Siguiente: Apéndice C - Bibliografía Arriba: Sistemas de Detección de Intrusiones Previo: Apéndice A - Glosario de términos anglosajones

Apéndice B - Glosario   167

 


Apéndice B - Glosario

Agente. Véase también ("sensor"): En detección de intrusiones, una entidad independiente que realiza labores de monitorización y análisis de bajo nivel y envía sus resultados a un coordinador o un transmisor-receptor. También conocido como sensor.

Almacén, ante-memoria, depósito: Mecanismo especial de almacenamiento de alta velocidad. Puede ser una zona reservada de la memoria principal, o un dispositivo independiente de almacenamiento de alta velocidad.

Amenaza: Situación o evento con que puede provocar daños en un sistema.

Amplitud de banda, ancho de banda: 1. Diferencia en hertzios (Hz) entre la frecuencia más alta y la más baja de un canal de transmisión. 2. Datos que puede ser enviados en un periodo de tiempo determinado a través de un circuito de comunicación. Se mide en bits por segundo (bps).

Anomalía: No usual o estadísticamente raro.

Anonimato, anonimia: Carácter o condición de anónimo (desconocimiento del nombre o identidad).

Análisis basado en intervalo: Análisis desarrollado de forma discontinua. Se aplica en casos de recopilación no continua de datos, y en casos de recopilación continua pero análisis discontinuo. También se denomina análisis en modo por lotes, o estático.

Análisis con acreditaciones: En análisis de vulnerabilidades, enfoque de monitorización pasiva en los que son necesarias contraseñas u otro tipo de credenciales. Normalmente implica el acceso a los datos de un objeto de sistema.

Análisis de vulnerabilidades: Análisis del estado de la seguridad de un sistema o sus componentes mediante el envío de pruebas y recogida de resultados en intervalos.

Análisis dinámico, o en tiempo real: Análisis desarrollado en tiempo real, o de forma continua.

Análisis en modo por lotes: Véase "análisis basado en intervalo".

Análisis en tiempo real: Análisis realizado de forma continua, con resultados obtenidos en un tiempo en que permita alterar el estado actual sistema.

Análisis estático: Análisis de información desarrollado de forma discontinua. También conocido como análisis basado en intervalo o en modo por lotes.

Análisis sin acreditaciones: En análisis de vulnerabilidades, enfoque de monitorización pasiva en los que las contraseñas u otro tipo de credenciales no son necesarias. Normalmente implica el lanzamiento de ataques contra el sistema, provocando algún tipo de reacción.

Aplicación engañosa: Aplicación cuya apariencia y comportamiento emulan a una aplicación real. Normalmente se utiliza para monitorizar acciones realizadas por atacantes o intrusos.

Ardid, artificio: Implementación de un fallo de seguridad, utilizado bien para comprobar y demostrar la existencia del fallo, o bien para comprometer el sistema de forma ilícita.

Ataque por interceptación: Estrategia de ataque en la que el atacante intercepta una comunicación entre dos partes, substituyendo el tráfico entre ambas a voluntad y controlando la comunicación.

Auditoría mediante proceso electrónico de datos: Evolución de los tradicionales procesos y prácticas de auditoría, utilizando sistemas de proceso de datos.

Auditoría: Proceso de examinar y revisar un informe cronológico de los eventos de sistema para determinar su significado y valor.

Autenticación, autentificación: Proceso de confirmar la identidad de una entidad de sistema (un usuario, un proceso, etc.).

Auto contenido: Historiales de eventos de sistema que no necesitan de otros historiales para su interpretación.

Autorización: Acción de otorgar el acceso a usuarios, objetos o procesos.

Basado en aplicación: Se utiliza para describir monitores que recogen datos a partir de aplicaciones. Las fuentes de datos pueden ser registros de eventos u otro tipo de información perteneciente a aplicaciones.

Basado en multi-máquina. Véase también ("basado en máquina"): Que monitoriza información de fuentes internas a múltiples máquinas.

Basado en máquina: Que monitoriza información de fuentes internas a una máquina.

Basado en objetivo: Que monitoriza información de determinados objetos, generalmente utilizando métodos de cifrado como funciones resumen para permitir la detección de cambios.

