Los llamados IDS son una medida de seguridad que se implementa con la finalidad de detectar amenazas que por lo general no son detectadas por los cortafuegos o los antivirus, los ids se pueden operar bajo 2 modalidades, los analisadores de red conocidos como NIDS que detectan amenazas en el trafico de red, aunque son muy efectivos en realidad generan trafico adicional y en caso de que el ataque puede estar encriptado o cifrado, se debe tomar en cuenta que este sistema unicamente se puede implementar en un segmento de red. El segundo modo de operacion de los IDS son los conocidos huespedes HIDS, estos se albergan en una maquina conocida como host y operan enviando informacion hacia un equipo central indicando modificaciones no autorizadas. Cave recalcar que los NIDS y los HIDS tienen una consola que permite verificar las alarmas, asi como una programacion dedicada que permiten detectar amenazas comunes, pero en ambos casos es importante una buena determinacion de los parametros a supervisar, una correcto conocimiento de los metodos de operacion de la red y los host y un sistema de actualizaciones eficiente.
Los ids se los puede implementar en varias plataformas es asi como en el mercado existen varios de codigo abierto, se recomienda visitar la pagina http://www.idssoftware.com/, para descargar un servidor IDS, y http://es.kioskea.net/contents/detection/ids.php3, para obtener informacion adicional del funcionamiento del IDS

Sistema de detección de intrusiones (IDS)

El término IDS hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.
Existen dos claras familias importantes de IDS:

• El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.
Características:
- Un N-IDS necesita un hardware exclusivo.
- Es común encontrar diversos IDS en diferentes partes de la red

• El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.
Un N-IDS necesita un hardware exclusivo.
Características:
- Se encuentra en un host particular.
- Su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc

En la actualidad cada vez resuena más el término IPS (Sistema de prevención de intrusiones) que viene a sustituir al IDS “tradicional”.

El IPS es un sistema de prevención/protección para defenderse de las intrusiones y no sólo para reconocerlas e informar sobre ellas, como hacen la mayoría de los IDS.
Existen dos características principales que distinguen a un IDS (de red) de un IPS (de red):

- El IPS se sitúa en línea dentro de la red IPS y no sólo escucha pasivamente a la red como un IDS.
- Un IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa que el IPS puede filtrar y bloquear paquetes.
Fuente: http://es.kioskea.net/contents/detection/ips.php3

Jimmy Sanchez
Ricardo Agila

• Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema.

• Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.
• Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa.

• Los IDS no están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.

• Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos.

• Existe 2 tipos de IDS:

HIDS: Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como ficheros, logs, recursos, para su posterior análisis en busca de posibles incidencias.

NIDS: Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque.

Por: Jaime Romero

IDS (Intrusion Detection System)

Su propósito es detectar cualquier intento de penetrar el perímetro de seguridad del elemento que está siendo protegido. Este perímetro está definido por firewalls, puntos de demarcación de telecomunicaciones o computadoras de escritorio con módems.

Características:
- Aplicable a PCs y redes
- Buscar vulnerabilidades y busqueda de patrones
- Siempre se deben actualizar los patrones
- Prevenir, detectar, documentar, proveer informacion

Fallos:
- Debido a malas configuraciones. 2 tipos:
- Falso positivo
- Falso negativo

2 Tipos de IDS:

NIDS
- Monitorea tráfico de red
- No analiza información encriptada

HIDS
- Puede analizar informacion encriptada en el receptor

Puntos claves NIDS:
- No es conveniente colocar un IDS antes de un firewall
- Se puede poner en el DMZ (Zona DesMilidarizada)
- DMZ -> Se encuentran todos los servidores
- Luego del firewall de nuestra red
- En cada segmento de red
- NIDS distribuidos poseen un solo centro de monitoreo
- IPS es una evolución de un IDS

Por:
Roger Agreda
Vicente Martinez

IDS
La detección de intrusos (Intrusion Detection o ID) es “un modelo de seguridad aplicable tanto a ordenadores como a redes. Un sistema IDS recolecta y analiza información procedente de distintas áreas de un ordenador o red de ordenadores con el objetivo de identificar posibles fallos de seguridad. Este análisis en busca de intrusiones incluye tanto los posibles ataques externos (desde fuera de nuestra organización) como los internos (debidos a un uso abusivo o fraudulento de los recursos).
HIDS (Host IDS)
Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como ficheros, logs, recursos, etc, para su posterior análisis en busca de posibles incidencias. Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en desarrollar por la industria de la seguridad informática.
- Funcionalidades HIDS nativas en los SO recientes, fácil activación en el momento de instalación
- Punto de vista de los ataques desde el sistema
- Inútil y confuso después de un compromiso
- Uso de rootkits
- Gestión compleja para un gran número de sistemas
- Demasiada carga en el sistema (disco, CPU, etc.)
- Alto coste en despliegues corporativos al utilizar herramientas comerciales

NIDS (Net IDS)
Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque.
Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan, “ven” todos los paquetes que circulan por un segmento de red aunque estos nos vayan dirigidos a un determinado equipo). Analizan el tráfico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
– Fáciles de desplegar
– Gran efectividad.
– Gran escalabilidad
– Reglas demasiado genéricas o ataques de inserción
– Evasión o perdida de paquetes en nuevos ataques
– Alarmas sin contexto.
– Gran volumen de datos.
– Cifrado

