SlideShare una empresa de Scribd logo

Redes y seguridad: protección del perímetro y detección de intrusos

Descargar como PPT, PDF
Naydu Lopez
Naydu Lopez
1 de 44
Seguridad (4/4) redes y seguridad Protección de datos en una red 1
Agenda de seguridad 1.- Secretos: criptografía 2.- Protocolos de seguridad 3.- Aplicaciones y seguridad 4.- Redes y seguridad 2
Redes y seguridad • Introducción: tipos de ataque y política de seguridad • Protección del perímetro (cortafuegos) y detección de intrusos 3
¿De quién nos protegemos? Ataque Interno Internet Ataque At Acceso Ex aque ter Remoto no 4
Soluciones • Firewalls (cortafuegos) • Proxies (o pasarelas) • Control de Acceso Intrusión • Cifrado (protocolos seguros) Externa • Seguridad del edificio • Hosts, Servidores Intrusión • Routers/Switches Interna • Detección de Intrusiones 5
Diseño de un sistema de seguridad El proceso de diseñar un sistema de seguridad podría decirse que es el encaminado a cerrar las posibles vías de ataque, lo cual hace imprescindible un profundo conocimiento acerca de las debilidades que los atacantes aprovechan, y del modo en que lo hacen. 1 administrador, infinitos atacantes expertos con diferentes técnicas y herramientas Además, existe una gran variedad de ataques posibles a vulnerabilidades pero en la práctica se utiliza una combinación de éstas. Los intrusos, antes de poder atacar una red, deben obtener la mayor información posible acerca de esta; intentan obtener la topología, el rango de IPs de la red, los S.O, los usuarios, etc. El administrador debe saber, que existen organismos que informan de forma actualizada, las técnicas de ataque utilizadas y novedades, ej CERT/CC (Computer Emergency Response Team Coordination Center) http://www.cert.org 6
7
8
9
Soluciones de seguridad Conectividad Perímetro Detección de Identidad Administración intruso de Seguridad • Política • VPN • Cortafuegos • Autenficación de • Control de seguridad acceso Herramientas de seguridad: • PKI • protocolos seguros (IPSec, SSL, SSH) • almacenamiento de claves (tarjetas inteligentes) • certificados (X.509, PGP) 10
TENER EN CUENTA… ¿A qué nivel se gestiona la seguridad? 1. Sistema operativo: contraseñas, permisos de archivos, criptografía 2. Protocolos y aplicaciones de red: permisos de acceso, filtrado de datos, criptografía 3. Identificación de personal: dispositivos de identificación personal, criptografía Todo ello se deber reflejar en el BOLETIN DE POLITICA DE SEGURIDAD 11
Gestión de Seguridad • Cortafuegos 2) ASEGURAR • Software fiable • IPSec • PKI 1) 5) GESTIONAR y POLITICA de 3) MONITORIZAR y . MEJORAR SEGURIDAD REACCIONAR • Adminitración • IDS de recursos 4) COMPROBAR • Escaneo de vulnerabilidades 12
Peligros y modos de ataque (1/8) Muchos! 13
Ejemplo de búsqueda de información 14
Puertos abiertos Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-14 11:36 CEST Interesting ports on laetitia.irobot.uv.es (147.156.222.45): (The 1654 ports scanned but not shown below are in state: filtered) • PORT STATE SERVICE • 25/tcp open smtp • 80/tcp open http • 111/tcp closed rpcbind • 443/tcp open https • 3456/tcp closed vat • 44334/tcp open tinyfw SO Device type: general purpose Running: FreeBSD 2.X|3.X|4.X, Microsoft Windows 95/98/ME|NT/2K/XP OS details: FreeBSD 2.2.1 - 4.1, Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP Nmap run completed -- 1 IP address (1 host up) 15 scanned in 22.486 seconds
Telnet a puertos abiertos telnet al puerto 25: Microsoft ESMTP versión 5.0.21 telnet al puerto 80: Server: Microsoft IIS/5.0 Microsoft Internet Information Service/5.0 : Coladero!!!!!! 16
Redes y seguridad • Introducción: tipos de ataque y política de seguridad • Protección del perímetro (cortafuegos) y detección de intrusos 17
Tendencias de seguridad Todas las líneas actuales de investigación en seguridad de redes comparten una idea: “la concentración de la seguridad en un punto, obligando a todo el tráfico entrante y saliente pase por un mismo punto, que normalmente se conoce como cortafuegos o firewall, permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por dicho punto” 18
Cortafuegos (1/2) Consiste en un dispositivo formado por uno o varios equipos que se sitúan entre la red de la empresa y la red exterior (normalmente la Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados, de acuerdo con un criterio establecido de antemano, de forma simple. Para que no se convierta en cuello de botella en la red, deben de procesar los paquetes a una velocidad igual o superior al router. 19
