3. Objetivos
1. Identificar los mecanismos de
defensa mas apropiados para
aplicarlo en un plan de
seguridad eficiente.
2. Diferenciar las técnicas para
la protección de la
información
4. Día Cero
Cuando el Programa maligno o la
.
Vulnerabilidad son nuevos :
NO existen PARCHES ni soluciones de
SW AV durante un periodo de tiempo .
¿Qué hacer ?
Seguridad de redes TCP-IP. Dr. Juan Pedro Febles
5. Retos nacionales
La mayor diferencia actual con
respecto al nivel de seguridad del
estado del arte ,consiste en la
cantidad de programas malignos
que identifica y descontamina.
Seguridad de redes TCP-IP. Dr. Juan Pedro Febles
6. Política Permisiva
•Lo que no se prohibe de forma explícita, se
permite.
•Se van denegando los protocolos que traigan
problemas de seguridad sin comprometer la
disponibilidad de los servicios.
7. Política Restrictiva
• Lo que no se permite de forma explícita, se
deniega.
• Inicialmente se niega todo flujo de
paquetes.
• Se van permitiendo gradualmente los
servicios necesarios.
8. LA SOSTENIBILIDAD ANTIVIRUS
• Mantener su actualización.
• Que de respuesta técnica, incluyendo los
ataques personalizados.
• Soporte Técnico especializado.
Seguridad de redes TCP-IP. Dr. Juan Pedro Febles
10. Características
Generales
• Centralizan la política de control de acceso
relativa a terceras partes, entrada y salida.
• Permiten separar el problema en dos partes,
política interna frente a política de
interconexión.
11. Definiciones Básicas
Cortafuego: componente o grupo de estos que
restringen el acceso entre la red protegida e
Internet o entre varias redes.
Host: computadora conectada a la red.
Host Bastión: computadora muy bien protegida
por ser constantemente atacada. Usualmente
expuesta a Internet.
12. Definiciones Básicas
Host Dual Homed: computadora de propósito
general que tiene al menos dos interfaces.
Filtrado de Paquetes: control selectivo del flujo
de paquetes hacia y desde una red.
Servidor Proxy: programa que establece
conexiones entre clientes internos y servidores
externos.
14. Selección de la máquina, la
localización física y en la red
• Se persigue lograr una alta confiabilidad
y obtener facilidades de configuración y
uso.
• No es necesaria una máquina con
elevada potencia.
15. Selección de la máquina, la
localización física y en la red
• Debe ser ubicado en el lugar físicamente
más seguro.
• En la red no debe tener acceso a tráfico
confidencial.
• No ubicarlo en la red interna.
16. Selección de los servicios
• Seguros
• Inseguros que pueden asegurarse
• Inseguros que no pueden protegerse
• No utilizados
17. No habilitar cuentas de usuarios
• Vulnerabilidad de las cuentas de Usuarios.
• Vulnerabilidad de los servicios que soportan
las cuentas (impresión, email).
• Reduce la estabilidad y confiabilidad del HB.
• No se advierte fácilmente la violación o
alteración de la seguridad en el HB por parte
de los usuarios.
19. Secuencia de trabajo
• El programa cliente conversa con el proxy
• Este evalúa la encuesta y decide si la gestiona o
la descarga.
• Si aprueba la encuesta conversa con el servidor
real.
• A partir de establecida la conexión el proxy se
encarga de enviar encuestas al servidor real y
respuestas al cliente.
20. Ventajas del proxy
• Permite a los usuarios acceder a Internet
“directamente”.
• Son buenos registrando el uso de los
servicios.
• Registran los comandos y las respuestas a
estos.
21. Desventajas
• Hay servicios sin proxy. Son los servicios
menos usados, los más nuevos y los mal
diseñados para tenerlo.
• Pueden requerir diferentes servidores para
cada servicio.
• Requieren modificación en los clientes
(servicios no diseñados para proxy).
22. Terminología
• Proxy de nivel de Aplicación: conoce acerca
del protocolo de aplicación. Interpretando
sus paquetes puede obtener la información
que necesita.
• Proxy de Nivel de circuito: crea un circuito
entre cliente y servidor sin interpretar
comandos. Tiene que obtener información
por otras vías por lo que requiere
modificación en los clientes.
23. Servidores Proxy
inteligentes
• No solo gestionan encuestas. Sirven de
caché de datos que son repetidamente
accesados desde la red interna para evitar
tráfico innecesario por el canal de
comunicaciones.
• Se logra más fácil en proxies dedicados.
25. Filtrado de paquetes
Mecanismo para la seguridad de redes que
controla el flujo de datos que puede fluir hacia
y desde una red.
26. Filtrando en el router
Una vez que el router tiene configurada la ténica
de filtrado tiene otro aspecto a considerar al
decidir sobre el destino de cada paquete:
Primero:
“¿Cómo puedo encaminar este paquete?”
y luego:
“¿Debo encaminar este paquete?”
27. Por qué usar filtros de
paquetes?
• Bajo costo.
• Pocos equipos que configurar.
• Fácil y rápido de introducir.
28. Filtrado de paquetes
El filtrado de paquetes se basa en :
– La dirección fuente.
– La dirección destino.
– Los protocolos de aplicación usados para
transferir la información.
