INSTITUTO SUPERIOR TECNOLOGICO JUAN

BAUTISTA AGUIRRE

NOMBRE:
MARIA SOLEDAD RODRIGUEZ GALARZA

MATERIA:
SEGUIRIDAD INFORMATICAS

CURSO:
4TO A SEMESTRE MATUTINA

PROFESOR:
ING.JOSE LEON

AÑO LECTIVO
2022-2023
 SISTEMA DE DETECCIÓN DE INTRUSOS
Los sistemas de detección de intrusos suelen formar parte de otros sistemas o software de
seguridad, junto con la intención de proteger los sistemas de información.
La seguridad IDS funciona en combinación con medidas de autenticación y control de
acceso de autorización, como una doble línea de defensa contra la intrusión.
Los firewalls y el software antivirus o de malware generalmente se configuran en cada
dispositivo individual en una red, pero a medida que las empresas crecen, entran y salen
dispositivos más desconocidos o nuevos, como teléfonos celulares y USB. Los firewalls
y el software antimalware por sí solo no son suficientes para proteger una red completa
de ataques. Actúan como una pequeña parte de todo un sistema de seguridad.
El uso de un IDS completo como parte de tu sistema de seguridad es vital y está destinado
a aplicarse en toda tu red de diferentes maneras.
Un IDS puede capturar instantáneas de todo tu sistema y luego usar la inteligencia
recopilada de patrones preestablecidos para determinar cuándo se produce un ataque o
proporcionar información y análisis sobre cómo ocurrió un ataque.
Esencialmente, hay varios componentes para la preparación de intrusiones:

• conocimiento de intrusiones potenciales,

• prevención de intrusiones potenciales,
• conocimiento de intrusiones activas y pasadas, y
• respuesta a la intrusión.
Si bien puede parecer «demasiado tarde» una vez que ya ha ocurrido un ataque, saber qué
intrusiones han sucedido o se han intentado en el pasado puede ser una herramienta vital
para prevenir futuros ataques. Conocer el alcance de la intrusión de un ataque también es
importante para determinar su respuesta y responsabilidades ante las partes interesadas
que dependen de la seguridad de sus sistemas.

Tipos
Los sistemas de detección de intrusos se clasificaron como pasivos o activos.
• Un IDS pasivo que detectara actividad maliciosa generaría alertas o entradas de
registro, pero no tomaría medidas.
• Un IDS activo, a veces llamado sistema de detección y prevención de intrusos
(IDPS), generaría alertas y entradas de registro, pero también podría configurarse
para tomar medidas, como bloquear direcciones IP o cerrar el acceso a recursos
restringidos.
En la actualidad existen distintos tipos de software de detección de intrusiones.

Sistema de detección de intrusos en la red (NIDS)

Un Sistema de detección de intrusiones en la red (NIDS) generalmente se implementa o
coloca en puntos estratégicos de la red, destinado a cubrir aquellos lugares donde el tráfico
es más vulnerable a los ataques.
En general, se aplica a subredes completas e intenta hacer coincidir el tráfico que pasa
con una biblioteca de ataques conocidos.
Examina pasivamente el tráfico de red que llega a través de los puntos de la red en la que
se implementa.
Pueden ser relativamente fáciles de asegurar y dificultar la detección de intrusos. Esto
significa que un intruso puede no darse cuenta de que el NIDS está detectando su posible
ataque.
El software del sistema de detección de intrusos basado en la red analiza una gran
cantidad de tráfico de red, lo que significa que a veces tienen poca especificidad. Esto
significa que a veces pueden perder un ataque o no detectar algo que sucede en el tráfico
encriptado.
En algunos casos, pueden necesitar una mayor participación manual de un administrador
para asegurarse de que estén configurados correctamente.

HIDS
• Un sistema de detección de intrusos (HIDS) se ejecuta en todas las computadoras
o dispositivos en la red con acceso directo tanto a Internet como a la red interna
de la empresa.
• Un HIDS tiene una ventaja sobre un NIDS y es que puede detectar paquetes de
red anómalos que se originan dentro de la organización o tráfico malicioso que un
NIDS no ha podido detectar.
• Un HIDS también puede identificar el tráfico malicioso que se origina en el propio
host, como cuando el host ha sido infectado con malware y está intentando
propagarse a otros sistemas.

