Seguridades

...

- IDS (Sistema de Detección de Instrucciones)

Es el proceso de monitorizar redes de ordenadores y sistemas en busca de violaciones de políticas de seguridad. Este sistema de detección de instrucciones está compuesto por tres elementos básicos que son:

- Una fuente de información que proporciona eventos de sistema

- Un motor de análisis que busca evidencias de instrucciones

- Un mecanismo de respuesta que actúa según los resultados del motor de análisis

- Existen dos aspectos importantes de los IDS:

- El grupo N-IDS (Sistema de detección de instrucciones de red) me garantiza la seguridad dentro de la red.

El N-IDS necesita un hardware exclusivo ya que este forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo (invisible) en el que no tienen dirección IP, por lo general se colocan sondas fuera de la red para estudiar posibles ataques, también se colocan sondas internas para analizar solicitudes q hayan pasado a través del firewall o que se hayan realizado desde dentro.

- El grupo H-IDS (Sistema de detección de instrucciones en el host) me garantiza la seguridad en el host.

El H-IDS se encuentra en un host particular por lo tanto su software cumple una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX etc. Este actúa como un daemon o servicio estándar en el sistema de un host, analiza la información particular almacenada en registros (registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de instrucción (como ataques de negación de servicio, puertas traseras troyanos, intentos de acceso no autorizados, o ataques de desbordamiento de bufer).

- Los principales métodos utilizados por los N-IDS para informar y bloquear instrucciones son:

3.2.1 Reconfiguración de dispositivos externos (firewalls o ACL en routers)

Comando enviado por el IDS aun dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y poder bloquear una instrucción, esta es posible a través del envío de datos que expliquen la alerta.

3.2.2 Envío de una trampa SNMP a un hipervisor externo

Envío de una alerta en forma de un datagrama SNMP a una consola externa como Hp, Cabletron, Spectrum etc.

3.2.3 Envió de un correo electrónico a uno o más usuarios

Envió de una correo para informar sobre una instrucción seria.

3.2.4 Registro del ataque

Guardan detalles en una base de datos central incluyendo información como registro de fecha, dirección ip del intruso, dirección ip del destino el protocolo utilizado y la carga útil.

3.2.5 Almacenamiento de ataques sospechosos

Guardan todos los paquetes originales capturados y los paquetes que dispararon la alerta.

3.2.6 Apertura de una aplicación

Se lanza un programa externo que realice una acción específica (envió de un mensaje de texto o la emisión de una alarma sonora).

3.3 Motivos que originan los problemas en la Seguridad

3.3.1 Diseño o Desarrollo

Los problemas originados por un diseño o desarrollo ineficaz que afectan tanto el software como el hardware.

Ejemplo: (Tarjetas inteligentes que albergan claves y cifrados)

3.3.2 Gestión

En este sistema ocurren los problemas debido a una incorrecta configuración del sistema o de cualquier mecanismo encargado de protegerlo.

Ejemplo: (Una inadecuada aplicación de los permisos de los archivos de sistema o una plantilla de seguridad demasiado permisiva)

3.3.3 Confianza

Estos ocurren por no diferenciar entre el entorno de desarrollo y el de producción.

Ejemplo: (Sistema operativo UNIX)

3.4 Elementos de la infraestructura de seguridad

La detección de instrucciones es uno de los sistemas más importantes en el ámbito de la seguridad pero existen otros elementos que ayudan a mantener un sistema seguro como pueden ser:

- Control de Acceso

- Identificación y Autenticación

- Cifrado

- Cortafuegos

- IPS (Sistema de prevención de intrusiones)

Un IPS es un sistema de prevención protección para poder defenderse de las intrusiones.

Y para reconocer quien es el intruso además elabora un informe sobre ellas.

Existen 2 características principales que distinguen a un IDS de un IPS:

- Un IPS se sitúa dentro de la red y no solo escucha a la red como un IDS

- El IPS bloquea directamente las intrusiones sin importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo esto quiere decir que el IPS filtra y bloquea paquetes en modo nativo.

La ventaja que ofrece este sistema respecto a los firewall tradicionales, es que toman decisiones de control de acceso basados en los contenidos del tráfico en lugar de hacerlo basado en direcciones o puertos ip.

4.1 Métodos de detección

4.1.1 Detección basada en firmas como lo hace el antivirus

4.1.2 Detección basada en política el ips requiere que se declaren muy específicamente.