Cortafuegos (2/2) Crea un perímetro de seguridad y defensa de la organización que protege. Su diseño ha de ser acorde con los servicios que se necesitan tanto privados como públicos (WWW, FTP, Telnet,...) así como conexiones por remotas. Al definir un perímetro, el cortafuegos opera también como NAT (Network Address Traslation) y Proxy (servidor multipasarela). 20
Tipo de filtrado en los cortafuegos • a nivel de red, con direcciones IP y la interfaz por la que llega el paquete, generalmente a través de listas de acceso (en los routers) • a nivel de transporte, con los puertos y tipo de conexión, a través de listas de acceso (en los routers) • a nivel de aplicación, con los datos, a través de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicación (ejemplo servidor proxy o pasarela multiaplicación) 21
Configuraciones de cortafuegos 1.- un router separando la red Intranet de Internet, también conocido como Screened Host Firewall, que puede enviar el tráfico de entrada sólo al host bastión 2.- un host bastión o pasarela para las aplicaciones permitidas separando la red Intranet de Internet, también conocido como Dual Homed Gateway 3.- con dos routers separando la red Intranet e Internet y con el host bastión dentro de la red formada por ambos routers, también conocida como Screened Subnet, esta red interna es conocida como zona neutra de seguridad o zona desmilitarizada (DMZ Demilitarized Zone) 22
Screened host • Router bloquea todo el tráfico hacia la red interna, excepto al bastión • Servicios vía proxy desde el bastión • Filtrado desde router Bastión Si el atacante entra en bastión se acabó la seguridad! Red Red Externa Interna Router Esta arquitectura permite mantener la conectividad transparente cuando esté justificado, obligando a pasar por el ‘bastion host’ el resto 23
Ejemplo: red de la Universitat con servidor proxy/cache de uso obligatorio 147.156.1.18 Servidor web Filtro en el router Servidor permit tcp host 147.156.1.18 any eq www Proxy/cache deny tcp 147.156.0.0 0.0.255.255 any eq www Internet Cliente web Router Los usuarios han de configurar su cliente web con Servidor web el proxy 147.156.1.18 que sólo él puede realizar conexiones al exterior por el puerto 80. Esto no Red interna afecta a los accesos a servidores web internos desde el exterior 24 147.156.0.0/16
Ejemplo de colocación del host bastión Red interna Red perimetral Internet Bastion host/ router exterior Router interior Cortafuego Mantener el bastión fuera del router, implica mayor seguridad para la red interna, pero el bastión va a estar sometido a más ataques que el router. 25
Dual-homed gateway (1/2) • Un host (bastión) con dos tarjetas de red, conectadas a redes diferentes – En esta configuración, el bastión puede filtrar hasta capa de aplicación. • Son sistemas muy baratos y fáciles de implementar • Sólo soportan servicios mediante proxy • El filtrado de paquetes, puede realizarse en Linux a través de “iptables” 26
Dual-homed gateway (2/2) Red Red Externa Interna Bastión Bastión con dos tarjetas de red, conectadas a redes diferentes 27
Screened subnet (1) • Se sitúa una red DMZ (DeMilitarized Zone) entre la interna y la externa, usando dos routers y que contiene el bastión • Tráfico sospechoso se envía hacia el bastión, si no puede pasar directamente. • Soporta servicios mediante proxy (bastión) • Soporta filtrado de paquetes (routers) • Es complicada y cara de implementar • Si el atacante entra en el bastión, todavía tiene un router por delante (no puede hacer sniffing) 28
Screened subnet (2) Configuración: consistente en implementar un perímetro con 2 routers y un host bastión. Es la arquitectura más segura y tiene las ventajas: • en ningún momento el exterior puede saturar la red interna, ya que están separadas • en ningún momento se puede monitorizar (sniffer) la red interna en el caso de que el host bastión fuera saboteado 29
Screened subnet (3) Bastión Red Interna Router Red Externa Router DMZ 30
Ejemplo cortafuego con Zona Desmilitarizada Red Red interna perimetral Internet Router exterior Router interior Bastion host DNS, Mail Web Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) 31
Cortafuego con DMZ conmutada Red interna Router exterior Internet Router interior Red perimetral DNS, Mail Web Bastion host Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) 32
Preparación del router • Definir la access list para redirigir el tráfico externo al bastión • Rechazar los mensajes externos con dirección interna (anti-spoofing) • Deshabilitar la respuesta a los mensajes “ICMP redirect” • Quitar el soporte de acceso por telnet (al menos externamente) • Separar tráfico de gestión y de servicio, mediante asignación de diferentes direcciones, o diferente localización 33
