SlideShare una empresa de Scribd logo

Seguridad en Redes

Descargar como PPT, PDF
M
magyta_aleja

El documento introduce los sistemas de detección de intrusos (IDS) y monitoreo de seguridad. Explica conceptos fundamentales de TCP/IP, teoría de ICMP, DNS y fragmentación. Luego describe la arquitectura e implementación de IDS, incluyendo filtros, patrones, interoperabilidad y escenarios de monitoreo. Finalmente, cubre factores organizacionales como políticas de seguridad, amenazas y actividades de implementación.

1 de 39
Descargado 23 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad
Objetivos Generales Identificar las fallas de seguridad relacionadas con el protocolo TCP/IP Conocer los conceptos relacionados con los Sistemas de Detección de Intrusos y el Monitoreo de Seguridad Identificar los aspectos fundamentales en la implementación de Sistemas de Detección de Intrusos y monitoreo de Seguridad Informática Comprender los requerimientos y responsabilidades corporativas necesarias para completar exitosamente un proyecto de Detección de Intrusos
Contenidos Parte I – Fundamentos de IDS Conceptos fundamentales de TCP/IP Teoría del ICMP (Internet Control Message Protocol) Teoría del servicio DNS (Domain Name Service) Teoría de fragmentación
Contenidos Parte II – Implementación y Administración de IDS Arquitectura de los sistemas de detección de Intrusos Introducción a los filtros y patrones Interoperatividad y correlación de eventos Escenarios de monitoreo de Seguridad Reacción automática o manual ante eventos de Seguridad Tendencias y proyección de los Sistemas de Detección de Intrusos
Contenidos Parte III - Factores Organizacionales Factores gerenciales Amenazas y vulnerabilidades Organizacionales Actividades relacionadas con la Implementación
Fundamentos de IDS
Conceptos de TCP/IP Web Browser Web Server TCP TCP IP IP Driver Ethernet Driver Ethernet Stream Segmento TCP Datagrama IP Frame Ethernet El modelo de Internet de TCP/IP Capa de aplicación: Maneja la Implementación de aplicaciones de Usuario. Capa de transporte: Maneja la conexión punto a punto entre equipos. Capa de red: Mueve la información De fuente a destino. Capa de enlace: Maneja la Transferencia de datos desde y hacia Medio físico.
Conceptos de TCP/IP Encapsulamiento Datos Datos Datos Header TCP Header Datagrama IP Header Frame Ethernet Datos Los encabezados de una capa, se convierten en datos para la siguiente
Conceptos de TCP/IP Estructura del Encabezado IP VER TOS Longitud en Bytes ID Frag. Offset TTL Protocolo Header CheckSum Dirección IP Fuente Dirección IP Destino 0 15 31 Total: 20 bytes
Conceptos de TCP/IP Enrutamiento 172.20.41.1 00:00:0c:03:00:de 172.20.41.2 0f:00:20:1f:b0:0f 172.21.19.8 0f:00:20:51:ab:47 172.21.19.1 00:00:0c:00:8f:3c IP Fuente: 172.20.41.2 MAC MAC Fuente: 0f:00:20:1f:b0:0f IP Destino: 172.21.19.8 MAC Destino: 0f:00:20:51:ab:47 IP Fuente: 172.20.41.2 MAC MAC Fuente: 00:00:0c:00:8f:3c IP Destino: 172.21.19.8 MAC Destino: 0f:00:20:51:ab:47 Enrutador
Conceptos de TCP/IP Establecimiento de conexiones TCP (1) Cliente Servidor Envío Syn Recepción Syn Envío Syn/Ack Recepción Syn/Ack Envío Ack Recepción Ack Datos 1 2 3 Envío Fin Envío Ack Recepción Fin Recepción Ack
Conceptos de TCP/IP Establecimiento de conexiones TCP (2) Cliente Servidor Envío Syn Recepción Syn Envío Syn/Ack Recepción Syn/Ack Envío Ack Recepción Ack Datos 1 2 3 Envío Rst Recepción Rst
Teoría del ICMP Orígenes y Utilización Internet Control Message Protocol Fue concebido originalmente como un mecanismo de reportar condiciones de error y el envío y recepción de solicitudes simples. No utiliza puertos y va encapsulado en el Datagrama IP. Aplicación Transporte Internet (Red) Interfaz de Red (Enlace) ICMP { TCP Y UDP IP
Teoría del ICMP Funcionamiento Echo Request Echo Reply Trafico IP Source quench Enrutador Trafico a puerto filtrado Admin prohibited Enrutador Trafico a puerto valido Host Unreachable
Teoría del ICMP Actividad Maliciosa - Smurf Paso 1: Se envía un Echo request a una dirección Broadcast con dirección fuente falsa de victima.com Paso 2: El enrutador permite trafico ICMP Echo Request a direcciones broadcast. Paso 3: Todos los host responden con un Echo Reply a la direccion fuente real del mensaje. Victima.com
Teoría del ICMP Actividad Maliciosa – Tribe Flood Network (TFN) TFN Master: se comunica con los daemons Por medio de Echo reply’s (ID en el header) TFN Daemons Los hosts inundan la victima Victima
Teoría de DNS Domain Name Service Presta el servicio de conversión de nombres direcciones IP y viceversa Son probablemente el objetivo de la mayoría de ataques e intentos de Vulneración Porque? - Pueden proveer muchísima información sobre las maquinas de la red y ayudar a preparar ataques bien planeados - Al ser vulnerados, pueden permitir la manipulación y redireccionamiento del trafico hacia otras redes
Teoría de DNS DNS Poisoning www.sitio1.com? 200.30.20.20 www.sitio1.com www.sitio2.com 200.30.20.20 Servidor DNS 200.10.10.20 200.10.10.20
Teoría de Fragmentación La fragmentación es necesaria para que los paquetes de datos puedan viajar de una red de ciertas características a otras. Aumentan la eficiencia en las transmisiones de datos, permitiendo adaptar los tamaños de los paquetes a las características de las redes por las que viajan. La fragmentación es utilizada para saltar los sistemas de detección de Intrusos que no “memorizan” el estado de las conexiones.
