seguridad informática 07
DESCRIPTION
Deteccion de IntrusosTRANSCRIPT
Seguridad Informtica
Monitoreo y Deteccin de IntrusosMonitoreo de la RedPara qu es necesario monitorear la red?
El monitoreo puede ser:En tiempo real (sniffer)A travs de seguimientos de eventos (archivos de logs y sistemas de seguridad)
Ejemplo:Analoga de lo fsico a lo lgico (Monitoreo y Alerta)Monitoreo de Red Datacenter
Gestin de EventosNetworkOperationsIdentityManagementSecurityOperations
Auditor /Governance
Gestin de Eventos
DatabasesDirectoriesOSApplicationsAuth SystemsProv Systems
FirewallsProxyAuth systems
RoutersSwitchesVPN
Gestin de Eventos
DatabasesDirectoriesNetworkOperationsIdentityManagementSecurityOperationsOSApplicationsAuth SystemsProv Systems
FirewallsProxyAuth systems
RoutersSwitchesVPN
Auditor /Governance
DatabasesDirectoriesNetworkOperationsIdentityManagementSecurityOperationsOSApplicationsAuth SystemsProv Systems
FirewallsProxyAuth systems
RoutersSwitchesVPN
Auditor /Governance Log ManagerInvestigation
AlarmsReports
Gestin de EventosGestin de Eventos
DatabasesDirectoriesOSApplicationsAuth SystemsProv Systems
FirewallsProxyAuth systems
RoutersSwitchesVPN
Log ManagerGestin de Eventos: Correlacin
DatabasesDirectoriesOSApplicationsAuth SystemsProv Systems
FirewallsProxyAuth systems
RoutersSwitchesVPN
Log ManagerLog Correlacionado: concentracin de logs y anlisis en tiempo real de todas las fuentes buscando una ocurrencia relacionada que requiera alerta y atencin.Objetivos de la Seguridad de la InformacinOBJETIVO
Identificacin del tipo de trfico en la RedProtocolo: Convencin o estndar que controla o permite la comunicacin entre 2 puntos
Protocolos comunes en las redes:TCP/IPProtocolos de NovellProtocolos de MicrosoftProtocolo de Apple
Identificacin del tipo de trfico en la Red1. TCP/IPGrupo de protocolos usados para transportar informacin fuera y dentro de una LANLos ms susceptibles a ataques son:IPTCPUDPICMP IGMPIdentificar que puertos TCP y UDP se encuentran abiertos y asegurarlosIdentificar vulnerabilidades en protocolos y en aplicaciones que las utilizan
Identificacin del tipo de trfico en la Red2. Protocolos NovellNovell Netware sistema operativo que brinda servicios en la red Protocolos:TCP/IPIPX/SPX (Internetwork Packet Exchange / Sequenced Packet Exchange)Susceptibles a interceptacin. Cada vez menos usados
Integracin con redes Microsoft (NWLink)
Identificacin del tipo de trfico en la Red2. Protocolos NovellServicios NDS y/o eDirectory
Identificacin del tipo de trfico en la Red3. Protocolos Microsoft2 Protocolos y 1 Servicio:Protocolo NetBIOS (Network Basic Input Output System)Protocolo nativo de equipos WindowsConvencin de nombres de 15 caracteresProtocolo orientado al Broadcast (todo el trfico se encuentra disponible para todos los dispositivos en la LAN)Principal vulnerabilidad: mantiene abiertos puertos para compartir archivos e impresorasProtocolo NetBEUI (NetBIOS Extended User Interface)Usado para Transportar el trfico NetBIOSMuy fcil de interceptar
Identificacin del tipo de trfico en la Red3. Protocolos Microsoft2 Protocolos y 1 Servicio:Servicio WINS (Windows Internet Naming Service)Traduce o resuelve nombre NetBIOS a direcciones TCP/IPPropenso a ataque DoS
Identificacin del tipo de trfico en la RedDNS Poisoning
Sistemas de Deteccin de IntrusosLa DETECCION DE INTRUSOS es el proceso de monitoreo de eventos en un sistema o red para determinar si una intrusin esta sucediendoUna INTRUSION es cualquier actividad o accin que intenta comprometer la confidencialidad, integridad o disponibilidad de recursosUn SISTEMA DE DETECCION DE INTRUSOS es una solucin que permite realizar las tareas relacionadas a la deteccin de intrusos
Sistemas de Deteccin de IntrusosFirewall o Sistema de Deteccin de Intrusos?IDS o NIDS
Sistemas de Deteccin de IntrusosDiseo basado en HUBSe desea enviar informacin de A a CTodos los puertos reciben la informacinColisin de paquetes y congestin en ancho de banda
Sistemas de Deteccin de IntrusosDiseo basado en SWITCHSe desea enviar informacin de A a CLa informacin es enviada solo al puerto CTransmisin innecesaria descartadaLa informacin no llega al IDS!!!