Comentarios de cortafuegos y seguridad Pero estas configuraciones no son suficientes, en muchas ocasiones pueden aparecer agujeros por zonas no controladas, como accesos remotos por modem, etc Además, las listas de acceso son difíciles de definir y de testear, dado que se pueden producir muchos casos diferentes que hay que contemplar. Los cortafuegos, que incluyen capa de aplicación e interfaz de usuario, son más fáciles de configurar que las listas de acceso. Además permite aplicaciones adicionales como antivirus, filtra código activo, ...pero disminuyen las prestaciones. Volvemos a insistir que adicionalmente debe de haber una buena política de seguridad, especificando tipo de aplicaciones a instalar, cosas permitidas y no permitidas, políticas de passwords, etc 34
Detección de intrusos: IDS Las vulnerabilidades de los diferentes sistemas dentro de una red son los caminos para realizar los ataques. En muchas ocasiones, el atacante enmascara el ataque en tráfico permitido por el cortafuegos y por tanto para delatarlo se necesita un IDS. Son complementarios. Características deseables para un IDS son: • continuamente en ejecución y debe poderse analizar él mismo y detectar si ha sido modificado por un atacante • utilizar los mínimos recursos posibles • debe de adaptarse fácilmente a los cambios de sistemas y usuarios, por lo que en ocasiones poseen inteligencia para adaptarse (aprender por su experiencia) y configurarse. 35
Tipos de IDS según localización • NIDS (Network Intrusion Detection System): detecta los paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos. Consta de un sensor situado en un segmento de la red y una consola. – Ventaja: no se requiere instalar software adicional en ningún servidor – Inconveniente: es local al segmento, si la información cifrada no puede procesarla • HIDS (Host Intrusion Detection System): analiza el tráfico sobre un servidor. – Ventajas: registra comandos utilizados, es más fiable, mayor probabilidad de acierto que NIDS. 36
Tipos de IDS según modelos de detección • Detección de mal uso: verifica sobre tipos ilegales de tráfico, secuencias que previamente se sabe se utilizan para realizar ataques (conocidas como ( exploits) • Detección de uso anómalo: verifica diferencias estadísticas del comportamiento normal de una red, según franjas horarias, según la utilización de puertos (evitaría el rastreo de puertos) Tipos de IDS según naturaleza • Pasivos: registran violación y genearan una alerta • Reactivos: responden ante la situación, anulando sesión, rechazando conexión por el cortafuegos, etc 37
Jarrón de miel (HONEY POT) En ocasiones es interesante aprender de los propios atacantes. Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores. Detectado un ataque (por modificación de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un análisis forense. Este análisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de detección. Ejemplo: proyecto Hades en http://www.rediris.es 38
Problemas de seguridad del DNS (1/2) • DNS original no incluye seguridad – Datos públicos – No hay control de acceso • Ejemplo de posibles problemas – Suplantación de servidores DNS • Entre servidores primarios y secundarios • Cuando se hacen copias – Modificación información en caché • Cuando PC busca en caché de DNS local información de otro dominio • Posible Solución: medidas de seguridad + DNSSec 39
Problemas de seguridad del DNS (2/2) • Obtención y divulgación de información sensible – La operación de transferencia de zona permite la actualización de los secundarios mediante descarga de información de zona desde el servidor primario. – Pero la lista de una zona permite identificar objetivos (servidores de correo, DNS, máquinas no protegidas, …) • Cómo proteger esto? – Restringir transferencias de zona – Filtrar el tráfico TCP al puerto 53 – “Esconder el DNS” 40
Ejemplo de modificación de caché DNS 3 almacena QueryID# Atacado www.banco.com? x.malos.com? DNS 2 5 7 DNS s.co m? 1 almacena en cache x.malo 4 www.banco.com=147.156.222.65 om? 6 .ba nco.c www falsa .z.w esta com=x.y spu co. 9 Re ban 8 . www www.malos.com (147.156.222.65) www.banco.com? 147.156.222.65 www.banco.com 10 bueno 41
Ejemplo: www.google.com? gong.ci.uv.es lab3inf04.uv.es www.google.com ? Mi PC resolver 42
Ejemplo: www.google.com? gong.ci.uv.es www.google.com ? . lab3inf04.uv.es Pregunta al DNS .com www.google.com ? Firmado (ip y clave pública de .com) Mi PC resolver 43
Ejemplo: www.google.com? gong.ci.uv.es www.google.com ? . lab3inf04.uv.es www.google.com ? Pregunta al DNS .com Firma (ip y clave pública de .com) Mi PC resolver 209.85.135.99 www.google.com ? .com Pregunta al DNS google.com Firmado (ip y clave pública de google.com) Añadir a Cache www.google.com ? Firmado (209.85.135.99) www.google.com google.com 44

