Unidad 11. Herramientas de detección de intrusiones

Verdadero, por esta razón son los más utilizados como defensa

Falso, suelen no permitir, desde ellos, el ataque a sistemas reales, pero ellos mismos si son vulnerables

Verdadero, por esta razón los hackers atacan tanto estos sistemas para obtener información de cómo vencer sus defensas

Falso, esto solo es verdad si colaboran con un sistema IDS

Basados en la red y basados en firmas de red

Basados en la red y basados en sistemas concretos de la red

Basados en firmas y basados en anomalías de la red

Basados en anomalías de la red y mixtos de sistemas y red

Verdadero, pues solo dispone de una interfaz de monitorización

Verdadero, pues no existen sistemas de suficiente rendimiento como para monitorizar el tráfico de más de una interface

Falso, es sólo una cuestión de rendimiento y no de arquitectura. De hecho, Sguil implementa la posibilidad de monitorizar varios segmentos de red simultáneamente

Falso, depende de la topología específica de la red

Un falso positivo es un término, utilizado solo por Cisco Systems, para referenciar los ataques a través de un cortafuegos, detenidos por el cortafuegos y para los que éste genera un mensaje de log que llega al sistema IDS

Un falso positivo es un ataque no capturado por el sistema IDS, aun cuando éste estaba configurado para ello

Un falso positivo es un ataque falso que, no obstante, genera una alarma de la que se puede obtener información positiva para diferenciar la próxima vez

Un falso positivo es una alarma generada por un sistema IDS que resulta no estar asociada con un ataque real

pass

alert

reject

log

Monitorización

Análisis de vulnerabilidades

Implementación

Este tipo de herramientas se usan en todas las fases de desarrollo del proceso de seguridad

Parte del contenido de un paquete que identifica de forma univoca a un paquete como malicioso

La firma la compone un paquete o grupo de paquetes que indican con cierta fiabilidad que se está produciendo un ataque

Parte de un paquete interceptado que contiene la firma digital del ataque

Es el código de identificación de ataque (Signature ID) que asigna Snort a cada uno de los ataques que tiene categorizados

Sniffer de paquetes y registro de paquetes

Sniffer de paquetes, IDS e IPS

Registro de paquetes e IDS

Sniffer de paquetes, registro de paquetes e IDS/IPS

Snort proporciona datos de alerta y captura de paquetes

SANCP para obtener datos sobre sesiones TCP

tcpflow permite reconstruir datos de la capa de aplicación

Todos los anteriores son componentes de Sguil

Detectar intrusiones

Crear confusión en el atacante

Sustituir el uso de herramientas de detección de intrusiones como Snort o Sguil

Investigar las técnicas utilizadas por los atacantes