tema 1. seguridad perimetral
DESCRIPTION
Tema 1. Seguridad PerimetralTRANSCRIPT
imagenes/logoUnam
Seguridad Perimetral
Seguridad PerimetralConceptos Basicos de Seguridad Perimetral
Francisco Medina Lopez
Direccion General de Tecnologıas de Informacion y ComunicacionUniversidad Nacional Autonoma de Mexico
14 de agosto de 2014
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
1 Conceptos Basicos de Seguridad PerimetralFirewallUTMIDSIPS
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
1 Conceptos Basicos de Seguridad PerimetralFirewallUTMIDSIPS
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
¿Que es un Firewall?
Definicion
Sistema o una combinacion de sistemas que impone una barreraentre dos o mas redes que por lo regular forman una division entreun ambiente seguro y una abierto, como Internet.
Figura: El Firewall y los ambientes de seguridad
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
Taxonomıa
Noonan, Wesley J. & Dubrawsky, Ido. Firewall Fundamentals, Cisco Press.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
Vision global de los sistemas de seguridad
Dua, Sumeet & Du, Xian. Data Mining and Machine Learning in Cybersecurity, Taylor & Francis, P 3.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
Tipos de Firewall
1 Primera Generacion
Packet Filtering
2 Segunda Generacion
Stateful Inspection
3 Tercera Generacion
Application (Proxy)
4 Cuarta Generacion
Dynamic packet filtering
5 Quinta Generacion
Kernel Proxy technology“Deep packet” inspectionIDS / IPS capabilities
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
Packet Filtering
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 11.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
Stateful Inspection
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 14.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
Application (Proxy)
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 13.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
Algunos fabricantes de Firewalls
Juniper Networks
3Com/H3C
Astaro
Check Point Software Technologies
Cisco
Fortinet
McAfee
NETASQ
phion
Palo Alto Networks
SonicWALL
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Firewall
Magic Quadrant for Enterprise Network Firewalls
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
UTM
1 Conceptos Basicos de Seguridad PerimetralFirewallUTMIDSIPS
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
UTM
Conceptos
Definicion
UTM (en ingles: Unified Threat Management) o Gestion Unificadade Amenazas, son firewalls de red que engloban multiplesfuncionalidades en una misma caja.1
El termino fue utilizado por primera vez por Charles Kolodgy,de International Data Corporation (IDC), en 2004.
Algunas funcionalidades:
VPN, Antispam, Antiphishing, Antispyware Filtro decontenidos, Antivirus, Deteccion/Prevencion de Intrusos(IDS/IPS)
1http://es.wikipedia.org/wiki/Unified Threat Management
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
UTM
UTM (2)
Ventajas:
Se pueden sustituir varios sistemas independientes por uno solofacilitando su gestion
Desventajas:
Se crea un punto unico de fallo y un cuello de botella, es decirsi falla este sistema la organizacion queda desprotegidatotalmente.Tiene un costo fijo periodico.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
UTM
Magic Quadrant for Unified Threat Management
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
1 Conceptos Basicos de Seguridad PerimetralFirewallUTMIDSIPS
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
¿Que es una intrusion?
Definicion
Secuencia de eventos relacionados que deliberadamente tratan decausar dano, como hacer un sistema indisponible, acceder ainformacion no autorizada o manipular dicha informacion.
Esta definicion aplica tanto para intentos fallidos, como para losexitosos
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
¿Que son los Sistemas de Deteccion de Intrusos?
Deteccion de Intrusos
Proceso de vigilar y analizar eventos que ocurren en un sistemade computo o red para buscar signos que indiquen problemas deseguridad (violaciones a polıticas).
Sistema de Deteccion de Intrusos
Herramientas, metodos y recursos que ayudan a detectar,identificar y reportar actividad no autorizada en un servidor o unared.
Los sistemas:
Ejecutan funciones de centinelaAlertan y activan alarmas a partesresponsables cuando ocurren actosde interes
Los IDS’s realmente no detectanintrusos, detectan trafico en la redque puede o no, ser una intrusion
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Funciones de un IDS
Registrar indicadores de actividad de intrusos .
Activar las alertas correspondientes.
Puede buscar ataques provenientes de fuera de la red.
Monitorear las actividades desde la red interna .
Algunos IDS’s tambien buscan actividades anomalas.Requiere configuracion adaptada a peculiaridades de la red quese busca defender.
El IDS puede tomar acciones automaticas cuando ocurrenciertas condiciones.
Ejemplo: enviar mensaje de radio al administrador del sistema.
Muchos IDS’s pueden configurarse para atacarautomaticamente a los sospechosos.