Recomendados

Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1Alexis Julian Starrk
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAlexis De La Rosa Reyes
 
Trabajo de kiroz
Trabajo de kirozTrabajo de kiroz
Trabajo de kirozInocencio Belen
 
Cortafuegos
CortafuegosCortafuegos
CortafuegosJuana Rotted
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...RootedCON
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Jack Daniel Cáceres Meza
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)Jhonny D. Maracay
 

Recomendados

Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1Alexis Julian Starrk
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAlexis De La Rosa Reyes
 
Trabajo de kiroz
Trabajo de kirozTrabajo de kiroz
Trabajo de kirozInocencio Belen
 
Cortafuegos
CortafuegosCortafuegos
CortafuegosJuana Rotted
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...RootedCON
 
Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Seguridad en redes corporativas II (PRAXITEC)
Seguridad en redes corporativas II (PRAXITEC)Jack Daniel Cáceres Meza
 
Ethical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixEthical hacking a plataformas Elastix
Ethical hacking a plataformas ElastixPaloSanto Solutions
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)Jhonny D. Maracay
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)TR Hirecom
 
Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1Miguel Haddad
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaZoLecitho ALcalde
 
Seguridad En Bluetooth Y Windows Mobile
Seguridad En Bluetooth Y Windows MobileSeguridad En Bluetooth Y Windows Mobile
Seguridad En Bluetooth Y Windows MobileChema Alonso
 
Snort 2006
Snort 2006Snort 2006
Snort 2006Juan Antonio Gil Martínez-Abarca
 
Definiciones seguridad informatica
Definiciones seguridad informaticaDefiniciones seguridad informatica
Definiciones seguridad informaticaJose Manuel Ortega Candel
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Arquitectura de firewalls
Arquitectura de firewallsArquitectura de firewalls
Arquitectura de firewallsLauraCGP
 
Seguridad wifi
Seguridad wifiSeguridad wifi
Seguridad wificanarytek
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Firewall
FirewallFirewall
FirewallMiguel Guamán Bravo
 
Snort
SnortSnort
SnortTensor
 
Prote
ProteProte
ProteFrancisco Ribadas
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSPaloSanto Solutions
 
Seguridad wi fi wep-wpa_wpa2
Seguridad wi fi wep-wpa_wpa2Seguridad wi fi wep-wpa_wpa2
Seguridad wi fi wep-wpa_wpa2TRANS-REFORM S.L
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadoresManuel Carrasco Moñino
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
Red Punto A Punto
Red Punto A PuntoRed Punto A Punto
Red Punto A Puntoguest275401c
 

Más contenido relacionado

La actualidad más candente

Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)TR Hirecom
 
Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1Miguel Haddad
 
Seguridad En Bluetooth Y Windows Mobile
Seguridad En Bluetooth Y Windows MobileSeguridad En Bluetooth Y Windows Mobile
Seguridad En Bluetooth Y Windows MobileChema Alonso
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Arquitectura de firewalls
Arquitectura de firewallsArquitectura de firewalls
Arquitectura de firewallsLauraCGP
 
Seguridad wifi
Seguridad wifiSeguridad wifi
Seguridad wificanarytek
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSPaloSanto Solutions
 
Seguridad wi fi wep-wpa_wpa2
Seguridad wi fi wep-wpa_wpa2Seguridad wi fi wep-wpa_wpa2
Seguridad wi fi wep-wpa_wpa2TRANS-REFORM S.L
 

La actualidad más candente (17)

Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
 
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
Ethical hacking en Plataformas de Voz Sobre IP (Elastix)
 
Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Seguridad En Bluetooth Y Windows Mobile
Seguridad En Bluetooth Y Windows MobileSeguridad En Bluetooth Y Windows Mobile
Seguridad En Bluetooth Y Windows Mobile
 
Snort 2006
Snort 2006Snort 2006
Snort 2006
 
Definiciones seguridad informatica
Definiciones seguridad informaticaDefiniciones seguridad informatica
Definiciones seguridad informatica
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
 
Arquitectura de firewalls
Arquitectura de firewallsArquitectura de firewalls
Arquitectura de firewalls
 
Seguridad wifi
Seguridad wifiSeguridad wifi
Seguridad wifi
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su función
 
