• Barajar
    Activar
    Desactivar
  • Alphabetizar
    Activar
    Desactivar
  • Frente Primero
    Activar
    Desactivar
  • Ambos lados
    Activar
    Desactivar
  • Leer
    Activar
    Desactivar
Leyendo...
Frente

Cómo estudiar sus tarjetas

Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda

Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba

Tecla H: Muestra pista (3er lado).tecla h

Tecla N: Lea el texto en voz.tecla n

image

Boton play

image

Boton play

image

Progreso

1/18

Click para voltear

18 Cartas en este set

  • Frente
  • Atrás
Tipos de intrusos
Ciber criminales
Activistas
Patrocinados por el estado
otros
Niveles de capacidad de los intrusos
Aprendiz
Oficial (Journeyman)
Master (Maestro)
Ejemplos de intrusión
control remoto de un servidor de email
anular un servidor web
cracking passwords
copiando una base de datos con numeros de tarjetas de crédito
Comportamiento del intruso
1. adquisición de objetivos y recopilación de información
2. acceso inicial
3. Escalación de privilegios
4. Reunión de información y explotación del sistema
5. mantenimiento del acceso
6 cubrir las huellas
Intrusión de seguridad
un evento en la seguridad que consitituye un incidente en la seguridad donde un intruso gana acceso a un sistema
Detección de la intrusión
Servicio de seguridad que monitorea y analiza los eventos del sistema con el objetivo de proveer protección en tiempo real.
false positives
false negatives
usuarios autorizados son identificados como intrusos
intrusos no identificados como intrusos.
Requisitos para un IDS
1. ejecuta constatemente
2. tolerante a fallos
3. resiste a la subversion
4. impone un gasto mínimo en el sistema
5. configurado de acuerdo a las politicas de seguridad del sistema
6. adapatarse a los cambios
7. escalar para monitorear grandes numeros de host
8. reconfiguración dinámica.
Detección de anomalias
implica una colección de datos relacionados con el comportamiento de los usuarios legitimos en un periodo de tiempo. El comportamiento actual observado es analizado para determinar si este comportamiento es legitimo o es un intruso.

Categorías:
Estadisticos: analizan el comportamiento usando univariables, multivariables o modelos en series de tiempo.
Basado en conocimiento: usa un sistema experto que clasifica el comportamiento observado de acuerdo a una serie de reglas que modelan el comportamiento légitimo.
Detección de firma o detección heuristica
usa un conjunto de patrones de datos maliciosos (signature), o reglas de ataque que se comparan con el comportamiento actual.

Estudios de firma: relacionan una larga colección de patrones de datos maliciosos almacenados en un sistema o en transito por la red. la firma necesita ser lo suficientemente largo para minimizar el ratio de falsa alarma. usado en antivirus.

Identificación basada en el uso de reglas heuristica: uso de reglas para identificar penetraciones conocidas que explotan debilidades conocidas. Reglas pueden ser tambien definidas para identificar comportamiento malicioso.
Fuentes de datos y sensores
componentes fundamentales de la detección de intrusos es el sensor que colecta datos.
- Rastreo de llamadas al sistema
- Registros de auditorías
- Checksum de integridad de archivos
- Registro de acceso.
HIDS distribuidos
1. Host agent module:
2. LAN monitor agent module:
3. Central manager module:
Network- based IDS (NIDS)
monitorea el trafico en los puntos seleccionados de una red. Examina el tráfico paquete a paquete en tiempo real. Examina los protocolos de red, transporte y aplicación.
Analiza los patrones de tráfico para detectar intrusion en el sensor en el mantenimiento del servidor o en una combinación de ambos.

- inline sensor: insertados dentro de un segmento de red por lo que el tráfico que es monitoreado debe pasar a través del sensor.
- passive sensors: monitorean una copia del trafico de red.
SPA (Stateful protocol analysis)
detalla el subconjunto de detección de anomalias que compara el trafico observado contra el predeterminado universal. Entiende y monitoriza los estados de los protocolos de red, transporte y aplicación para asegurar que el progreso es como el esperado. Requiere de muchos recursos.
Registro de alertas
información registrada:
-Timestamp.
-id de sesión o conexión,
-tipo de evento o alerta.
-protocolos de red, transporte y aplicación
- origen y destino ip
- puertos origen y destino tcp
-bytes transmitidos en la conexión.
Intruson detection exchange format
definir formato de datos e intercambiar procedimientos para compartir información de interes a la detección de intrusos y sistemas de respuesta y gestionar los sistemas que pueden interactuar con ellos.
Honeypots
sistemas señuelo diseñados para alejar a un atacante potencial de los sistemas críticos. recolectan información sobre la actividad del atacante, mantiene al atacante dentro del sistema el tiempo suficiente para que respondan los administradores. Un honeypot no puede empezar una comunicación con el exteriror, lo más probable es que se haya comprometido el sistema. y dese el exterior no pueden comunicarse con el honeypot, esto sería una prueba o un scanner.

- low interaction honeypot
- high interaction honeypot
Snort
puede realizar capturas de paquetes, analisis de protocolos y busqueda de contenido. diseñado para analizar TCP y UDP.
4 componentes lógicos:
- packet decoer: procesa cada paquete capturado para identificar y aislar cabeceras de protocolo
- motor de detección: analiza cada paquete en base a un conjunto de reglas definidas en su configuración.
- lloger: almacena el paquete detectado en un formato que se pueda entender por los humanos o en un binario compacto. El administrador de la seguridad puede usar ese fichero de registro para un analisis posteiror.

Puede configurarse como un sensor pasivo o como un sensor en linea.