Curso de

Seguridad de la Información en
Redes EmpresarialesTCP/IP

ADACSI
 Seguridad Perimetral
¿A que nos referimos?
 Arquitectura de la red
 Dispositivos de Seguridad

Seguridad en Redes Empresariales ADACSI

 DMZ

Seguridad en Redes Empresariales ADACSI

 Arquitectura de la red
DMZ – DeMilitarized Zone
Es una red de perímetro donde se suelen ubicar
equipos que van a ser accedidos por terceros. Es en
esta red donde terminan las conexiones entrantes de
terceros.

Seguridad en Redes Empresariales ADACSI

 Arquitectura de la red
DMZ con 1 Firewall

RED INTERNA

INTERNET

DMZ
ROUTER ISP

Seguridad en Redes Empresariales ADACSI

 Arquitectura de la red
DMZ con 2 Firewalls
RED INTERNA

INTERNET

DMZ
ROUTER ISP

Seguridad en Redes Empresariales ADACSI

 Seguridad Perimetral
Tecnologías
 Firewalls
 Primera Generación

 Segunda Generación

 Tercera Generación

 IDS/IPS
 Honeypots
 NAC (802.1x)
 VPN (IPSec/SSL)
 Autenticación (TACACS, RADIUS)

Seguridad en Redes Empresariales ADACSI

 Firewalls

Seguridad en Redes Empresariales ADACSI

¿Que es un Firewall?

Seguridad en Redes Empresariales ADACSI

Firewall conexión típica

Seguridad en Redes Empresariales ADACSI

 Firewall en Linux
IPTABLES

Seguridad en Redes Empresariales ADACSI

 Firewall en Linux
IPTABLES

Seguridad en Redes Empresariales ADACSI

 Firewall Primera Generación
Packet Filtering

Seguridad en Redes Empresariales ADACSI

Firewall Segunda Generación
Stateful

Seguridad en Redes Empresariales ADACSI

 Firewall Tercera Generación
Aplicaciones

Seguridad en Redes Empresariales ADACSI

 IDS
Sistema de Detección
de Intrusos

Seguridad en Redes Empresariales ADACSI

 Conceptos Claves
 Monitoreo
 Detección de Tráfico
 Flujo de datos
 Correlación
 Alertas

Seguridad en Redes Empresariales ADACSI

 Sistema de Detección de Intrusos IDS
1. Introducción
2. Información a monitorizar
3. Arquitectura del sistema de monitorización
4. Muestreo y notificación de eventos
5. Monitorización del funcionamiento
6. Monitorización de fallos
7. Monitorización de contabilidad
8. Herramientas de monitorización
Seguridad en Redes Empresariales ADACSI
 IDS - Introducción
Las vulnerabilidades de los diferentes sistemas dentro de una red son
los caminos para realizar los ataques.
En muchas ocasiones, el atacante enmascara el ataque en tráfico
permitido por el firewall y por tanto para delatarlo se necesita un IDS.
Son complementarios.
El aumento de este tipo de ataques ha justificado la creación de equipos
de respuestas de emergencia informática (CERT: Computer Emergency
Response Team), que obviamente también pueden ver los intrusos.
Características deseables para un IDS son:
lcontinuamente en ejecución y debe poderse analizar él mismo y
detectar si ha sido modificado por un atacante
lutilizar los mínimos recursos posibles
ldebe de adaptarse fácilmente a los cambios de sistemas y usuarios, por
lo que en ocasiones poseen inteligencia para adaptarse (aprender por su
experiencia) y configurarse.

Seguridad en Redes Empresariales ADACSI

 IDS - Introducción

 Funciona en conjunto con routers y firewalls

 Monitorea anomalías del tráfico de red
 Protege tanto de abusos externos como internos
 Opera de manera continua en background
registrando y notificando amenazas
 Un modo de trabajo es detectar patrones de
ataque

Seguridad en Redes Empresariales ADACSI

 IDS - Introducción
 Monitorización de la red :
 Observación y análisis del estado y el
comportamiento de las estaciones finales,
sistemas intermedios y subredes que
configuran la red gestionada.
 Por problemas de seguridad...
 Algunos sistemas de gestión de red no
incluyen mecanismos de control.
 Pero la mayoría incluyen algún mecanismo
de monitorización.