Firewall
FirewallFirewall
Firewall
 
Snort
SnortSnort
Snort
 
Prote
ProteProte
Prote
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
 
Seguridad wi fi wep-wpa_wpa2
Seguridad wi fi wep-wpa_wpa2Seguridad wi fi wep-wpa_wpa2
Seguridad wi fi wep-wpa_wpa2
 

Destacado

Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redesvverdu
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalwarevverdu
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasvverdu
 
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta DisponibilidadUnidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta Disponibilidadvverdu
 
Topologías de redes punto a punto
Topologías de redes punto a puntoTopologías de redes punto a punto
Topologías de redes punto a puntodavid andres
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesYESENIA CETINA
 

Destacado (9)

Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadores
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redes
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalware
 
Red Punto A Punto
Red Punto A PuntoRed Punto A Punto
Red Punto A Punto
 
Unidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativasUnidad 6 Seguridad en redes corporativas
Unidad 6 Seguridad en redes corporativas
 
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta DisponibilidadUnidad 1 - Principios de Seguridad y Alta Disponibilidad
Unidad 1 - Principios de Seguridad y Alta Disponibilidad
 
Topologías de redes punto a punto
Topologías de redes punto a puntoTopologías de redes punto a punto
Topologías de redes punto a punto
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redes
 

Similar a Redes y seguridad: protección del perímetro y detección de intrusos

20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensaMariano Galvez
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - softwareAnaylen Lopez
 
Unidad6 seguridadenredescorporativas-120214053955-phpapp02
Unidad6 seguridadenredescorporativas-120214053955-phpapp02Unidad6 seguridadenredescorporativas-120214053955-phpapp02
Unidad6 seguridadenredescorporativas-120214053955-phpapp02Elvis Nina Tinta
 
Sistemas
SistemasSistemas
Sistemas1 2d
 
Firewall.pptx
Firewall.pptxFirewall.pptx
Firewall.pptxLuiga3
 
Seguridad Informatica 2.0
Seguridad Informatica 2.0Seguridad Informatica 2.0
Seguridad Informatica 2.0david_06
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprlastrologia
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaVenomousW1
 

Similar a Redes y seguridad: protección del perímetro y detección de intrusos (20)

Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewall
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensa
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - software
 
Trabajo de kiroz
Trabajo de kirozTrabajo de kiroz
Trabajo de kiroz
 
Unidad6 seguridadenredescorporativas-120214053955-phpapp02
Unidad6 seguridadenredescorporativas-120214053955-phpapp02Unidad6 seguridadenredescorporativas-120214053955-phpapp02
Unidad6 seguridadenredescorporativas-120214053955-phpapp02
 
Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion Niver
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Sistemas
SistemasSistemas
Sistemas
 
Seguridad inf.
Seguridad inf.Seguridad inf.
Seguridad inf.
 
Firewall.pptx
Firewall.pptxFirewall.pptx
Firewall.pptx
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Seguridad Informatica 2.0
Seguridad Informatica 2.0Seguridad Informatica 2.0
Seguridad Informatica 2.0
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Cortafuegos Jprl
Cortafuegos JprlCortafuegos Jprl
Cortafuegos Jprl
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Clase 03
Clase 03Clase 03
Clase 03
 