SIDS
• Un sistema de detección de intrusos basado en firmas (SIDS) monitoriza todos los
paquetes que atraviesan la red y los compara con una base de datos de
firmas de ataque o atributos de amenazas maliciosas conocidas, al igual que
el software antivirus.

SIDA
• Un sistema de detección de intrusiones (SIDA) basado en anomalías monitoriza
el tráfico de la red y lo compara con una línea de base establecida para determinar
lo que se considera normal para la red con respecto al ancho de banda, protocolos,
puertos y otros dispositivos.
 • Este tipo a menudo utiliza el aprendizaje automático para establecer una línea de
base y una política de seguridad que la acompañe. Luego alerta a los equipos de
TI sobre actividades sospechosas y violaciones de políticas.
• Al detectar amenazas utilizando un modelo amplio en lugar de firmas y atributos
específicos, el método de detección basado en anomalías mejora las limitaciones
de los métodos basados en firmas, especialmente en la detección de nuevas
amenazas.
• Snort, uno de los sistemas de detección de intrusos más utilizados, es un NIDS de
código abierto, de libre acceso y ligero que se utiliza para detectar amenazas
emergentes. Se puede compilar en la mayoría de los sistemas operativos Unix o
Linux, con una versión disponible para Windows también.

IDS basados en firma

Este tipo de IDS se centra en la búsqueda de una «firma», patrones, o una identidad
conocida, de una intrusión o evento de intrusión específico. La mayoría de los IDS son
de este tipo. Necesita actualizaciones periódicas de qué firmas o identidades son comunes
en este momento para garantizar que su base de datos de intrusos esté actualizada. Esto
significa que los IDS basados en firmas son tan buenos como la actualización de su base
de datos en un momento dado. Los atacantes pueden sortear los IDS basados en firmas
cambiando con frecuencia pequeñas cosas sobre cómo se produce el ataque, por lo que
las bases de datos no pueden seguir el ritmo. Además, significa que un tipo de ataque
completamente nuevo puede no ser detectado en absoluto por IDS basados en firmas
porque la firma no existe en la base de datos. Cuanto más grande sea la base de datos,
mayor será la carga de procesamiento para que el sistema analice cada conexión y la
compare con la base de datos.

IDS basados en anomalías

A diferencia de los IDS basados en firmas, los IDS basados en anomalías buscan los tipos
de ataques desconocidos que los IDS basados en firmas encuentran difíciles de detectar.
Debido al rápido crecimiento del malware y los tipos de ataque, los IDS basados en
anomalías utilizan enfoques de aprendizaje automático para comparar modelos de
comportamiento confiable con comportamiento nuevo. Como resultado, se marcarán
anomalías o comportamientos de aspecto extraño o inusual. Sin embargo, el
comportamiento previamente desconocido pero legítimo también puede marcarse
accidentalmente y, dependiendo de la respuesta, esto puede causar algunos problemas.
Además, los IDS basados en anomalías suponen que el comportamiento de la red siempre
es predecible y puede ser simple distinguir el buen tráfico del mal.Pero el IDS basado en
anomalías observa el comportamiento del tráfico, no la carga útil, y si una red se ejecuta
en una configuración no estándar, el IDS puede tener problemas para determinar qué
tráfico marcar. Los IDS basados en anomalías son buenos para determinar cuándo alguien
está sondeando o barriendo una red antes del ataque. Incluso estos barridos o sondas crean
señales en la red que los IDS basados en anomalías detectarán. Este tipo de IDS debe
estar más distribuido en la red, y los procesos de aprendizaje automático deben ser
guiados y capacitados por un administrador.
 Capacidades
Los sistemas de detección de intrusos monitorizan el tráfico de red para detectar cuándo
un ataque está siendo llevado a cabo por entidades no autorizadas.
Los IDS proporcionan algunas o todas estas funciones a los profesionales de seguridad:
 Supervisar el funcionamiento de enrutadores, cortafuegos, servidores
de administración de claves y archivos que necesitan otros controles de seguridad
destinados a detectar, prevenir o recuperarse de ataques cibernéticos;
 Brindar a los administradores una forma de ajustar, organizar y comprender
los registros de auditoría relevantes del sistema operativo y otros registros que
de otro modo serían difíciles de rastrear o analizar;
 Proporcionar una interfaz fácil de usar para que miembros del personal no
expertos puedan ayudar con la gestión de la seguridad del sistema;
 Incluir una extensa base de datos de firmas de ataques contra la cual se puede
comparar la información del sistema;
 Reconocer e informar cuando el IDS detecta que los archivos de datos han sido
alterados;
 Generar una alarma y notificar que se ha violado la seguridad; y
 Reaccionar a los intrusos bloqueándolos o bloqueando el servido.

