UNIVERSIDAD ESTATAL DE MILAGRO

FACULTAD CIENCIAS E INGENIERIA

CARRERA: TENOLOGÍAS DE LA INFORMACIÓN EN LÍNEA
MODALIDAD: EN LÍNEA

ASIGNATURA:
Sistemas Operativos
TEMA:
Implementaciones de defensas de seguridad
“Detección de intrusos y Protección frente a virus”
CUARTO SEMESTRE
Grupo # 03

DOCENTE:
Ing. Castillo Heredia Luis Javier

INTEGRANTES:
Quezada Ramírez Patricia Judith [email protected]
Tocto Carpio Carlos Alexander [email protected]
Tony Josue Toledo Zambrano [email protected]

PERÍODO:
Mayo a septiembre 2022
MILAGRO – ECUADOR
Índice
Introducción
 Desarrollo

Implementaciones de defensas de seguridad

Estrategia de seguridad
Debido al gran auge tecnológico y al uso de equipos para el procedimiento de la
información, es fundamental proteger todos los medios de acceso a la empresa de
amenazas informáticas potenciales, las cuales tienen la posibilidad de perjudicar el
desempeño del equipo tecnológico y la información que se tenga en la organización,
debido a que mayormente ésta es confidencial. En las empresas electrónicas es
prioritario disponer de planes de seguridad que permitan proteger la información de los
clientes y las transacciones electrónicas que se hacen, así como la información de la
organización, puesto que parte importante de ella en servidores y bases de datos.

La seguridad informática no es únicamente tener programas antivirus que salvaguarden

los equipos con los que se labora en la empresa, es el conjunto de actividades de
seguridad que se tiene que llevar realizar en diferentes áreas de la organización, a partir
del usuario, asignación de contraseña, seguridad en su medio de trabajo, como lo son los
equipos tecnológicos, las redes, los servidores y bases de datos.

Detección de intrusos en red

La instalación de un sistema para la detección de intruso pretende mejorar la seguridad

de un sistema por medio de la incorporación de herramientas o dispositivos capaces de
avisar a los operadores en el momento en el que se produzcan ataque conocidos contra
la seguridad del sistema, o deviaciones del comportamiento habitual de sus usuarios o
equipos.

Los dispositivos para la detección de intrusos tratan de encontrar y reportar actividades

maliciosas en tráfico de red o a nivel de sistema y aplicaciones logrando llegar a
reaccionar adecuadamente antes de que el objetivo final del ataque se produzca.

Seguidamente, insertaremos dos definiciones fundamentales en el campo de la

detección de intrusos con la finalidad de aclarar términos habituales que se utilizarán
posteriormente.
Intrusión. - Una intrusión es una secuencia de acciones realizadas por un usuario o
proceso deshonesto con el objetivo final de producir un acceso no autorizado sobre un
equipo o un sistema al completo. (“ADMINISTRADOR DE REDES LAN... -
Blogger”)

La detección de intrusos. – Es el proceso de identificación y respuesta ante las

actividades ilícitas observadas contra uno o varios recursos de una red.

Sistema de detección de intrusos (IDS)

Un sistema de Detección de intrusos es un sistema de monitoreo que detecta actividades

sospechosas y genera alertas cuando se detectan. Según estas alertas, un analista del
centro de operaciones de seguridad o un incidente puede investigar el problema y tomar
las medidas adecuadas para remediar la amenaza.

Los IDS acostumbra a encontrarse compuesto por: los sensores, los analizadores y la
interfaz de usuario. Los sensores poseen la función de coleccionar datos de interés y
enviara esta información a los analizadores. Los analizadores determinan si paso o está
pasando una intromisión y presentan pruebas de esta información, facilitando el tipo de
intrusión detectada, y en muchos acontecimientos, presentan o realizan un grupo de
medidas de actuación contra ellas.