Teoría de Fragmentación Internet Stateless IDS ServidorWEB www.servidor.com/../../winnt/system32/cmd.exe?dir+c:\ www.servidor.com/. ./ . ./wi nnt/sy stem32/cm d.exe?dir+c:\ www.servidor.com/../../winnt/system32/cmd.exe?dir+c:\
Implementación y Administración de IDS
Arquitectura de IDS Básicamente existen dos tipos de detectores de Intrusos: IDSes basados en red Un IDS basado en red monitorea los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el trafico (como un HUB o un enrutador). Este donde este, monitorizara diversas maquinas y no una sola: esta es la principal diferencia con los sistemas de detección de intrusos basados en host. IDS
Arquitectura de IDS Arquitectura de IDS IDSes basados en maquina Mientras que los sistemas de detección de intrusos basados en red operan bajo todo un dominio de colisión, los basados en maquina realizan su función protegiendo un único sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en background (o que despierta periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala utilización y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado. IDS IDS
Filtros y Patrones IDS Filtros Descartan paquetes de información que cumplen con ciertos criterios como IP fuente, protocolo, puerto, etc Patrones Comparan la información de los paquetes y los datos mismos para tomar acciones correctivas como desconexión, e-mail, almacenamiento en logs, etc.
Filtros y Patrones Ejemplo de filtro: Ejemplo de Patrón: Dirección IP 200.20.10.10 Mascara 255.255.255.0 Protocolo TCP Puerto 80, 443, 25, 23 Dirección IP cualquiera Mascara cualquiera Protocolo TCP Puerto 80 Patrón “ cmd.exe” Acción Desconexión, e-mail ( [email_address] ), log
Interoperabilidad y correlación La interoperabilidad , permite que un sistema IDS pueda compartir u obtener información de otros sistemas como Firewalls, Enrutadores y Switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red. La correlación es una nueva característica que añade a los IDS la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.
Escenarios de monitoreo de Seguridad Sensor por dentro del FireWall IDS FireWall Internet
Escenarios de monitoreo de Seguridad Sensor por fuera del FireWall IDS FireWall Internet
Escenarios de monitoreo de Seguridad Sistemas híbridos IDS FireWall Internet IDS
Reacción automática o manual Mecanismos de reacción automática: Filtrado de puertos y servicios en recursos perimetrales Utilizar FireWalls internos para proteger redes internas Utilizar IDS de maquina en los servidores críticos Demoras en respuestas a escaneos de puertos en el FireWall Desechar conexiones por medio de IDS de red Bloquear temporalmente todo el trafico de direcciones hostiles Aislamiento automático de los dispositivos (apagado) Simulación de respuesta de puertos no abiertos en las maquinas Implementación de Honeypots
Reacción automática o manual Procedimientos de reacción manual: Preparación Recursos disponibles Identificación Herramientas y personas calificadas Contención Congelar la escena física del incidente Transporte al sitio del incidente Forensica del sistema Erradicación Herramientas y reinstalación de sistema si es necesario Recuperación Utilización de respaldos y copias de seguridad Aprender de las lecciones aprendidas en el incidente Llevar registro detallado de todos los incidentes y los procedimientos
Tendencias y proyección de IDSs Realidad: Los ataques están incrementando Las herramientas son cada día mas sofisticadas Cyber-Terrorismo Atacantes Internos Soluciones a futuro: Integración de Antivirus con IDSs y FireWalls Desencripcion del trafico encriptado para análisis de Seguridad Correlación de eventos entre diferentes dispositivos en la red Detección de intrusos a nivel de aplicativo, como por ejemplo software de oficina Personal mas calificado en temas de seguridad informática
Factores Organizacionales
Factores Gerenciales POLITICA DE SEGURIDAD CORPORATIVA SEGUIR LAS MEJORES PRACTICAS DE LA INDUSTRIA CONTAR CON INFRAESTRUCTURA PARA SEGURIDAD IMPLEMENTAR CONTRAMEDIDAS SEGÚN LA PRIORIDAD REALIZAR REVISIONES PERIODICAS DEL ESTADO DE LA SEGURIDAD IMPLEMENTAR MECANISMOS DE REACCION ANTE INCIDENTES DEFINIR EL NIVEL DE RIESGO REDUCIR GRADUALMENTE EL NIVEL DE RIESGO DEFINIR LAS AMENAZAS Y SU IMPACTO (MATRIZ DE RIESGO) JUSTIFICAR LA INVERSION DE SEGURIDAD EN TERMINOS DE REDUCCION DE TARIFAS DE POLIZAS DE SEGUROS Y SERVICIOS RELACIONADOS
Amenazas y Vulnerabilidades
Amenazas y Vulnerabilidades
Amenazas y Vulnerabilidades
Actividades relacionadas con Implementación Definición de los recursos a proteger Análisis de la infraestructura de red Análisis especial para ambientes switcheados Análisis de estructura y disposición de FireWalls Sistemas Operativos a proteger Características geográficas Definición de los procedimientos de reacción Seguridad física y control de acceso a los recursos Definición de herramientas para pruebas de seguridad internas y externas Capacitación del personal en la utilización de las herramientas y en Seguridad en General
FIN