Basado en red: Que monitoriza información de fuentes de red, generalmente captura de paquetes.

Basado en reglas: En detección de intrusiones, que utiliza patrones de actividad (generalmente ataques conocidos) para reconocer una intrusión.

Basado en testigo: Sistemas que emplean elementos especiales como tarjetas inteligentes, llaves, o discos para la autenticación de usuario.

Base de reglas: Conjunto de reglas utilizadas para analizar los registros de datos.

Bit. Véase también "byte": Abreviación de "binary digit". Unidad elemental de información en un sistema informático. Tiene un único valor en formato binario: "0" ó "1".

Bloque de mensajes de servidor (SMB): También conocido como "Session Message Block", NetBIOS y LanManager. Es un protocolo utilizado por sistemas Windows para compartir ficheros, impresoras, puertos serie y otras entidades de comunicación entre ordenadores.

Byte, octeto: Unidad de información compuesta por ocho bits. Modificando los diferentes bits de un byte se pueden obtener hasta 256 combinaciones diferentes.

Búfer, memoria tampón, memoria intermedia: Área de memoria de un sistema reservada para almacenar información de forma temporal. Generalmente se utiliza para compensar las diferencias de velocidad surgidas entre varias señales o procesos.

Caballo de Troya, troyano. Véase también ("puerta trasera"): Programa informático de aspecto inofensivo que oculta en su interior un código que permite abrir una "puerta trasera" en el sistema en que se ejecuta.

Cable de rastreo, cable de sólo recepción: Cable de red modificado para imposibilitar el envío de datos, permitiendo exclusivamente su recepción.

Capa de Conexión Segura (SSL): Protocolo creado por Netscape para permitir la transmisión cifrada y segura de información a través de la red.

Capacidad de ser registrado: Habilidad de relacionar una determinada actividad o evento con la parte responsable.

Cifrado: Proceso mediante el cual se toma un mensaje en claro, se le aplica una función matemática, y se obtiene un mensaje codificado.

Cobertura, alcance: Proporción de ataques conocidos que un detector de intrusiones es capaz de detectar.

Composición: 1. En detección de intrusiones, proceso de combinar información procedente de distintas fuentes en un flujo de datos coherente. 2. En seguridad informática, combinar un conjunto de componentes en un sistema para obtener los atributos de seguridad del sistema, según las propiedades de los componentes.

Comprobador de integridad: Herramienta de seguridad que utiliza funciones resumen basadas en algoritmos de cifrado para detectar alteraciones en objetos de sistema.

Comprometido, violentado: Estado de un equipo/sistema cuando un intruso ha entrado.

Concentrador. Véase también ("repetidor"): Dispositivo que permite la interconexión de las estaciones de trabajo entre sí. No realiza funciones de encaminamiento; lo que recibe por un puerto lo reenvía a través del resto.

Condición de carrera: Comportamiento anómalo provocado por una dependencia excesiva del tiempo relativo transcurrido entre diferentes eventos.

Confianza: Esperanza firme de que un sistema se comporte como corresponde.

Confidencialidad: Requisito de seguridad que indica que el acceso a los recursos de sistema debe estar limitado exclusivamente a los usuarios con acceso autorizado.

Conmutador. Véase también ("puente"): Elemento utilizado para interconectar máquinas a una red. Tiene funciones de encaminamiento básico de tráfico de red, y permite subdividir las redes en segmentos, de forma similar a un puente.

Control de acceso discrecional (DAC). Véase también ("Control de accesos obligatorio"): Política de acceso a los datos en la que el propietario del objeto, de forma voluntaria (discrecional), concede o deniega el acceso a éste a otros sujetos.

Control de acceso: Limitar el acceso a objetos de acuerdo a los permisos de acceso del sujeto. El control de acceso puede ser definido por el sistema (Control de accesos obligatorio, MAC) o por el propietario del objeto (Control de accesos discrecional, DAC).

Control de accesos obligatorio (MAC). Véase también ("Control de acceso discrecional"): Política de acceso a los datos en la que el sistema comparte de forma obligatoria tanto los objetos como los sujetos. A partir de dicha forma de compartir los elementos, se establecen unas reglas de acceso.