Otros se optimizan para recoger informacion para analisisforense en tiempo real.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Proceso basico de deteccion de intrusos
Intrusion Detection & Prevention, Carl Endorf, Eugene.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
http://wiki.hill.com/wiki/
index.php?title=Intrusion detection system
Fuente de DatosProporciona el flujo de registros deeventos
Motor de AnalisisEncuentra indicadores de intrusion
Componente de RespuestasGenera reacciones basadas en elresultado arrojado por el motor deanalisis
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Fuente de Datos del IDS
Cuatro tipos
HostRedAplicacionObjetivo
El “monitor” o sensor :
Recolecta informacion de una fuente de datos y la pasa almotor de analisis
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Fuente de Datos del IDS (2)
Monitores basados en hostRecogen datos de fuentes internas a una computadora (usual:nivel de S.O.)Estas fuentes pueden incluir registros de auditorıa del S.O. ybitacoras del mismo
Monitores basados en redRecogen paquetes que pasan por la redFrecuente: uso de dispositivos de red configurados en modopromiscuo
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Fuente de Datos del IDS (3)
Monitores basados en aplicacionesObtienen informacion de aplicaciones en ejecucionLas fuentes son bitacoras de aplicaciones y otros registrosinternos de ellas
Monitores basados en objetivoGeneran sus propios datosUsan criptografıa de hash para detectar alteraciones a objetosdel sistemaComparan alteraciones con una polıtica
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Motor de Analisis
Definidas las fuentes de informacion, se debe determinar el“motor de busqueda”
Este toma informacion de las fuentes y la examina paradetectar sıntomas de ataques o violaciones a la polıtica deseguridad.
Mayorıa de casos: se recurre a tres tipos de analisis:
Deteccion basada en FirmasDeteccion basada en AnomalıasMezcla de los dos
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Motor de Analisis (2)
Deteccion de Abusos:Se busca ocurrencia de algo definido como “malo”Para ello, se filtran eventos buscando patrones de actividadcoincidentes con ataques o violacion a polıtica de seguridadUsa tecnicas de coincidencia de patronesGeneral: sistemas comerciales usan esta tecnica
Deteccion de Anomalıas:Se busca algo raro o inusualSe analizan eventos del sistema usando tecnicas estadısticasPara hallar patrones de actividad aparentemente anormales
MixtoDeteccion de anomalıas permite identificar ataques nuevos odesconocidosDeteccion de abusos protege contra ataques conocidos
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Motor de Analisis (3)
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Respuestas
Identificada la ocurrencia, el IDS debe determinar la accion aejecutar
No limitada a accion contra sospechoso: disparar alarmas dediferentes tiposSe pueden incluir mensajes a consola del administrador de laredEnvıo de mensaje al localizador del administrador
Otra respuesta es modificar el IDS o el sistema vigiladoModificacion en IDS puede incluir cambio en el tipo de analisisque se hace
En el caso de los sistemas vigilados:Cambios en configuracion
Modificaciones a privilegios de acceso
Respuesta comun:Registrar resultados del analisis en bitacora usada para generarreportes
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Caracterısticas deseables en IDS’s
Efectividad:
Requerimiento mas importante: IDS’s deben detectar de formaexacta y consistente los ataques, o patrones definidos
Facilidad de uso:Expertos en seguridad difıciles y caros
Necesario manejo por no expertos en seguridad
Adaptabilidad:
IDS debe adaptarse a diferentes plataformas, ambientes ypolıticasMayorıa de ambientes no son homogeneos
IDS capaz de entender entradas de otros sistemas
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Caracterısticas deseables en IDS’s (2)
Robustez:
IDS suficientemente confiableTener mecanismos redundantes y caracterısticas que permitanoperar en caso de fallas
Rapidez:
Ser capaz de ejecutar vigilanciaReportar eventos en momento de ocurrencia
Eficiencia:
Uso optimo de recursos de computo, almacenamiento, y anchode bandaAfectacion mınima al desempeno del sistema vigilado
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Caracterısticas deseables en IDS’s (3)
Seguridad:
Contar con caracterısticas que eviten utilizacion por personalno autorizado
Escalabilidad:
Componentes con interfaces estandar bien documentadasEstas interfases deben soportar los mecanismos deautenticacion apropiados.
Equilibrio:
Permitir a usuarios mantener balance entre necesidades deadministracion y de seguridad
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Sistemas de Deteccion de Intrusos en Red
NIDS
Network Intrusion DetecctionSystem, son un conjunto deherramientas, metodos yrecursos que ayudan adetectar, identificar y reportaractividad no autorizada en unared.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Fuente de Datos
Port mirroring (spanning): Copias de los paquetes de entraday salida son enviados a un puerto especial donde pueden seranalizados.
Network taps: Dispositivos que son colocados en el mediofısico por donde pasa el trafico.
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Desventajas con IDS’s en basados en red
Velocidad del canal
No pueden hacer frente a todo el volumen de datos que fluyeen la red
En ambientes con switches: IDS debe colocarse de tal modoque la carga pase por un puerto de escucha
Cifrado
Ningun IDS puede revisar paquetes cifrados, porque no tienelas llaves. Esto permite perpetrar ataques ocultos enconexiones cifradas
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IDS
Algunos IDS’s basados en red
Snort
NIKSUN NetDetector
Sax2
IBM Proventia NetworkIntrusion Prevention System(IPS)
Bro
Cisco Secure IDS (NetRanger)
Cyclops
Shoki
SecureNet IDS/IPS
SecurityMetrics
Enterasys Intrusion PreventionSystem
Juniper Networks ISG SeriesIntegrated Security Gateway
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IPS
1 Conceptos Basicos de Seguridad PerimetralFirewallUTMIDSIPS
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IPS
¿Que es una IPS?
Definicion
Software que ejerce el control de acceso en una red informaticapara proteger a los sistemas computacionales de ataques y abusos.2
No es una extension de los sistemas de deteccion de intrusos(IDS).
Su mecanismos asemeja mas a un firewall.
2https://es.wikipedia.org/wiki/Sistema de Prevenci%C3%B3n de Intrusos
imagenes/logoUnam
Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
IPS
Magic Quadrant for Network Intrusion Prevention Systems