1. Tema 3
Mecanismos de defensa

2. Índice
•Introducción.
•Cortafuegos.
•Sistemas IDS.
•Criptografía.
•Escáners de red.
•Otras.

3. Objetivos
1. Identificar los mecanismos de
defensa mas apropiados para
aplicarlo en un plan de
seguridad eficiente.
2. Diferenciar las técnicas para
la protección de la
información

4. Día Cero
Cuando el Programa maligno o la
.
Vulnerabilidad son nuevos :
NO existen PARCHES ni soluciones de
SW AV durante un periodo de tiempo .
¿Qué hacer ?
Seguridad de redes TCP-IP. Dr. Juan Pedro Febles

5. Retos nacionales
La mayor diferencia actual con
respecto al nivel de seguridad del
estado del arte ,consiste en la
cantidad de programas malignos
que identifica y descontamina.
Seguridad de redes TCP-IP. Dr. Juan Pedro Febles

6. Política Permisiva
•Lo que no se prohibe de forma explícita, se
permite.
•Se van denegando los protocolos que traigan
problemas de seguridad sin comprometer la
disponibilidad de los servicios.

7. Política Restrictiva
• Lo que no se permite de forma explícita, se
deniega.
• Inicialmente se niega todo flujo de
paquetes.
• Se van permitiendo gradualmente los
servicios necesarios.

8. LA SOSTENIBILIDAD ANTIVIRUS
• Mantener su actualización.
• Que de respuesta técnica, incluyendo los
ataques personalizados.
• Soporte Técnico especializado.
Seguridad de redes TCP-IP. Dr. Juan Pedro Febles

9. Cortafuegos

10. Características
Generales
• Centralizan la política de control de acceso
relativa a terceras partes, entrada y salida.
• Permiten separar el problema en dos partes,
política interna frente a política de
interconexión.

11. Definiciones Básicas
Cortafuego: componente o grupo de estos que
restringen el acceso entre la red protegida e
Internet o entre varias redes.
Host: computadora conectada a la red.
Host Bastión: computadora muy bien protegida
por ser constantemente atacada. Usualmente
expuesta a Internet.

12. Definiciones Básicas
Host Dual Homed: computadora de propósito
general que tiene al menos dos interfaces.
Filtrado de Paquetes: control selectivo del flujo
de paquetes hacia y desde una red.
Servidor Proxy: programa que establece
conexiones entre clientes internos y servidores
externos.

13. Hosts
Bastiones

14. Selección de la máquina, la
localización física y en la red
• Se persigue lograr una alta confiabilidad
y obtener facilidades de configuración y
uso.
• No es necesaria una máquina con
elevada potencia.

15. Selección de la máquina, la
localización física y en la red
• Debe ser ubicado en el lugar físicamente
más seguro.
• En la red no debe tener acceso a tráfico
confidencial.
• No ubicarlo en la red interna.

16. Selección de los servicios
• Seguros
• Inseguros que pueden asegurarse
• Inseguros que no pueden protegerse
• No utilizados

17. No habilitar cuentas de usuarios
• Vulnerabilidad de las cuentas de Usuarios.
• Vulnerabilidad de los servicios que soportan
las cuentas (impresión, email).
• Reduce la estabilidad y confiabilidad del HB.
• No se advierte fácilmente la violación o
alteración de la seguridad en el HB por parte
de los usuarios.

18. Sistemas
Proxy

19. Secuencia de trabajo
• El programa cliente conversa con el proxy
• Este evalúa la encuesta y decide si la gestiona o
la descarga.
• Si aprueba la encuesta conversa con el servidor
real.
• A partir de establecida la conexión el proxy se
encarga de enviar encuestas al servidor real y
respuestas al cliente.

20. Ventajas del proxy
• Permite a los usuarios acceder a Internet
“directamente”.
• Son buenos registrando el uso de los
servicios.
• Registran los comandos y las respuestas a
estos.

21. Desventajas
• Hay servicios sin proxy. Son los servicios
menos usados, los más nuevos y los mal
diseñados para tenerlo.
• Pueden requerir diferentes servidores para
cada servicio.
• Requieren modificación en los clientes
(servicios no diseñados para proxy).

22. Terminología
• Proxy de nivel de Aplicación: conoce acerca
del protocolo de aplicación. Interpretando
sus paquetes puede obtener la información
que necesita.
• Proxy de Nivel de circuito: crea un circuito
entre cliente y servidor sin interpretar
comandos. Tiene que obtener información
por otras vías por lo que requiere
modificación en los clientes.

23. Servidores Proxy
inteligentes
• No solo gestionan encuestas. Sirven de
caché de datos que son repetidamente
accesados desde la red interna para evitar
tráfico innecesario por el canal de
comunicaciones.
• Se logra más fácil en proxies dedicados.

24. Filtrado
de
Paquetes

25. Filtrado de paquetes
Mecanismo para la seguridad de redes que
controla el flujo de datos que puede fluir hacia
y desde una red.

26. Filtrando en el router
Una vez que el router tiene configurada la ténica
de filtrado tiene otro aspecto a considerar al
decidir sobre el destino de cada paquete:
Primero:
“¿Cómo puedo encaminar este paquete?”
y luego:
“¿Debo encaminar este paquete?”