Beneficios
Los sistemas de detección de intrusos ofrecen a las organizaciones varios beneficios,
comenzando con la capacidad de identificar incidentes de seguridad.
Se puede usar un IDS para ayudar a analizar la cantidad y los tipos de ataques. Las
organizaciones pueden utilizar esta información para cambiar sus sistemas de seguridad
o implementar controles más efectivos.
Un sistema de detección de intrusos también puede ayudar a las empresas a identificar
errores o problemas con sus configuraciones de dispositivos de red. Estas métricas se
pueden utilizar para evaluar los riesgos futuros.
Los sistemas de detección de intrusos también pueden ayudar a la empresa a lograr el
cumplimiento normativo. Un IDS brinda a las empresas una mayor visibilidad en sus
redes, lo que facilita el cumplimiento de las normas de seguridad. Además, las empresas
pueden usar sus registros de IDS como parte de la documentación para demostrar que
cumplen con ciertos requisitos de cumplimiento.
Los sistemas de detección de intrusos también pueden mejorar las respuestas de
seguridad. Dado que los sensores IDS pueden detectar hosts y dispositivos de red,
también se pueden usar para inspeccionar datos dentro de los paquetes de red, así como
para identificar los sistemas operativos de los servicios que se utilizan.

para evitar que estas vulnerabilidades entren en tu sistema.

 Escaneo de ataques
Un tipo de ataque es un ataque de exploración, que implica:
 enviar paquetes o información a la red,
 intentar recopilar datos sobre:
 topología de la red,
 puertos abiertos o cerrados,
 tipos de tráfico permitido,
 hosts activos en una red o qué tipos o versiones de software se está ejecutando.
Los ataques de inyección SQL ciegos pueden usar algunas de estas técnicas de escaneo
mientras intentan encontrar puntos más vulnerables en la red. Los ataques de escaneo a
menudo buscan puertos abiertos donde se puedan insertar virus o códigos maliciosos.

Enrutamiento asimétrico
El enrutamiento asimétrico es cuando los paquetes que viajan a través de la red toman
una ruta hacia su destino y luego una ruta diferente de regreso. Este es un comportamiento
de red normal pero no deseado. Dependiendo de cómo estén configurados sus firewalls,
los atacantes pueden usar comportamientos de enrutamiento asimétrico para enviar
paquetes maliciosos a través de ciertas partes de tu sistema para evitar tus configuraciones
de seguridad. En general, permitir que tu red realice un enrutamiento asimétrico puede
dejarte abierto a ataques de inundación SYN (un tipo de ataque DDoS ) y, en la mayoría
de los casos, debe desactivarse para una mejor protección de la red.

Ataques de desbordamiento de búfer

Este tipo de ataque intenta penetrar secciones de memoria en dispositivos en la red,
reemplazando los datos normales en esas ubicaciones de memoria con datos maliciosos
que se ejecutarán más adelante en un ataque. En la mayoría de los casos, esto también
está destinado a convertirse en una forma de ataque DDoS. Básicamente, una sección de
memoria intermedia puede contener una cadena de caracteres o una gran variedad de
enteros. Un desbordamiento del búfer es cuando se escriben más datos en el búfer de los
que puede manejar, lo que da como resultado que los datos se desborden en la memoria
adyacente. Esto puede hacer que todo el sistema se bloquee y también puede crear
confusión y problemas, ocultando un ataque en otra parte del sistema.