Correlación: En detección de intrusiones, relación que se establece entre diferentes fuentes de información.

Cortafuegos: Herramienta de seguridad que proporciona un límite entre redes de distinta confianza o nivel de seguridad mediante el uso de políticas de control de acceso de nivel de red.

Criterio de Evaluación de Sistemas Informáticos Fiables (TCSEC): Conocido comúnmente como Libro Naranja, describe las propiedades que deben cumplir los sistemas para contener información sensible o clasificada. Este criterio fue desarrollado por el Centro de Seguridad Informática Nacional (NCSC).

Célula de aislamiento, célula acolchada: Sistema o red consistente en una copia parcial de un sistema real, al que un dispositivo con capacidades de enrutamiento y detección de intrusiones redirige el tráfico hostil.

Código abierto. Véase también ("software libre"): Software que cumple los criterios descritos por la iniciativa "Open Source". Este término no implica el acceso al código fuente.

Datagrama: Mensaje que se envía en una red de comunicaciones de ordenadores por intercambio de paquetes.

Denegación de servicio (DoS). Véase también ("Denegación de servicio distribuida"): Estrategia de ataque que consiste en saturar de información a la víctima con información inútil para detener los servicios que ofrece.

Denegación de servicio distribuida (DDoS). Véase también ("Denegación de servicio"): Estrategia de ataque que coordina la acción de múltiples sistemas para saturar a la víctima con información inútil para detener los servicios que ofrece. Los sistemas utilizados para el ataque suelen haber sido previamente comprometidos, pasando a ser controlados por el atacante mediante un cliente DDoS.

Desbordamiento de búfer, desbordamiento de la pila: Técnica que consiste en almacenar más datos en un búfer de los que puede contener. Los datos que no caben pueden invadir zonas adyacentes a la del búfer, corrompiéndolas o sobrescribiéndolas. Este método es ampliamente utilizado para realizar ataques que abren interfaces de comando remotas.

Desbordamiento de la pila. Véase también ("pila", "desbordamiento de búfer"): Caso especial del desbordamiento de búfer, en el que el objetivo es la pila del sistema.

Deslizamiento sigiloso de sesión: Técnica utilizada por un usuario que consiste en modificar gradualmente su comportamiento para entrenar al detector de anomalías. De esta forma, se consigue que el detector diagnostique como actividad normal un posible ataque.

Detección de anomalías: Detección basada en la actividad de sistema que coincide con la definida como anormal.

Detección de intrusiones: Proceso de monitorizar los eventos de un sistema o red en busca de signos que indiquen problemas de seguridad.

Detección de usos indebidos: Detección basada en la actividad de sistema que coincide con la definida como mala.

Detector de Intrusiones de Nodo de Red: Detector de intrusiones basado en red que se instala en una máquina. Esta medida ayuda a solventar problemas como los asociados a entornos conmutados, o cifrado en las comunicaciones.

Determinista: Propiedad de los procesos que permite recorrer un proceso hacia delante o hacia atrás, desde cualquier punto del proceso.

Disponibilidad: Requisito de seguridad que implica que la información y los servicios del sistema continúen en funcionamiento y que los usuarios autorizados puedan acceder a los recursos cuando lo necesiten, dónde lo necesiten, y en la forma en que lo necesiten.

Dispositivo de escucha de red: Dispositivo, de aspecto externo similar a un concentrador o un conmutador, que permite a un rastreador interceptar el tráfico de red entre dos segmentos sin ser detectado. Además, apenas afecta al rendimiento de la red.

Encaminador, enrutador: Dispositivo que reenvía paquetes de datos entre redes. Permite conectar al menos dos redes. Los puntos de conexión con el "encaminador" son las puertas de enlace de cada red.

Enmascarado: Atacante que accede a un sistema utilizando identificadores de usuario y contraseñas de usuarios legítimos.

Entorno conmutado: Entorno de red en el que predomina el uso de conmutadores.

Envoltura, forro, empacador: Software que complementa las características de otro software para mejorar determinados aspectos como compatibilidad, o seguridad.

Error de Tipo I. Véase también ("falso positivo"): En detección de intrusiones, error producido cuando el sistema diagnostica como ataque una actividad normal. También conocido como falso positivo.