Más contenido relacionado

PDF
Sistemas de Detección de Intrusos
Carlos Arturo Fyuler
 
PPT
Sistemas de intrusos
alvaro alcocer sotil
 
PPS
Intrusion detectionsystems
gh02
 
PPTX
Seguridad informática
jlezcano1210
 
PPT
6 3 prevencion deteccion y recuperacion
UVM
 
PDF
Sistemas de Detección de Intrusos (IDS)
Alberto Mayo Vega
 
PPT
Ids sistema de deteccion de intrusos (2)
Jhon Jairo Hernandez
 
PPT
Clase de Muestra 001
Inacap
 
Sistemas de Detección de Intrusos
Carlos Arturo Fyuler
 
Sistemas de intrusos
alvaro alcocer sotil
 
Intrusion detectionsystems
gh02
 
Seguridad informática
jlezcano1210
 
6 3 prevencion deteccion y recuperacion
UVM
 
Sistemas de Detección de Intrusos (IDS)
Alberto Mayo Vega
 
Ids sistema de deteccion de intrusos (2)
Jhon Jairo Hernandez
 
Clase de Muestra 001
Inacap
 

La actualidad más candente (20)

PPTX
AlienVault
Ricardo Castañeda
 
PPTX
5 detecciony seguridad
Jenny Ventura
 
PPTX
Sistemas de Detección de Intrusos.
Pedro Luis Pantoja González
 
DOCX
Deteccion de intrusos
Yasuara191288
 
PPTX
Clase 18
Titiushko Jazz
 
PPTX
IDS (Intrusion Detection System)
krush kr
 
PPTX
Ids ips detection
Tensor
 
PPTX
Clase 19
Titiushko Jazz
 
PDF
Snort 2006
Juan Antonio Gil Martínez-Abarca
 
PDF
Practica 4 herramienta snort entregable
Karmen Arrazola
 
PDF
Sistema de detección de intrusos
Miguel Pajuelo Villanueva
 
PDF
Alien vault4.0 senv2
a3sec
 
PDF
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
a3sec
 
PPTX
Seguridad en los s.o.
Nando Colim
 
PPTX
Politicas de seguridad en linux
Daniel Zavala
 
PPTX
Firewall
Sara Luz Pérez Escobar
 
PPTX
OSSIM
Adrian Sigueñas Calderon
 
PDF
Modulo VI: Detección de intrusos
Juan Manuel García
 
DOC
Cortafuegos Jprl
astrologia
 
DOC
Cortafuegos
astrologia
 
AlienVault
Ricardo Castañeda
 
5 detecciony seguridad
Jenny Ventura
 
Sistemas de Detección de Intrusos.
Pedro Luis Pantoja González
 
Deteccion de intrusos
Yasuara191288
 
Clase 18
Titiushko Jazz
 
IDS (Intrusion Detection System)
krush kr
 
Ids ips detection
Tensor
 
Clase 19
Titiushko Jazz
 
Snort 2006
Juan Antonio Gil Martínez-Abarca
 
Practica 4 herramienta snort entregable
Karmen Arrazola
 
Sistema de detección de intrusos
Miguel Pajuelo Villanueva
 
Alien vault4.0 senv2
a3sec
 
A3sec Webinar AlienVault USM - Sistemas de detección de ataques en tiempo real
a3sec
 
Seguridad en los s.o.
Nando Colim
 
Politicas de seguridad en linux
Daniel Zavala
 
Firewall
Sara Luz Pérez Escobar
 
OSSIM
Adrian Sigueñas Calderon
 
Modulo VI: Detección de intrusos
Juan Manuel García
 
Cortafuegos Jprl
astrologia
 
Cortafuegos
astrologia
 
Publicidad

Destacado (12)

PDF
Simplified_Material Selection Excercise_for_armour_piercing_projectile_Tank_A...
Warakorn (Tieam) Jirakarunphong
 
PDF
York Region Smart Subways and Smart Stations Innovatiion by Sharon Yetman
Sharon Yetman
 
PPT
Relajación
Melani Lamela Alvarez
 
PDF
SMA Warch
Julie Sylvester
 
PPTX
Canada Broadcast Corporation - Annual Report
paul young cpa, cga
 
DOCX
Activdad 1 bloque 3
yara garcia
 
DOCX
E-pashuhaat launch (press release)
Raja Seevan
 
PPTX
Plataformas virtuales lv
frellada
 
ODP
Presentaciónmaquillaje
Sonia Pérez Vázquez
 
PPTX
Act v.m.c
Valeria Marin
 
PDF
Yadira hoja de vida.
Yayiis Arevalo
 
DOCX
Tarea de ciencias del estado
joselyn benavides
 
Simplified_Material Selection Excercise_for_armour_piercing_projectile_Tank_A...
Warakorn (Tieam) Jirakarunphong
 
York Region Smart Subways and Smart Stations Innovatiion by Sharon Yetman
Sharon Yetman
 
Relajación
Melani Lamela Alvarez
 
SMA Warch
Julie Sylvester
 
Canada Broadcast Corporation - Annual Report
paul young cpa, cga
 
Activdad 1 bloque 3
yara garcia
 
E-pashuhaat launch (press release)
Raja Seevan
 
Plataformas virtuales lv
frellada
 
Presentaciónmaquillaje
Sonia Pérez Vázquez
 
Act v.m.c
Valeria Marin
 
Yadira hoja de vida.
Yayiis Arevalo
 
Tarea de ciencias del estado
joselyn benavides
 
Publicidad

Similar a Seguridad en Redes (20)

PPT
Sistemas de intrusos
alvaro alcocer sotil
 
PDF
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Facultad de Informática UCM
 
