Beruflich Dokumente
Kultur Dokumente
a redes IP Subtemas: Sistemas Cortafuegos Construccin de Sistemas cortafuegos Integrantes del Equipo: Palma Rocendiz Raymundo Javier Lima Lobato Surisadday Chvez Pealoza Daniel Barrera Erick Omar
Definicin de Firewall
Definicin
del Websters Dictionary: una pared construida para prevenir que el fuego en un lado de un edificio pase al otro. firewall de red tiene un propsito similar: evitar que los peligros de las redes exteriores (Internet) pasen a nuestra red. Punto de acceso controlado.
Un
Restringir el trfico entrante y saliente a partir de las direcciones IP, ports o usuarios. Bloquear paquetes invlidos. Proveer de un nico punto de choque. Proveer funciones de logueo y auditora. Los puntos anteriores tambin se aplican al interior al comunicarse con el exterior.
Conveniente
Dar informacin acerca del trfico gracias a la posibilidad de loguear. Network Address Translation (NAT). Encripcin.
Ruteado Trfico
Cuando estn mal configurados pueden ser intiles. Proteger (confidencialidad) los datos en Internet. Prevenir ataques activos
(session hijacking, routing, etc)
El mejor Firewall
electricidad
a la red
El filtro externo solo permite trfico desde el exterior. El filtro interno solo permite trfico desde el interior. Separa la red externa de la interna.
Contiene nodos que proveen
servicios externos (ej: webserver, DNS) y gateways (aplicaciones) para clientes internos.
Cuando los nodos estn comprometidos
El trfico interno no puede ser objeto de sniffing. Proteccin del filtro interno.
Control de Acceso
d Re a rn e t In
ALERTA!!
Internet
Requerimiento de Seguridad
DMZ Web Server Pool
Un firewall asegura nuestra LAN: - restringiendo las conexiones externas (entrantes y salientes) a las mquinas y servicios especificados.
wkstn
web server
- analizando, logueando y filtrando todo el trfico - detectando y reportando intentos de entrar. - ocultando la estructura interna (direcciones) de la LAN de la Red Pblica.
wkstn
mail server
wkstn
Application Proxy
El proxy es un programa que representa a todas las computadoras de la red interna, ocultando la LAN de la red pblica. El proxy toma todas las decisiones de forwarding, en los dos sentidos. El proxy har el forwarding para los clientes autorizados hacia servers del exterior y traer las respuestas a dichos clientes.
Firewall comprometid o
wkstn
modem
web server
wkstn
mail server
wkstn
Tipos de Firewall
filtro de paquetes Capa 3; A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. Capa 4; filtro puerto origen y destino, Capa 2; direccin MAC de aplicacin Capa 7; por ejemplo, si se trata de trfico HTTP se pueden realizar filtrados segn la URL a la que se est intentando acceder. En este caso es denominado Proxy. personal Se instala en un computador personal, filtra las comunicaciones entre dicho el y el resto de la red
Implementacin
REGLAS
Todo lo que Todo lo que Todo lo que Todo lo que Todo lo que Todo lo que Todo lo que venga venga venga venga venga venga venga de la red local al Firewall : ACEPTAR de una IP domiciliaria al puerto TCP 22 = ACEPTAR de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR de la red local al exterior = ENMASCARAR del exterior al puerto TCP 1 al 1024 = DENEGAR del exterior al puerto TCP 3389 = DENEGAR del exterior al puerto UDP 1 al 1024 = DENEGAR
Filtro de paquetes
NAT (Network Address Translation) 10.0.0.1
10.0.0.2
Proxy
Limitaciones de proxies/cortafuegos
No protege de ataques fuera de su rea No protege de espas o usuarios inconscientes No protege de ataques de ingeniera social No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.
