizar paquetes que viajan fragmentados y que su implementación de la pila de protocolos puede diferir de la pila de la red.
3.2 Basados en Host (HIDS)
3.2.1 Operan sobre la información recogida en la computadora, lo que los hace muy precisos.
3.2.2 Monitorean eventos locales, detectan ataques que no se perciben por un NIDS y pueden analizar tráfico cifrado. Sin embargo son mas costosos de administrar ya que se deben integrar al host que protegen, además de que pueden proteger un sólo equipo , puede ser deshabilitado por ataques de DoS y usan recursos del sistema.
4 Tipo de análisis
4.1 Detección de abusos o firmas
4.1.1 Analizan la actividad del sistema buscando eventos que coincidad con un patrón definido o ataque conocido.
4.1.2 Son muy efectivos sin generar falsos positivos, caracterizan fácilmente el ataque, permite a los administradores seguir la pista de los problemas. Sin embargo sólo detectan ataques conocidos por lo que deben actualizarse constantemente y una pequeña variación en el ataque hace que no lo detecte.
4.2 Detección de anomalias
4.2.1 Identifica comportamientos inusuales en el Host o en la red, Crean perfiles basados en el comportamiento histórico de los usuarios y sobre esos, detectan anomalías. Estas se pueden representar por estadísticas o técnicas como redes neuronales, algoritmos genéticos, y modelos de sistema inmune.
4.2.2 Tienen la ventaja de que pueden detectar ataques que no conocen y permiten recopilar información fácilmente reutilizable. Sin embargo produce falsos positivos por la variación en los comportamientos de los usuarios y requiere gran entrenamiento para generar patrones.
5 Respuestas
5.1 Respuesta Activa
5.1.1 Basado en los resultados toma acciones por si mismo.
5.2 Respuesta Pasiva
5.2.1 Genera notificaciones para que el personal encargado tome las medidas pertinentes.
6 Podemos encontrar herramientas complementarias que permiten verificar la integridad de los archivos, servicios y registros
7 Ubicación del IDS
7.1 Zona Roja
7.1.1 Zona de alto riego, por lo que no puede ser tan sensible ya que puede generar muchos falsos positivos.
7.2 Zona Verde
7.2.1 Debe ser configurado el IDS para ser mas sensible ya que el firewall filtra algunos contenidos
7.3 Zona Azul
7.3.1 Esta es una zona de confianza
8 Características
8.1 -Debe funcionar sin supervisión pero debe poderse examinar, debe tolerar fallos, debe resistir perturbaciones, debe generar mínima carga al sistema, debe detectar cambios en el comportamiento normal del sistema, debe adaptarse fácilmente al sistema y debe ser difícil de engañar.
9 Fortalezas
9.1 Suministra información del tráfico en la red, reacciona para prevenir daño, brinda seguridad en la red, permite identificar la procedencia de ataques, recoge evidencias de los intrusos, es una cámara de seguridad, alarma y disuasor de intrusos, alerta al personal de seguridad, protege contra invasión, brinda tranquilidad, es parte de la estrategia global, y permite detectar intrusiones desconocidas e imprevistas.
10 Debilidades
10.1 No hay parche para los bugs de seguridad, produce falsos positivos, produce fallos en las alarmas y no puede sustituir un Firewall.
11 Inconvenientes
11.1 Alta tasa de falsas alarmas y comportamiento variable con el tiempo haciendo necesario reentrenar los perfiles.
Show full summary Hide full summary

Suggestions

SEGURIDAD EN REDES INALÁMBRICAS - REDES WI-FI
Diana Marcela Caucai Beltrán
seguridad Wi-Fi
Sary Vasquez
INGENIERÍA DEL SOFTWARE
JL Px
FUNDAMENTOS DE SEGURIDAD - TELEMATICA
jjasprillam
Lección 4
Frida Rivera07
seguridad en redes
cesar augusto na
SEGURIDAD EN REDES WI-FI
jargemirosarmien
preguntas fundamentos
Oscar Eduardo Gonzalez Perez
Autenticacion y Control Acceso
Milton Valencia Rincon
Codigos de gusano
Diego Revelo
SEGURIDAD EN REDES
lettymp17
PROCEDIMIENTO DE FIRMA DIGITAL.
Elmer Francisco Castro Serrato
Gerencia de Seguridad
podoski13
Protección Perimetral
Juan Jose Velez Villamizar
SEGURIDAD EN REDES
ingepelaez
SEGURIDAD DE LAS REDES WI-FI
adelaidamaestre9
SEGURIDAD EN REDES WIFI
katty liseth hernandez
Seguridad de las Redes Inalambricas o Redes Wi Fi
ivonsito2003
Nicolas ruiz
Nikolas ruiz gamba
Daniel Hernandez A.
dahaj.1