DOCX
Diseño y seguridad de redes
Andres Romero
 
PPT
Tema 4 mecanismos de defensa
Mariano Galvez
 
PPTX
Clase 18
Titiushko Jazz
 
PDF
dmz definicion
Nicolas Notempus
 
PDF
Comsi
hugo.gonzalez
 
PPTX
Seguridad en la red
Ana Karen Cordova Moran
 
PPT
Sistema Monitoreo fukl
Fundación Universitaria Konrad Lorenz
 
PDF
Unidad6 seguridadenredescorporativas-120214053955-phpapp02
Elvis Nina Tinta
 
PDF
Evasion ids
noc_313
 
PDF
Evasion ids
noc_313
 
PPTX
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
HelpSystems
 
PDF
38855609 manual-ids-deteccion-de-intrusos
lgherrero30
 
PDF
Unidad 6 Seguridad en redes corporativas
vverdu
 
PDF
Nivel de Inmadurez de los nids
Alejandro Corletti Estrada
 
PDF
7.herramientas de redes
Ramiro Estigarribia Canese
 
PDF
Tema 1. Seguridad Perimetral
Francisco Medina
 
DOCX
Transparencia resumen examen final
Ruben Torres Bazan
 
PDF
Gestion de-redes
Inti Chico
 
Sistemas de intrusos
alvaro alcocer sotil
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Facultad de Informática UCM
 
Diseño y seguridad de redes
Andres Romero
 
Tema 4 mecanismos de defensa
Mariano Galvez
 
Clase 18
Titiushko Jazz
 
dmz definicion
Nicolas Notempus
 
Comsi
hugo.gonzalez
 
Seguridad en la red
Ana Karen Cordova Moran
 
Sistema Monitoreo fukl
Fundación Universitaria Konrad Lorenz
 
Unidad6 seguridadenredescorporativas-120214053955-phpapp02
Elvis Nina Tinta
 
Evasion ids
noc_313
 
Evasion ids
noc_313
 
Ciberseguridad Cómo identificar con certeza dispositivos comprometidos en la...
HelpSystems
 
