Tema 3

Mecanismos de defensa

ÍndiceÍndice•Introducción.

•Cortafuegos.

•Sistemas IDS.

•Criptografía.

•Escáners de red.

•Otras.

Objetivos

1. Identificar los mecanismos de defensa mas apropiados para aplicarlo en un plan de seguridad eficiente.

2. Diferenciar las técnicas para la protección de la información

Día Cero

.Cuando el Programa maligno o la Vulnerabilidad son nuevos : NO existen PARCHES ni soluciones de SW AV durante un periodo de tiempo .

¿Qué hacer ?

Seguridad de redes TCP-IP. Dr. Juan Pedro Febles

Retos nacionales

La mayor diferencia actual con respecto al nivel de seguridad del

estado del arte ,consiste en la cantidad de programas malignos

que identifica y descontamina.

Seguridad de redes TCP-IP. Dr. Juan Pedro Febles

Política PermisivaPolítica Permisiva

•Lo que no se prohibe de forma explícita, se permite.

•Se van denegando los protocolos que traigan problemas de seguridad sin comprometer la disponibilidad de los servicios.

Política Política RestrictivaRestrictiva

• Lo que no se permite de forma explícita, se deniega.

• Inicialmente se niega todo flujo de paquetes.

• Se van permitiendo gradualmente los servicios necesarios.

LA SOSTENIBILIDAD ANTIVIRUS

• Mantener su actualización.

• Que de respuesta técnica, incluyendo los ataques personalizados.

• Soporte Técnico especializado.

Seguridad de redes TCP-IP. Dr. Juan Pedro Febles

CortafuegosCortafuegos

Características Características GeneralesGenerales

• Centralizan la política de control de acceso relativa a terceras partes, entrada y salida.

• Permiten separar el problema en dos partes, política interna frente a política de interconexión.

Definiciones BásicasDefiniciones Básicas

Cortafuego: componente o grupo de estos que restringen el acceso entre la red protegida e Internet o entre varias redes.

Host: computadora conectada a la red.

Host Bastión: computadora muy bien protegida por ser constantemente atacada. Usualmente expuesta a Internet.

Definiciones BásicasDefiniciones Básicas

Host Dual Homed: computadora de propósito general que tiene al menos dos interfaces.

Filtrado de Paquetes: control selectivo del flujo de paquetes hacia y desde una red.

Servidor Proxy: programa que establece conexiones entre clientes internos y servidores externos.

Hosts Hosts

BastionesBastiones

Selección de la máquina, la Selección de la máquina, la localización física y en la redlocalización física y en la red

• Se persigue lograr una alta confiabilidad y obtener facilidades de configuración y uso.

• No es necesaria una máquina con elevada potencia.

Selección de la máquina, la Selección de la máquina, la localización física y en la redlocalización física y en la red

• Debe ser ubicado en el lugar físicamente más seguro.

• En la red no debe tener acceso a tráfico confidencial.

• No ubicarlo en la red interna.

Selección de los serviciosSelección de los servicios

• Seguros

• Inseguros que pueden asegurarse • Inseguros que no pueden protegerse

• No utilizados

No habilitar cuentas de usuarios No habilitar cuentas de usuarios

• Vulnerabilidad de las cuentas de Usuarios.

• Vulnerabilidad de los servicios que soportan las cuentas (impresión, email).

• Reduce la estabilidad y confiabilidad del HB.

• No se advierte fácilmente la violación o alteración de la seguridad en el HB por parte de los usuarios.

Sistemas Sistemas ProxyProxy

Secuencia de trabajoSecuencia de trabajo• El programa cliente conversa con el proxy

• Este evalúa la encuesta y decide si la gestiona o la descarga.

• Si aprueba la encuesta conversa con el servidor real.

• A partir de establecida la conexión el proxy se encarga de enviar encuestas al servidor real y respuestas al cliente.

Ventajas del proxyVentajas del proxy• Permite a los usuarios acceder a Internet

“directamente”.

• Son buenos registrando el uso de los servicios.

• Registran los comandos y las respuestas a estos.

DesventajasDesventajas

• Hay servicios sin proxy. Son los servicios menos usados, los más nuevos y los mal diseñados para tenerlo.

• Pueden requerir diferentes servidores para cada servicio.

• Requieren modificación en los clientes (servicios no diseñados para proxy).

TerminologíaTerminología• Proxy de nivel de Aplicación: conoce acerca

del protocolo de aplicación. Interpretando sus paquetes puede obtener la información que necesita.

• Proxy de Nivel de circuito: crea un circuito entre cliente y servidor sin interpretar comandos. Tiene que obtener información por otras vías por lo que requiere modificación en los clientes.

Servidores Proxy Servidores Proxy inteligentesinteligentes

• No solo gestionan encuestas. Sirven de caché de datos que son repetidamente accesados desde la red interna para evitar tráfico innecesario por el canal de comunicaciones.

• Se logra más fácil en proxies dedicados.

FiltradoFiltradode de

PaquetesPaquetes

Filtrado de paquetesFiltrado de paquetes

Mecanismo para la seguridad de redes que controla el flujo de datos que puede fluir hacia y desde una red.

Filtrando en el router Filtrando en el router Una vez que el router tiene configurada la ténica de filtrado tiene otro aspecto a considerar al decidir sobre el destino de cada paquete:

Primero:

“¿Cómo puedo encaminar este paquete?”

y luego:

“¿Debo encaminar este paquete?”

