Download Defenderse de todo - Diplomado en Tecnologías de la Información

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
page
43
page
44
page
45
page
46
page
47
page
48
page
49
page
50
page
51
page
52
page
53
page
54
page
55
page
56
page
57
page
58
page
59
page
60
page
61
page
62
page
63
page
64
page
65
page
66
page
67
page
68
page
69
page
70
page
71
page
72
page
73
page
74
page
75
page
76
page
77
page
78
page
79
page
80
page
81
page
82
page
83
page
84
page
85
page
86
page
87
page
88
page
89
page
90
page
91
page
92
page
93
page
94
page
95
page
96
page
97
page
98
page
99
page
100
page
101
page
102
page
103
page
104
page
105
page
106
page
107
page
108
page
109
page
110
page
111
page
112
page
113
page
114
page
115
page
116
page
117
page
118
page
119
page
120
page
121
page
122
page
123
page
124
page
125
page
126
page
127
page
128
page
129
page
130
page
131
page
132
page
133
Document related concepts
no text concepts found
Transcript 
Defenderse de todo
Diplomado en Tecnologías de la Información
Dr. Ivo H. Pineda Torres
Facultad de Ciencias de la Computación
Benemérita Universidad Autónoma de
Puebla
Enero 2012
Mecanismos de defensa
• Concientización de usuarios
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
• CERTs
2 of 55
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
• CERTs
2 of 55
• Spam Filters
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
• CERTs
2 of 55
• Spam Filters
• VPN Processor
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
• CERTs
2 of 55
• Spam Filters
• VPN Processor
• AAA Servers
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
• CERTs
2 of 55
• Spam Filters
• VPN Processor
• AAA Servers
• SBS (Secure
Backup
Solutions)
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
• CERTs
2 of 55
• Spam Filters
• VPN Processor
• AAA Servers
• SBS (Secure
Backup
Solutions)
• IDD
(Infrastructure
Discovery
Devices) Devices)
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
• CERTs
2 of 55
• Spam Filters
• VPN Processor
• AAA Servers
• SBS (Secure
Backup
Solutions)
• IDD
(Infrastructure
Discovery
Devices) Devices)
• Correlation
Engines
Mecanismos de defensa
• Concientización de usuarios
• Firewalls
• Malware Detectors
• IDS (Intrusion Detection
Systems)
• IPS (Intrusion Prevention
Systems)
• Honeypots, Honeynets
• Correlation Engines
• Plataformas Forenses
• CERTs
2 of 55
• Spam Filters
• VPN Processor
• AAA Servers
• SBS (Secure
Backup
Solutions)
• IDD
(Infrastructure
Discovery
Devices) Devices)
• Correlation
Engines
• Biometría
Defensa a profundidad.
Firewalls
Definition
Es un mecanismo que ayuda a prevenir el acceso de programas o
usuarios no autorizados a redes privadas o a computadoras personales.
3 of 55
Defensa a profundidad.
Firewalls
Definition
Es un mecanismo que ayuda a prevenir el acceso de programas o
usuarios no autorizados a redes privadas o a computadoras personales.
¿Con qué objeto?
• Proteger una red
3 of 55
Defensa a profundidad.
Firewalls
Definition
Es un mecanismo que ayuda a prevenir el acceso de programas o
usuarios no autorizados a redes privadas o a computadoras personales.
¿Con qué objeto?
• Proteger una red
• Ocultar la estructura interna de una red
3 of 55
Defensa a profundidad.
Firewalls
Definition
Es un mecanismo que ayuda a prevenir el acceso de programas o
usuarios no autorizados a redes privadas o a computadoras personales.
¿Con qué objeto?
• Proteger una red
• Ocultar la estructura interna de una red
• Loguear el tráfico que entra y sale de una red
3 of 55
Defensa a profundidad.
Firewalls
Definition
Es un mecanismo que ayuda a prevenir el acceso de programas o
usuarios no autorizados a redes privadas o a computadoras personales.
¿Con qué objeto?
• Proteger una red
• Ocultar la estructura interna de una red
• Loguear el tráfico que entra y sale de una red
• Establecer políticas para mejorar la seguridad. Ej. evitar el
spoofing, intrusion detection, etc.
3 of 55
Defensa a profundidad.
Firewalls. cont.
• Algunos implementan NAT (Network Address Translation) y/o
PAT (Port Address Translation)
4 of 55
Defensa a profundidad.
Firewalls. cont.
• Algunos implementan NAT (Network Address Translation) y/o
PAT (Port Address Translation)
• Pueden ser hardware ad-hoc (grandes ISPs) o simplemente
software ejecutándose en un equipo de cómputo ordinario
4 of 55
Defensa a profundidad.
Firewalls. cont.