Proxy
Proxy
Gestin de Seguridad
2) ASEGURAR Cortafuegos Software fiable IPsec PKI
1) POLITICA de SEGURIDAD
Peligros y modos de ataque (1/8) Sniffing : consiste en escuchar los datos que atraviesan la
red, sin interferir con la conexin a la que corresponden, principalmente para obtener passwords, y/o informacin confidencial. Proteccin: basta con emplear mecanismos de autenticacin y encriptacin, red conmutada Barrido de puertos: utilizado para la deteccin de servicios abiertos en mquina tanto TCP como UDP (por ejemplo un telnet que no est en el puerto 23, ..). Proteccin: filtrado de puertos permitidos y gestin de logs y alarmas. Bug de fragmentacin de paquetes IP: con longitudes ilegales (ms pequeas o ms grandes) de fragmentos, con solape entre ellos o saturacin con multitud de fragmentos pequeos ( ej. ping de la muerte) Proteccin: actualmente en los routers se limita el trfico ICMP, incluso se analiza la secuencia de fragmentacin, o bien parchear el SSOO
Peligros y modos de ataque (2/8) Explotar bugs del software: aprovechan errores del software, ya que
a la mayor parte del software se le ha aadido la seguridad demasiado tarde, cuando ya no era posible redisearlo todo y con ello puede adquirir privilegios en la ejecucin, por ejemplo buffers overflow (BOF o desbordamiento de pila[1]) Adems, muchos programas corren con demasiados privilegios. La cadena o secuencia de rdenes para explotar esta vulnerabilidad del software se conoce como exploit. Ataque: los hackers se hacen con una copia del software a explotar y lo someten a una batera de pruebas para detectar alguna debilidad que puedan aprovechar. Proteccin: correcta programacin o incluir parches actualizando los servicios instalados. [1] Desbordamiento de pila: sobre la entrada de datos en un programa privilegiado que no verifica la longitud de los argumentos a una funcin, y se sobreescribe la pila de ejecucin modificando la direccin de retorno (para que salte donde nos interese). Las funciones de C strcpy, strcat, gets, son potencialmente vulnerables.
Peligros y modos de ataque (3/8) Caballo de Troya : un programa que se enmascara como algo que
no es, normalmente con el propsito de conseguir acceso a una cuenta o ejecutar comandos con los privilegios de otro usuario . Ataque: el atacante por ejemplo sabotea algn paquete de instalacin o saboteando una mquina, modifica las aplicaciones, p.ej ls, ps, .. Proteccin: revisin peridica de compendios, firma digital, comprobacin del sistema de ficheros (ejemplo aplicacin tripware), etc Ataques dirigidos por datos : son ataques que tienen lugar en modo diferido, sin la participacin activa por parte del atacante en el momento en el que se producen. El atacante se limita a hacer llegar a la vctima una serie de datos que al ser interpretados (en ocasiones sirve la visualizacin previa tpica de MS. Windows) ejecutarn el ataque propiamente dicho, como por ejemplo un virus a travs del correo electrnico o cdigo JavaScript maligno. Proteccin: firma digital e informacin al usario (lecturas off-line, o en otro servidor o instalar antivirus en el servidor de correo)
Peligros y modos de ataque (4/8) Denegacin de servicios : estos ataques no buscan ninguna informacin si no a
impedir que sus usuarios legtimos puedan usarlas. Ejemplos:
SYN Flooding, realizando un nmero excesivo de conexiones a un puerto determinado, bloqueando dicho puerto. Un caso particular de este mtodo es la generacin masiva de conexiones a servidores http o ftp, a veces con direccin origen inexistente para que no pueda realizar un RST. Proteccin: en el servidor aumentar el lmite de conexiones simultneas, acelerar el proceso de desconexin tras inicio de sesin medio-abierta, limitar desde un cortafuegos el nmero de conexiones medio abiertas mail bombing, envio masivo de correos para saturar al servidor SMTP y su memoria. Proteccin : similar a SYN Flooding pings (o envo de paquetes UDP al puerto 7 de echo) a direcciones broadcast con direccin origen la mquina atacada. Estas tcnicas son conocidas como Smurf (si pings), Fraggle (si UDP echo). Proteccin : parchear el SSOO para que no realice pings broadcasts y que limite el procesado de paquetes ICMP en una red stub con conexin WAN al exterior lenta, agotar el ancho de banda del enlace, haciendo generar trfico innecesario. Proteccin : fijar QoS en el enlace