Error de Tipo II. Véase también ("falso negativo"): En detección de intrusiones, error producido cuando el sistema diagnostica como actividad normal un ataque. También conocido como falso negativo.

Escalabilidad: Forma en que la solución a un determinado problema se comporta cuando el tamaño del problema crece.

Escaneo sigiloso de puertos. Véase también ("escaneo de puertos"): Barrido de puertos mediante diversas técnicas con el fin de evadir los métodos de detección comunes. Algunas de estas técnicas implican un escaneo intencionadamente lento, o el envío de paquetes especiales aprovechando particularidades del protocolo.

Escáner o analizador de vulnerabilidades: Herramienta diseñada para llevar a cabo análisis de vulnerabilidades.

Esteganografía: Arte de transmitir información de modo que la presencia de la misma pase inadvertida. Se suele hacer camuflando los datos en el interior un texto, imagen, o fichero multimedia. Proviene de las palabras griegas steganós (cubierto) y graptos (escrito).

Ethernet: Sistema de red de área local de alta velocidad.

Falseamiento, enmascaramiento: Modificación de la identidad de origen real durante una comunicación. El método más común consiste en alterar directamente la dirección origen de cada paquete de la comunicación.

Falso negativo: En detección de intrusiones, error producido cuando el sistema diagnostica como ataque una actividad normal. También conocido como error de tipo I.

Falso positivo: En detección de intrusiones, error producido cuando el sistema diagnostica como actividad normal un ataque. También conocido como error de tipo II.

Filtro de anomalías de protocolo. Véase también ("filtro de anomalías estadísticas"): Tipo de filtro de anomalías estadísticas al que se le han añadido conocimientos sobre un protocolo determinado, para poder detectar usos poco comunes del mismo.

Filtro de anomalías estadísticas: Filtro que permite la detección de actividades y comportamientos poco usuales o comunes.

Filtro de paquetes Berkeley (BPF): Una arquitectura diseñada para la captura de paquetes, desarrollada en el "Lawrence Berkeley National Laboratory".

Firma, patrón: En detección de intrusiones, patrones que indican los usos indebidos de un sistema.

Formato de registro binario: Formato de registro utilizado por herramientas basadas en las librerías "libpcap", como por ejemplo "tcpdump". Se aplica para registrar el tráfico de red. Algunas de las ventajas del formato binario sobre el formato ASCII son que ocupa menos, y la información que contiene puede ser accedida en menor tiempo.

Función resumen: Función de cifrado que permite detectar cambios en objetos.

Generación de Patrones Probables: Técnica que permite, mediante métodos estadísticos, predecir eventos futuros basándose en los que ha ya han tenido lugar. En determinadas circunstancias, si no se cumplen los eventos esperados, hay posibilidades de que se trate de un ataque.

Gestión de redes: Controlar diversos aspectos de una red para optimizar su eficiencia. Las cinco categorías de gestión de red son: seguridad, fallo, auditoría, configuración y gestión de rendimiento.

Gestión de rendimiento: En gestión de redes, medición de los diferentes elementos de la red. Los resultados de estas mediciones se utilizan para optimizar su funcionamiento.

Gestión de seguridad: 1. Proceso de establecer y mantener la seguridad en un sistema o red de sistemas informáticos. Las etapas de este proceso incluyen la prevención de problemas de seguridad, detección de intrusiones, investigación de intrusiones, y resolución. 2. En gestión de redes, controlar (permitir, limitar, restringir, o denegar) acceso a la red y recursos, buscar intrusiones, identificar puntos de entrada de intrusiones, y reparar o cerrar estas posibles vías de acceso.

Gestor de registro de actividades: Componente de sistema encargado de las labores de registro de actividad.

Grupo de Trabajo de Ingeniería de Internet (IETF): Una de las principales organizaciones encargadas de la formulación de estándares en Internet.

Gusano: Programa informático que se auto-duplica y auto-propaga. A diferencia que los virus, suelen estar diseñados para redes.

Horizonte de evento: Límite de tiempo aplicable a una característica de sistema determinada, como por ejemplo la diferencia de tiempo entre dos entradas a un sistema.