• Algunos implementan NAT (Network Address Translation) y/o
PAT (Port Address Translation)
• Pueden ser hardware ad-hoc (grandes ISPs) o simplemente
software ejecutándose en un equipo de cómputo ordinario
• Su uso apropiado implica la definición de políticas de filtrado que
dejan pasar SOLO el tráfico válido
4 of 55
Defensa a profundidad.
Firewalls. cont.
• Algunos implementan NAT (Network Address Translation) y/o
PAT (Port Address Translation)
• Pueden ser hardware ad-hoc (grandes ISPs) o simplemente
software ejecutándose en un equipo de cómputo ordinario
• Su uso apropiado implica la definición de políticas de filtrado que
dejan pasar SOLO el tráfico válido
• Dispositivos de filtrado perimetral de red (crean zonas de confianza
diferenciada), basados en reglas según políticas de seguridad
4 of 55
Defensa a profundidad.
Firewalls. cont.
• Algunos implementan NAT (Network Address Translation) y/o
PAT (Port Address Translation)
• Pueden ser hardware ad-hoc (grandes ISPs) o simplemente
software ejecutándose en un equipo de cómputo ordinario
• Su uso apropiado implica la definición de políticas de filtrado que
dejan pasar SOLO el tráfico válido
• Dispositivos de filtrado perimetral de red (crean zonas de confianza
diferenciada), basados en reglas según políticas de seguridad
• Pueden ser tipo Gateway o host
4 of 55
Firewalls. Evolución.
• 1era Generación : Filtrado a
nivel direcciones IP protocolo
IP, (TCP/UDP/ICMP) y
servicio (número de puerto)
5 of 55
Firewalls. Evolución.
• 1era Generación : Filtrado a
nivel direcciones IP protocolo
IP, (TCP/UDP/ICMP) y
servicio (número de puerto)
• 2da Generación : Concepto de
sesión (stateful inspection)
5 of 55
Firewalls. Evolución.
• 1era Generación : Filtrado a
nivel direcciones IP protocolo
IP, (TCP/UDP/ICMP) y
servicio (número de puerto)
• 2da Generación : Concepto de
sesión (stateful inspection)
• 3era Generación: Multicapa,
con entendimiento semántico de
protocolos de aplicación
(HTTP, FTP, SMTP, etc)
5 of 55
Firewalls. Implementaciones
Implementado en hardware
6 of 55
Firewalls. Implementaciones
Implementado en hardware
6 of 55
Implementado en software
Firewalls. DMZ
Zona Desmilitarizada. Es una subred que aloja los servicios que la
organización brinda a redes externas no confiables El propósito de una
DMZ es agregar un nivel de seguridad a la red local de la
organización:
• Ubicando los serv idores en una red distinta de la de las estaciones
de trabajo.
• En la red interna, los usuarios deberían usar proxy servers ubicados
en la DMZ para acceder a los servicios de Internet.
• Los servidores internos deberían estar en una red separada de la
DMZ y la red de usuarios.
7 of 55
Firewalls. DMZ
Asi se vería una DMZ
8 of 55
Firewalls. Configuración
• Ventajas
• Política FW
• default permit
• default deny
• Más fácil de
configurar
• Más difícil de
configurar y
administrar
9 of 55
• Desventajas
• Menos seguro
• Más seguro
Firewalls. Configuración. (cont)
Restrictiva:
Lo que no está expresamente
permitido está prohibido. En
modelos como éste, se identifica
aquellos servicios que deben ser
permitidos y las medidas de
seguridad que serán aplicadas. El
resto de servicios serán bloqueados
por defecto.
10 of 55
Permisiva:
Lo que no está expresamente
prohibido está permitido. Se trata
de encontrar qué tipo de servicios
no deben estar activos por creer
que presentan riesgos en su
funcionamiento y por lo tanto
podrían poner en una situación de
compromiso al sistema.
Deploy Firewalls
11 of 55
tipos de Firewalls
• Packet filtering
• Stateful Firewall
• Proxy Firewall
• Firewalls personales
12 of 55
Filtrado de paquetes
13 of 55
Por estado
14 of 55
Proxy
15 of 55
Firewalls Personales
• Un firewall personal es una aplicación que controla el tráfico de red
que entra y sale d una computadora, permitiendo o denegando
comunicaciones en base a una política de seguridad.
• Están diseñados típicamente para usuarios finales.
• Algunos de ellos consultan al usuario cada vez que detectan un
intento de conexión permitiendo que la política definida se vaya
adaptando.
• Ej: ZoneAlarm, Windows Firewall, Kerio Personal Firewall.
16 of 55
Firewalls Personales:iptables
Iptables es un framework que reside dentro del kernel de Linux, el cual
provee filtro de paquetes, NAT y manipulación de otros atributos
como ser TOS y TTL.
Una de las principales características que lo distinguen de su
predecesor ipchains es la posibilidad de manejar estados para el
filtrado de paquetes.