Referencias:
http://gabriel.verdejo.alvarez.googlepages.com/DEA-es-3IDS.pdf

Sergio Jaramillo
Marcelo Valdiviezo

DIANA MERINO
ROCIO ORTIZ

IDS.- sistema de detección de es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Funcionamiento.-
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Las firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

HID .-

Es un dispositivo de interfaz humana para computadores que interactúa directamente con, y que toman entradas de humanos, y que también pueden entregar una salida a los humanos. El termino “HID” comúnmente se refiere a la especificación USB-HID. El termino fue acuñado por Mike Van Flandern de Microsoft cuando el le propuso a la comitiva USB, crear un grupo de trabajo para la clase Human Input Device. El nombre del grupo de trabajo fue cambiado a la clase Human Interface Device en sugerencia de Tom Schmidt de DEC, porque la norma propuesta soportaba la comunicación bidireccional.
Las principales motivaciones pada HID eran las de permitir inovaciones en los dispositivos de entrada a la computadora y simplificar el proceso de instalar esos dispositivos. Antes de HID, los dispositivos normalmente se ajustaban a muy estrictos protocolos para el ratón, teclados y joystricks. Cualquier innovación en el hardware, requería sobrecargar el uso de datos en un protocolo existente o la creación de un nuevo driver y la evangelización de un nuevo protocolo para los desarrolladores de aplicación. En contraste con todos los dispositivos HID, entregan paquetes autodescriptivos que pueden contener una infinidad variada de tipos de datos y formatos. Un solo driver HID en la computadora parsea los datos y permite una asociación dinámica de datos de entrada y salida (I/O) con la funcionalidad de la aplicación. Este tiene habilitado la innovación rápida y proliferación de nuevos dispositivos de interfaz humana.

Introducción: Un IDS es un software que monitorea el tráfico de una red y los sistemas de una organización en busca de señales de intrusión, actividades de usuarios no autorizados y la ocurrencia de malas prácticas, como en el caso de los usuarios autorizados que intentan sobrepasar sus límites de restricción de acceso a la información. Características:

• Deben estar continuamente en ejecución con un mínimo de supervisión.
• Se deben recuperar de las posibles caídas o problemas con la red.
• Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
• Debe utilizar los mínimos recursos posibles.
• Debe estar configurado acorde con la política de seguridad seguida por la organización.
• Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.

Tipos de IDS Según la función del software IDS, tenemos: NIDS (Network Intrusion Detection System)

Los NIDS analizan el tráfico de la red completa, examinando los paquetes individualmente, comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos.

Componentes:

• Un sensor: situado en un segmento de la red, la monitoriza en busca de tráfico sospechoso
• Una Consola: recibe las alarmas del sensor o sensores y dependiendo de la configuración reacciona a las alarmas recibidas.

Ventajas:

• Detectan accesos no deseados a la red.
• No necesitan instalar software adicional en los servidores en producción.
• Fácil instalación y actualización por que se ejecutan en un sistema dedicado.
• Como principales desventajas se encuentran:
• Examinan el tráfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque en diferentes segmentos de la red. La solución más sencilla es colocar diversos sensores.
• Pueden generar tráfico en la red.
• Ataques con sesiones encriptadas son difíciles de detectar.

HIDS (Host Intrusion Detection System)

Los HIDS analizan el tráfico sobre un servidor o un PC, se preocupan de lo que está sucediendo en cada host y son capaces de detectar situaciones como los intentos fallidos de acceso o modificaciones en archivos considerados críticos.

Ventajas:

• Herramienta potente, registra comandos utilizados, ficheros abiertos.
• Tiende a tener menor número de falsos-positivos que los NIDS, entendiendo falsos-positivos a los paquetes etiquetados como posibles ataques cuando no lo son.
• Menor riesgo en las respuestas activas que los IDS de red.

Inconvenientes:

• Requiere instalación en la máquina local que se quiere proteger, lo que supone una carga adicional para el sistema.
• Tienden a confiar en las capacidades de auditoría y logging de la máquina en sí.

Clasificación según los modelos de detecciones Detección del mal uso:

La detección del mal uso involucra la verificación sobre tipos ilegales de tráfico de red, por ejemplo, combinaciones dentro de un paquete que no se podrían dar legítimamente. Este tipo de detección puede incluir los intentos de un usuario por ejecutar programas sin permiso por ejemplo, “sniffers”. Los modelos de detección basada en el mal uso se implementan observando cómo se pueden explotar los puntos débiles de los sistemas, describiéndolos mediante unos patrones o una secuencia de eventos o datos “firma” que serán interpretados por el IDS.

Detección del uso anómalo.

La detección de actividades anómalas se apoya en estadísticas tras comprender cuál es el tráfico “normal” en la red del que no lo es. Un ejemplo de actividad anómala sería la detección de tráfico fuera de horario de oficina o el acceso repetitivo desde una máquina remota. Este modelo de detección se realiza detectando cambios en los patrones de utilización o comportamiento del sistema. Esto se consigue realizando un modelo estadístico que contenga una métrica definida y compararlo con los datos reales analizados en busca de  desviaciones estadísticas significantes.