38855609 manual-ids-deteccion-de-intrusos
lgherrero30
 
Unidad 6 Seguridad en redes corporativas
vverdu
 
Nivel de Inmadurez de los nids
Alejandro Corletti Estrada
 
7.herramientas de redes
Ramiro Estigarribia Canese
 
Tema 1. Seguridad Perimetral
Francisco Medina
 
Transparencia resumen examen final
Ruben Torres Bazan
 
Gestion de-redes
Inti Chico
 

Seguridad en Redes

  • 1. Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad
  • 2. Objetivos Generales Identificar las fallas de seguridad relacionadas con el protocolo TCP/IP Conocer los conceptos relacionados con los Sistemas de Detección de Intrusos y el Monitoreo de Seguridad Identificar los aspectos fundamentales en la implementación de Sistemas de Detección de Intrusos y monitoreo de Seguridad Informática Comprender los requerimientos y responsabilidades corporativas necesarias para completar exitosamente un proyecto de Detección de Intrusos
  • 3. Contenidos Parte I – Fundamentos de IDS Conceptos fundamentales de TCP/IP Teoría del ICMP (Internet Control Message Protocol) Teoría del servicio DNS (Domain Name Service) Teoría de fragmentación
  • 4. Contenidos Parte II – Implementación y Administración de IDS Arquitectura de los sistemas de detección de Intrusos Introducción a los filtros y patrones Interoperatividad y correlación de eventos Escenarios de monitoreo de Seguridad Reacción automática o manual ante eventos de Seguridad Tendencias y proyección de los Sistemas de Detección de Intrusos
  • 5. Contenidos Parte III - Factores Organizacionales Factores gerenciales Amenazas y vulnerabilidades Organizacionales Actividades relacionadas con la Implementación
  • 7. Conceptos de TCP/IP Web Browser Web Server TCP TCP IP IP Driver Ethernet Driver Ethernet Stream Segmento TCP Datagrama IP Frame Ethernet El modelo de Internet de TCP/IP Capa de aplicación: Maneja la Implementación de aplicaciones de Usuario. Capa de transporte: Maneja la conexión punto a punto entre equipos. Capa de red: Mueve la información De fuente a destino. Capa de enlace: Maneja la Transferencia de datos desde y hacia Medio físico.
  • 8. Conceptos de TCP/IP Encapsulamiento Datos Datos Datos Header TCP Header Datagrama IP Header Frame Ethernet Datos Los encabezados de una capa, se convierten en datos para la siguiente
  • 9. Conceptos de TCP/IP Estructura del Encabezado IP VER TOS Longitud en Bytes ID Frag. Offset TTL Protocolo Header CheckSum Dirección IP Fuente Dirección IP Destino 0 15 31 Total: 20 bytes
  • 10. Conceptos de TCP/IP Enrutamiento 172.20.41.1 00:00:0c:03:00:de 172.20.41.2 0f:00:20:1f:b0:0f 172.21.19.8 0f:00:20:51:ab:47 172.21.19.1 00:00:0c:00:8f:3c IP Fuente: 172.20.41.2 MAC MAC Fuente: 0f:00:20:1f:b0:0f IP Destino: 172.21.19.8 MAC Destino: 0f:00:20:51:ab:47 IP Fuente: 172.20.41.2 MAC MAC Fuente: 00:00:0c:00:8f:3c IP Destino: 172.21.19.8 MAC Destino: 0f:00:20:51:ab:47 Enrutador
  • 11. Conceptos de TCP/IP Establecimiento de conexiones TCP (1) Cliente Servidor Envío Syn Recepción Syn Envío Syn/Ack Recepción Syn/Ack Envío Ack Recepción Ack Datos 1 2 3 Envío Fin Envío Ack Recepción Fin Recepción Ack
  • 12. Conceptos de TCP/IP Establecimiento de conexiones TCP (2) Cliente Servidor Envío Syn Recepción Syn Envío Syn/Ack Recepción Syn/Ack Envío Ack Recepción Ack Datos 1 2 3 Envío Rst Recepción Rst