Peligros y modos de ataque (5/8) Ingeniera social: son ataques que aprovechan la buena voluntad de
los usuarios de los sistemas atacados. Un ejemplo de ataque de este tipo es el siguiente: se enva un correo con el remite "root" a un usuario con el mensaje "por favor, cambie su password a informatica". El atacante entonces entra con ese password. A partir de ah puede emplear otras tcnicas de ataque. O incitando a ver determinadas pginas web, descargar fotos, ...Proteccin: educar a los usuarios acerca de qu tareas no deben realizar jams, y qu informacin no deben suministrar a nadie, salvo al administrador en persona. Acceso fsico: a los recursos del sistema y pudiendo entrar en consola, adquirir informacin escrita, etc Proteccin: polticas de seguridad, dejar servidores bajo llave y guardia de seguridad, tal como se vigila alguna cosa de valor. Adivinacin de passwords: la mala eleccin de passwords por parte de los usuarios permiten que sean fciles de adivinar (o por fuerza bruta) o bien que el propio sistema operativo tenga passwords por defecto. Ejemplo: muchos administradores utilizan de password administrador ;-) Proteccin: polticas de seguridad
Spoofing : intento del atacante por ganar el acceso a un sistema hacindose pasar por otro, ejecutado en varios niveles, tanto a nivel MAC como a nivel IP: ARP Spoofing (que una IP suplantada tenga asociada la MAC del atacante). Ataque: el atacante falsifica paquetes ARP indicando gratuitamente su MAC con la IP de la mquina suplantada. Los hosts y los switches que escuchan estos mensajes cambiarn su tabla ARP apuntando al atacante IP Spoofing (suplanta la IP del atacante). Ataque: el atacante debe de estar en la misma LAN que el suplantado, y modifica su IP en combinacin con ARP spoofing, o simplemente sniffea todo el trfico en modo promiscuo. DNS Spoofing (el nombre del suplantado tenga la IP del atacante ), donde el intruso se hace pasar por un DNS. Ataque: el atacante puede entregar o bien informacin modificada al host, o bien engaar al DNS local para que registre informacin en su cache. P .ej, puede hacer resolver www.banesto.com a una IP que ser la del atacante, de forma que cuando un usurio de Banesto se conecta, lo har con el atacante. Proteccin ante Spoofing: introducir autenticacin y cifrado de las conexiones para ARP e IP Spoofing. Aunque la intrusin se realice en capa 2 3 se puede detectar en capa 7. En el caso de ARP, configurar que el host o switch aprenda MACs slo de paquetes ARP unicast. Para DNS Spoofing, utilizar certificados para comprobar fidedignamente la identidad del servidor.
Enrutamiento fuente: los paquetes IP admiten opcionalmente el enrutamiento fuente, con el que la persona que inicia la conexin TCP puede especificar una ruta explcita hacia l. La mquina destino debe usar la inversa de esa ruta como ruta de retorno, tenga o no sentido, lo que significa que un atacante puede hacerse pasar (spoofing) por cualquier mquina en la que el destino confe (obligando a que la ruta hacia la mquina real pase por la del atacante). Proteccin: dado que el enrutamiento fuente es raramente usado, la forma ms fcil de defenderse contra sto es deshabilitar dicha opcin en el router. ICMP Redirect: con la opcin redirect, alguien puede alterar la ruta a un destino para que las conexiones en las que est interesado pasen por el atacante, de forma que pueda intervenirlas. Los mensajes redirect deben obedecerlos slo los hosts, no los routers, y slo cuando estos provengan de un router de una red directamente conectada. Proteccin: filtrado de paquetes. Modificacin de los protocolos de routing: RIP, BGP, ... de forma que redirecciona la informacin por otras rutas del atacante. Esta tcnica es poco habitual y compleja.Proteccin: utilizar rutas estticas o protocolos de routing con encriptacin.