Clasificación de los Sistemas de Detección de Intrusos

ENFOQUE

Se clasifica en dos grupos: los sistemas apoyados en modelo que operan en el rastreo de
uso indebido y los sistemas adaptables que trabajan en la detección de anomalías. Los
sistemas de detección de usos incorrectos relacionan firmas con la información
recogida. Los de detección de anomalías, emplean técnicas estadísticas para diferenciar
el comportamiento usual del anormal.

 Detección de anomalías. - Se apoya en conjeturas de que la conducta que tiene

los usuarios y la red es ampliamente regular como para sacar un modelo, de
forma que cualquier desviación significante pueda ser considerada como una
evidencia de una intromisión en el sistema.

El problema de este tipo de sistemas es que son muy expuestos a los falsos
positivos que se producen cuando se dispara una alerta, aun cuando la actividad
 sea normal. Además, se retrasa bastante en que un IDS de detección de
anomalías desarrolle un patrón conciso en la red. Al comienzo el sistema
desencadenaría tantas alertas que sería casi inútil.

Ahora, una gran ventaja es que no tiene que renovar firmas constantemente. A
medida que esta técnica prolifere y se haga más competente, posiblemente se
convierta en una figura muy usada para la detección de intrusos.

 Detección de usos incorrectos. - Los sistemas de detección orientado en uso

incorrecto controlan las actividades que ocurren en un procedimiento y las
compara con una serie de firmas de ataques previamente guardadas en una base
de datos. Cuando se observa actividades que coinciden con las firmas se produce
una alarma. Esta clase de estudio se atiene al entendimiento anterior de las
secuencias y ocupaciones que conforman un ataque. Se detectan las tentativas de
empleo de debilidades conocidas o modelo de ataques propios. Es la estrategia
más utilizada por los IDS comerciales
 Híbridos. - Los IDS fundamentados en detección de usos incorrectos como los
de detección de anomalías, presentan ventajas e inconvenientes que hacen que
ninguna de las dos soluciones sea claramente superior a la otra

TIPOS DE IDS EN FUNCIÓN DEL ORIGEN DE LOS DATOS

Los IDS pueden clasificarse atendiendo a las fuentes de información que se utilicen, así
tenemos tres tipos:

 NIDS (Network Intrusión Detection Systems) se basan en la información

misma que se transmite entre Host. Este tipo de sistemas reciben el nombre de
packet-sniffers porque analiza el contenido de los datos que pasan a través de la
red interceptando paquetes de datos a través de protocolos tales como el TCP/IP.

A nivel de red un NIDS debe ser capaz de poder detectar los ataques siguientes:

 Propagación de virus, gusano o tentativa de instalación de los componentes

de una rootkit o de aplicaciones troyanas.
 Explotación interna o externa de vulnerabilidades conocidas en protocolos
tales como DNS, HTTP, ICMP, FTP, SMTP, RPC, POP3.
 Utilización abusiva de servicios de red, tanto por parte de usuario internos
como externos a la red.
  Ataques de ingeniería social contra aplicaciones de mensajería instantáneas
Chats.
 HIDS (Host-based Intrusion Detection System). - tienen la función de buscar
y responder a ataques detectados en un servidor, para estos sistemas no es
importante qué información se transmita por la red, sino que sucede con un Host
en particular.

Sus funciones incluyen análisis estadístico de datos, recopilación de evidencias,

control de acceso y otros adicionales a las funciones básicas de todos ellos. Los
sistemas HID son mejores para asegurar el que no haya ataques de intrusos
dentro de las redes misma.

 IDS Híbridos o NNIDS (Network-Node IDS). - Los IDS híbridos combinan

los HISD y los NIDS para obtener las ventajas de los dos sistemas, la mayoría
de los sistemas informáticos y redes importantes usan este tipo de detector.

Estos sistemas contienen dos módulos:

 Analizará el tráfico que pasa por la red

 Estará en los terminales para analizar sus actividades.

El sistema hibrido se encarga de gestionar las alertas de los dos módulos para
identificar una intrusión en el sistema.