17 of 55
Tipos de Tablas
Tabla Filter: INPUT, FORWARD, OUTPUT.
Tabla NAT:PREROUTING, OUTPUT,POSTROUTING.
Tabla Mangle: PREROUTING, OUTPUT,POSTROUTING,INPUT,
FORWARD.
18 of 55
Iptables, Reglas
Ejemplo: Salida We b
En este ejemplo lo que queremos es permitir el acceso al tráfico
HTTP para los hosts de la red privada (10.0.50.0/24). Presentaremos
tres soluciones posibles para este problema:
Solución 1: Permitir sólo el tráfico saliente con puerto
destino 80 y sólo el entrante con puerto mayor a 1023
Solución 2: Permitir sólo el tráfico saliente con puerto
destino 80y sólo el entrante con puerto origen 80.
Solución 3: Permitir sólo el tráfico saliente con puerto
destino 80y sólo el entrante relacionado con éste.
19 of 55
SOLUCIÓN 1
Ejemplo Salida a Web: Permitir sólo el tráfico saliente con puerto
destino 80 y sólo el entrante con puerto mayor a 1023.
Definición de reglas:
Iptables -P FORWARD DROP
Iptables -A FORWARD -s 10.0.50.0/24 -p tcp –dport 80 -j
ACCEPT
Iptables -A FORWARD -d 10.0.50.0/24 -p tcp –dport
1024:65535 -j ACCEPT
Por la política de DROP (primer línea) se desechan todos los paquetes
que no coinciden con ninguna regla. Con la segunda especificamos que
se aceptan todos los paquetes con origen igual a nuestra red interna
(10.0.50.0) y destino cualquier otro IP con puerto destino TCP 80.
Con la tercer línea especificamos que se aceptan todos los paquetes
cuyo destino sea nuestra red interna y cuyo origen sea cualquier otra
20 ofAdemás
55
IP.
con puerto destino TCP mayor o igual a 1024.
SOLUCIÓN 2
Definición de reglas:
Ejemplo Salida a Web:Permitir sólo el tráfico saliente con puerto
destino 80 y sólo el entrante con puerto origen 80.
Iptables -P FORWARD DROP
Iptables -A FORWARD -s 10.0.50.0/24 -p tcp –dport 80 -j
ACCEPT
Iptables -A FORWARD -d 10 0 50 0/24 -p tcp –sport 80 -j
ACCEPT
Por la política de DROP (primer línea) se desechan todos los paquetes
que no coinciden cn ninguna regla. Con la segunda especificamos que
se aceptan todos los paquetes con origen igual a nuestra red interna
(10 0 50 0) y destino cualquier otro IP con (10.0.50.0) puerto destino
TCP 80. Con la tercer línea especificamos que se aceptan todos los
paquetes cuyo destino sea nuestra red interna y cuyo origen sea
21 of 55
cualquier
otra IP. Además el puerto origen debe ser el 80.
SOLUCIÓN 2 cont.
Definición de reglas:(salida)
Iptables -nL -v
Chain INPUT (policy ACCEPT) Target prot opt source destination
Chain FORWARD (policy DROP) Target prot opt source destination
ACCEPT tcp ? 10.0.50.0/24 0.0.0.0/0 tcp dpt:80 ACCEPT tcp ?
0.0.0.0/0 10.0.50.0/24 tcp spt:80 Chain OUPUT (policy ACCEPT)
Target prot opt source destination
22 of 55
SOLUCIÓN 3
Definición de reglas:
Ejemplo Salida a Web: Permitir sólo el tráfico saliente con puerto
destino 80 y sólo el entrante establecido.
Iptables -P FORWARD DROP
Iptables -A FORWARD -s 10.0.50.0/24 -p tcp –dport 80-m state
?state NEW -j ACCEPT
Iptables -A FORWARD -m state –state RELATED, ESTABLISHED -j
ACCEPT
La politica es la misma que en los casos anteriores (DROP).Con la segunda
volvemos a habilitar la salida al puerto 80 desde la red interna. Con la tercer
línea especificamos que se aceptan todos los paquetes con origen distinto a
nuestra red interna y destino cualquier otra IP, siempre que el tráfico
entrante sea perteneciente a una comunicación ya establecida o esté
relacionado con el tráfico de salida.
23 of 55
Tablas NAT
NAT: network Address Traslation.
• PREROUTING
• OUTPUT
• POSTROUTING
24 of 55
Uso de máscaras.
25 of 55
Uso de máscaras.
Enmascaramiento: Lo que queremos es poder acceder a los servicios
de Internet desde una red interna que utiliza direccionamiento privado.
El router/firewall tiene configurada la única IP pública disponible.