Seguridad en Redes Empresariales ADACSI

 Información a monitorizar
 Estática: información que caracteriza la configuración
actual de un dispositivo.
 Por ejemplo: número e identificación de los puertos de
un router.
 Cambia con muy poca frecuencia.
 Dinámica: Información relacionada con los eventos que
suceden en la red.
 Por ejemplo: transmisión de un paquete.
 Estadística: Información que se deriva de la información
dinámica (resumen estadístico).
 Por ejemplo: el número medio de paquetes transmitidos
por unidad de tiempo.
 Latencia de enlaces

Seguridad en Redes Empresariales ADACSI

 Tipos de IDS según localización
 HIDS (Host Intrusion Detection System): analiza
el tráfico sobre un servidor. Ventajas: registra
comandos utilizados, es más fiable, mayor
probabilidad de acierto que NIDS.
 NIDS (Network Intrusion Detection System):
detecta los paquetes armados maliciosamente y
diseñados para no ser detectados por los
cortafuegos. Consta de un sensor situado en un
segmento de la red y una consola. Ventaja: no se
requiere instalar software adicional en ningún
servidor. Inconveniente: es local al segmento, si la
información esta cifrada no puede procesarla.

Seguridad en Redes Empresariales ADACSI

 IDS basado en HOST

 Se configuran para un ambiente específico y

monitorean los distintos recursos internos del
sistema operativo para advertir sobre posibles
ataques.
 Pueden detectar:
 Modificación de ejecutables
 Eliminación de archivos
 Uso de comandos privilegiados

Seguridad en Redes Empresariales ADACSI

 IDS basado en RED
 Identifican los ataques de la red que están
monitoreando.
 Si se coloca entre Internet y un Firewall
detectarán todos los intentos de ataques.
 Si se coloca entre el Firewall y la red interna sólo
detectará los ataques que pasaron el Firewall
(Detección de Intrusos).
 El IDS de red es un complemento de la
protección perimetral.

Seguridad en Redes Empresariales ADACSI

 Componentes de un IDS
 Los sensores que son los responsables de la
recolección de datos (paquetes de red, archivos de
registro, trazas de llamada de sistema).
 Los analizadores que reciben la información
proveniente de los sensores y que determinan la
actividad de los intrusos.
 Consola de administración.
 Interfaz de usuario

Seguridad en Redes Empresariales ADACSI

 Tipos de IDS

 Basados en firma
 Basados en estadísticas
 Basados en Redes Neuronales

Seguridad en Redes Empresariales ADACSI

 IDS basados en firma

 Protegen contra patrones de intrusos

detectados.
 Los patrones de intrusos que puede identificar
son almacenados en forma de firmas.
 No podrán detectar todos los tipos de ataques
debido a las limitaciones de las reglas de
detección y al tiempo de actualización del IDS
con relación a un nuevo ataque.

Seguridad en Redes Empresariales ADACSI

 IDS basados en estadísticas
 Necesitan una definición detallada del
comportamiento conocido y esperado de los
sistemas.
 Pueden reportar muchos eventos fuera de la
actividad normal definida, pero puede dar lugar a
una cantidad considerable de falsos positivos
debido a la limitación de definir todos los
comportamientos “normales” de una red.

Seguridad en Redes Empresariales ADACSI

 IDS basados en redes neuronales

 Monitorea patrones generales de actividad y de

tráfico en la red y crea una base de datos.
Similar al modelo estadístico pero con la
funcionalidad adicional de autoaprendizaje.

Seguridad en Redes Empresariales ADACSI

 Características de un IDS

 Detección de intrusos
 Recolección de evidencias sobre actividad de
intrusos
 Respuesta automatizada
 Administración de políticas de seguridad y
monitoreo
 Interfaz con las herramientas del sistema

Seguridad en Redes Empresariales ADACSI

 Limitaciones de un IDS

 Un IDS no puede ayudar con las siguientes

debilidades:
 Definición de políticas
 Vulnerabilidades en el nivel de aplicación
 Puertas traseras en las aplicaciones

Seguridad en Redes Empresariales ADACSI

Tipos de IDS según modelos de detección
 Detección de mal uso: verifica sobre tipos ilegales
de tráfico, secuencias que previamente se sabe se
utilizan para realizar ataques (conocidas como
exploits)
 Detección de uso anómalo: verifica diferencias
estadísticas del comportamiento normal de una red,
según franjas horarias, según la utilización de
puertos (evitaría el rastreo de puertos)
Tipos de IDS según naturaleza
 Pasivos: registran violación y generan una alerta
 Reactivos: responden ante la situación, anulando
sesión, rechazando conexión por el cortafuegos, etc

