Documentos de Académico
Documentos de Profesional
Documentos de Cultura
BAUTISTA AGUIRRE
NOMBRE:
MARIA SOLEDAD RODRIGUEZ GALARZA
MATERIA:
SEGUIRIDAD INFORMATICAS
CURSO:
4TO A SEMESTRE MATUTINA
PROFESOR:
ING.JOSE LEON
AÑO LECTIVO
2022-2023
SISTEMA DE DETECCIÓN DE INTRUSOS
Los sistemas de detección de intrusos suelen formar parte de otros sistemas o software de
seguridad, junto con la intención de proteger los sistemas de información.
La seguridad IDS funciona en combinación con medidas de autenticación y control de
acceso de autorización, como una doble línea de defensa contra la intrusión.
Los firewalls y el software antivirus o de malware generalmente se configuran en cada
dispositivo individual en una red, pero a medida que las empresas crecen, entran y salen
dispositivos más desconocidos o nuevos, como teléfonos celulares y USB. Los firewalls
y el software antimalware por sí solo no son suficientes para proteger una red completa
de ataques. Actúan como una pequeña parte de todo un sistema de seguridad.
El uso de un IDS completo como parte de tu sistema de seguridad es vital y está destinado
a aplicarse en toda tu red de diferentes maneras.
Un IDS puede capturar instantáneas de todo tu sistema y luego usar la inteligencia
recopilada de patrones preestablecidos para determinar cuándo se produce un ataque o
proporcionar información y análisis sobre cómo ocurrió un ataque.
Esencialmente, hay varios componentes para la preparación de intrusiones:
Tipos
Los sistemas de detección de intrusos se clasificaron como pasivos o activos.
• Un IDS pasivo que detectara actividad maliciosa generaría alertas o entradas de
registro, pero no tomaría medidas.
• Un IDS activo, a veces llamado sistema de detección y prevención de intrusos
(IDPS), generaría alertas y entradas de registro, pero también podría configurarse
para tomar medidas, como bloquear direcciones IP o cerrar el acceso a recursos
restringidos.
En la actualidad existen distintos tipos de software de detección de intrusiones.
HIDS
• Un sistema de detección de intrusos (HIDS) se ejecuta en todas las computadoras
o dispositivos en la red con acceso directo tanto a Internet como a la red interna
de la empresa.
• Un HIDS tiene una ventaja sobre un NIDS y es que puede detectar paquetes de
red anómalos que se originan dentro de la organización o tráfico malicioso que un
NIDS no ha podido detectar.
• Un HIDS también puede identificar el tráfico malicioso que se origina en el propio
host, como cuando el host ha sido infectado con malware y está intentando
propagarse a otros sistemas.
SIDS
• Un sistema de detección de intrusos basado en firmas (SIDS) monitoriza todos los
paquetes que atraviesan la red y los compara con una base de datos de
firmas de ataque o atributos de amenazas maliciosas conocidas, al igual que
el software antivirus.
SIDA
• Un sistema de detección de intrusiones (SIDA) basado en anomalías monitoriza
el tráfico de la red y lo compara con una línea de base establecida para determinar
lo que se considera normal para la red con respecto al ancho de banda, protocolos,
puertos y otros dispositivos.
• Este tipo a menudo utiliza el aprendizaje automático para establecer una línea de
base y una política de seguridad que la acompañe. Luego alerta a los equipos de
TI sobre actividades sospechosas y violaciones de políticas.
• Al detectar amenazas utilizando un modelo amplio en lugar de firmas y atributos
específicos, el método de detección basado en anomalías mejora las limitaciones
de los métodos basados en firmas, especialmente en la detección de nuevas
amenazas.
• Snort, uno de los sistemas de detección de intrusos más utilizados, es un NIDS de
código abierto, de libre acceso y ligero que se utiliza para detectar amenazas
emergentes. Se puede compilar en la mayoría de los sistemas operativos Unix o
Linux, con una versión disponible para Windows también.
Beneficios
Los sistemas de detección de intrusos ofrecen a las organizaciones varios beneficios,
comenzando con la capacidad de identificar incidentes de seguridad.
Se puede usar un IDS para ayudar a analizar la cantidad y los tipos de ataques. Las
organizaciones pueden utilizar esta información para cambiar sus sistemas de seguridad
o implementar controles más efectivos.
Un sistema de detección de intrusos también puede ayudar a las empresas a identificar
errores o problemas con sus configuraciones de dispositivos de red. Estas métricas se
pueden utilizar para evaluar los riesgos futuros.