# Iptables -t nat ? A POSTROUTING -o th2 -j MASQUERADE
Verificación: # Iptables -nL -t nat (permite ver las reglas de NAT
definidas)
Chain PREROUTING ( policy ACCEPT)
Target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
Target prot opt source destination
MASQUERADE all 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
Target prot opt source destination
26 of 55
Tabla Mangle
• PREROUTING
• OUTPUT
• POSTROUTING
• INPUT
• FORWARD
27 of 55
Redireccionamiento
28 of 55
Redireccionamiento. Ejemplo
Redirección: Lo que queremos es redireccionar los requerimientos
WEB al servidor WEB alojado en una red privada Para que los
usuarios en Internet puedan acceder deben acceder a la IP pública. El
firewall debe encargarse de realizar la redirección a la IP interna.
# iptables -t nat ? A PREROUTING -d 163.10.5.1 -p tcp ?dport 80 -j
DNAT -to-destination 10.0.0.11
29 of 55
Redireccionamiento
30 of 55
Problemas
• Conjunto grande de reglas: difícil administración y posibles
problemas de rendimiento
31 of 55
Problemas
• Conjunto grande de reglas: difícil administración y posibles
problemas de rendimiento
• Necesidad de actualizar el componente de software del FW
31 of 55
Problemas
• Conjunto grande de reglas: difícil administración y posibles
problemas de rendimiento
• Necesidad de actualizar el componente de software del FW
• Un FW mal configurado puede ser más peligroso que no tener FW
alguno
31 of 55
Problemas
• Conjunto grande de reglas: difícil administración y posibles
problemas de rendimiento
• Necesidad de actualizar el componente de software del FW
• Un FW mal configurado puede ser más peligroso que no tener FW
alguno
• Efecto ‘exceso de confianza ’
31 of 55
Detectores de ‘malosidad ’
• Comprenden anti-virus, anti-worms y anti-spyware.
32 of 55
Detectores de ‘malosidad ’
• Comprenden anti-virus, anti-worms y anti-spyware.
• Arquitectónicamente se dividen en host-based o gateway-based o
una combinación de ambos.
32 of 55
Detectores de ‘malosidad ’
• Comprenden anti-virus, anti-worms y anti-spyware.
• Arquitectónicamente se dividen en host-based o gateway-based o
una combinación de ambos.
• Normalmente basados en detección de patrones (signature- based).
32 of 55
Detectores de ‘malosidad ’
• Comprenden anti-virus, anti-worms y anti-spyware.
• Arquitectónicamente se dividen en host-based o gateway-based o
una combinación de ambos.
• Normalmente basados en detección de patrones (signature- based).
• Suelen incluir un motor heurístico que detecta variaciones de
patrones maliciosos.
32 of 55
Detectores de ‘malosidad ’
• Comprenden anti-virus, anti-worms y anti-spyware.
• Arquitectónicamente se dividen en host-based o gateway-based o
una combinación de ambos.
• Normalmente basados en detección de patrones (signature- based).
• Suelen incluir un motor heurístico que detecta variaciones de
patrones maliciosos.
• Los más avanzados incluyen técnicas de detección del tipo
anomaly-based.
32 of 55
Gateways antivirus, anti spams
Ventajas
• Análisis on-line.
• HW + SW dedicado.
• Administración sencilla.
33 of 55
Desventajas
• Unico punto de fallo.
• Burlado por virus cifrados.
• Falta de contexto informativo
de SO.
Host Antivirus
Ventajas
• Conocimiento contextual del SO
Desventajas
34 of 55
Host Antivirus
Ventajas
• Conocimiento contextual del SO
• Enfoque distribuido
Desventajas
34 of 55
Host Antivirus
Ventajas
• Conocimiento contextual del SO
• Enfoque distribuido
• Posibilidad de tener configuraciones diferenciadas según criticidad
de host
Desventajas
34 of 55
Host Antivirus
Ventajas
• Conocimiento contextual del SO
• Enfoque distribuido
• Posibilidad de tener configuraciones diferenciadas según criticidad
de host
Desventajas
• Administración más complicada (distribuida)
34 of 55
Host Antivirus
Ventajas
• Conocimiento contextual del SO
• Enfoque distribuido
• Posibilidad de tener configuraciones diferenciadas según criticidad
de host
Desventajas
• Administración más complicada (distribuida)
• Falta de conocimiento contextual de red.
34 of 55
Host Antivirus
Ventajas
• Conocimiento contextual del SO
• Enfoque distribuido
• Posibilidad de tener configuraciones diferenciadas según criticidad
de host
Desventajas
• Administración más complicada (distribuida)
• Falta de conocimiento contextual de red.
• Mayores costos operativos, etc
34 of 55
Sistemas de Detección de Intrusos (IDS)
• Un firewall es el equivalente a instalar una cerca alrededor de la
propiedad con un custodio en la puerta de acceso.