Identificación de Sistema Operativo: Conjunto de técnicas utilizadas para determinar la identidad del sistema operativo de un sistema remoto. Generalmente se logra mediante el envío de determinados datos de red y el posterior análisis de las respuestas recibidas.

Identificación y autenticación (I&A): Mecanismo de seguridad que asigna una identidad única a cada usuario (identificación) y la comprueba (autenticación).

Inodo, nodo i: Estructura de datos que contiene información sobre cada archivo en sistemas UNIX. Cada archivo tiene un nodo-i asociado.

Integración: En ingeniería de sistemas, combinación de componentes en una entidad coherente.

Integridad: Requisito de seguridad que indica que la información deberá ser protegida ante alteraciones no autorizadas.

Inteligencia artificial (AI): Ciencia que busca la comprensión de entidades inteligentes.

Interconexión de Sistemas Abiertos (OSI): Estructura de protocolos en siete niveles propuesta por ISO ("International Standardisation Organisation") e ITU-T ("International Telecommunication Union Telecommunication Standardization Sector").

Interfaz Común de Acceso (CGI): Especificación para la transmisión datos entre programas residentes en servidores Web y navegadores.

Interfaz de comandos polimórfica: Interfaz de comandos cuyo código cambia con cada ejecución. Esto se hace para evadir los detectores de intrusión basados en reglas. En la mayoría de los casos se utilizan durante ataques de desbordamiento de búfer.

Interfaz de comandos segura (SSH): También conocida como "Secure Socket Shell", es una interfaz de comandos basada en UNIX y un protocolo para acceder de forma segura a una máquina remota. Es ampliamente utilizada por administradores de red para realizar tareas de gestión y control. SSH es un conjunto de tres utilidades: slogin, ssh y scp; versiones seguras de las anteriores utilidades de UNIX: rlogin, rsh y rcp.

Interfaz de programación de aplicaciones (API): Conjunto de rutinas, protocolos, y herramientas para la construcción de aplicaciones software.

Interoperabilidad: Capacidad de un sistema para trabajar con otros sin que sean necesarios grandes esfuerzos por parte del usuario.

Intrusión: Violación intencionada de las políticas de seguridad de un sistema.

Intrusos desde el exterior: Usuarios no autorizados de un sistema.

Libpcap: Interfaz independiente del sistema, para la captura de paquetes de nivel de usuario, escrito en el "Lawrence Berkeley National Laboratory".

Libro Marrón ("Guía para la Comprensión de la Auditoría en Sistemas de Confianza"): Uno de los volúmenes de la Serie Arco Iris que explica los criterios del sistema de auditoría de Sistemas de Confianza, mencionando aspectos relevantes para los sistemas de detección de intrusiones.

Lista de Control de Acceso (ACL): Conjunto de datos que indican al sistema operativo qué permisos tiene un usuario o grupo sobre un determinado objeto de sistema. Cada objeto tiene atributos de seguridad únicos que indican qué usuarios pueden accederlo, y la Lista de Control de Acceso contiene una descripción de los privilegios de acceso de cada objeto y usuario.

Lote: En informática, programa asignado a un sistema para ser ejecutado de forma desatendida. Los trabajos por lotes suelen ejecutarse en un plano secundario, mientras que los interactivos se ejecutan en primer plano.

Lógica difusa: Forma de razonamiento que incorpora criterios múltiples para tomar decisiones y valores múltiples para evaluar posibilidades. Permite formalizar operaciones del razonamiento impreciso sobre conceptos imprecisos, comunes en el razonamiento humano.

Malla mundial, telaraña mundial. Véase también ("web"): Sistema de información distribuido, basado en hipertexto. La información puede ser de diferente naturaleza, como por ejemplo texto, gráfico, audio, o vídeo.

Malla, telaraña. Véase también ("WWW"): Servidor de información WWW. Se utiliza también para definir el universo WWW en su totalidad.

Marco de Detección de Intrusiones Común (CIDF): Grupo de trabajo encargado de crear interfaces que permitan a los desarrolladores de detección de intrusiones compartir sus conocimientos y poder reutilizar los resultados en otros sistemas. Fue fundado por Teresa Lunt.