Redes y seguridad
Introduccin:
Criptografa y privacidad de las comunicaciones Proteccin del permetro (cortafuegos) y deteccin de intrusos Proteccin del sistema centralizado
el protocolo IP: IPSec, con tneles que permiten Cifrado y autentificacin. del protocolo de aplicacin: SSL, TLS (sobre los BSD Sockets), que permite Cifrado y autenticacin. del protocolo y la aplicacin
Libreras de programacin
Independientes
Pasarelas de Aplicacin
Dependientes
SSH (inicialmente, sobre Telnet) que permite Cifrado y autentificacin. SOCKS (sobre los BSD Sockets), que permite autentificacin y control de acceso localizado en los cortafuegos
Tneles: qu es un tnel?
Permiten
Ejemplos:
Tnel
SNA para enviar paquetes IP tneles multicast sobre redes unicast tneles IPv6 sobre redes IPv4 IPv4 para hacer enrutamiento desde el origen
MBone: 6Bone:
Tneles
Tambin permiten crear redes privadas virtuales o VPNs (Virtual Private Networks)
Ejemplo de tnel
Encapsulador Encapsulador
Red SNA
Red TCP/IP
Tnel SNA transportando datagramas IP Los datagramas IP viajan encapsulados en paquetes SNA
Tecnologas VPN
VPN en capa 7 (S/MIME), especfico de la aplicacin y capa 4 (SSL/TSL), que no es muy flexible
VPN en capa 3 con L2TP, GRE e IPSec que son independientes al medio. Mejor opcin!!
Tecnologas VPN en capa 3 1.- Layer 2 Tunneling Protocol (L2TP, RFC 2661))
L2TP es combinacion de Cisco L2F y Microsoft PPTP. L2TP no soporta cifrado 2.- Cisco Generic Routing Encapsulation (GRE, RFC 1701 and 2784) Es multiprotocolo y al igual que L2TP no soporta cifrado. Soporta trfico mulitcast. 3.- IP Security Protocol (IPSec, RFC 2401) Es un estndar abierto que consta de varios protocolos, que admite integridad y autenticacin (con protocolo AH), cifrado (con protocolo ESP), pero slo para trfico unicast. Veremos ms adelante con mayor detalle.
muy til actualmente para comunicar una empresa a travs de Internet. A menudo conllevan un requerimiento de seguridad (encriptacin con IPSec). Se basa en la creacin de tneles. Los tneles pueden conectar usuarios u oficinas remotas.
ISP 2
199.1.1.245
199.1.1.10 Servidor de Tneles Rango 199.1.1.245-254 Origen: 200.1.1.20 Destino: 199.1.1.10 Origen: 199.1.1.245 Destino: 199.1.1.69 Datos Red 199.1.1.0/24
ISP 1
PN V l e Tn
200.1.1.20
Ping 199.1.1.69
Ping 199.1.1.69
200.1.1.20 199.1.1.245
Tnel VPN
Internet
199.1.1.193 199.1.1.246 Subred 199.1.1.192/26
199.1.1.50
Subred 199.1.1.0/25 Origen: 200.1.1.20 Destino: 199.1.1.1 Origen: 199.1.1.245 Destino: 199.1.1.69 Datos
Seguridad en Internet
RFC-1636 describe la seguridad en la arquitectura de Internet en IAB, donde se informa sobre los requisitos para hacer segura la infraestructura de Internet, para evitar la monitorizacin no autorizada. Con ello, se ha desarrollado IPSEC ofreciendo: -conectividad segura con redes privadas virtuales (VPN), a travs de tneles, que permitan el acceso remoto a travs de Internet o acceso telefnico -asegura la autenticacin y autentificacin
conjunto de protocolos
Una
datagrama fue enviado por el remitente y que no ha sido alterado durante su viaje. P.ej utilizando algoritmo MAC ESP (Encapsulating Security Payload, RFC 2406): garantiza que el contenido no pueda ser examinado por terceros (o que si lo es no pueda ser interpretado). Opcionalmente puede incluir la funcin de AH de autentificacin.