  • 13. Teoría del ICMP Orígenes y Utilización Internet Control Message Protocol Fue concebido originalmente como un mecanismo de reportar condiciones de error y el envío y recepción de solicitudes simples. No utiliza puertos y va encapsulado en el Datagrama IP. Aplicación Transporte Internet (Red) Interfaz de Red (Enlace) ICMP { TCP Y UDP IP
  • 14. Teoría del ICMP Funcionamiento Echo Request Echo Reply Trafico IP Source quench Enrutador Trafico a puerto filtrado Admin prohibited Enrutador Trafico a puerto valido Host Unreachable
  • 15. Teoría del ICMP Actividad Maliciosa - Smurf Paso 1: Se envía un Echo request a una dirección Broadcast con dirección fuente falsa de victima.com Paso 2: El enrutador permite trafico ICMP Echo Request a direcciones broadcast. Paso 3: Todos los host responden con un Echo Reply a la direccion fuente real del mensaje. Victima.com
  • 16. Teoría del ICMP Actividad Maliciosa – Tribe Flood Network (TFN) TFN Master: se comunica con los daemons Por medio de Echo reply’s (ID en el header) TFN Daemons Los hosts inundan la victima Victima
  • 17. Teoría de DNS Domain Name Service Presta el servicio de conversión de nombres direcciones IP y viceversa Son probablemente el objetivo de la mayoría de ataques e intentos de Vulneración Porque? - Pueden proveer muchísima información sobre las maquinas de la red y ayudar a preparar ataques bien planeados - Al ser vulnerados, pueden permitir la manipulación y redireccionamiento del trafico hacia otras redes
  • 18. Teoría de DNS DNS Poisoning www.sitio1.com? 200.30.20.20 www.sitio1.com www.sitio2.com 200.30.20.20 Servidor DNS 200.10.10.20 200.10.10.20
  • 19. Teoría de Fragmentación La fragmentación es necesaria para que los paquetes de datos puedan viajar de una red de ciertas características a otras. Aumentan la eficiencia en las transmisiones de datos, permitiendo adaptar los tamaños de los paquetes a las características de las redes por las que viajan. La fragmentación es utilizada para saltar los sistemas de detección de Intrusos que no “memorizan” el estado de las conexiones.
  • 20. Teoría de Fragmentación Internet Stateless IDS ServidorWEB www.servidor.com/../../winnt/system32/cmd.exe?dir+c:\ www.servidor.com/. ./ . ./wi nnt/sy stem32/cm d.exe?dir+c:\ www.servidor.com/../../winnt/system32/cmd.exe?dir+c:\
  • 22. Arquitectura de IDS Básicamente existen dos tipos de detectores de Intrusos: IDSes basados en red Un IDS basado en red monitorea los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el trafico (como un HUB o un enrutador). Este donde este, monitorizara diversas maquinas y no una sola: esta es la principal diferencia con los sistemas de detección de intrusos basados en host. IDS
  • 23. Arquitectura de IDS Arquitectura de IDS IDSes basados en maquina Mientras que los sistemas de detección de intrusos basados en red operan bajo todo un dominio de colisión, los basados en maquina realizan su función protegiendo un único sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en background (o que despierta periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala utilización y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado. IDS IDS
  • 24. Filtros y Patrones IDS Filtros Descartan paquetes de información que cumplen con ciertos criterios como IP fuente, protocolo, puerto, etc Patrones Comparan la información de los paquetes y los datos mismos para tomar acciones correctivas como desconexión, e-mail, almacenamiento en logs, etc.