Redes y seguridad: protección del perímetro y detección de intrusos

  • 1. Seguridad (4/4) redes y seguridad Protección de datos en una red 1
  • 2. Agenda de seguridad 1.- Secretos: criptografía 2.- Protocolos de seguridad 3.- Aplicaciones y seguridad 4.- Redes y seguridad 2
  • 3. Redes y seguridad • Introducción: tipos de ataque y política de seguridad • Protección del perímetro (cortafuegos) y detección de intrusos 3
  • 4. ¿De quién nos protegemos? Ataque Interno Internet Ataque At Acceso Ex aque ter Remoto no 4
  • 5. Soluciones • Firewalls (cortafuegos) • Proxies (o pasarelas) • Control de Acceso Intrusión • Cifrado (protocolos seguros) Externa • Seguridad del edificio • Hosts, Servidores Intrusión • Routers/Switches Interna • Detección de Intrusiones 5
  • 6. Diseño de un sistema de seguridad El proceso de diseñar un sistema de seguridad podría decirse que es el encaminado a cerrar las posibles vías de ataque, lo cual hace imprescindible un profundo conocimiento acerca de las debilidades que los atacantes aprovechan, y del modo en que lo hacen. 1 administrador, infinitos atacantes expertos con diferentes técnicas y herramientas Además, existe una gran variedad de ataques posibles a vulnerabilidades pero en la práctica se utiliza una combinación de éstas. Los intrusos, antes de poder atacar una red, deben obtener la mayor información posible acerca de esta; intentan obtener la topología, el rango de IPs de la red, los S.O, los usuarios, etc. El administrador debe saber, que existen organismos que informan de forma actualizada, las técnicas de ataque utilizadas y novedades, ej CERT/CC (Computer Emergency Response Team Coordination Center) http://www.cert.org 6
  • 7. 7
  • 8. 8
  • 9. 9
  • 10. Soluciones de seguridad Conectividad Perímetro Detección de Identidad Administración intruso de Seguridad • Política • VPN • Cortafuegos • Autenficación de • Control de seguridad acceso Herramientas de seguridad: • PKI • protocolos seguros (IPSec, SSL, SSH) • almacenamiento de claves (tarjetas inteligentes) • certificados (X.509, PGP) 10
  • 11. TENER EN CUENTA… ¿A qué nivel se gestiona la seguridad? 1. Sistema operativo: contraseñas, permisos de archivos, criptografía 2. Protocolos y aplicaciones de red: permisos de acceso, filtrado de datos, criptografía 3. Identificación de personal: dispositivos de identificación personal, criptografía Todo ello se deber reflejar en el BOLETIN DE POLITICA DE SEGURIDAD 11
  • 12. Gestión de Seguridad • Cortafuegos 2) ASEGURAR • Software fiable • IPSec • PKI 1) 5) GESTIONAR y POLITICA de 3) MONITORIZAR y . MEJORAR SEGURIDAD REACCIONAR • Adminitración • IDS de recursos 4) COMPROBAR • Escaneo de vulnerabilidades 12
  • 13. Peligros y modos de ataque (1/8) Muchos! 13
  • 14. Ejemplo de búsqueda de información 14
  • 15. Puertos abiertos Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-10-14 11:36 CEST Interesting ports on laetitia.irobot.uv.es (147.156.222.45): (The 1654 ports scanned but not shown below are in state: filtered) • PORT STATE SERVICE • 25/tcp open smtp • 80/tcp open http • 111/tcp closed rpcbind • 443/tcp open https • 3456/tcp closed vat • 44334/tcp open tinyfw SO Device type: general purpose Running: FreeBSD 2.X|3.X|4.X, Microsoft Windows 95/98/ME|NT/2K/XP OS details: FreeBSD 2.2.1 - 4.1, Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP Nmap run completed -- 1 IP address (1 host up) 15 scanned in 22.486 seconds
  • 16. Telnet a puertos abiertos telnet al puerto 25: Microsoft ESMTP versión 5.0.21 telnet al puerto 80: Server: Microsoft IIS/5.0 Microsoft Internet Information Service/5.0 : Coladero!!!!!! 16
  • 17. Redes y seguridad • Introducción: tipos de ataque y política de seguridad • Protección del perímetro (cortafuegos) y detección de intrusos 17
  • 18. Tendencias de seguridad Todas las líneas actuales de investigación en seguridad de redes comparten una idea: “la concentración de la seguridad en un punto, obligando a todo el tráfico entrante y saliente pase por un mismo punto, que normalmente se conoce como cortafuegos o firewall, permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por dicho punto” 18
  • 19. Cortafuegos (1/2) Consiste en un dispositivo formado por uno o varios equipos que se sitúan entre la red de la empresa y la red exterior (normalmente la Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados, de acuerdo con un criterio establecido de antemano, de forma simple. Para que no se convierta en cuello de botella en la red, deben de procesar los paquetes a una velocidad igual o superior al router. 19
  • 20. Cortafuegos (2/2) Crea un perímetro de seguridad y defensa de la organización que protege. Su diseño ha de ser acorde con los servicios que se necesitan tanto privados como públicos (WWW, FTP, Telnet,...) así como conexiones por remotas. Al definir un perímetro, el cortafuegos opera también como NAT (Network Address Traslation) y Proxy (servidor multipasarela). 20