ISAKMP (Internet Security Association and Key Management Protocol, RFC 2408): consiste en un mecanismo seguro (manual y automtico) de intercambio de claves utilizadas en las tareas de encriptado y autentificacin de AH y ESP. Incluye a IKE o Internet Key Exchange. Utiliza Diffie-Hellman.
transporte: comunicacin segura extremo a extremo. Requiere implementacin de IPSec en ambos hosts. No se cifra la cabecera IP. Modo tnel: comunicacin segura entre routers nicamente, que ejecutan pasarelas de seguridad. Permite incorporar IPSec sin tener que modificar los hosts. A los paquetes se aade otra cabecera. Se integra cmodamente con VPNs.
Encapsulado de IPSec
Modo transporte
Cabecera IP Datos
Cabecera IP
Cabecera IPSec
Datos
Datos
Cabecera IP Tnel
Cabecera IPSec
Cabecera IP
Datos
el protocolo IP: IPSec, que permite Cifrado y autentificacin. del protocolo de aplicacin: SSL, TLS (sobre los BSD Sockets), que permite Cifrado y autentificacin. del protocolo y la aplicacin
Libreras de programacin
Independientes
Pasarelas de Aplicacin
Dependientes
SSH (inicialmente, sobre Telnet) que permite Cifrado y autentificacin. SOCKS (sobre los BSD Sockets), que permite autentificacin y control de acceso localizado en los cortafuegos
Secure
Shell (SSH), por Tatu Ylonen (1.995) es una lnea de comandos segura de la capa de aplicacin Inicialmente pensado para evitar el paso de passwords en las conexiones de telnet Adicionalmente se puede emplear en modo tnel para cualquier protocolo TCP Especificado en drafts del IETF Sustituto de los protocolos r: rsh, rcp, rlogin, ... SSH es utilizado como protocolo de conexin desde el exterior del Dpto de Informtica
http://informatica.uv.es/~carlos/adm/comun/conexion_remota.html
Kerberos, ...)
Utiliza el puerto 22, autentificando en el momento de la conexin. El cliente guarda las claves pblicas de los sistemas que se conecta. Cuando se conecta por 1 vez me pide si fiarse de donde me conecto, para guardar su clave pblica, cuando lo hace sin certificado. Comprende los protocolos
Redes y seguridad
Introduccin:
Criptografa y privacidad de las comunicaciones Proteccin del permetro (cortafuegos) y deteccin de intrusos Proteccin del sistema centralizado
Tendencias de seguridad
Todas las lneas actuales de investigacin en seguridad de redes comparten una idea: la concentracin de la seguridad en un punto, obligando a todo el trfico entrante y saliente pase por un mismo punto, que normalmente se conoce como cortafuegos o firewall, permitiendo concentrar todos los esfuerzos en el control de trfico a su paso por dicho punto
Metodologa de seguridad
La primera tarea a realizar en una red es redactar la poltica de seguridad. Tras ello, conocer la estructura (topologia, accesos) de la red y finalmente, auditar la red para ver su estado en bsqueda de deteccin de vulnerabilidades. Este proceso de deteccin de vulnerabilidades consiste en:
Examen de hosts y elementos de la red, por vulnerabilidades conocidas Puertos abiertos (observar servicios conocidos segn /etc/services) Chequeo de la estructura de ficheros e integridad del sistema en el caso de servidores (por ejemplo con herramientas como tripwire)
Cortafuegos (1/2)
Consiste en un dispositivo formado por uno o varios equipos que se sitan entre la red de la empresa y la red exterior (normalmente la Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra los que no deben ser reenviados, de acuerdo con un criterio establecido de antemano, de forma simple. Para que no se convierta en cuello de botella en la red, deben de procesar los paquetes a una velocidad igual o superior al router.