Por:        Juan Carlos Romero Sigcho

Pedro Damián Vélez Salas

Integrantes:
- Gastón Chamba
- Frank Maldonado
- Richard Rivera
- Ángel Songor
diapositivas-exposicion-seguridad-de-redes.ppt

Resumen—La identificación de ataques  consiste en descubrir  las  vulnerabilidades de una red  y tener acceso a la  misma, y de esta forma poder modicar  o eliminar archivos.

Se debe de tener en cuenta que podemos  realizar  los ataques de manera física y lógica.

Ataque Fisico._es aquel que lo podemos realizar   a la infraestructura de una red es decir al hardware.

Ataque Logico._consiste el descubrir las vulnerabilidades   del software implantadas por  la compañía.

1._ÍNDICE DE TÉRMINOS

Ataque WIFI._este tipo de ataques se basa en el engaño y básicamente en la suplantación de identidades y/o dispositivos pertenecientes a la Red Inalámbrica Wifi atacada.

Snifers._ es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.

.

2._Procedimiento Teorico

2.1. Determine los tipos de ataques que podrían ser más dañinos para Ud. (Ataques de acceso, modificación, denegación de servicio y de modificación)

Ataques de acceso: un ataque de acceso en un sistema o red para nosotros sería perjudicial por que al entrar en la red o sistema puede alterar documentos, cambiar contraseñas, borrar archivos.

Snifers al tener en nuestra  red intrusos podemos darnos cuenta que la persona que realiza el ataque obtiene el camino directo para administrar  parte  de lo que él pueda cifrar, y con eso perjudicar a la empresa o red involucrada.

Ataques con programas ejecutados en lenguaje máquina, son bastante peligrosos por que entran a nuestra red sin que los dueños nos percatemos en algún archivo o descarga web, y desde el interior del sistema suministra datos a la persona que realiza el ataque.

Ataques web cuando en páginas piden claves, números de tarjeta, ip de maquinas con eso damos acceso a posibles ataque peligrosos para la red.

El ataque de virus en la red es muy peligroso también , no solo los visibles en el sistema operativo sino los que se encuentran en la red mismo por ejemplo los que borran los paquetes de bits y con ello no dejan llegar la información

2.2. Indique la forma en la que detectaría los ataques en el caso de que Ud. sufriera alguno de los mencionados en el literal 2.3

Ataques de acceso

Al tener un ataque de acceso lo importante es tener un historial de archivos, documentos,  diario, en el cual se pueda ver alguna alteración que sufriese la red.

Snifers

Ver cuántos accesos tuvo la red en un tiempo determinado y estudiar el acceso de entrada y verificar que haya sido de personal interno de la red y no un ataque externo.

Ataques con programas en lenguaje máquina

No grabar, ni instalar programas de procedencia dudosa en las máquinas que se encuentren en la red así podemos evitar a los programas intrusos  que traten de ingresar, y al hacerlo monitorear todos los archivos que ingresan a los computadores ocultos y visibles.

Ataques web cuando en páginas piden claves

No brindar la información de claves personales, de números de tarjetas de            crédito, cuentas corrientes o información personal, la forma de detectar estos intrusos es no usar claves sencillas o de la vida cotidiana (números de cedula, números de celular, nombre de la familia) sino accesos difíciles de ingresar

Virus en la red

Utilizar software adecuado para eliminar estos  programas y revisar continuamente el hardware en la red para evitar ataques físicos a la red que son muy peligrosos.

2.3 Indique los métodos o técnicas que utilizaría para evitar vulnerabilidades  de su red LAN.

Métodos y técnicas

Bloquear el acceso a la red a un determinado número de intentos de acceso.

Por ejemplo que al tercer intento de poner una contraseña se bloquee el sistema y que solo el administrador pueda recuperar al sistema.

Utilizar muros contra fuegos o firewall que protege de no puedan ingresar al sistema programas nocivos o de dudosa procedencia.

Utilizar un antivirus actualizado y de último nivel el 70% de las invasiones y daños en la red son provocados por virus y la mayoría simples que borran archivos de la computadora.

Cambiar continuamente de contraseñas de acceso a la red, especialmente cuando alguien salga de la empresa.

Controlar los paquetes de bits que ingresan a la máquina con software el  especificado con eso evitamos un ataque en el sistema

Monitorear la red tanto física como lógica constantemente con el objetivo de detectar la presencia de intrusos en la red.

lógica constantemente con el objetivo de detectar la presencia de intrusos en la red.

4._BIBLIOGRAFIA

http://micronetch.com/blog/?p=80.

http://www.mexis.net/pdf/seguridad-LAN.pdf.

http://www.mundo-contact.com/Acervo/mty2006_mentehacker.pdf?PHPSESSID=9544a9064207e45b75a3f374587392eb.

http://www.iec.csic.es/gonzalo/descargas/SeguridadWiFi.pdf.