Los sistemas de detección de intrusos también pueden ayudar a la empresa a lograr el
cumplimiento normativo. Un IDS brinda a las empresas una mayor visibilidad en sus
redes, lo que facilita el cumplimiento de las normas de seguridad. Además, las empresas
pueden usar sus registros de IDS como parte de la documentación para demostrar que
cumplen con ciertos requisitos de cumplimiento.
Los sistemas de detección de intrusos también pueden mejorar las respuestas de
seguridad. Dado que los sensores IDS pueden detectar hosts y dispositivos de red,
también se pueden usar para inspeccionar datos dentro de los paquetes de red, así como
para identificar los sistemas operativos de los servicios que se utilizan.
Enrutamiento asimétrico
El enrutamiento asimétrico es cuando los paquetes que viajan a través de la red toman
una ruta hacia su destino y luego una ruta diferente de regreso. Este es un comportamiento
de red normal pero no deseado. Dependiendo de cómo estén configurados sus firewalls,
los atacantes pueden usar comportamientos de enrutamiento asimétrico para enviar
paquetes maliciosos a través de ciertas partes de tu sistema para evitar tus configuraciones
de seguridad. En general, permitir que tu red realice un enrutamiento asimétrico puede
dejarte abierto a ataques de inundación SYN (un tipo de ataque DDoS ) y, en la mayoría
de los casos, debe desactivarse para una mejor protección de la red.
Malware
Existen varios tipos diferentes de malware, incluidos gusanos, troyanos, virus y bots . El
malware es un tipo de software diseñado para dañar o interrumpir su sistema. El malware
a menudo se descarga accidentalmente por correo electrónico o se incluye con otro
paquete de software. Algunos de los tipos de malware más conocidos son virus y
gusanos. Estos tipos de malware pueden autorreplicarse y propagarse rápidamente por
todo el sistema. Los gusanos pueden auto propagarse, mientras que los virus usan
programas host para replicarse y propagarse. Un software troyano se disfraza de
programa normal, como un documento que parece legítimo pero es malware. A diferencia
de los gusanos y los virus, no se auto-replican y solo pueden ser propagados por otros
usuarios. Los bots infectarán un dispositivo y luego se conectarán de nuevo a un servidor
de control central. El servidor de control central puede usar todos los dispositivos
infectados con bots como una «botnet» para lanzar ataques de alta potencia contra otros
objetivos.
Inundaciones de tráfico
En muchos casos, este es un tipo de ataque llamado ataque DDoS o ataque de denegación
de servicio distribuido. Algunos de los ataques anteriores, incluidos los ataques de
desbordamiento de búfer y los ataques de enrutamiento asimétrico, utilizan inundaciones
de tráfico.
Algunos ejemplos de sistema de detección de intrusos
Algunos ejemplos de sistemas de detección de intrusos (IDS) son Snort, Suricata, Ossec,
Samhain, Bro o Kismet.
Todos estos sistemas se basan en reglas que es necesario preconfigurar en ellos, para que
puedan funcionar de forma automática y sin supervisión. Es importante, además, tener en
cuenta que serán tan efectivos como actualizadas estén sus bases de datos sobre amenazas
conocidas.
Monitoreo de Servidores
Las empresas ejecutan varios servidores para ofrecer servicios críticos del negocio a los
usuarios finales. Entre ellos se encuentran los servidores de bases de datos, los
servidores de aplicaciones centrales, los servidores de almacenamiento en caché, los
servidores web, entre otros. El rendimiento de cada uno de estos servidores es
fundamental, ya que si uno de los servidores falla se afecta la entrega de los servicios
críticos para el negocio. Por lo tanto, es imprescindible conocer cualquier problema de
rendimiento para identificarlo en la etapa inicial y solucionarlo antes de que empeore y
represente una amenaza para el negocio. Las herramientas de monitoreo de servidores
ayudan a supervisar los servidores, así como toda la infraestructura. También
proporcionan informes exhaustivos sobre la planificación de la capacidad para evitar
cualquier inconveniente en la red.
¿Por qué es importante monitorear el rendimiento de los servidores?
➢ Para controlar la disponibilidad del servidor y la pérdida de datos..
➢ Para controlar la capacidad de respuesta del servidor.
➢ Para conocer la capacidad del servidor, la carga del usuario y la velocidad del servidor.
➢ Para detectar y prevenir cualquier problema que pueda afectar al servidor de manera
proactiva.
➢ utilización de CPU
➢ Utilización de memoria
➢ Monitoreo de procesos
➢ Monitoreo de servicios
➢ Monitoreo de scripts
➢ Monitoreo de URL