Cortafuegos (2/2)
Crea un permetro de seguridad y defensa de la organizacin que protege. Su diseo ha de ser acorde con los servicios que se necesitan tanto privados como pblicos (WWW, FTP, Telnet,...) as como conexiones por remotas. Al definir un permetro, el cortafuegos opera tambin como NAT (Network Address Traslation) y Proxy (servidor multipasarela).
consiste en una lista de rdenes ejecutadas secuencialmente a la llegada/salida de cada paquete en las interfaces del router, con las opciones de permit o deny al cumplir la condicin especificada en la secuencia segn la informacin de la cabecera del paquete IP y de transporte . Al realizarse en el propio router, suelen ser rpidas frente a otra tcnica de filtrado.
Ejemplo:
permit
Recomendaciones: -situar los filtros lo ms cerca posible del elemento a proteger -no filtrar el mismo trfico ms de una vez
Configuraciones de cortafuegos
1.- un router separando la red Intranet de Internet, tambin conocido como Screened Host Firewall, que puede enviar el trfico de entrada slo al host bastin 2.- un host bastin o pasarela para las aplicaciones permitidas separando la red Intranet de Internet, tambin conocido como Dual Homed Gateway. Permite filtrado hasta la capa de aplicacin 3.- con dos routers separando la red Intranet e Internet y con el host bastin dentro de la red formada por ambos routers, tambin conocida como Screened Subnet, esta red interna es conocida como zona neutra de seguridad o zona desmilitarizada ( DMZ Demilitarized Zone)
trata de un router que bloquea todo el trfico hacia la red interna, excepto al bastin Soporta servicios mediante proxy (bastin) Soporta filtrado de paquetes (router) No es complicada de implementar Si el atacante entra en el bastin, no hay ninguna seguridad
Red Interna
Esta arquitectura permite mantener la conectividad transparente cuando est justificado, obligando a pasar por el bastion host el resto
Filtro en el router
Servidor Proxy/cache
permit tcp host 147.156.1.18 any eq www deny tcp 147.156.0.0 0.0.255.255 any eq www
Internet
Servidor web
Los usuarios han de configurar su cliente web con el proxy 147.156.1.18 que slo l puede realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior
Red interna
Red perimetral
Internet
Bastion host/ router exterior Router interior
Cortafuego Mantener el bastion fuera del router, implica mayor seguridad para la red interna, pero el bastin va a estar sometido a ms ataques que el router.
