Enfoques para la detección y prevención de intrusiones

requisitos previos – 

• Sistema de detección de intrusos (IDS)
• Sistema de prevención de intrusiones (IPS)

IDS significa Sistema de detección de intrusos (IDS) . Es un dispositivo o aplicación de software que monitorea la red o los sistemas en busca de actividad maliciosa o violaciones de políticas. Existen seis enfoques básicos para la detección y prevención de intrusiones. Algunos de estos métodos se implementan dentro de varios paquetes de software y otros son simplemente estrategias que una organización puede emplear para disminuir la probabilidad de una intrusión exitosa. Históricamente, cuando se desarrollaron los ID por primera vez, los concentradores se usaban con mucha frecuencia. Hoy en día, se utilizan conmutadores en lugar de concentradores porque con el concentrador después de que el paquete haya viajado desde su red de origen a su red de destino (siendo enrutado por su dirección IP de destino), finalmente llega al segmento de red en el que se encuentra el objetivo. Después de llegar a ese segmento final, la dirección MAC se usa para encontrar el objetivo. Todas las computadoras en ese segmento pueden ver el paquete, pero debido a que la dirección MAC de destino no coincide con la dirección MAC de su tarjeta de interfaz de red , ignora el paquete. En algún momento, las personas de la empresa se dan cuenta de que si simplemente eligieran no ignorar los paquetes no destinados a su tarjeta de red, podrían ver todo el tráfico en el segmento de red. En otras palabras, uno podría mirar todos los paquetes en ese segmento de red. Así nació el analizador de paquetes. Después de eso, era simplemente cuestión de tiempo antes de que surgiera la idea de analizar esos paquetes en busca de indicios de un ataque. Dando así lugar al Sistema de Detección de Intrusos.Enfoques para la detección y prevención de intrusiones: 1. Bloqueo preventivo: también se denomina vigilancia de destierro. Busca evitar que ocurran intrusiones antes de que ocurran. El método anterior se realiza al observar cualquier señal de peligro de amenazas inminentes y luego bloquear al usuario o la dirección IP desde donde se originan estas señales. Ejemplo –Esta técnica incluye intentos de detectar huellas tempranas de una intrusión inminente y luego bloquear la IP o el usuario que es la fuente de la actividad de huellas. Si el administrador encuentra que esa dirección IP en particular es fuente de escaneos de puertos frecuentes y otros escaneos de su sistema, bloqueará esa dirección IP en el firewall. La detección y evitación de intrusiones anteriores puede ser bastante complicada, lo que podría bloquear a un usuario legítimo por error. La complejidad surge de distinguir el tráfico legítimo del indicativo de un ataque inminente. Esto puede generar problemas de falsos positivos, en los que el sistema identifica erróneamente el tráfico legítimo como alguna forma de ataque.

• Un sistema de software simplemente alertará al administrador de que se ha producido una actividad sospechosa. El administrador humano luego toma la decisión de bloquear o no el tráfico.
• Si el software bloquea automáticamente cualquier dirección que considere sospechosa, corre el riesgo de bloquear a los usuarios legítimos.
• También se debe tener en cuenta que nada impide que el usuario infractor se mueva a una máquina diferente para continuar con el ataque.
• Este tipo de enfoque debe ser solo una parte de una estrategia general de detección de intrusos y no una estrategia completa.

2. Detección de anomalías:

• Se trata de un software real que funciona para detectar intentos de intrusión y luego notificar al administrador.
• El proceso general es simple, el sistema busca cualquier comportamiento anormal. Cualquier actividad que no coincida con el patrón de acceso de usuario normal se anota y registra. El software compara la actividad observada con los perfiles de uso normales esperados.
• Los perfiles generalmente se desarrollan para usuarios específicos, grupos de usuarios o aplicaciones. Cualquier actividad que no coincida con la definición de comportamiento normal se considera una anomalía y se registra.
• A veces, la situación anterior se denomina detección de «rastreo» o proceso de «rastreo». Podemos establecer desde dónde se entregó este paquete.

Las formas específicas en que se detecta una anomalía incluyen: Supervisión de umbral, Perfilado de recursos, Perfilado de trabajo de usuario/grupo y Perfilado ejecutable. Estos se explican a continuación a continuación. 3. Supervisión del umbral:El monitoreo de umbral preestablece niveles de comportamiento aceptables y observa si se exceden estos niveles. Esto podría incluir algo tan simple como un número finito de intentos de inicio de sesión fallidos o algo tan complejo como monitorear el tiempo que el usuario está conectado y la cantidad de datos que descarga. La supervisión del umbral proporciona una definición del comportamiento aceptable. Caracterizar el comportamiento intrusivo solo por límites de umbral puede ser algo desafiante. A menudo es bastante difícil establecer valores de umbral adecuados o marcos de tiempo adecuados para verificar esos valores de umbral. Esto puede resultar en una alta tasa de falsos positivos en los que el sistema identifica erróneamente el uso normal como un posible ataque. 4. Perfilado de recursos:Mide el uso de recursos en todo el sistema y desarrolla un perfil de uso histórico. Las lecturas anormales pueden ser indicativas de actividad ilícita en curso. Puede ser difícil interpretar el significado de los cambios en los usos generales del sistema. Un aumento en el uso podría indicar simplemente algo benigno, como un mayor flujo de trabajo, en lugar de un intento de violar la seguridad. 5. Perfiles de trabajo de usuarios/grupos:Aquí, el IDS mantiene perfiles de trabajo individuales sobre usuarios y grupos. Se espera que estos usuarios y grupos obedezcan estos perfiles. A medida que el usuario cambia sus actividades, su perfil de trabajo esperado se actualiza para reflejar esos cambios. Algunos sistemas intentan monitorear la interacción de los perfiles a corto y largo plazo. Los perfiles a corto plazo capturan patrones de trabajo cambiantes recientes, mientras que los perfiles a largo plazo brindan una vista de los usos durante un período prolongado de tiempo. Sin embargo, puede ser difícil perfilar una base de usuarios irregular o dinámica. Los perfiles que se definen de manera demasiado amplia permiten que cualquier actividad pase la revisión, mientras que los perfiles que se definen de manera demasiado estrecha pueden inhibir el trabajo del usuario. 6. Perfilado ejecutable:La creación de perfiles ejecutables busca medir y monitorear cómo los programas usan los recursos del sistema, prestando especial atención a aquellos cuya actividad siempre se puede rastrear hasta un usuario de origen específico. Ejemplo: los servicios del sistema generalmente no se pueden rastrear hasta el usuario específico que los inicia. Virus, Troyanos, gusanos, Tap-doorsy otros ataques de software se abordan perfilando cómo se utilizan normalmente los objetos del sistema, como archivos e impresoras, no solo por el usuario sino también por otros sujetos del sistema por parte de los usuarios. Si los virus heredan todos los privilegios del usuario que ejecuta el software. El software no está limitado por el principio de privilegio mínimo, sino solo por aquellos privilegios necesarios para ejecutarse correctamente. Esta arquitectura abierta permite que los virus cambien e infecten de forma encubierta partes del sistema totalmente no relacionadas. La creación de perfiles ejecutables permite que IDS identifique la actividad que podría indicar un ataque. Una vez que se identifica el peligro potencial, el método de notificación al administrador, como por mensaje de red o correo electrónico, es específico para el IDS individual.