En su gran mayoría los sistemas de filtrado de
paquete no se apoyan en los datos que
transfieren.
29. Aspectos de la configuración
Los aspectos más importantes a
considerar, llegado este momento, son:
1. Los protocolos son bidireccionales.
3. Cuidado de la semántica de entrada y de
salida.
5. Aplicar política de permiso por defecto o
negación por defecto.
30. Tener en cuenta la dirección
de los paquetes
Dirección fuente Dirección destino
Cliente Servidor
Dirección destino Dirección fuente
31. Variantes de Filtrado
Filtrado por direcciones: Es más simple
aunque no el más común.
Riesgos:
• No protege de los hosts externos que
pretenden ser otros hosts externos.
• No protege de los hosts internos que
pretenden ser otros hosts internos.
32. Variantes de Filtrado
Filtrado por servicio: Método más
complejo. Tiene en cuenta el protocolo que
usa la aplicación.
Riesgos:
• El puerto fuente es tan confiable como la
máquina fuente.
33. Puertos bien conocidos
• La mayoría de las aplicaciones TCP y
UDP en Internet trabajan en un puerto fijo
independientemente del sistema en que
se encuentre:
SMTP (email): 25/tcp
telnet: 23/tcp
HTTP (Web): 80/tcp
• En los clientes se emplean puertos
aleatorios por encima del 1024.
44. Tipos básicos
Sistemas basados en normas
Basados en bibliotecas y bases de datos que
contienen patrones de ataques conocidos.
Deben ser actualizados constantemente.
Sistemas adaptables
Incorporan técnicas avanzadas como la
inteligencia artificial para reconocer y
aprender nuevos patrones de ataques. Se
desarrollan en entornos de investigación.
46. Detección de anomalías
• Basado en registros estadísticos del
comportamiento normal de los sistemas.
• Caso típico: bases con la utilización del CPU,
la actividad del disco, el acceso a ficheros, la
conexión de usuarios y otras.
• Díficil de establecer cuando se pretende
realizar a partir del comportamiento de los
usuarios.
47. Reconocimiento de patrones
• La mayor parte de los productos, comerciales o no,
emplean este principio.
• Basado en la búsqueda de patrones identificadores de
ataques conocidos.
• Esta búsqueda puede realizarse en los paquetes que
circulan por un tramo de red o en los ficheros logs de
los servidores de una entidad.
• Las bases de patrones pueden ser muy extensas y
configurables por los usuarios.
48. Métodos
Prevención
Herramientas que escuchan el tráfico en la red.
Actúan de forma apropiada al detectar una
actividad sospechosa en “caliente”. Permite
respuestas antes de la ejecución del ataque.
Reacción
Herramientas que analizan logs. Se analizan las
trazas que dejan las actividades de intrusión.
49. Clasificación
Network Intrusion Detection Systems (NIDS):
analisis de tráfico de red. Detecta intrusiones o
ataques DoS.
System Integrity Verifiers (SIV): monitorean los
sistemas de ficheros en busca de
modificaciones relevantes.
50. Clasificación
Log File Monitors (LFM): chequean los ficheros
logs en busca de patrones sugerentes.
Deception Systems (A.K.A. decoys, lures, fly-
traps, honeypots): sistemas que aparentan
servidores o computadoras vulnerables para
detectar la actividad de intrusos.
52. Empleo
• Protege los datos cuidando:
– confidencialidad
– Integridad
– autenticidad.
53. Variantes
• Empleo de firma digital para garantizar la
autenticidad del emisor y la integridad del
mensaje.
• Empleo de cifrado para mantener la
confidencialidad de los mensajes y de la
infromación almacenada.
55. Utilidad
• Es esencial evaluar periódicamente las
redes.
• Los escáner de red detectan los servicios
habilitados en las computadoras
monitorizadas.
• Los detectores de vulnerabilidades son
utilizadas para identificar debilidades en
sus sistemas.
Packet filters can be an inexpensive way for many organizations to provide basic firewalling capability for their networks. Since the security functionality is already incorporated in a device that the organization maintains, there should also be administrative savings. In many cases, different parts of the same company may want to protect themselves from each other but not need a full-blown commercial firewall. For example, an organization might want to segregate its development lab networks from its production networks, or keep LAN protocols on separate networks from colliding. Applying packet filters at the router level is an inexpensive option for achieving such goals.
Typically a given packet filter or firewall device will be controlling traffic coming into and out of your enterprise. However, if the packet filter is sitting between client and server then packets in one direction have the client address and port as the source address/port in the TCP/IP or UDP/IP headers and have them as destination address/port coming back the other way. Be careful not to get your directions mixed up when writing packet filters. Usually you'll just end up blocking traffic you meant to allow and breaking your connectivity. Sometimes, though, you can end up permitting dangerous traffic when you think it's blocked.
Recall that TCP and UDP streams are identified by source and destination port number. The Internet Addressing and Numbering Authority (IANA) has assigned certain common services to so called "well-known" port numbers. In general, the client will choose a random port number above 1023 and connect to a server listening on the well-known port for a given service. The first trick of writing packet filters is knowing the well known service numbers. You can deny a particular type of traffic by blocking all packets destined for a given well-known port (e.g., block port 23/tcp if you don't want people telnet -ing into you). Note that a comprehensive list of assigned ports can be found at ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers