Seminario:

Proteccin de Activos de
Informacin

Universidad Catlica de La Plata

Facultad de Ciencias Exactas y Tecnologa

Andrs Garavaglia

Seguridad Informtica

Contenido Aspectos tcnicos en la

Seguridad de redes de ordenadores
Seguridad en la red interna de la organizacin
El problema de la seguridad en la conexin a internet
Seguridad perimetral Firewalls
Sistemas de deteccin de intrusiones IDS
HoneyPots y HoneyNets (seuelos)

Seguridad Informtica

Seguridad en la red interna de la organizacin

Requisitos
Interoperabilidad: Conectar redes con diferente topologa
Disponibilidad: Porcentaje de tiempo en operacin
Flexibilidad: Posibilidad de escalar en equipos y servicios
Mantenimiento: Administracin, deteccin y correccin de fallas

Seguridad Informtica

Seguridad en la red interna de la organizacin

Seguridad en capas

Seguridad Informtica

Seguridad en la red interna de la organizacin

Servicios ofrecidos
Integridad: Puedo asegurar que los mensajes lleguen intactos?
Confidencialidad: Lo ha interceptado alguien?
Disponibilidad: El servicio debe estar disponible en todo momento
Autenticacin: Es realmente quien dice ser?
Control de acceso: Tiene derechos a hacer lo que pide?
No repudio: Ha recibido/enviado realmente eso?
Alarma: Qu est pasando ahora?
Auditoria: Qu ha pasado?

Seguridad Informtica

Seguridad en la red interna de la organizacin

Impacto en la organizacin
Visin del usuario
Complicacin en su tarea

Visin del administrador

Mayor control sobre los recursos
Mayor delimitacin de responsabilidades
Mejor diagnstico y resolucin de problemas

Aumento de la complejidad operativa (Tcnica y Administrativa)

Seguridad Informtica

El problema de la seguridad en la conexin

a Internet
Sistemas On-Line
Servicios de Correo
Servidor WEB
Servidores de Archivos
Clientes Remotos
Sistemas Distribuidos
WebServices
1

Seguridad Informtica

El problema de la seguridad en la conexin

a Internet

Seguridad Informtica

El problema de la seguridad en la conexin

a Internet

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Vulnerabilidades
Vulnerabilidad de protocolos
Vulnerabilidad de firmware de equipos
Vulnerabilidades de servidores de red
Vulnerabilidades de la estructura fsica
Vulnerabilidades de la transmisin
1

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Tendencias
Todas las investigaciones en seguridad en redes comparten
una idea
la concentracin de la seguridad en un punto obligado a todo trfico
entrante y saliente. Lo que comnmente se conoce como Firewall o
Cortafuegos. Esto permite concentrar los todos los esfuerzos en el control
de trfico a su paso por dicho punto

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Definicin de Firewall
Dispositivo formado por uno o varios equipos que se situa entre dos redes
(generalmente la red de la empresa e Internet) que permite analizar y filtrar
todos los paquetes que transitan entre ambas de acuerdo a un criterio
establecido previamente

Nota: Para que no se convierta en un cuello de botella el dispositivo tiene

que ser capaz de realizar las tareas a una velocidad igual o superior que el router.

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Funciones

Ambiente Seguro

Barrera

Ambiente No seguro

- Crea un permetro de seguridad y defensa en la organizacin

- Se puede implementar para ofrecer seguridad entre areas de la organizacin
- Se debe definir un plan de seguridad para definir polticas sobre los usuarios
1

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Servicios en capa 3
- Limitar o bloquear el acceso servicios desde y hacia
internet
- Limitar el trfico a un determinado segmento de servicios
- Impedir el acceso a determinados usuarios a servicios o
servidores
- Monitorear las comunicaciones entre redes

Servicios en capa 7
- Proteccin contra virus
- Proteccin contra vulnerabilidades conocidas
- Deteccin de intrusos
1

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Tipos de Firewall
A NIVEL DE RED
A NIVEL DE APLICACIN
A NIVEL DE CIRCUITO
A NIVEL DE ESTADO

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Firewall a nivel de RED
Packet-Filtering Gateways

- Debe ser rpido y transparente al usuario

- Elementos que tiene en cuenta:
Direccin de origen de los paquetes
Direccin de destino de los paquetes
Protocolo de sesin de los datos (TCP,UDP,ICMP)
El puerto de aplicacin de origen y destino del
servicio deseado

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Firewall a nivel de Aplicacin
Application Layer Firewalls

- Cumplen funciones de proxy

- Aisla del exterior a la red local para una determinada
aplicacin
- Pueden desarmar los paquetes en bsqueda de un
determinado cdigo y volverlos a armar. No se dejaran
pasar paquetes que no cumplan con los requerimientos
previamente establecidos.
- Deben tener una performance elevada

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Firewall a nivel de Circuito
Circuit Level Firewalls

- Similares a los firewalls a nivel de aplicacin

- Valida que los paquetes pertenezcan a una solicitud de
conexin o bien a una conexin entre dos computadoras
- Se aplican mecanismos para validar la conexin para
que los paquetes que entren y salgan no sean
inspeccionados
- Se realizan por medio de unas tablas de conexiones
vlidas. Una vez que se terminan la tabla se borra
1

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Firewall a nivel de Estado
StateFul Firewalls

- Mantiene un seguimiento del estado de las conexiones

- Mantiene una tabla con la direccin IP de cada paquete
entrante y saliente y verifica las solicitudes en funcin de
las sesiones
- Controla el flujo tanto TCP como UDP en la capa de
transporte. Son mas eficientes que los firewalls a nivel de
aplicacin

Seguridad Informtica

Seguridad Perimetral (Firewalls)

Limitaciones de los Firewalls
El firewall como primera lnea de defensa (borde)
1. Un firewall no puede protegerse contra ataques que se
efecten fuera de su punto de operacin
2. Un firewall no puede protegerse contra ataques de
ingeniera social
3. Un firewall no puede proteger la red de los ataques
dentro del mbito de la red local
4. Un firewall no puede protege de los fallos de seguridad
o de los servicios de los cuales se permita el trfico
5. Un firewall no puede proteger el envo de datos hacia
fuera de la organizacin
6. La instalacin de un firewall carece de sentido si no va
de la mano de una poltica de seguridad real

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

Definicin
IDS Intrution Detection System. Es un sistema pasivo y/o reactivo utilizado
para detectar intentos de acceso no autorizados a equipos o redes.
Dependiendo del tipo de IDS las acciones a tomar pueden ser de alarma o
reactivas bloqueando el acceso.

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

Caractersticas
Funciona en conjunto con Routers y Firewalls
Monitorea anomalas en el trfico de red
Protege tanto de abusos internos como externos
Opera de manera continua en background
Es fcilmente adaptable a los sistemas actuales
Debe imponer una mnima recarga sobre el sistema

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

Tipos de IDS segn su localizacin
HIDS: Host Intrusion Detection System
NIDS: Network Intrusion Detection System

Tipos de IDS segn funcionamiento

Basados en firmas
Basados en estadsticas
Redes neuronales

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

IDS basado en HOST
- Operan en un host para detectar actividad maliciosa en
el mismo.
- Monitorean distintos recursos internos del sistema
operativo
- Pueden detectar:
Modificacin de ejecutables
Eliminacin de archivos
Uso de comandos privilegiados

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

IDS basado en RED
- Identifican los ataques de la red que estn monitoreando
- Si se conectan entre Internet y el Firewall se detectarn
todos los intentos de ataques
- Si se conecta entre el firewall y la red interna se
detectarn los ataques que pasaron el firewall
- El IDS es un complemento de la proteccin perimetral

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

Componentes de un IDS
- Sensores: responsables de la recoleccin de datos
- Analizadores: reciben la informacin de los sensores
para determinar la actividad de intrusos
- Consola de administracin
- Interfaz del usuario

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

IDS basado en firma
- Protegen contra patrones de intrusos detectados
- Los patrones son almacenados en forma de firmas
-Se basan en la evidencia que dejan los ataques
-Ejemplos: DoS, TCP/UDP scan,

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

IDS basado en estadsticas
- Necesitan una informacin detallada del
comportamiento esperado y conocido de los sistemas
- Pueden reportar muchos eventos fuera de la
actividad normal definida, pueden dar lugar a muchos
falsos positivos debido a la limitacin de definir todos
los comportamientos normales
Falsos Positivos
Un falso positivo es un termino aplicado a un fallo de deteccin en un sistema de alertas.
Sucede cuando se detecta la presencia de una intrusin en el sistema que realmente no existe.

Falsos Negativos
Un falso negativo es un termino que hace referencia a un fallo en el sistema de alerta.
Sucede cuando una intrusin existe en nuestro IDS y es permitida(ignorada o no detectada)
por el sistema de alerta

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

IDS basado en redes neuronales
- Monitorean patrones generales de actividad y de
trafico en la red y crea una base de datos.
Posibilitando el autoaprendizaje
- Formas de representacin del conocimiento my
apropiada para problemas de clasificacin
- Alta tolerancia a errores (datos que presentan ruidos
o estn incompletos)
- Pueden clasificar datos desconocidos

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

Componentes de un IDS
- Sensores: responsables de la recoleccin de datos
- Analizadores: reciben la informacin de los sensores
para determinar la actividad de intrusos
- Consola de administracin
- Interfaz del usuario

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

Arquitectura de un NIDS

Seguridad Informtica

Sistemas de deteccin de Intrusiones IDS

Ejemplo de un NIDS

Seguridad Informtica

HoneyPots y HoneyNets (seuelos)

HoneyPots (jarrn de miel)

Definicin
Se denomina Honeypot al software o conjunto de computadores cuya
intencin es atraer a atacantes, simulando ser sistemas vulnerables o dbiles
a los ataques.
Es una herramienta de seguridad informtica utilizada para recoger
informacin sobre los atacantes y sus tcnicas. Los Honeypots pueden
distraer a los atacantes de las mquinas ms importantes del sistema, y
advertir rpidamente al administrador del sistema de un ataque, adems de
permitir un examen en profundidad del atacante, durante y despus del
ataque al honeypot.

Seguridad Informtica

HoneyPots y HoneyNets (seuelos)

HoneyPots (jarrn de miel)

Caractersticas
- Sirven para aprender de los atacantes
- Servidores, aplicaciones o servicios puestos adrede
con sistemas de monitoreo que registran los
paquetes de forma transparente
- Registrado el ataque se recompone la traza del
atacante para realizar un anlisis forense
- El anlisis forense se deriva en una nueva regla de
deteccin

Seguridad Informtica

HoneyPots y HoneyNets (seuelos)

HoneyPots (jarrn de miel)

Tipos de Honey Pots

De Alta Interaccin
Simulan un ambiente real para atacar

De Baja Interaccin
Imitan los ambientes de produccin
Por lo tanto proveen informacin mas limitada

Seguridad Informtica

HoneyPots y HoneyNets (seuelos)

HoneyNets

Definicin
Se denomina HoneyNet a un tipo especial de HoneyPot. El cual esta
compuesto por mltiples HoneyPots simulando un ambiente mas grande
(red) que permite observar los movimientos de los atacantes mediante una
combinacin de tecnologas de vigilancia.
De esta forma todo trfico es considerado sospechoso dado que estos
sistemas no estn diseados para ser utilizados, por lo que si hay
movimiento es porque hay un ataque.

Seguridad Informtica

HoneyPots y HoneyNets (seuelos)

Proyectos
- The HoneyNet Proyect (http://www.honeynet.org)
- HoneyPots (http://www.honeypots.net)
-Project HoneyPot (http://www.projecthoneypot.org)

Seguridad Informtica

Gracias