Minería de datos: Arte y ciencia de descubrir y explotar relaciones nuevas, útiles, y provechosas en grandes cantidades de información.

Modo en línea: Método de interceptación del tráfico de red que consiste en hacer pasar todo el tráfico a través de un monitor o rastreador, generalmente configurado como puente para minimizar el impacto sobre el rendimiento de la red y dificultar su detección.

Modo promiscuo: Respecto a una interfaz de red, el modo de operación que genera una interrupción por cada actividad de red detectada. Esto permite a la interfaz recoger todo el tráfico de red de su segmento y entregárselo al detector de intrusiones.

Monitor, monitorizar: Cualquier mecanismo o método utilizado por un sistema de detección de intrusiones para obtener información.

Monitorización intrusa: En análisis de vulnerabilidades, obtener información mediante la realización de comprobaciones que afectan al estado del sistema, llegando en algunos casos a provocar su caída.

Monitorización no intrusa: En análisis de vulnerabilidades, obtener información mediante la ejecución de una lista de comprobaciones de los atributos del sistema.

Módulo de Seguridad Básico (BSM): Paquete de seguridad de "Sun Microsystem" proporcionado por los sistemas operativos de Sun para cumplir con los requisitos del documento TCSEC (la clase C2).

No paramétrico: Técnicas estadísticas que no hacen suposiciones sobre la distribución subyacente de los datos.

Paquete: Estructura de datos con una cabecera que puede estar o no lógicamente completa. Más a menudo, se refiere a un empaquetamiento físico de datos que lógico. Se utiliza para enviar datos a través de una red conmutada de paquetes.

Parche: En seguridad informática, código que corrige un fallo (agujero) de seguridad.

Petri Net Coloreada (CP-net): Lenguaje orientado a objetos para el diseño, especificación y verificación de sistemas. Está especialmente indicado en sistemas compuestos por gran variedad de procesos que necesitan estar comunicados y sincronizados.

Pila de protocolos: Conjunto de protocolos que se implementan en un determinado sistema.

Pila: Área de datos o búfer utilizada para almacenar peticiones que deben ser atendidas. Tiene una estructura FILO (primero en entrar, último en salir) o LIFO (último en entrar, primero en salir).

Política de monitorización: Conjunto de reglas que definen la forma en que se debe capturar e interpretar la información.

Política de seguridad: 1. Conjunto de estatutos que describen la filosofía de una organización respecto a la protección de su información y sistemas informáticos. 2. Conjunto de reglas que ponen en práctica los requisitos de seguridad del sistema.

Privacidad: Estar libre de accesos no autorizados.

Privilegio: Nivel de confianza perteneciente a un objeto de sistema.

Procesamiento por lotes, procesamiento en lotes: Procesamiento realizado en intervalos de tiempo, de forma discontinua.

Procesos de confianza: Procesos que sirven para cumplir un objetivo de seguridad.

Protocolo Internet versión 6: Revisión del Protocolo Internet que viene a sustituir a la tradicional versión 4. Cuenta con nuevas características, como mejoras en las direcciones, simplificación de la cabecera, nuevo soporte de extensiones y opciones, etiquetado de tráfico, y capacidades de autenticación y privacidad.

Protocolo Simple de Transferencia de Correo: Protocolo de comunicaciones para la transmisión de correo electrónico entre ordenadores.

Protocolo de Control de Transmisión / Protocolo Internet (TCP/IP): Conjunto de protocolos básico sobre los que se fundamenta Internet. Se sitúan en torno al nivel tres y cuatro del modelo OSI.

Protocolo de Tiempo de Red (NTP): Protocolo situado sobre TCP/IP diseñado para permitir la sincronización de los relojes de las máquinas conectadas a través de una red.

Protocolo de Transferencia de Ficheros (FTP): Protocolo que permite a un usuario de un sistema acceder a otro sistema de una red, e intercambiar información con el mismo.

Protocolo de Transferencia de Hipertexto (HTTP). Véase también ("WWW"): Protocolo usado para la transferencia de documentos WWW.

Puente. Véase también ("conmutador"): Dispositivo que permite la interconexión de dos redes con igual o distintos interfaces o pila de protocolos. Realiza funciones de encaminamiento de paquetes a nivel de enlace. Un puente multi-puerto es prácticamente un conmutador.