Seguridad en Redes Empresariales ADACSI

 Ejemplo NIDS
IDS Sensor IDS Administración
* Dispositivo * * Software *

Comunicación

 Sistema Experto  Gestión de Sensores Remotos

 Base de Datos de tipos  Manejo de Alarmas
de ataques  Control de Configuraciones
 Control de Ataques
 Deteción de ataques
 Generación de Alarmas
 Respuestas
 Uno por segmento

Seguridad en Redes Empresariales ADACSI

 Honeypot

Seguridad en Redes Empresariales ADACSI

 Jarrón de miel (HONEY POT)
En ocasiones es interesante aprender de los propios
atacantes.
Para ello, en las redes se ubican servidores puestos adrede
para que los intrusos los saboteen y son monitorizados por
sistemas que actúan como puentes a los servidores,
registrando de forma transparente los paquetes que
acceden a dichos servidores.
Detectado un ataque (por modificación de la estructura de
archivos), se recompone la traza del atacante (secuencia de
paquetes registrados en el monitor puente) y se pasa a un
análisis forense.
Este análisis forense concluye, en caso de detectar un
nuevo ataque, en una nueva regla de detección.

Seguridad en Redes Empresariales ADACSI

 Problemas en la protección
En ocasiones no es fácil proteger un sistema,
porque las combinaciones de ataque son múltiples
y si los atacantes son hábiles, estos camuflan el
ataque por eliminación de huellas:
1.-Modificación de la fecha de acceso a archivos
2.-Eliminando las entradas en los logs
3.-Invalidar mecanismos de registro, por ejemplo
eliminar “syslog” por saturación de buffer

Seguridad en Redes Empresariales ADACSI

 Medidas a tomar
En estas situaciones, las medidas a tomar son:
- realizar copias de seguridad
- comprobar la integridad del sistema para
detectar posibles ataques
- analizar los logs del sistema (guardándolos en
diferentes localizaciones /etc/syslog.conf)
- cuidar la periferia, monitoréo y filtrado de
tráfico y detección de intrusos
- utilizar proxies que eviten la vulnerabilidades
conocidas de aplicaciones e implementen
mecanimos de control de acceso

Seguridad en Redes Empresariales ADACSI

 Honeypots y honeynets

¿A que nos referimos?

lHoneypot: es una aplicación de software que pretende
ser un desafortunado servidor accesible tanto desde
Internet como internamente y que no se encuentra
protegido de las intrusiones.
lEn realidad, sirve de señuelo a hackers.
lCuanto más atacado es mejor cumple su función de
detectar intrusos y analizar los métodos y efectos de los
ataques.

Seguridad en Redes Empresariales ADACSI

 Honeypots y Honeynets

Seguridad en Redes Empresariales ADACSI

 Tipos de Honeypots

 De alta interacción
 Se proveen los Sistemas operativos y los servicios,
con vulnerabilidades. Se simula un ambiente real
para atacar.

 De baja interacción
 Se simulan los sistemas aplicativos y los servicios. Se
imitan los ambientes de producción y por lo tanto
proveen información más limitada.

Seguridad en Redes Empresariales ADACSI

 Honeynets
 Cuando existen múltiples honeypots en una red para
simular un ambiente (falsa red) más grande que permite
observar los movimientos de los atacantes mediante una
combinación de tecnologías de vigilancia.

 Todo el tráfico es considerado sospechoso dado que estos

sistemas no están diseñados para ser utilizados, por lo que
si hay movimiento es porque hay un ataque.

Seguridad en Redes Empresariales ADACSI

 Virtual HoneyNets

Las virtual honeynets son múltiples máquinas

ejecutando en un único equipo con software de
virtualización, ej Vmware. Debido al escaso
hardware físico utilizado, y la gestión
centralizada, virtual honeynets se están
convirtiendo rápidamente en un estándar.

Seguridad en Redes Empresariales ADACSI

 HoneyNets - Consideraciones
Del tráfico.

• Todo el tráfico dirigido hacia las

honeypots/honeynets puede considerarse
malicioso.

• Todo el tráfico que proviene de dichos equipos, es

una señal de que los mismos han sido
comprometidos.

