2015 1 Seguridadperimetral Tema1 140814165806 Phpapp01 PDF

Seguridad Perimetral
Conceptos Básicos de Seguridad Perimetral
Francisco Medina López
Dirección General de Tecnologı́as de Información y Comunicación

Universidad Nacional Autónoma de México
14 de agosto de 2014
imagenes/logoUn
1 Conceptos Básicos de Seguridad Perimetral

Firewall
UTM
IDS
IPS
imagenes/logoUn
Firewall

Firewall
UTM
IDS
IPS
imagenes/logoUn
Firewall
¿Qué es un Firewall?
Definición
Sistema o una combinación de sistemas que impone una barrera
entre dos o más redes que por lo regular forman una división entre
un ambiente seguro y una abierto, como Internet.
Figura: El Firewall y los ambientes de seguridad imagenes/logoUn
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.

Firewall
Taxonomı́a
imagenes/logoUn
Noonan, Wesley J. & Dubrawsky, Ido. Firewall Fundamentals, Cisco Press.
Firewall
Visión global de los sistemas de seguridad
imagenes/logoUn
Dua, Sumeet & Du, Xian. Data Mining and Machine Learning in Cybersecurity, Taylor & Francis, P 3.
Firewall
Tipos de Firewall
1 Primera Generación
Packet Filtering
2 Segunda Generación
Stateful Inspection
3 Tercera Generación
Application (Proxy)
4 Cuarta Generación
Dynamic packet filtering
5 Quinta Generación
Kernel Proxy technology
“Deep packet” inspection
IDS / IPS capabilities
imagenes/logoUn
Firewall
Packet Filtering
imagenes/logoUn

Firewall
Stateful Inspection
imagenes/logoUn

Firewall
Application (Proxy)
imagenes/logoUn
Firewall
Algunos fabricantes de Firewalls
Juniper Networks
3Com/H3C
Astaro
Check Point Software Technologies
Cisco
Fortinet
McAfee
NETASQ
phion
Palo Alto Networks
SonicWALL imagenes/logoUn
Firewall
Magic Quadrant for Enterprise Network Firewalls
imagenes/logoUn
UTM

Firewall
UTM
IDS
IPS
imagenes/logoUn
UTM
Conceptos
Definición
UTM (en inglés: Unified Threat Management) o Gestión Unificada
de Amenazas, son firewalls de red que engloban múltiples
funcionalidades en una misma caja.1
El término fue utilizado por primera vez por Charles Kolodgy,

de International Data Corporation (IDC), en 2004.
Algunas funcionalidades:
VPN, Antispam, Antiphishing, Antispyware Filtro de
contenidos, Antivirus, Detección/Prevención de Intrusos
(IDS/IPS)
imagenes/logoUn
1
http://es.wikipedia.org/wiki/Unified Threat Management
UTM
UTM (2)
Ventajas:
Se pueden sustituir varios sistemas independientes por uno solo
facilitando su gestión
Desventajas:
Se crea un punto único de fallo y un cuello de botella, es decir
si falla este sistema la organización queda desprotegida
totalmente.
Tiene un costo fijo periódico.
imagenes/logoUn
UTM
Magic Quadrant for Unified Threat Management
imagenes/logoUn
IDS

Firewall
UTM
IDS
IPS
imagenes/logoUn
IDS
¿Qué es una intrusión?
Definición
Secuencia de eventos relacionados que deliberadamente tratan de
causar daño, como hacer un sistema indisponible, acceder a
información no autorizada o manipular dicha información.
Esta definición aplica tanto para intentos fallidos, como para los
exitosos
imagenes/logoUn
IDS
¿Qué son los Sistemas de Detección de Intrusos?
Detección de Intrusos
Proceso de vigilar y analizar eventos que ocurren en un sistema
de cómputo o red para buscar signos que indiquen problemas de
seguridad (violaciones a polı́ticas).
Sistema de Detección de Intrusos

Herramientas, métodos y recursos que ayudan a detectar,
identificar y reportar actividad no autorizada en un servidor o una
red.
Los sistemas:
Los IDS’s realmente no detectan
Ejecutan funciones de centinela
intrusos, detectan tráfico en la red
Alertan y activan alarmas a partes
responsables cuando ocurren actos que puede o no, ser una intrusión
imagenes/logoUn
de interés
IDS
Funciones de un IDS
Registrar indicadores de actividad de intrusos .
Activar las alertas correspondientes.
Puede buscar ataques provenientes de fuera de la red.
Monitorear las actividades desde la red interna .
Algunos IDS’s también buscan actividades anómalas.
Requiere configuración adaptada a peculiaridades de la red que
se busca defender.
El IDS puede tomar acciones automáticas cuando ocurren
ciertas condiciones.
Ejemplo: enviar mensaje de radio al administrador del sistema.
Muchos IDS’s pueden configurarse para atacar
automáticamente a los sospechosos.
Otros se optimizan para recoger información para análisis imagenes/logoUn
forense en tiempo real.