Red interna
Internet
Router exterior Bastion host/ router interior
Configuracin no recomendada (un ataque al Bastion host comprometera la seguridad de la red interna)
Red interna
Routers interiores
Bastion host
Internet
Router exterior
Configuracin no recomendada (con routing dinmico el trfico de la red interna podra usar la red perimetral como va de trnsito)
trata de un host (bastin) con dos tarjetas de red, conectadas a redes diferentes Son sistemas muy baratos y fciles de implementar Slo soportan servicios mediante proxy El filtrado de paquetes, puede realizarse en Linux a travs de iptables (http://www.linux-firewall-tools.com) que son sentencias:
Red Externa
Red Interna
Bastin
sita una red DMZ (DeMilitarized Zone) entre la interna y la externa, usando dos routers y que contiene el bastin Trfico sospechoso se enva hacia el bastin, si no puede pasar directamente. Soporta servicios mediante proxy (bastin) Soporta filtrado de paquetes (routers) Es complicada y cara de implementar Si el atacante entra en el bastin, todava tiene un router por delante (no puede hacer sniffing)
DMZ
Internet
Web
Internet
Router interior
Red perimetral
DNS, Mail
Definir la access list para redirigir el trfico externo al bastin Rechazar los mensajes externos con direccin interna (anti-spoofing) Deshabilitar la respuesta a los mensajes ICMP redirect Quitar el soporte de acceso por telnet (al menos externamente) Separar trfico de gestin y de servicio, mediante asignacin de diferentes direcciones, o diferente localizacin
Instalacin
Preparacin del bastin en UNIX segura del UNIX: Eliminar ejecutables con bit SUID y
GUID y conexiones a travs de SSH
Instalar las pasarelas para los servicios requeridos (proxies) Quitar los ejecutables y libreras no esenciales Instalar un sistema de anlisis de logs (swatch) en tiempo real Montar los file systems posibles de slo lectura Instalar un chequeador de integridad (tripwire) Realizar un backup completo del sistema limpio
Productos Comerciales
Comerciales
Firewall-1 IBM
(Check Point)
Gauntlet Private
Internet Exchange (PIX) de Cisco y/o CBACs Context Based Access Control
Libre Distribucin
FWTK
continuamente en ejecucin y debe poderse analizar l mismo y detectar si ha sido modificado por un atacante utilizar los mnimos recursos posibles debe de adaptarse fcilmente a los cambios de sistemas y usuarios, por lo que en ocasiones poseen inteligencia para adaptarse (aprender por su experiencia) y configurarse.
(Network Intrusion Detection System): detecta los paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos. Consta de un sensor situado en un segmento de la red y una consola. Ventaja: no se requiere instalar software adicional en ningn servidor. Inconveniente: es local al segmento, si la informacin cifrada no puede procesarla HIDS (Host Intrusion Detection System): analiza el trfico sobre un servidor. Ventajas: registra comandos utilizados, es ms fiable, mayor probabilidad de acierto que NIDS.
Deteccin de mal uso: verifica sobre tipos ilegales de trfico, secuencias que previamente se sabe se utilizan para realizar ataques (conocidas como exploits) de uso anmalo: verifica diferencias estadsticas del comportamiento normal de una red, segn franjas horarias, segn la utilizacin de puertos (evitara el rastreo de puertos)
Deteccin
IDS Administracin
* Software *
Comunicacin
Sistema Experto Base de Datos de tipos de ataques Detecin de ataques Generacin de Alarmas Respuestas Uno por segmento
Administracin IDS
IDS Solutions
Active Defense System
Network
Sensors
network protection switch protection
Overlay
Switch Sensors
Integrated
Host Sensors
Server
Router Sensors
Integrated
Firewall Sensors
Integrated
Comprehensive Management
Robust
En ocasiones es interesante aprender de los propios atacantes. Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores. Detectado un ataque (por modificacin de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un anlisis forense. Este anlisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de deteccin. Ejemplo: proyecto Hades en http://www.rediris.es
Redes y seguridad
Introduccin:
Criptografa y privacidad de las comunicaciones Proteccin del permetro (cortafuegos) y deteccin de intrusos Proteccin del sistema centralizado
En ocasiones no es fcil proteger un sistema, porque las combinaciones de ataque son mltiples y si los atacantes son hbiles, estos camuflan el ataque por eliminacin de huellas: 1.-Modificacin de la fecha de acceso a archivos 2.-Eliminando las entradas en los logs 3.-Invalidar mecanismos de registro, por ejemplo eliminar syslog por saturacin de buffer
Problemas en la proteccin
En estas situaciones, las medidas a tomar son: -realizar copias de seguridad -comprobar la integridad del sistema para ver posibles ataques -analizar los logs del sistema (guardndolos en diferentes localizaciones /etc/syslog.conf) -todas las vistas en la periferia, as como la deteccin de intrusos -utilizando parches adecuados as como envolventes (proxies) que eviten la vulnerabilidad conocidas de aplicaciones e implementen mecanimos de control de acceso (vistos a lo largo del tema)
Medidas a tomar
lgica de seguridad se encapsula dentro de un programa sencillo y fcil de verificar. El programa envuelto permanece separado del envolvente, lo cual permite actualizar el envolvente o el programa envuelto de forma individual. Como los envolventes llaman al programa envuelto mediante la llamada al sistema exec(), un mismo envolvente puede utilizarse para controlar el acceso a un enorme grupo de programas envueltos.