27. Por qué usar filtros de
paquetes?
• Bajo costo.
• Pocos equipos que configurar.
• Fácil y rápido de introducir.

28. Filtrado de paquetes
El filtrado de paquetes se basa en :
– La dirección fuente.
– La dirección destino.
– Los protocolos de aplicación usados para
transferir la información.
En su gran mayoría los sistemas de filtrado de
paquete no se apoyan en los datos que
transfieren.

29. Aspectos de la configuración
Los aspectos más importantes a
considerar, llegado este momento, son:
1. Los protocolos son bidireccionales.
3. Cuidado de la semántica de entrada y de
salida.
5. Aplicar política de permiso por defecto o
negación por defecto.

30. Tener en cuenta la dirección
de los paquetes
Dirección fuente Dirección destino
Cliente Servidor
Dirección destino Dirección fuente

31. Variantes de Filtrado
Filtrado por direcciones: Es más simple
aunque no el más común.
Riesgos:
• No protege de los hosts externos que
pretenden ser otros hosts externos.
• No protege de los hosts internos que
pretenden ser otros hosts internos.

32. Variantes de Filtrado
Filtrado por servicio: Método más
complejo. Tiene en cuenta el protocolo que
usa la aplicación.
Riesgos:
• El puerto fuente es tan confiable como la
máquina fuente.

33. Puertos bien conocidos
• La mayoría de las aplicaciones TCP y
UDP en Internet trabajan en un puerto fijo
independientemente del sistema en que
se encuentre:
SMTP (email): 25/tcp
telnet: 23/tcp
HTTP (Web): 80/tcp
• En los clientes se emplean puertos
aleatorios por encima del 1024.

34. Arquitecturas
de
Firewalls

35. Host Dual Homed
Todo gira alrededor de una computadora con
varias interfaces de red que tiene la opción de
ruteo deshabilitada.

36. Host apantallado

37. Red apantallada.

38. Variaciones
en la
Arquitectura

39. Variaciones permisibles
• Varios Hosts Bastiones
• Unir los routers externo e interno
• Unir HB y router externo
• Múltiples routers externos.
• Múltiples redes perimetrales.

40. Variaciones no
recomendables
• Unir el router interno y el HB
• Múltiples routers internos

41. Sistemas detectores
de
intrusos

42. ¿Qué son?
Sistemas inteligentes que automatizan
la detección de intentos de intrusión en
tiempo real.
Conocidos como IDS.

43. Componentes
•Sensores
•Analizadores
•Interfaz de usuario

44. Tipos básicos
Sistemas basados en normas
Basados en bibliotecas y bases de datos que
contienen patrones de ataques conocidos.
Deben ser actualizados constantemente.
Sistemas adaptables
Incorporan técnicas avanzadas como la
inteligencia artificial para reconocer y
aprender nuevos patrones de ataques. Se
desarrollan en entornos de investigación.

45. Detección de intrusiones
• Detección de anomalías.
• Reconocimiento de patrones.

46. Detección de anomalías
• Basado en registros estadísticos del
comportamiento normal de los sistemas.
• Caso típico: bases con la utilización del CPU,
la actividad del disco, el acceso a ficheros, la
conexión de usuarios y otras.
• Díficil de establecer cuando se pretende
realizar a partir del comportamiento de los
usuarios.

47. Reconocimiento de patrones
• La mayor parte de los productos, comerciales o no,
emplean este principio.
• Basado en la búsqueda de patrones identificadores de
ataques conocidos.
• Esta búsqueda puede realizarse en los paquetes que
circulan por un tramo de red o en los ficheros logs de
los servidores de una entidad.
• Las bases de patrones pueden ser muy extensas y
configurables por los usuarios.

48. Métodos
Prevención
Herramientas que escuchan el tráfico en la red.
Actúan de forma apropiada al detectar una
actividad sospechosa en “caliente”. Permite
respuestas antes de la ejecución del ataque.
Reacción
Herramientas que analizan logs. Se analizan las
trazas que dejan las actividades de intrusión.

49. Clasificación
Network Intrusion Detection Systems (NIDS):
analisis de tráfico de red. Detecta intrusiones o
ataques DoS.
System Integrity Verifiers (SIV): monitorean los
sistemas de ficheros en busca de
modificaciones relevantes.

50. Clasificación
Log File Monitors (LFM): chequean los ficheros
logs en busca de patrones sugerentes.
Deception Systems (A.K.A. decoys, lures, fly-
traps, honeypots): sistemas que aparentan
servidores o computadoras vulnerables para
detectar la actividad de intrusos.

51. Criptografía

52. Empleo
• Protege los datos cuidando:
– confidencialidad
– Integridad
– autenticidad.

53. Variantes
• Empleo de firma digital para garantizar la
autenticidad del emisor y la integridad del
mensaje.
• Empleo de cifrado para mantener la
confidencialidad de los mensajes y de la
infromación almacenada.

54. Escáners de red

55. Utilidad
• Es esencial evaluar periódicamente las
redes.
• Los escáner de red detectan los servicios
habilitados en las computadoras
monitorizadas.
• Los detectores de vulnerabilidades son
utilizadas para identificar debilidades en
sus sistemas.

56. Otros mecanismos
• Rompecontraseñas.
• Antivirus.
• Salvas de información.
• Educación de los usuarios.
• ..........