Puerta trasera. Véase también ("vulnerabilidad"): Mecanismo que permite a un atacante entrar y controlar un sistema de forma oculta. Suelen instalarse justo después de comprometer un sistema.

Puerto de extensión, puerto abarcador: Puerto especial con el que cuentan algunos conmutadores avanzados. Está programado para poder recibir una copia del tráfico destinado a uno o varios puertos del conmutador.

Rastreador: Dispositivo capaz de capturar todos los paquetes de datos que viajan por el segmento de red al que está conectado. Cuenta con una interfaz de red en modo promiscuo.

Rechazo, esquivamiento. Véase también ("respuesta activa"): Respuesta ante un ataque en la que el sistema termina y rechaza las subsiguientes conexiones con dirección del atacante.

Red Privada Virtual (VPN): Red generalmente construida sobre infraestructura pública, que utiliza métodos de cifrado y otros mecanismos de seguridad para proteger el acceso y la privacidad de sus comunicaciones.

Red trampa, red de miel: Es un tipo de sistema trampa. Es una red de sistemas reales diseñada para ser comprometida.

Reducción de auditoría: Método utilizado para eliminar información redundante o no necesaria de los registros de auditoría.

Registro de aplicación: En sistemas Windows, es uno de los tres tipos de registros de eventos. Este registro contiene los eventos generados por las aplicaciones.

Registro de eventos: Mecanismo de auditoría utilizado por sistemas Windows.

Registro de seguridad: En sistemas Windows, es uno de los tres tipos de registros de eventos. Este registro contiene los eventos considerados como relevantes en materia de seguridad.

Registro de sistema: 1. En sistemas Windows, es uno de los tres tipos de registros de eventos. Este registro contiene los eventos generados por los componentes de sistema. 2. en sistemas UNIX, ficheros de eventos de sistema y aplicaciones, que suelen consistir en ficheros de texto consistentes en una línea por cada evento.

Registros de auditoría de sistema operativo: Historiales de eventos de sistema generados por el mecanismo especializado de un sistema operativo.

Repetidor. Véase también ("concentrador"): Dispositivo que regenera la señal que pasa a través de la red, permitiendo extender la distancia de transmisión de dicha señal. Un repetidor multi-puerto se conoce como un concentrador.

Respuesta activa: Respuesta en la que el sistema (automáticamente, o junto con el usuario) modifica el curso del ataque. Hay tres formas básicas de respuestas activas: ejecutar acciones contra el intruso, corregir el entorno, y recopilar más información.

Respuesta pasiva: Respuesta en la que el sistema simplemente registra e informa de la intrusión o ataque, delegando en el usuario las acciones subsecuentes.

Rompedor de contraseñas: Herramienta de seguridad diseñada para descubrir las contraseñas de los usuarios. En la mayoría de los casos se utilizan diferentes aproximaciones para obtenerlas.

STREAMs: Modelo de programación de sistema para el desarrollo de controladores de dispositivos.

SVR4++: Una propuesta de estándar para el formato de los registros de auditoría de los sistemas operativos. Fue publicada por Stephen Smaha.

Salto de red: Estrategia de ataque en la que el atacante intenta ocultar su identidad realizando sus actividades desde otros sistemas comprometidos.

Segmento: Unidad lógica de datos, en particular un segmento de TCP es la unidad de datos transferida entre dos módulos de TCP.

Seguridad de Protocolo Internet (IPSec): Conjunto de protocolos desarrollados por IETF para soportar el intercambio seguro de paquetes en el nivel IP. IPsec se utiliza ampliamente para implementar Redes Virtuales Privadas (VPNs).

Seguridad: 1. Según un enfoque práctico, la seguridad implica que un sistema se comporte de la manera esperada. Esta definición depende de los niveles de confianza 2. Según un enfoque formal, consiste en el cumplimiento de la "tríada de conceptos": confidencialidad, integridad y disponibilidad.

Sensor. Véase también ("agente"): En detección de intrusiones, una entidad que realiza labores de monitorización y obtención de datos de las fuentes de información. También conocido como agente. En muchos IDS, el sensor y el analizador forman parte del mismo componente.