  • 21. Tipo de filtrado en los cortafuegos • a nivel de red, con direcciones IP y la interfaz por la que llega el paquete, generalmente a través de listas de acceso (en los routers) • a nivel de transporte, con los puertos y tipo de conexión, a través de listas de acceso (en los routers) • a nivel de aplicación, con los datos, a través de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicación (ejemplo servidor proxy o pasarela multiaplicación) 21
  • 22. Configuraciones de cortafuegos 1.- un router separando la red Intranet de Internet, también conocido como Screened Host Firewall, que puede enviar el tráfico de entrada sólo al host bastión 2.- un host bastión o pasarela para las aplicaciones permitidas separando la red Intranet de Internet, también conocido como Dual Homed Gateway 3.- con dos routers separando la red Intranet e Internet y con el host bastión dentro de la red formada por ambos routers, también conocida como Screened Subnet, esta red interna es conocida como zona neutra de seguridad o zona desmilitarizada (DMZ Demilitarized Zone) 22
  • 23. Screened host • Router bloquea todo el tráfico hacia la red interna, excepto al bastión • Servicios vía proxy desde el bastión • Filtrado desde router Bastión Si el atacante entra en bastión se acabó la seguridad! Red Red Externa Interna Router Esta arquitectura permite mantener la conectividad transparente cuando esté justificado, obligando a pasar por el ‘bastion host’ el resto 23
  • 24. Ejemplo: red de la Universitat con servidor proxy/cache de uso obligatorio 147.156.1.18 Servidor web Filtro en el router Servidor permit tcp host 147.156.1.18 any eq www Proxy/cache deny tcp 147.156.0.0 0.0.255.255 any eq www Internet Cliente web Router Los usuarios han de configurar su cliente web con Servidor web el proxy 147.156.1.18 que sólo él puede realizar conexiones al exterior por el puerto 80. Esto no Red interna afecta a los accesos a servidores web internos desde el exterior 24 147.156.0.0/16
  • 25. Ejemplo de colocación del host bastión Red interna Red perimetral Internet Bastion host/ router exterior Router interior Cortafuego Mantener el bastión fuera del router, implica mayor seguridad para la red interna, pero el bastión va a estar sometido a más ataques que el router. 25
  • 26. Dual-homed gateway (1/2) • Un host (bastión) con dos tarjetas de red, conectadas a redes diferentes – En esta configuración, el bastión puede filtrar hasta capa de aplicación. • Son sistemas muy baratos y fáciles de implementar • Sólo soportan servicios mediante proxy • El filtrado de paquetes, puede realizarse en Linux a través de “iptables” 26
  • 27. Dual-homed gateway (2/2) Red Red Externa Interna Bastión Bastión con dos tarjetas de red, conectadas a redes diferentes 27
  • 28. Screened subnet (1) • Se sitúa una red DMZ (DeMilitarized Zone) entre la interna y la externa, usando dos routers y que contiene el bastión • Tráfico sospechoso se envía hacia el bastión, si no puede pasar directamente. • Soporta servicios mediante proxy (bastión) • Soporta filtrado de paquetes (routers) • Es complicada y cara de implementar • Si el atacante entra en el bastión, todavía tiene un router por delante (no puede hacer sniffing) 28
  • 29. Screened subnet (2) Configuración: consistente en implementar un perímetro con 2 routers y un host bastión. Es la arquitectura más segura y tiene las ventajas: • en ningún momento el exterior puede saturar la red interna, ya que están separadas • en ningún momento se puede monitorizar (sniffer) la red interna en el caso de que el host bastión fuera saboteado 29
  • 30. Screened subnet (3) Bastión Red Interna Router Red Externa Router DMZ 30
  • 31. Ejemplo cortafuego con Zona Desmilitarizada Red Red interna perimetral Internet Router exterior Router interior Bastion host DNS, Mail Web Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) 31
  • 32. Cortafuego con DMZ conmutada Red interna Router exterior Internet Router interior Red perimetral DNS, Mail Web Bastion host Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ) 32
  • 33. Preparación del router • Definir la access list para redirigir el tráfico externo al bastión • Rechazar los mensajes externos con dirección interna (anti-spoofing) • Deshabilitar la respuesta a los mensajes “ICMP redirect” • Quitar el soporte de acceso por telnet (al menos externamente) • Separar tráfico de gestión y de servicio, mediante asignación de diferentes direcciones, o diferente localización 33
  • 34. Comentarios de cortafuegos y seguridad Pero estas configuraciones no son suficientes, en muchas ocasiones pueden aparecer agujeros por zonas no controladas, como accesos remotos por modem, etc Además, las listas de acceso son difíciles de definir y de testear, dado que se pueden producir muchos casos diferentes que hay que contemplar. Los cortafuegos, que incluyen capa de aplicación e interfaz de usuario, son más fáciles de configurar que las listas de acceso. Además permite aplicaciones adicionales como antivirus, filtra código activo, ...pero disminuyen las prestaciones. Volvemos a insistir que adicionalmente debe de haber una buena política de seguridad, especificando tipo de aplicaciones a instalar, cosas permitidas y no permitidas, políticas de passwords, etc 34