Ataques específicos de protocolo

Este tipo de ataques se dirigen a protocolos específicos, incluidos ICMP, TCP y ARP.
ICMP
significa Protocolo de mensajes de control de Internet y lo utilizan los dispositivos de red
para comunicarse entre sí. Un tipo de ataque ICMP también se conoce como
inundaciones de ping, en el que el atacante abruma un dispositivo con paquetes de
solicitud de eco ICMP. Esto funciona porque las solicitudes ICMP requieren ancho de
banda para funcionar, y un ataque aumenta sustancialmente esta carga de red. Si bien el
dispositivo está ocupado lidiando con esta gran cantidad de paquetes maliciosos, no puede
manejar las solicitudes normales.
TCP
también se puede utilizar para tipos específicos de ataques, como la inundación TCP
SYN. El Protocolo de control de transmisión normalmente funciona con un «protocolo
de enlace de tres vías» para conectar dos dispositivos. Una inundación TCP SYN es
cuando un atacante envía una gran cantidad de mensajes SYN a diferentes puertos en el
servidor de destino, pero nunca envía el mensaje ACK. Como resultado, los puertos
permanecen abiertos mientras esperan que se reciba el mensaje ACK, durante el cual el
atacante envía más mensajes SYN, las tablas de desbordamiento de la conexión del
servidor se llenan y el sistema se bloquea o funciona mal.
ARP
significa Protocolo de resolución de direcciones, y también se puede usar en ataques de
inundación, al enviar grandes cantidades de paquetes ARP a un destinatario para
desbordar sus tablas ARP, como los ataques anteriores. También se pueden enviar
paquetes ARP falsificados o falsificados.

Malware
Existen varios tipos diferentes de malware, incluidos gusanos, troyanos, virus y bots . El
malware es un tipo de software diseñado para dañar o interrumpir su sistema. El malware
a menudo se descarga accidentalmente por correo electrónico o se incluye con otro
paquete de software. Algunos de los tipos de malware más conocidos son virus y
gusanos. Estos tipos de malware pueden autorreplicarse y propagarse rápidamente por
todo el sistema. Los gusanos pueden auto propagarse, mientras que los virus usan
programas host para replicarse y propagarse. Un software troyano se disfraza de
programa normal, como un documento que parece legítimo pero es malware. A diferencia
de los gusanos y los virus, no se auto-replican y solo pueden ser propagados por otros
usuarios. Los bots infectarán un dispositivo y luego se conectarán de nuevo a un servidor
de control central. El servidor de control central puede usar todos los dispositivos
infectados con bots como una «botnet» para lanzar ataques de alta potencia contra otros
objetivos.

Inundaciones de tráfico
En muchos casos, este es un tipo de ataque llamado ataque DDoS o ataque de denegación
de servicio distribuido. Algunos de los ataques anteriores, incluidos los ataques de
desbordamiento de búfer y los ataques de enrutamiento asimétrico, utilizan inundaciones
de tráfico.
 Algunos ejemplos de sistema de detección de intrusos
Algunos ejemplos de sistemas de detección de intrusos (IDS) son Snort, Suricata, Ossec,
Samhain, Bro o Kismet.
Todos estos sistemas se basan en reglas que es necesario preconfigurar en ellos, para que
puedan funcionar de forma automática y sin supervisión. Es importante, además, tener en
cuenta que serán tan efectivos como actualizadas estén sus bases de datos sobre amenazas
conocidas.

Características de un sistema de detección de

intrusiones
Un sistema de detección de intrusos tiene las siguientes características:

➢ Debe observar y reconocer desviaciones del funcionamiento normal de la red o

dispositivos conectados a ella.
➢ Funciona de forma automatizada y sin supervisión humana.
➢ Debe ser capaz de reconocer si ha sido alterado, es decir, debe poder analizarse a
sí mismo.
➢ No debe suponer una sobrecarga para los recursos del sistema.
➢ Debe poder seguir funcionando incluso ante una caída del sistema.
➢ Debe ser capaz de adaptarse a cualquier sistema operativo y a los cambios que se
hagan sobre el sistema.
➢ Capaz de identificar el origen de los ataques.
➢ Deben suponer una auténtica «barrera difícil de superar o vulnerar» para ser
realmente efectivos en la detección de amenazas.