Por qué usar filtros de Por qué usar filtros de paquetes?paquetes?

• Bajo costo.

• Pocos equipos que configurar.

• Fácil y rápido de introducir.

El filtrado de paquetes se basa en :

– La dirección fuente.– La dirección destino.– Los protocolos de aplicación usados para

transferir la información.

En su gran mayoría los sistemas de filtrado de paquete no se apoyan en los datos que transfieren.

Filtrado de paquetesFiltrado de paquetes

Aspectos de la configuraciónAspectos de la configuración

Los aspectos más importantes a considerar, llegado este momento, son:

1. Los protocolos son bidireccionales.

3. Cuidado de la semántica de entrada y de salida.

5. Aplicar política de permiso por defecto o negación por defecto.

Tener en cuenta la dirección Tener en cuenta la dirección de los paquetesde los paquetes

Cliente Servidor

Dirección fuente Dirección destino

Dirección destino Dirección fuente

Variantes de FiltradoVariantes de FiltradoFiltrado por direcciones: Es más simple aunque no el más común.

Riesgos:

• No protege de los hosts externos que pretenden ser otros hosts externos.

• No protege de los hosts internos que pretenden ser otros hosts internos.

Variantes de FiltradoVariantes de Filtrado

Filtrado por servicio: Método más

complejo. Tiene en cuenta el protocolo que

usa la aplicación.

Riesgos:

• El puerto fuente es tan confiable como la máquina fuente.

Puertos bien conocidosPuertos bien conocidos• La mayoría de las aplicaciones TCP y

UDP en Internet trabajan en un puerto fijo independientemente del sistema en que se encuentre:

SMTP (email): 25/tcptelnet: 23/tcpHTTP (Web): 80/tcp

• En los clientes se emplean puertos aleatorios por encima del 1024.

Arquitecturas Arquitecturas dede

Firewalls Firewalls

Host Dual HomedHost Dual Homed Todo gira alrededor de una computadora con varias interfaces de red que tiene la opción de ruteo deshabilitada.

Host apantalladoHost apantallado

Red apantallada.Red apantallada.

Variaciones Variaciones en la en la

ArquitecturaArquitectura

Variaciones permisiblesVariaciones permisibles

• Varios Hosts Bastiones• Unir los routers externo e interno• Unir HB y router externo• Múltiples routers externos.• Múltiples redes perimetrales.

Variaciones no Variaciones no recomendablesrecomendables

• Unir el router interno y el HB• Múltiples routers internos

Sistemas detectores

deintrusos

¿Qué son?

Sistemas inteligentes que automatizan la detección de intentos de intrusión en tiempo real.Conocidos como IDS.

Componentes

•Sensores

•Analizadores

•Interfaz de usuario

Tipos básicos

Sistemas basados en normasBasados en bibliotecas y bases de datos que contienen patrones de ataques conocidos. Deben ser actualizados constantemente.

Sistemas adaptablesIncorporan técnicas avanzadas como la inteligencia artificial para reconocer y aprender nuevos patrones de ataques. Se desarrollan en entornos de investigación.

Detección de intrusiones

• Detección de anomalías.

• Reconocimiento de patrones.

Detección de anomalías

• Basado en registros estadísticos del comportamiento normal de los sistemas.

• Caso típico: bases con la utilización del CPU, la actividad del disco, el acceso a ficheros, la conexión de usuarios y otras.

• Díficil de establecer cuando se pretende realizar a partir del comportamiento de los usuarios.

Reconocimiento de patrones• La mayor parte de los productos, comerciales o no,

emplean este principio.

• Basado en la búsqueda de patrones identificadores de ataques conocidos.

• Esta búsqueda puede realizarse en los paquetes que circulan por un tramo de red o en los ficheros logs de los servidores de una entidad.

• Las bases de patrones pueden ser muy extensas y configurables por los usuarios.

MétodosPrevenciónHerramientas que escuchan el tráfico en la red. Actúan de forma apropiada al detectar una actividad sospechosa en “caliente”. Permite respuestas antes de la ejecución del ataque.

ReacciónHerramientas que analizan logs. Se analizan las trazas que dejan las actividades de intrusión.

Clasificación

Network Intrusion Detection Systems (NIDS):analisis de tráfico de red. Detecta intrusiones o ataques DoS.

System Integrity Verifiers (SIV): monitorean los sistemas de ficheros en busca de modificaciones relevantes.

Clasificación

Log File Monitors (LFM): chequean los ficheros logs en busca de patrones sugerentes.

Deception Systems (A.K.A. decoys, lures, fly-traps, honeypots): sistemas que aparentan servidores o computadoras vulnerables para detectar la actividad de intrusos.

CriptografíaCriptografía

Empleo

• Protege los datos cuidando:

– confidencialidad

– Integridad

– autenticidad.

Variantes

• Empleo de firma digital para garantizar la autenticidad del emisor y la integridad del mensaje.

• Empleo de cifrado para mantener la confidencialidad de los mensajes y de la infromación almacenada.

Escáners de redEscáners de red

Utilidad

• Es esencial evaluar periódicamente las redes.

• Los escáner de red detectan los servicios habilitados en las computadoras monitorizadas.

• Los detectores de vulnerabilidades son utilizadas para identificar debilidades en sus sistemas.

Otros mecanismos• Rompecontraseñas.

• Antivirus.

• Salvas de información.

• Educación de los usuarios.

• ..........