  • 35. Detección de intrusos: IDS Las vulnerabilidades de los diferentes sistemas dentro de una red son los caminos para realizar los ataques. En muchas ocasiones, el atacante enmascara el ataque en tráfico permitido por el cortafuegos y por tanto para delatarlo se necesita un IDS. Son complementarios. Características deseables para un IDS son: • continuamente en ejecución y debe poderse analizar él mismo y detectar si ha sido modificado por un atacante • utilizar los mínimos recursos posibles • debe de adaptarse fácilmente a los cambios de sistemas y usuarios, por lo que en ocasiones poseen inteligencia para adaptarse (aprender por su experiencia) y configurarse. 35
  • 36. Tipos de IDS según localización • NIDS (Network Intrusion Detection System): detecta los paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos. Consta de un sensor situado en un segmento de la red y una consola. – Ventaja: no se requiere instalar software adicional en ningún servidor – Inconveniente: es local al segmento, si la información cifrada no puede procesarla • HIDS (Host Intrusion Detection System): analiza el tráfico sobre un servidor. – Ventajas: registra comandos utilizados, es más fiable, mayor probabilidad de acierto que NIDS. 36
  • 37. Tipos de IDS según modelos de detección • Detección de mal uso: verifica sobre tipos ilegales de tráfico, secuencias que previamente se sabe se utilizan para realizar ataques (conocidas como ( exploits) • Detección de uso anómalo: verifica diferencias estadísticas del comportamiento normal de una red, según franjas horarias, según la utilización de puertos (evitaría el rastreo de puertos) Tipos de IDS según naturaleza • Pasivos: registran violación y genearan una alerta • Reactivos: responden ante la situación, anulando sesión, rechazando conexión por el cortafuegos, etc 37
  • 38. Jarrón de miel (HONEY POT) En ocasiones es interesante aprender de los propios atacantes. Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores. Detectado un ataque (por modificación de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un análisis forense. Este análisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de detección. Ejemplo: proyecto Hades en http://www.rediris.es 38
  • 39. Problemas de seguridad del DNS (1/2) • DNS original no incluye seguridad – Datos públicos – No hay control de acceso • Ejemplo de posibles problemas – Suplantación de servidores DNS • Entre servidores primarios y secundarios • Cuando se hacen copias – Modificación información en caché • Cuando PC busca en caché de DNS local información de otro dominio • Posible Solución: medidas de seguridad + DNSSec 39
  • 40. Problemas de seguridad del DNS (2/2) • Obtención y divulgación de información sensible – La operación de transferencia de zona permite la actualización de los secundarios mediante descarga de información de zona desde el servidor primario. – Pero la lista de una zona permite identificar objetivos (servidores de correo, DNS, máquinas no protegidas, …) • Cómo proteger esto? – Restringir transferencias de zona – Filtrar el tráfico TCP al puerto 53 – “Esconder el DNS” 40
  • 41. Ejemplo de modificación de caché DNS 3 almacena QueryID# Atacado www.banco.com? x.malos.com? DNS 2 5 7 DNS s.co m? 1 almacena en cache x.malo 4 www.banco.com=147.156.222.65 om? 6 .ba nco.c www falsa .z.w esta com=x.y spu co. 9 Re ban 8 . www www.malos.com (147.156.222.65) www.banco.com? 147.156.222.65 www.banco.com 10 bueno 41
  • 42. Ejemplo: www.google.com? gong.ci.uv.es lab3inf04.uv.es www.google.com ? Mi PC resolver 42
  • 43. Ejemplo: www.google.com? gong.ci.uv.es www.google.com ? . lab3inf04.uv.es Pregunta al DNS .com www.google.com ? Firmado (ip y clave pública de .com) Mi PC resolver 43
  • 44. Ejemplo: www.google.com? gong.ci.uv.es www.google.com ? . lab3inf04.uv.es www.google.com ? Pregunta al DNS .com Firma (ip y clave pública de .com) Mi PC resolver 209.85.135.99 www.google.com ? .com Pregunta al DNS google.com Firmado (ip y clave pública de google.com) Añadir a Cache www.google.com ? Firmado (209.85.135.99) www.google.com google.com 44

Notas del editor

  1. 20
  2. So what are the key security components of a Cisco SAFE network? Cisco provides many of the critical elements including solutions for: Secure Connectivity - these solutions enable private, secure connectivity in public environments, and include dedicated VPN gateways and concentrators and the tunneling and encryption mechanisms in routers and firewalls Perimeter Security - these solutions restrict access to network resources, and include Access Control Lists (ACLs) and firewalls Security Monitoring - these solutions provide additional security capabilities, including real-time intrusion detection systems to protect against network attacks and misuse, and vulnerability scanning tools to proactively find security holes before hackers do Identity - these solutions help identify users and what they are permitted to do on the network; solutions in this area include authentication systems, AAA servers, PKI solutions, smart cards, etc. Security Management - a robust management infrastructure provides the glue for the elements above, and includes the requisite device and policy management mechanisms for the key security elements in the network