35 of 55
Sistemas de Detección de Intrusos (IDS)
• Un firewall es el equivalente a instalar una cerca alrededor de la
propiedad con un custodio en la puerta de acceso.
• Un IDS es el equivalente a las cámaras, sensores y alarmas que
existen dentro de la propiedad.
35 of 55
Sistemas de Detección de Intrusos (IDS)
• Un firewall es el equivalente a instalar una cerca alrededor de la
propiedad con un custodio en la puerta de acceso.
• Un IDS es el equivalente a las cámaras, sensores y alarmas que
existen dentro de la propiedad.
• Sistema pasivo de detección y monitoreo de intrusiones
35 of 55
Sistemas de Detección de Intrusos (IDS)
• Un firewall es el equivalente a instalar una cerca alrededor de la
propiedad con un custodio en la puerta de acceso.
• Un IDS es el equivalente a las cámaras, sensores y alarmas que
existen dentro de la propiedad.
• Sistema pasivo de detección y monitoreo de intrusiones
• Los IDSs analizan la información que reciben para detectar
patrones de comportamiento sospechoso.
35 of 55
Sistemas de Detección de Intrusos (IDS)
• Un firewall es el equivalente a instalar una cerca alrededor de la
propiedad con un custodio en la puerta de acceso.
• Un IDS es el equivalente a las cámaras, sensores y alarmas que
existen dentro de la propiedad.
• Sistema pasivo de detección y monitoreo de intrusiones
• Los IDSs analizan la información que reciben para detectar
patrones de comportamiento sospechoso.
• Se nutren de datos de la red de las aplicaciones y de los red,
sistemas operativos.
35 of 55
Sistemas de Detección de Intrusos (IDS)
• Un firewall es el equivalente a instalar una cerca alrededor de la
propiedad con un custodio en la puerta de acceso.
• Un IDS es el equivalente a las cámaras, sensores y alarmas que
existen dentro de la propiedad.
• Sistema pasivo de detección y monitoreo de intrusiones
• Los IDSs analizan la información que reciben para detectar
patrones de comportamiento sospechoso.
• Se nutren de datos de la red de las aplicaciones y de los red,
sistemas operativos.
• Consiste de un motor de correlación, una BD una consola de
administración, un módulo de reportes y sensores desplegados en
puntos estratégicos del SO o de la red.
35 of 55
IDS. Inconvenientes
• Falsos Positivos(FP): Incidentes incorrectamente reportados como
ataques.
• Falsos Negativos(FN): Ataques que pasan desapercibidos
36 of 55
IDS. Como puede ser
• Segun despliegue
37 of 55
IDS. Como puede ser
• Segun despliegue
◦ Host-based (HIDS): detectan ataques focalizados en el S.O.
37 of 55
IDS. Como puede ser
• Segun despliegue
◦ Host-based (HIDS): detectan ataques focalizados en el S.O.
◦ Network-based (NIDS): detectan ataques mediante inspección de
tráfico de red
37 of 55
IDS. Como puede ser
• Segun despliegue
◦ Host-based (HIDS): detectan ataques focalizados en el S.O.
◦ Network-based (NIDS): detectan ataques mediante inspección de
tráfico de red
◦ Application-based (AIDS): detectan ataques a nivel aplicación
37 of 55
IDS. Como puede ser
• Segun despliegue
◦ Host-based (HIDS): detectan ataques focalizados en el S.O.
◦ Network-based (NIDS): detectan ataques mediante inspección de
tráfico de red
◦ Application-based (AIDS): detectan ataques a nivel aplicación
• Segun la detección
37 of 55
IDS. Como puede ser
• Segun despliegue
◦ Host-based (HIDS): detectan ataques focalizados en el S.O.
◦ Network-based (NIDS): detectan ataques mediante inspección de
tráfico de red
◦ Application-based (AIDS): detectan ataques a nivel aplicación
• Segun la detección
◦ Signature-based: pocos FP. No pueden detectar ataques novedosos
37 of 55
IDS. Como puede ser
• Segun despliegue
◦ Host-based (HIDS): detectan ataques focalizados en el S.O.
◦ Network-based (NIDS): detectan ataques mediante inspección de
tráfico de red
◦ Application-based (AIDS): detectan ataques a nivel aplicación
• Segun la detección
◦ Signature-based: pocos FP. No pueden detectar ataques novedosos
◦ Anomaly-based: muchos FP. Detectan algunos ataques novedosos
37 of 55
IDS. Como puede ser
• Segun despliegue
◦ Host-based (HIDS): detectan ataques focalizados en el S.O.
◦ Network-based (NIDS): detectan ataques mediante inspección de
tráfico de red
◦ Application-based (AIDS): detectan ataques a nivel aplicación
• Segun la detección
◦ Signature-based: pocos FP. No pueden detectar ataques novedosos
◦ Anomaly-based: muchos FP. Detectan algunos ataques novedosos
◦ Specification-based: pocos FP. Detectan casi todos los ataques. Gran
dificultad en especificar formalmente todos los protocolos en uso en
Internet Internet.