IDS
Proceso básico de detección de intrusos
imagenes/logoUn
Intrusion Detection & Prevention, Carl Endorf, Eugene.
IDS
Fuente de Datos
Proporciona el flujo de registros de
eventos
Motor de Análisis
Encuentra indicadores de intrusión
Componente de Respuestas
Genera reacciones basadas en el
resultado arrojado por el motor de
análisis
http://wiki.hill.com/wiki/
index.php?title=Intrusion detection system
imagenes/logoUn
IDS
Fuente de Datos del IDS
Cuatro tipos
Host
Red
Aplicación
Objetivo
El “monitor” o sensor :
Recolecta información de una fuente de datos y la pasa al
motor de análisis
imagenes/logoUn
IDS
Fuente de Datos del IDS (2)
Monitores basados en host

Recogen datos de fuentes internas a una computadora (usual:
nivel de S.O.)
Estas fuentes pueden incluir registros de auditorı́a del S.O. y
bitácoras del mismo
Monitores basados en red
Recogen paquetes que pasan por la red
Frecuente: uso de dispositivos de red configurados en modo
promiscuo
imagenes/logoUn
IDS
Fuente de Datos del IDS (3)
Monitores basados en aplicaciones

Obtienen información de aplicaciones en ejecución
Las fuentes son bitácoras de aplicaciones y otros registros
internos de ellas
Monitores basados en objetivo
Generan sus propios datos
Usan criptografı́a de hash para detectar alteraciones a objetos
del sistema
Comparan alteraciones con una polı́tica
imagenes/logoUn
IDS
Motor de Análisis
Definidas las fuentes de información, se debe determinar el

“motor de búsqueda”
Este toma información de las fuentes y la examina para
detectar sı́ntomas de ataques o violaciones a la polı́tica de
seguridad.
Mayorı́a de casos: se recurre a tres tipos de análisis:
Detección basada en Firmas
Detección basada en Anomalı́as
Mezcla de los dos
imagenes/logoUn
IDS
Motor de Análisis (2)
Detección de Abusos:
Se busca ocurrencia de algo definido como “malo”
Para ello, se filtran eventos buscando patrones de actividad
coincidentes con ataques o violación a polı́tica de seguridad
Usa técnicas de coincidencia de patrones
General: sistemas comerciales usan esta técnica
Detección de Anomalı́as:
Se busca algo raro o inusual
Se analizan eventos del sistema usando técnicas estadı́sticas
Para hallar patrones de actividad aparentemente anormales
Mixto
Detección de anomalı́as permite identificar ataques nuevos o
desconocidos
Detección de abusos protege contra ataques conocidos imagenes/logoUn
IDS
Motor de Análisis (3)
imagenes/logoUn
IDS
Respuestas
Identificada la ocurrencia, el IDS debe determinar la acción a
ejecutar
No limitada a acción contra sospechoso: disparar alarmas de
diferentes tipos
Se pueden incluir mensajes a consola del administrador de la
red
Envı́o de mensaje al localizador del administrador
Otra respuesta es modificar el IDS o el sistema vigilado
Modificación en IDS puede incluir cambio en el tipo de análisis
que se hace
En el caso de los sistemas vigilados:
Cambios en configuración
Modificaciones a privilegios de acceso
Respuesta común:
Registrar resultados del análisis en bitácora usada para generar
imagenes/logoUn
reportes
IDS
Caracterı́sticas deseables en IDS’s
Efectividad:
Requerimiento más importante: IDS’s deben detectar de forma
exacta y consistente los ataques, o patrones definidos
Facilidad de uso:
Expertos en seguridad difı́ciles y caros
Necesario manejo por no expertos en seguridad
Adaptabilidad:
IDS debe adaptarse a diferentes plataformas, ambientes y
polı́ticas
Mayorı́a de ambientes no son homogéneos
IDS capaz de entender entradas de otros sistemas
imagenes/logoUn
IDS
Caracterı́sticas deseables en IDS’s (2)
Robustez:
IDS suficientemente confiable
Tener mecanismos redundantes y caracterı́sticas que permitan
operar en caso de fallas
Rapidez:
Ser capaz de ejecutar vigilancia
Reportar eventos en momento de ocurrencia
Eficiencia:
Uso óptimo de recursos de cómputo, almacenamiento, y ancho
de banda
Afectación mı́nima al desempeño del sistema vigilado
imagenes/logoUn
IDS
Caracterı́sticas deseables en IDS’s (3)
Seguridad:
Contar con caracterı́sticas que eviten utilización por personal
no autorizado
Escalabilidad:
Componentes con interfaces estándar bien documentadas
Estas interfases deben soportar los mecanismos de
autenticación apropiados.
Equilibrio:
Permitir a usuarios mantener balance entre necesidades de
administración y de seguridad
imagenes/logoUn
IDS
Sistemas de Detección de Intrusos en Red
NIDS
Network Intrusion Detecction
System, son un conjunto de
herramientas, métodos y
recursos que ayudan a
detectar, identificar y reportar
actividad no autorizada en una
red.
imagenes/logoUn
IDS
Fuente de Datos
Port mirroring (spanning): Copias de los paquetes de entrada