Sistemas de Deteccin de IntrusosDiseo basado en SWITCH con port spanning o mirroringSe desea enviar informacin de A a CLa informacin es forzada a ser enviada tambin al puerto spanning o mirroringExiste prdida de paquetes, no soporte a VLAN, no Full Duplex
Sistemas de Deteccin de IntrusosDiseo basado en SWITCH con Network TAP (Test Access Port)Realiza un monitoreo pasivoRealiza un anlisis de los puertos del switchNo compromete sobrecarga a la red
Sistemas de Deteccin de IntrusosNetwork TAP debe ser colocado en ubicacin requerida
Sistemas de Deteccin de IntrusosUbicacin del IDS
CasoGrafique una red con 3 segmentos:InternetLAN yDMZEn la DMZ coloque 3 ejemplos de servidores pblicosEn la LAN 5 ejemplos de equipos localesIdentifique la ubicacin del FirewallIdentifique la ubicacin recomendada del IDSDetalle en texto lo siguiente:Un ejemplo de bloqueo que haya hecho el firewallUn ejemplo de deteccin que haya hecho el IDSSistemas de Deteccin de IntrusosTrminos a considerar:Origen de datos: informacin que utiliza el IDS para detectar actividad sospechosaActividad: ocurrencia de informacin a analizarAdministrador: responsable de establecer la poltica de seguridadSensor: colecciona la informacin de los origenes de datos para anlisis posteriorAnalizador: proceso que analiza la informacin coleccionadaEvento: ocurrencia en un origen de datos que indica una actividad sospechosaAlerta: mensaje del analizador indicando la ocurrencia de un eventoConsola: interfaz de administracin del IDSOperador: usuario responsable de la administracin del IDS
Sistemas de Deteccin de Intrusos
Sistemas de Deteccin de IntrusosTipos de deteccin en los que est basado un IDS:IDS basado en deteccin de anomalas (esta basado en deteccin de comportamiento inusual del trfico o fuera de lo ordinario)Se puede basar en patrones o histricos
Sistemas de Deteccin de IntrusosTipos de deteccin en los que est basado un IDS:IDS basado en deteccin de firmas (esta basado en las firmas de los ataques y rastros de auditoria) ej. TCP flood Attack
Sistemas de Deteccin de Intrusos
Donde Colocar el IDSSistemas de Deteccin de IntrusosTipos de respuesta:Respuesta Pasiva:Respuesta ms comnFcil de implementar y desarrollar
Estrategias de Respuesta Pasiva:Registro de eventosNotificacin de la informacin ocurridaAceptacin o ignorar el ataqueSistemas de Deteccin de IntrusosTipos de respuesta:Respuesta Activa:Toma una accin basado en una ataque o amenazaReducir impacto del ataque
Estrategias de Respuesta Pasiva:Terminacin de procesos o sesionesCambios de configuracin de red
Sistemas de Deteccin de IntrusosRespuesta Activa
Sistemas de Deteccin de IntrusosRespuesta Activa
Sismas de Deteccin de IntrusosDemo IDS-1Sistemas de Deteccin de IntrusosIDS de HOST (HIDS)Software en computadoras de deteccin de intrusosSe ejecuta como un servicioExamina al equipo a travs de logs, eventos del sistema e interaccin con aplicaciones
Sistemas de Deteccin de IntrusosIDS de HOST (HIDS)Puede manejar diversos tipos de reglas:FirewallUso de aplicacionesModificacin de archivosControl de USBsEtc.Lo malo:Consumo de recursos elevadoSe requiere tener en todos los equipos instalados (no es agent-less)
Sistemas de Deteccin de IntrusosHoneyPotsSeuelo para los atacantes, para poder obtener informacin detallada del ataque y los mtodos utilizadosSistemas no seguros dejados a propsito para pescar un atacante.
Sistemas de Deteccin de IntrusosOtras tecnologas:NIPS o IPS (Intrusion PREVENTION Systems)Orientados a bloquear (cortando) paquetes que sean considerados como ataques en la redToma una accin sobre la situacin