TIPOS DE IDS EN FUNCIÓN DE SU ESTRUCTURA

Esta clasificación está basada en las estrategias de control que utiliza el IDS, así
tenemos dos tipos

 Sistema Distribuido. - Estos sistemas se caracterizan por ejecutarse en varios

terminales a la vez ya sea por necesidad o por motivos de rendimiento, este tipo
de estructura es usado en los sistemas que usan HIDS ya que para proteger habrá
que ejecutar el IDS en cada terminal que se quiera proteger. Por otro lado,
también puede usarse para aprovechar la capacidad computacional de varias
máquinas a la hora de analizar el tráfico recogido de una red.

Este tipo de estructura requiere un terminal que actúe como coordinador y recoja
todas las alarmas generadas por los terminales satélite, las correlacione y decida
si hay un ataque en el sistema.
  Sistema Centralizado. - Los IDS con una estructura centralizada se caracterizan
por ejecutarse solo en un terminal desde el cual se controlará toda la seguridad
de una red. Es el sistema usado por los NIDS que recogen todo el tráfico de una
red desde un solo dispositivo.

El principal ventaje de estos sistemas es la factibilidad para correlacionar

eventos de distintas fuentes ya que todos los datos están en el terminal donde se
ejecuta el IDS. Además, la instalación, configuración y mantenimiento es más
fácil y menos costosa.

TIPOS DE IDS EN FUNCIÓN DE SU COMPORTAMIENTO

Los IDS se pueden clasificar en función de las tareas que realicen, estas tareas son
principalmente la prevención y la relación. Así tenemos los siguientes:

 IDS ACTIVO. – una vez detectado un ataque, crean la alarma correspondiente e

intentan responder a dicho ataque para evitarlo o minimizar los daños que pueda
ocasionar. Algunas de las acciones que realizan estos sistemas son cerrar
puertos, aislar ciertos terminales, bloquear procesos, etc.

Dado que este ataque puede afectar su desempeño puede subdividirse en cuatro
clases.

 Suplantación de identidad. – El intruso se hace pasar por un comprador por

fase de autentificación capturando diversas direcciones IP, de esta manera se
sustituye al cliente, conociéndose este proceso como IP SPOFFING, donde
una entidad no autorizada se le posibilita entrar a una secuencia de recursos
privilegiados en una red representado al comprador que logre usar.
 Modificación de mensajes. - Un fragmento del mensaje es alterado, o los
mensajes son retardados o reordenados para producir un efecto no
autorizado.
 Reactivación. - evento que ocurre cuando uno o varios mensajes son
capturados y repetidos para producir un efecto no deseado, como por
ejemplo ingresar dinero repetidas veces en una cuenta dada.
 Degradación fraudulenta del servicio. - se impide el uso normal o la
gestión de recursos informáticos y de comunicación puesto que el intruso
suprime todos los mensajes dirigidos a un determinado elemento de la red.
 Además, el intruso puede interrumpir el servicio de una red inundándola con
menajes no auténticos.
Entre estos ataques se encuentran los de denegación de servicios como el
DoS (Denia lof Service) y DDoS (Distributed Denial os Service). Que
suspende temporalmente el servicio de un servidor de correo, Web o FTP.
 IDS Pasivo. - Un ataque pasivo es aquel en el que el intruso monitorea el tráfico
de la red para capturar contraseñas u otra información para su uso posterior. Los
objetivos esenciales de este tipo de ataque son la intercepción de datos y el
análisis de tráfico para obtener información de la comunicación presente en la
red a fin de conocer la rutina del tráfico en una red de interés para el intruso.

Los ataques pasivos son muy dificultosos de detectar porque no provocan

alteración alguna de los datos. Sin embargo, es posible evitar su éxito mediante
el cifrado de la información

PROTECCIÓN FRENTE A VIRUS

Los virus informáticos están presentes en nuestras vidas desde hace décadas. A pesar de

ello, son muchas las ocasiones en las que se crean falsas alarmas sobre su circulación
por la red. Es cierto que siempre existirá el riesgo, pero hay que trabajar mucho para
acabar con los famosos bulos.