  • 25. Filtros y Patrones Ejemplo de filtro: Ejemplo de Patrón: Dirección IP 200.20.10.10 Mascara 255.255.255.0 Protocolo TCP Puerto 80, 443, 25, 23 Dirección IP cualquiera Mascara cualquiera Protocolo TCP Puerto 80 Patrón “ cmd.exe” Acción Desconexión, e-mail ( [email_address] ), log
  • 26. Interoperabilidad y correlación La interoperabilidad , permite que un sistema IDS pueda compartir u obtener información de otros sistemas como Firewalls, Enrutadores y Switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red. La correlación es una nueva característica que añade a los IDS la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.
  • 27. Escenarios de monitoreo de Seguridad Sensor por dentro del FireWall IDS FireWall Internet
  • 28. Escenarios de monitoreo de Seguridad Sensor por fuera del FireWall IDS FireWall Internet
  • 29. Escenarios de monitoreo de Seguridad Sistemas híbridos IDS FireWall Internet IDS
  • 30. Reacción automática o manual Mecanismos de reacción automática: Filtrado de puertos y servicios en recursos perimetrales Utilizar FireWalls internos para proteger redes internas Utilizar IDS de maquina en los servidores críticos Demoras en respuestas a escaneos de puertos en el FireWall Desechar conexiones por medio de IDS de red Bloquear temporalmente todo el trafico de direcciones hostiles Aislamiento automático de los dispositivos (apagado) Simulación de respuesta de puertos no abiertos en las maquinas Implementación de Honeypots
  • 31. Reacción automática o manual Procedimientos de reacción manual: Preparación Recursos disponibles Identificación Herramientas y personas calificadas Contención Congelar la escena física del incidente Transporte al sitio del incidente Forensica del sistema Erradicación Herramientas y reinstalación de sistema si es necesario Recuperación Utilización de respaldos y copias de seguridad Aprender de las lecciones aprendidas en el incidente Llevar registro detallado de todos los incidentes y los procedimientos
  • 32. Tendencias y proyección de IDSs Realidad: Los ataques están incrementando Las herramientas son cada día mas sofisticadas Cyber-Terrorismo Atacantes Internos Soluciones a futuro: Integración de Antivirus con IDSs y FireWalls Desencripcion del trafico encriptado para análisis de Seguridad Correlación de eventos entre diferentes dispositivos en la red Detección de intrusos a nivel de aplicativo, como por ejemplo software de oficina Personal mas calificado en temas de seguridad informática
  • 34. Factores Gerenciales POLITICA DE SEGURIDAD CORPORATIVA SEGUIR LAS MEJORES PRACTICAS DE LA INDUSTRIA CONTAR CON INFRAESTRUCTURA PARA SEGURIDAD IMPLEMENTAR CONTRAMEDIDAS SEGÚN LA PRIORIDAD REALIZAR REVISIONES PERIODICAS DEL ESTADO DE LA SEGURIDAD IMPLEMENTAR MECANISMOS DE REACCION ANTE INCIDENTES DEFINIR EL NIVEL DE RIESGO REDUCIR GRADUALMENTE EL NIVEL DE RIESGO DEFINIR LAS AMENAZAS Y SU IMPACTO (MATRIZ DE RIESGO) JUSTIFICAR LA INVERSION DE SEGURIDAD EN TERMINOS DE REDUCCION DE TARIFAS DE POLIZAS DE SEGUROS Y SERVICIOS RELACIONADOS
  • 38. Actividades relacionadas con Implementación Definición de los recursos a proteger Análisis de la infraestructura de red Análisis especial para ambientes switcheados Análisis de estructura y disposición de FireWalls Sistemas Operativos a proteger Características geográficas Definición de los procedimientos de reacción Seguridad física y control de acceso a los recursos Definición de herramientas para pruebas de seguridad internas y externas Capacitación del personal en la utilización de las herramientas y en Seguridad en General
  • 39. FIN