37 of 55
IDS. Que se espera de ellos.
• Precisión (bajos FFPP, bajos FN).
38 of 55
IDS. Que se espera de ellos.
• Precisión (bajos FFPP, bajos FN).
• Performance (habilidad para funcionar a velocidad de cable).
38 of 55
IDS. Que se espera de ellos.
• Precisión (bajos FFPP, bajos FN).
• Performance (habilidad para funcionar a velocidad de cable).
• Tolerancia a fallas (resistente fallas (resitentes a ataques dirigidos
al IDS/IPS).
38 of 55
IDS. Que se espera de ellos.
• Precisión (bajos FFPP, bajos FN).
• Performance (habilidad para funcionar a velocidad de cable).
• Tolerancia a fallas (resistente fallas (resitentes a ataques dirigidos
al IDS/IPS).
• Escalabilidad (posibilidad de integrar sensores distribuidos).
38 of 55
IDS. Que se espera de ellos.
• Precisión (bajos FFPP, bajos FN).
• Performance (habilidad para funcionar a velocidad de cable).
• Tolerancia a fallas (resistente fallas (resitentes a ataques dirigidos
al IDS/IPS).
• Escalabilidad (posibilidad de integrar sensores distribuidos).
• Integración de sensores distribuidos en una misma consola.
38 of 55
IDS. Que se espera de ellos.
• Precisión (bajos FFPP, bajos FN).
• Performance (habilidad para funcionar a velocidad de cable).
• Tolerancia a fallas (resistente fallas (resitentes a ataques dirigidos
al IDS/IPS).
• Escalabilidad (posibilidad de integrar sensores distribuidos).
• Integración de sensores distribuidos en una misma consola.
• GUI amigable.
38 of 55
IDS. Que se espera de ellos.
• Precisión (bajos FFPP, bajos FN).
• Performance (habilidad para funcionar a velocidad de cable).
• Tolerancia a fallas (resistente fallas (resitentes a ataques dirigidos
al IDS/IPS).
• Escalabilidad (posibilidad de integrar sensores distribuidos).
• Integración de sensores distribuidos en una misma consola.
• GUI amigable.
• Buenas capacidades de reportes ejecutivos.
38 of 55
Razones para SI monitorear.
• Detección de violaciones a las políticas de seguridad.
39 of 55
Razones para SI monitorear.
• Detección de violaciones a las políticas de seguridad.
• Detección de hosts comprometidos.
39 of 55
Razones para SI monitorear.
• Detección de violaciones a las políticas de seguridad.
• Detección de hosts comprometidos.
• Colección de evidencia forense.
39 of 55
Razones para SI monitorear.
• Detección de violaciones a las políticas de seguridad.
• Detección de hosts comprometidos.
• Colección de evidencia forense.
• Mejor entendimiento de la red.
39 of 55
Razones para SI monitorear.
• Detección de violaciones a las políticas de seguridad.
• Detección de hosts comprometidos.
• Colección de evidencia forense.
• Mejor entendimiento de la red.
• Desalentar ofensores.
39 of 55
Razones para SI monitorear.
• Detección de violaciones a las políticas de seguridad.
• Detección de hosts comprometidos.
• Colección de evidencia forense.
• Mejor entendimiento de la red.
• Desalentar ofensores.
• Detección de intentos de ataques.
39 of 55
Razones para SI monitorear.
• Detección de violaciones a las políticas de seguridad.
• Detección de hosts comprometidos.
• Colección de evidencia forense.
• Mejor entendimiento de la red.
• Desalentar ofensores.
• Detección de intentos de ataques.
• Detección de ofensores.
39 of 55
Razones para NO monitorear.
• Cuestiones d privacidad
40 of 55
Razones para NO monitorear.
• Cuestiones d privacidad
• Mejor prevenir que curar
40 of 55
Razones para NO monitorear.
• Cuestiones d privacidad
• Mejor prevenir que curar
• Falsos positivos (falsa alarma)
40 of 55
Razones para NO monitorear.
• Cuestiones d privacidad
• Mejor prevenir que curar
• Falsos positivos (falsa alarma)
• Falsos negativos (ataques que pasan desapercibidos)
40 of 55
Razones para NO monitorear.
• Cuestiones d privacidad
• Mejor prevenir que curar
• Falsos positivos (falsa alarma)
• Falsos negativos (ataques que pasan desapercibidos)
• Volúmenes importantes de datos generados que deben ser
procesados
40 of 55
Razones para NO monitorear.