El origen del virus informático se remonta a 1972. Entonces, atacó al sistema operativo
Tenex, presente en los ordenadores americanos que se utilizaban para la investigación y
la enseñanza. Su nombre era “Creeper” y fue creado, sin mala intención, por un
ingeniero llamado Bob Thomas. El virus recorría por Internet arrojando siempre el
mismo mensaje: “Soy la enredadera, atrápame si puedes”.
A fin de combatirlo, se creó “Reaper”, considerado el primer antivirus de la historia. En
los años 80 aparecieron los primeros virus maliciosos. Desde aquel instante, han surgido
centenares de virus, algunos bastante agresivos. Aunque es complicado determinar cuál
ha sido el peor de la historia, muchos expertos destacan el “Chernobyl”. Se creó en
1998 y atacó a 60 millones de ordenadores con Windows y Millenium. Eliminaba todos
los datos de los dispositivos obstruía su puesta en funcionamiento.
Lo mejor es instalar un antivirus, aunque debemos saber que el propio sistema tiene
mecanismos para auto protegerse. Es el caso de Windows Defender o Windows
Security. Existen, además, otros antivirus gratuitos como Avast o Kaspersky.

Pueden parecer programas simples, sin embargo, son muy eficaces destruyendo
troyanos, gusanos o spyware. Ahora bien, hay que estar pendientes de nuevas
actualizaciones. Además de los antivirus, hay otras preferencias para evitar que nuestros
dispositivos se vean perjudicados:

Hay que tener especial precaución con las redes sociales. Nunca abras un archivo sin
comprobar su origen.

 Cerrar el sitio web cuando el navegador te indique que no es un sitio seguro.

 No aceptar archivos de contactos que no conozcas.
 Realizar copias de seguridad de tus archivos periódicamente

La amenaza de los virus informáticos todos los días es más notable, la cantidad de

amenazas crece inmediatamente todos los años, con un programa antivirus y mantenerlo
actualizado puede ayudarle a proteger los equipos.

Los antivirus analizan el equipo en busca de infecciones que pueden introducirse desde
el correo electrónico, o el sistema operativo o los archivos. Cada día aparecen virus
nuevos, por lo que es recomendable contar con un equipo de técnicos especializados en
el área de seguridad informática, que cada día busquen las mejores soluciones para los
distintos tipos de amenazas y sus variantes. IBBackup cuenta con profesionales
especializados en seguridad informática, le ofrece antivirus para puestos de trabajo y
servidores, para poder hacerle frente a las distintas amenazas y ataques de estos virus
informáticos dentro de su empresa y ayudarle a proteger su información, sus datos.

En la actualidad existen virus muy potentes, que no solo afecta a los archivos, también
lo utilizan para obligar a los dueños de empresas a desembolsar grandes cantidades de
dinero, lo cual no garantiza que su información quede libre de infección. Por
consiguiente, IBBackup ofrece protección contra el virus Ramsonware, el virus
Criptolocker e indistintamente alguna otra advertencia.
Conclusión

Bibliografía
Gómez, D. G. (2003). Sistemas de Detección de intrusiones.
https://dgonzalez.net/papers/ids/ids_v1.0.pdf

Olguín Carbajal, Mauricio; Rivera Zárate, Israel; Pérez Romero, Patricia. (2006). Sistemas de
Detección de Intrusos (Ids), Seguridad en Internet. Instituto Politécnico Nacional,
Distrito Federal, México. https://www.redalyc.org/pdf/4026/402640447006.pdf

Vieites, A. G. (2019). La lucha contra el ciberterrorismo y los ataques informáticos.

https://d1wqtxts1xzle7.cloudfront.net/60338584/ataquesinformaticos20190819-
128130-1k7gwcm-with-cover-page-v2.pdf?
Expires=1660359505&Signature=KY7uz61ECuzFrA78H7NBjo5ZYG-vBnWbbex4Q-
wKpSxhlrE-
WRkah~5NvjZxflJqrUE5yjfy4tNN7gtF0PsRAbaVfaHBz~BEWvA8HoWCUrrm6yWZW