Monitoreo de Servidores
Las empresas ejecutan varios servidores para ofrecer servicios críticos del negocio a los
usuarios finales. Entre ellos se encuentran los servidores de bases de datos, los
servidores de aplicaciones centrales, los servidores de almacenamiento en caché, los
servidores web, entre otros. El rendimiento de cada uno de estos servidores es
fundamental, ya que si uno de los servidores falla se afecta la entrega de los servicios
críticos para el negocio. Por lo tanto, es imprescindible conocer cualquier problema de
rendimiento para identificarlo en la etapa inicial y solucionarlo antes de que empeore y
represente una amenaza para el negocio. Las herramientas de monitoreo de servidores
ayudan a supervisar los servidores, así como toda la infraestructura. También
proporcionan informes exhaustivos sobre la planificación de la capacidad para evitar
cualquier inconveniente en la red.
¿Por qué es importante monitorear el rendimiento de los servidores?
➢ Para controlar la disponibilidad del servidor y la pérdida de datos..
➢ Para controlar la capacidad de respuesta del servidor.
➢ Para conocer la capacidad del servidor, la carga del usuario y la velocidad del servidor.
➢ Para detectar y prevenir cualquier problema que pueda afectar al servidor de manera
proactiva.

➢ utilización de CPU

➢ Utilización de memoria

➢ Monitoreo de procesos

➢ Monitoreo de servicios

➢ Monitoreo de servicios de Windows

➢ Monitoreo del log de eventos

➢ Monitoreo de archivos / carpetas

➢ Monitoreo de scripts

➢ Monitoreo de URL

Monitoreo del desempeño de los servidores en tiempo real

OpManager, la herramienta confiable de monitoreo de servidores, supervisa de manera
inmediata varias métricas de rendimiento, como la utilización de CPU / Memoria / Disco
incluso a un intervalo de un minuto. Muestra de forma gráfica estas métricas
para monitorear y medir el rendimiento del servidor, en tiempo real. También le permite
profundizar en un intervalo de tiempo particular para comprender mejor el problema y
tomar las medidas necesarias de manera proactiva. Al usar esta herramienta, podrá
solucionar los problemas antes de que afecten gravemente s a su negocio.
 Monitoreo del estado y disponibilidad de los servidores
OpManager, una de las principales herramientas de monitoreo del rendimiento de
servidores, supervisa de forma inmediata la disponibilidad del servidor y más de 300
métricas de rendimiento, como lectura / escritura de páginas, longitud de la cola del
procesador, memoria física libre, I/O de disco, longitud de la cola de proceso a través de
protocolos SNMP y WMI. Puede monitorear las métricas de rendimiento críticas cada
minuto y detectar los problemas de rendimiento en su etapa inicial. Además de los
monitores predeterminados, también puede crear sus propios monitores personalizados.
Todos los datos que se recopilan de las métricas de rendimiento del servidor se almacenan
en la base de datos para realizar un análisis detallado y para crear informes de rendimiento
mensuales y anuales.

Monitoreo proactivo de los servidores con umbrales multinivel

En TI, los usuarios finales reportan más del 50% de los problemas y no es un enfoque
adecuado. La solución de monitoreo de servidores debe identificar cualquier problema
relacionado con el rendimiento en las primeras etapas y notificar al equipo de
TI. OpManager, el mejor software de monitoreo de servidores de su clase, ofrece una
función de monitoreo de servidores proactiva que utiliza varios umbrales. Le permite
verificar el rendimiento en varios niveles y notificarlo al respecto por correo electrónico
y SMS en caso de que ocurra alguna violación.