Serie Arco Iris. Véase también ("Libro Naranja" y "Libro Marrón"): Conjunto de documento que definen la Iniciativa de Sistemas Confiables, un programa del gobierno de EE.UU. para resolver problemas relacionados con la seguridad informática. Los nombres de los documentos se corresponden con los colores de sus cubiertas.

Servidor de Gestión de Sistemas (SMS): Sistema desarrollado por Microsoft que permite gestionar la configuración de estaciones y servidores Windows.

Sistema Experto de Detección de Intrusiones (IDES). Véase también "Sistema Experto de detección de intrusiones de siguiente generación (NIDES)": Sistema de Detección de Intrusiones basado en reglas diseñado para detectar ataques conocidos. Fue el precursor de NIDES.

Sistema Experto de detección de intrusiones de siguiente generación (NIDES). Véase también "Sistema Experto de Detección de Intrusiones (IDES)": Detector de intrusiones que realiza funciones de monitorización en tiempo real de actividades de usuario a través de múltiples sistemas conectados vía Ethernet.

Sistema de Nombres de Dominio (DNS): Servicio distribuido de búsqueda de datos que realiza traducciones entre direcciones IP y nombres de máquinas. La estructura de los nombres de máquina (nombres de dominio), que son más fáciles de recordar que las direcciones IP, sigue una estructura jerárquica.

Sistema de detección de intrusiones (IDS): Sistema que monitoriza redes de ordenadores y sistemas en busca de violaciones de políticas de seguridad. Está compuesto por tres elementos fundamentales: fuentes de información, motor de análisis y mecanismos de respuesta.

Sistema de prevención de intrusiones (IPS): Sistema que combina las capacidades de bloqueo de un cortafuegos y las de análisis de un IDS. Está diseñado para detener ataques antes de que tengan éxito.

Sistema experto: Aplicación informática que realiza una tarea que podría realizar un humano experto, como por ejemplo, diagnóstico de enfermedades, ataques, o búsqueda de rutas de encaminamiento óptimas. Los sistemas expertos pertenecen a una categoría general de aplicaciones que utilizan técnicas de inteligencia artificial.

Sistema trampa, tarro de miel: Recurso de sistema de información cuyo valor reside en el uso no autorizado o ilícito de dicho recurso.

Sistemas de confianza: Sistemas que emplean las suficientes medidas para cumplir los requisitos necesarios para su uso en el proceso de información sensible o clasificada.

Software libre. Véase también ("código abierto"): Código que otorga libertad a los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el mismo.

Sondeo de puertos, escaneo de puertos. Véase también ("escaneo sigiloso de puertos"): Barrido de puertos generalmente para determinar qué servicios ofrece un sistema. Es uno de los métodos más comunes entre los atacantes para obtener información de sus objetivos.

Suma de control, suma de verificación, suma de comprobación: Algoritmo matemático que genera un número único a partir de un conjunto de datos, utilizada para comprobar la integridad de los mismos.

Tcpdump: Herramienta de monitorización y adquisición de datos que realiza labores de filtrado, recopilación, y visualización de paquetes.

Uso indebido: Actividad o comportamiento conocida como mala o inapropiada.

Virus polimórfico: Virus informático que cambia de aspecto con cada ejecución. Esta característica tiene el objeto de evitar los detectores de virus.

Vulnerabilidades: Debilidades en un sistema que pueden ser utilizadas para violar las políticas de seguridad.

Zona desmilitarizada, red perimétrica (DMZ): Máquina o pequeña subred situada entre una red interna de confianza (como una red local privada) y una red externa no confiable (como Internet). Normalmente en esta zona se sitúan los dispositivos accesibles desde Internet, como servidores Web, FTP, SMTP o DNS, evitando la necesidad de acceso desde el exterior a la red privada. Este término es de origen militar, y se utiliza para definir un área situada entre dos enemigos.

 


Siguiente: Apéndice C - Bibliografía Arriba: Sistemas de Detección de Intrusiones Previo: Apéndice A - Glosario de términos anglosajones

Sistemas de Detección de Intrusiones, versión 1.01. Julio, 2003.
Diego González Gómez