El proxy intercepta la conexin cliente-servidor Para cada servicio se establece un proxy distinto Al cliente y al servidor se les presenta la ilusin de tratar directamente con el otro En muchos casos no es transparente al usuario: software especial o configuracin adicional (ej. Proxy cach) Ejemplos: proxy de SMTP, proxy FTP, proxy X11,
Envolvente de acceso: tcpwrappers (1/2) El envolvente de acceso ms conocido es tcpwrapper y permite un alto nivel de control sobre las conexiones TCP. El programa se inicia por el demonio inetd y realiza las siguientes acciones:
a.-enva un mensaje al cliente que se conecta, pudiendo hacerle advertencias legales y avisos. b.- ejecuta una consulta inversa de la direccin IP, asegurndose que la direccin y el nombre del ordenador remoto coinciden c.- compara el nombre del cliente y el servicio solicitado con una lista de control de acceso, comprobando si el cliente o el cliente y el servicio particular estn autorizados o denegados.
el protocolo IP: IPSec, que permite Cifrado y autenticacin. del protocolo de aplicacin: SSL, TLS (sobre los BSD Sockets), que permite Cifrado y autentificacin. del protocolo y la aplicacin
Libreras de programacin
Independientes
Pasarelas de Aplicacin
Dependientes
SSH (inicialmente, sobre Telnet) que permite Cifrado y autentificacin. SOCKS (sobre los BSD Sockets), que permite autenticacin y control de acceso localizado en los cortafuegos
Acta como representante local (apoderado) de un servidor remoto para atravesar cortafuegos. Permite controlar de forma rigurosa el acceso a Internet de las diferentes conexiones realizadas entre elementos en ambas partes de un cortafuegos. Para configurar SOCKS, hay que compilar las aplicaciones para modificar las llamadas a los sockets. Funcionamiento: cuando un cliente SOCKS conecta a un servidor de Internet, el servidor SOCKS intercepta la conexin y la filtra en base a nmero de puerto, origen, destino, clave de usuario, .... En el caso, que sea admisible, puentea la conexin directamente con el cliente, permaneciendo en el medio de la conexin. Ms informacin en http://www.socks.nec.com
SOCKs: SOCK-et-S
Mike Hendry, et alt., Smart Card Security and Applications, Artech House Publishers, 1.997 Scott B. Guthery, Timothy M. Jurgensen, Smart Card Developers Kit, Macmillan Technical Publishing, 1.998 Uwe Hansmann, et alt., Smart Card Application Development using Java, Springer, 2.000 Richard Smith , Internet Cryptography, Addison-Wesley, 1.997 Alan A. O., Freier P., Kocher P. C., The SSL Protocol Protocol Version 3.0, Internet Draft, 1.996 Atkinson R., Security Architecture for the Internet Protocol, RFC 2401, Noviembre 1.998
Protocolos seguros:
Aplicaciones seguras
Bibliografa (2/2)
IDS:
Certificaciones y seguridad:
http://www.cert.org http://www.securityfocus.com
Herramientas de consultora
herramienta
de exploracin de puertos, como NMAP http://www.insecure.org/nmap Firewall toolkit (FWTK) http://www.fwtk.org herramienta de deteccin de intrusos como el SNORT http://www.snort.org herramienta de auditora que podra ser NESSUS http://www.nessus.org