• Cuestiones d privacidad
• Mejor prevenir que curar
• Falsos positivos (falsa alarma)
• Falsos negativos (ataques que pasan desapercibidos)
• Volúmenes importantes de datos generados que deben ser
procesados
• Obligación de rastrear a ofensores
40 of 55
Información a monitorear.
• Mensajes de error (syslog)
41 of 55
Información a monitorear.
• Mensajes de error (syslog)
• Registros de accounting
41 of 55
Información a monitorear.
• Mensajes de error (syslog)
• Registros de accounting
• OS Audit trails
41 of 55
Información a monitorear.
• Mensajes de error (syslog)
• Registros de accounting
• OS Audit trails
• Tráfico de red
41 of 55
Información a monitorear.
• Mensajes de error (syslog)
• Registros de accounting
• OS Audit trails
• Tráfico de red
• Equipos de comunicaciones (routers, switches)
41 of 55
Información a monitorear.
• Mensajes de error (syslog)
• Registros de accounting
• OS Audit trails
• Tráfico de red
• Equipos de comunicaciones (routers, switches)
• Logs de Aplicaciones
41 of 55
Información a monitorear.
• Mensajes de error (syslog)
• Registros de accounting
• OS Audit trails
• Tráfico de red
• Equipos de comunicaciones (routers, switches)
• Logs de Aplicaciones
• Transacciones en general
41 of 55
Evolución de los IDS.
• En la década del ’80 aparecen los papers seminales
(Anderson,Denning)
42 of 55
Evolución de los IDS.
• En la década del ’80 aparecen los papers seminales
(Anderson,Denning)
• A principios de los ’90 se introduce el concepto de NIDS
(Heberlein, Levitt)
42 of 55
Evolución de los IDS.
• En la década del ’80 aparecen los papers seminales
(Anderson,Denning)
• A principios de los ’90 se introduce el concepto de NIDS
(Heberlein, Levitt)
• Primera mitad del ’90 aparecen los primeros IDS comerciales
42 of 55
Evolución de los IDS.
• En la década del ’80 aparecen los papers seminales
(Anderson,Denning)
• A principios de los ’90 se introduce el concepto de NIDS
(Heberlein, Levitt)
• Primera mitad del ’90 aparecen los primeros IDS comerciales
• Fines de los ’90: primeros AIDS y Spec-Based IDS
42 of 55
Evolución de los IDS.
• En la década del ’80 aparecen los papers seminales
(Anderson,Denning)
• A principios de los ’90 se introduce el concepto de NIDS
(Heberlein, Levitt)
• Primera mitad del ’90 aparecen los primeros IDS comerciales
• Fines de los ’90: primeros AIDS y Spec-Based IDS
• Comienzos de los ’00: Aparece el concepto de Deep Packet
Inspection
42 of 55
Evolución de los IDS.
• En la década del ’80 aparecen los papers seminales
(Anderson,Denning)
• A principios de los ’90 se introduce el concepto de NIDS
(Heberlein, Levitt)
• Primera mitad del ’90 aparecen los primeros IDS comerciales
• Fines de los ’90: primeros AIDS y Spec-Based IDS
• Comienzos de los ’00: Aparece el concepto de Deep Packet
Inspection
• Comienzos de los ’00: primeros IPS comerciales
42 of 55
Tipos IDS.
43 of 55
IDS: de red.
Monitorean todo el tráfico que pasa por el segmento en el que éstese
encuentra, alertando ante cualquier anomalía o signo de actividad
sospechosa. Básicamente es un sniffer que busca patrones de ataques
en los paquetes observados observados.
Dependiendo del lugar en el que se lo instala (backbone, DMZ, red
interna de usuarios) será el tipo de ataques que se buscan detectar
(scans, botnets, virus, exploits, etc).
¿¿Cómo obtener el tráfico para monitorear?
• HUB
• Puerto de SPAN (Security Port Analizer)
• Modo Inline
44 of 55
SPAN
45 of 55
IDS de Host
Este tipo de IDS funcionan en el host con el objeto de detectar
patrones de ataques en tiempo real, evitarlos y reportarlos.
Analizan logs del sistema, detectan rootkits, realizan chequeos de
integridad del sistema de archivos en sistemas Windows
archivos,monitorean la registry, filtran direcciones IP detectadas
como, origen de distintos tipos de problemas, monitorean los puertos,
detectan procesos ocultos, etc.
Ejemplos: OSSEC Fail2ban antivirus etc
46 of 55
IDS de Host
Un IDS basado en filesystem realiza una función de hash sobre los
archivos que luego chequea periódicamente para determinar si algo
fue cambiado. Ello sirve para detectar ataques dado que cuando la
seguridad de un sistema es comprometida, el atacante generalmente
altera ciertos archivos claves para asegurarse nuevamente el acceso y
para prevenir que lo detecten.