y salida son enviados a un puerto especial donde pueden ser
analizados.
Network taps: Dispositivos que son colocados en el medio
fı́sico por donde pasa el tráfico.
imagenes/logoUn
IDS
Desventajas con IDS’s en basados en red
Velocidad del canal

No pueden hacer frente a todo el volumen de datos que fluye
en la red
En ambientes con switches: IDS debe colocarse de tal modo
que la carga pase por un puerto de escucha
Cifrado
Ningún IDS puede revisar paquetes cifrados, porque no tiene
las llaves. Esto permite perpetrar ataques ocultos en
conexiones cifradas
imagenes/logoUn
IDS
Algunos IDS’s basados en red
Snort Cyclops
NIKSUN NetDetector Shoki
Sax2 SecureNet IDS/IPS
IBM Proventia Network SecurityMetrics
Intrusion Prevention System Enterasys Intrusion Prevention
(IPS) System
Bro Juniper Networks ISG Series
Cisco Secure IDS (NetRanger) Integrated Security Gateway
imagenes/logoUn
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html
IPS

Firewall
UTM
IDS
IPS
imagenes/logoUn
IPS
¿Qué es una IPS?
Definición
Software que ejerce el control de acceso en una red informática
para proteger a los sistemas computacionales de ataques y abusos.
2
No es una extensión de los sistemas de detección de intrusos

(IDS).
Su mecanismos asemeja mas a un firewall.
imagenes/logoUn
2
https://es.wikipedia.org/wiki/Sistema de Prevenci%C3%B3n de Intrusos
IPS
Magic Quadrant for Network Intrusion Prevention Systems
imagenes/logoUn

2015 1 Seguridadperimetral Tema1 140814165806 Phpapp01 PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

2015 1 Seguridadperimetral Tema1 140814165806 Phpapp01 PDF

Încărcat de

Drepturi de autor:

Formate disponibile

Seguridad Perimetral

Francisco Medina López

Dirección General de Tecnologı́as de Información y Comunicación

1 Conceptos Básicos de Seguridad Perimetral

1 Conceptos Básicos de Seguridad Perimetral

Figura: El Firewall y los ambientes de seguridad imagenes/logoUn

Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.

Visión global de los sistemas de seguridad

Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 11.

Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 14.

Algunos fabricantes de Firewalls

Magic Quadrant for Enterprise Network Firewalls

1 Conceptos Básicos de Seguridad Perimetral

El término fue utilizado por primera vez por Charles Kolodgy,

Magic Quadrant for Unified Threat Management

1 Conceptos Básicos de Seguridad Perimetral

¿Qué es una intrusión?

¿Qué son los Sistemas de Detección de Intrusos?

Sistema de Detección de Intrusos

forense en tiempo real.

Proceso básico de detección de intrusos

Fuente de Datos del IDS

Fuente de Datos del IDS (2)

Monitores basados en host

Fuente de Datos del IDS (3)

Monitores basados en aplicaciones

Definidas las fuentes de información, se debe determinar el

Motor de Análisis (2)

Motor de Análisis (3)

Caracterı́sticas deseables en IDS’s

Caracterı́sticas deseables en IDS’s (2)

Caracterı́sticas deseables en IDS’s (3)

Sistemas de Detección de Intrusos en Red

Port mirroring (spanning): Copias de los paquetes de entrada

Desventajas con IDS’s en basados en red

Velocidad del canal

Algunos IDS’s basados en red

1 Conceptos Básicos de Seguridad Perimetral

¿Qué es una IPS?

No es una extensión de los sistemas de detección de intrusos

Magic Quadrant for Network Intrusion Prevention Systems

S-ar putea să vă placă și