Monitoreo del servidor web y rendimiento de la aplicación

Cuando se trata de aplicaciones críticas para el negocio, debe examinar cada
detalle. OpManager ofrece servicios avanzados para el monitoreo de servidores y el
monitoreo de procesos y servicios de Windows, donde la mayor parte del descubrimiento
y monitoreo se realiza de manera predeterminada. OpManager puede detectar los intentos
de intrusión de seguridad en sus servidores de aplicaciones (errores en el inicio de sesión
debido a contraseñas incorrectas, bloqueos de cuentas, intentos fallidos de acceder a
archivos seguros, etc.) al procesar los log de eventos y monitorear los syslog de Windows.
 Monitoreo de los servidores VMware ESX y del rendimiento del SO
alojado (guest)
OpManager también soporta el monitoreo de servidores virtuales. Incluye un dashboard
de monitoreo exclusivo para cada servidor ESX, que muestra la utilización de la CPU, la
memoria y el disco para cada instancia de VM alojada en el servidor ESX. OpManager
también permite iniciar, detener y suspender las instancias de VM en el servidor ESX.
Reciba alertas instantáneas sobre los equipos virtuales que utilizan recursos excesivos e
incluso detenga los equipos virtuales de forma remota antes de que causen problemas en
el servidor ESX.

Monitoreo del rendimiento del servidor de Exchange

Además de la función básica de monitoreo de servidores, OpManager incluye soporte

para SMTP, POP e IMAP en sus servidores de Exchange. Monitorea más de 15
servicios clave y 50 variables críticas que incluyen el almacenamiento público,
almacenamiento privado, tamaño de colas recibidas o enviadas, etc. Todo esto se realiza
a través de un dashboard de monitoreo de Exchange especialmente diseñado que asigna
automáticamente los monitores de rendimiento y umbrales pre configurados
dependiendo de si los servidores son Exchange 2000, 2003 o 2005.

Monitoreo de los servicios

En el momento del descubrimiento del dispositivo, OpManager descubre todos los
servicios que se ejecutan en los servidores Windows y Linux y los asocia con los
monitores de disponibilidad y tiempo de respuesta. OpManager también permite agregar
monitores para otros servicios personalizados que se ejecutan en el puerto TCP .
 Monitoreo de los servicios de Windows
Además de monitorear los servicios a nivel de sistema como HTTP, LDAP, SMTP,
etc., OpManager también monitorea los servicios de Windows, por ejemplo, Alerter,
FTP, Net Logon, Servidor DHCP, IAS, Print Spooler, etc. Una vez que se determine que
un servicio monitoreado ha fallado, se puede configurar OpManager para reiniciar
automáticamente el servicio de Windows o incluso el servidor.
 Monitoreo del proceso del servidor
OpManager descubre todos los procesos que se ejecutan en sus servidores y muestra los
detalles como la ID del proceso, el nombre del proceso, la ruta del proceso y el argumento
del proceso. Las 'plantillas de proceso' le permiten descubrir, administrar y establecer
umbrales fácilmente en varios servidores, desde una sola ventana. La sección de
Diagnóstico de Proceso Remoto permite visualizar fácilmente los principales procesos
por utilización de CPU y memoria. Esto le permite detener de forma remota los procesos
que causan problemas.

Monitoreo del log de eventos de Windows

OpManager puede ayudarlo a detectar los errores de inicio de sesión debido a contraseñas
incorrectas, bloqueos de cuentas, intentos fallidos de acceder a archivos seguros,
alteración de los registros de seguridad y otros al procesar los log de eventos de seguridad
de Windows. Además de los logs de seguridad, OpManager también puede monitorear
los logs de aplicaciones (reglas out-of-the-box para servidores Exchange, IIS, MS – SQL
e ISA), logs del sistema y otros logs de eventos.
 Monitoreo de URL y sitios web
No basta con confiar en las verificaciones de disponibilidad y tiempo de respuesta (puerto
TCP) para saber si su sitio web ha sido comprometido. OpManager le permite monitorear
una URL y buscar un texto específico en la página. Si no se encuentra el texto, puede
recibir una alerta inmediata y saber en tiempo real que su sitio web está comprometido.
La función de monitoreo del sitio web de OpManager soporta sitios HTTP⁄ HTTPs y
NTLM Authenticated.

Monitoreo de servidores remotos

OpManager, el software de monitoreo de servidores en tiempo real, también soporta el
monitoreo de servidores remotos, lo cual lo ayuda a monitorear servidores en varias
ubicaciones. También puede monitorear y eliminar de forma remota los procesos que
afectan el rendimiento del servidor. Monitorear los servidores de forma remota puede
ayudarlo a solucionar los problemas de rendimiento y adoptar medidas correctivas como
reiniciar o reanudar un servidor en cualquier parte del mundo.