Seguridad en Redes Empresariales ADACSI

Network Behavior
Anomaly Detection

Seguridad en Redes Empresariales ADACSI

Network Behavior Anomaly Detection
 Payload Anomaly Detection
 Protocol Anomaly: MAC Spoofing
 Protocol Anomaly: IP Spoofing
 Protocol Anomaly: TCP/UDP Fanout
 Protocol Anomaly: IP Fanout
 Protocol Anomaly: Duplicate IP
 Protocol Anomaly: Duplicate MAC
 Virus Detection
 Bandwidth Anomaly Detection
 Connection Rate Detection
Seguridad en Redes Empresariales ADACSI
 NBAD – Algunos Productos

 Juniper Networks - STRM

 HP ProCurve - Network Immunity Manager
 Sourcefire - Sourcefire 3D
 McAfee - McAfee Network Threat Behavior
Analysis

Seguridad en Redes Empresariales ADACSI

Unified Threat
Management

ADACSI
 UTM
 Que es Unified Threat Management

Seguridad en Redes Empresariales ADACSI

 UTM – ¿Qué es?
 Es la combinación de múltiples características de
seguridad integradas en una única plataforma de
hardware. Por lo tanto se disponen de capas de
elementos de seguridad dentro de una red
corporativa.

 En un mismo equipamiento cuento con: VPN -

Antispam - Antiphishing - Antispyware - Filtro de
contenidos - Antivirus - Detección/Prevención de
Intrusos (IDS/IPS) y Firewall

Seguridad en Redes Empresariales ADACSI

 UTM - Ventajas
 Se pueden sustituir varios sistemas
independientes por uno solo.
 Se facilita la gestión. Definición e
implementación de políticas.
 Capacidad de proporcionar toda la información
pertinente sobre los patrones de tráfico de red,
así como los patrones de usuario dentro de la red.

Seguridad en Redes Empresariales ADACSI

 UTM - Desventajas
 Se crea un punto único de falla y un cuello de
botella, es decir si falla este sistema la
organización queda totalmente desprotegida .
 Tiene un costo fijo periódico, usualmente alto.
 Probablemente ningún fabricante sea muy bueno
en cada uno de los componentes incluidos.

Seguridad en Redes Empresariales ADACSI

 Tráfico en nuestra red
 NAC (802.1x)
 VPN (IPSec/SSL)
 Autenticación (TACACS, RADIUS)

Seguridad en Redes Empresariales ADACSI

 NAC (802.1x)
¿A que se refiere?

Se refiere a la implementación de políticas para el

control de los equipos que se conectan a nuestras
redes.
Por ejemplo se controlan que tengan antivirus
actualizados o determinados componentes de
software, en caso de poseerlos se permite el acceso a
la red, en caso de carecer de ellos, se pone el equipo
en una red de cuarentena.

Seguridad en Redes Empresariales ADACSI

 VPN
¿A que se refiere?

Son los mecanismos que se utilizan para encriptar el tráfico

en la red. Existen de distintos tipos.

Seguridad en Redes Empresariales ADACSI

 VPN
Los protocolos de VPN incluyen:

 IPSec (Internet Protocol Security)

 Transport Layer Security (SSL/TLS)
 Datagram Transport Layer Security (DTLS), usado en Cisco
AnyConnect VPN
 Microsoft Point-to-Point Encryption (MPPE)
 Microsoft's Secure Socket Tunneling Protocol (SSTP)
 Secure Shell (SSH) VPN - OpenSSH

Seguridad en Redes Empresariales ADACSI

 VPN
Se pueden utilizar los siguientes métodos de autenticación:

 Contraseñas
 Certificados
 Segundo factor (Tokens)
 Biometría

Ejemplo de conexión remota segura para administrar firewalls:

IPSec VPN + Certificados X.509 + ID+ Segundo factor

Seguridad en Redes Empresariales ADACSI

 Autenticación (TACACS, RADIUS)
Se pueden utilizar los siguientes métodos de autenticación:

 TACACS+ (Terminal Access Controller Access-Control

System Plus. (TCP/49)
 Remote Authentication Dial In User Service (RADIUS).
(UDP/1812 RADIUS Authentication y UDP/1813 para
RADIUS Accounting)

Seguridad en Redes Empresariales ADACSI

 Algunas ideas finales
¿Se puede resolver el problema de la seguridad informática?
Bruce Schneier: “… la seguridad informática no es un
problema solucionable. Es un problema de la gente, los
problemas de la gente han estado con nosotros desde que la
gente evolucionó a partir de primates inferiores, y van a
permanecer [con nosotros] hasta que evolucionemos hacia
algún otra forma de vida. La seguridad siempre ha sido una
“carrera armamentista”, y siempre lo será…”

Seguridad en Redes Empresariales ADACSI