Ejemplos:tripware
47 of 55
Sistemas de Prevención de Intrusos IPS
• Funcionan como gateway de paso (inlined)
• Tecnología aún inmadura pero en evolución
• Afectados por la gran cantidad de FP con que los IDS abrumaban
a los analistas la industria decidió bajar la analistas,sensibilidad de
detección de los IDS pero incorporar defensas activas.
• Configurados en forma conservadora le ahorran mucho tiempo al
analista, por ejemplo en el caso de worms.
• Dos inconvenientes: Falsos Positivos (tráfico legítimo interrumpido
en forma errónea) y Falsos Negativos (ataques que pasan
desapercibidos).
48 of 55
HoneyPots
• Son herramientas utilizadas para recolectar información sobre
ataques y sus técnicas.
• Simulan sistemas vulnerables con el sólo fin de atraer ofensores
• Suelen desplegarse en DMZ
• Una vez identificado un usuario como ofensor, se lo suele derivar a
otra red lógica donde nada es lo que parece, para nadaparece
confundir más al ofensor (deception)
• Se usan para juntar evidencia forense, detectar insiders, estudiar
patrones de ataque, confundir al adversario, etc
• Una red de honeypots se denomina honeynet.
49 of 55
Redes Privadas Virtuales (VPN)
• El objetivo de este tipo de tecnologías es el de implementar canales
de comunicación seguros, permitiendo extender la red local sobre
una red pública o no controlada.
• Se deben proporcionar los medios para garantizar la autenticación,
la integridad y la confidencialidad, para lo cual se requiere:
◦ Identificar al usuario y establecer niveles de acceso.
◦ Cifrado de datos
◦ Administración de claves de cifrado de los usuarios.
50 of 55
Redes Privadas Virtuales (VPN)
51 of 55
Redes Privadas Virtuales (VPN)
52 of 55
Filtros
• Funcionan coordinadamente con el MTA como gateway de paso
(inlined)
• Consultan en tiempo real BD de spam tales como Spamhaus o
Spamcop
• Filtran correo indeseado o no solicitado
• Algunos detectan open-relays y bloquean todo correo de que de allí
provenga
53 of 55
AAA
• Implementan Autenticación, Autorización y Accounting.
• Permiten la división lógica de confianza de usuarios y redes
• Utilizados ya sea para acceso remoto o como plataforma de control
de acceso a recursos corporativos.
• En general operan en coordinación con servicios de directorio, tal
como LDAP o AD, para servicios de Identity Management.
54 of 55
Biometría
• Algunos tests biométricos como el scan de retina y el scan de
huellas digitales son de gran precisión y por ende muy cómodos
porque no requiere portación de dispositivos adicionales.
• Existen otros tests en experimentación como la medida de la
resistividad de los tejidos de la mano, análisis de voz, los patrones
de tipeo de una persona, análisis de DNA, etc
• Inconvenientes:
◦ Exceso de información ( ej: tendencia a hipertensión).
◦ Personas con daños físicos.
◦ Robo de patrón digital de ID.
55 of 55
Related documents
honeypots monitorizando a los atacantes
honeypots monitorizando a los atacantes
Acceso a la VPN de HTSI
Acceso a la VPN de HTSI
2.4. Tipos de Sistemas de detección de intrusos
2.4. Tipos de Sistemas de detección de intrusos
Seguridad Perimetral
Seguridad Perimetral
Cortafuegos software y hardware - Seguridad y Alta Disponibilidad
Cortafuegos software y hardware - Seguridad y Alta Disponibilidad
lote 03 - seguridad
lote 03 - seguridad
Cortafuegos software y hardware
Cortafuegos software y hardware
implementación de un sistema de protección y
implementación de un sistema de protección y
Actividad1_Herramientas de seguridad para redes
Actividad1_Herramientas de seguridad para redes
Recolección de Evidencia en Ambientes de Red
Recolección de Evidencia en Ambientes de Red
Protecciones complementarias contra infecciones de virus
Protecciones complementarias contra infecciones de virus
Contenidos Ataques y software malicioso
Contenidos Ataques y software malicioso
Sonicwall Soluciones de Seguridad - M.S.M. Asesoría Informática, S.L
Sonicwall Soluciones de Seguridad - M.S.M. Asesoría Informática, S.L
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
Slide 1 - Neo Logic Tech
Slide 1 - Neo Logic Tech
HONEY POT
HONEY POT
Escaneo y Enumeración
Escaneo y Enumeración
Objetivo de la Seguridad Informática
Objetivo de la Seguridad Informática
View/Open - Repositorio PUCE
View/Open - Repositorio PUCE
ISP_Capitulo3
ISP_Capitulo3
hardering de sistemas operativos (gnu/linux - Docencia FCA-UNAM
hardering de sistemas operativos (gnu/linux - Docencia FCA-UNAM
Informe Mensual
Informe Mensual