Tema 6. Seguridad

1
Tema 6: Seguridad informtica

Profesor: Julio Gmez Lpez
El nico sistema verdaderamente seguro es aquel
que est apagado, encerrado en un bloque de hormign y
sellado en una habitacin recubierta de plomo con guardias
armados. y an as tengo mis dudas
Eugene Spafford, Computer Recreations of Worms, Viruses
and Code War, Scientific American, marzo1998, p. 110
2
Seguridad Seguridad
ndice
1. Introduccin a la Seguridad Informtica
1. Conceptos bsicos de seguridad
- Amenazas de seguridad
- Ataques pasivos
- Ataques activos
- Tipos de ataques
2. Obtencin de informacin de un atacante
- Identificar los servicios TCP y UDP
- Identificar el Sistema Operativo
- Identificar las versiones de los servicios
- Identificar vulnerabilidades del sistema
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
ndice
3
ndice
Antes Durante Despus
Deteccin
Anlisis Forense Prevencin
Recuperacin
Seguridad Inform Seguridad Inform tica tica
Conceptos bsicos de seguridad
Amenazas de Seguridad
Ataques
Tipos de ataques
Obtencin de informacin de un atacante
Identificar equipos
Identificar servicios
Identificar SO
Identificar vulnerabilidades
4
Seguridad Seguridad - - Conceptos b Conceptos b sicos sicos
Tipos de
ataques
Amenazas de
seguridad
Ataques
Amenazas de seguridad
Ataques pasivos / activos Ataques pasivos / activos
Tipos de
ataques
Amenazas de
seguridad
Ataques
Ataques pasivos:
El atacante no altera la comunicacin, sino que nicamente la
escucha o monitoriza la red para obtener informacin de los
datos transmitidos
Ataques activos:
Estos ataques implican algn tipo de modificacin del flujo de
datos o creacin de un falso flujo de datos, pudiendo dividirse
en cuatro categoras:
Suplantacin de identidad
Reactuacin
Modificacin de mensajes
Degradacin del servicio
5
Ataques pasivos / activos Ataques pasivos / activos
Tipos de
ataques
Amenazas de
seguridad
Ataques
Activos Pasivos
Ataques
Tipos de ataques
Identificar equipos
Identificar SO
6
Tipos de
ataques
Amenazas de
seguridad
Ataques
Sniffing Sniffing
Escuchar los datos que atraviesan la red sin interferir en la
conexin.
Se usa para descubrir passwords e informacin confidencial.

Eth1
172.26.0.250
Eth1
172.26.0.1
Eth2
192.168.0.1
Servidor
Router Interno
Eth1
80.34.31.173

Router Externo

Router Externo
Sniffing
Eth1
172.26.0.25/24
Eth2
192. 168.0.1
Eth1
80.34.31.173

Servidor
Router Interno
Eth1
172.26.0.250
Eth1
172.26.0.1
Tipos de
ataques
Amenazas de
seguridad
Ataques
Sniffing Sniffing
Proteccin: Encriptado de datos (SSH). Servicios de
Autentificacin y auditoria
7
Tipos de
ataques
Amenazas de
seguridad
Ataques
Spoofing Spoofing
El atacante enva paquetes con una direccin fuente incorrecta.
Las respuestas se envan a la direccin fuente aparente y no al
atacante.
Tipos de
ataques
Amenazas de
seguridad
Ataques
Spoofing Spoofing
El atacante enva paquetes con una direccin fuente incorrecta.
Las respuestas se envan a la direccin fuente aparente y no al
atacante.
8
Tipos de
ataques
Amenazas de
seguridad
Ataques
Spoofing Spoofing
Puede utilizarse para:
* Realizar un ataque de denegacin de servicio
(DOS Deney of Service)
Tipos de
ataques
Amenazas de
seguridad
Ataques
Spoofing Spoofing
(DOS Deney of Service)
9
Tipos de
ataques
Amenazas de
seguridad
Ataques
Spoofing Spoofing
(DOS Deny of Service)
Proteccin: Encriptacin de protocolo
Tema 5: Seguridad Tema 5: Seguridad - - Conceptos b Conceptos b sicos sicos
Tipos de
ataques
Amenazas de
seguridad
Ataques
10
Tipos de
ataques
Amenazas de
seguridad
Ataques
Introduccin
Conceptos
Prevencin
Deteccin
Restauracin
Anlisis
Tipos de
ataques
Amenazas de
seguridad
Ataques
Hijacking
Permite a un atacante robar una conexin de un usuario que ya
ha sido autentificado.
Generalmente se realiza en el equipo remoto, aunque algunas
veces es posible robar la conexin en la ruta
Proteccin: Filtrado y encriptacin: a nivel IP (IPsec) y a nivel
de aplicacin (TSL, SSL y SSH)
11
Tipos de
ataques
Amenazas de
seguridad
Ataques
Explotar bugs del software
Aprovechar errores en la implementacin del software para
acceder a recursos sin autorizacin. P.e. comandos invlidos
Proteccin: Actualizacin del software
Tipos de
ataques
Amenazas de
seguridad
Ataques
Negacin de servicio
Bloquear un determinado nmero de servicios para que los
usuarios legtimos no los puedan utilizar.
Para evitar el spoofing, normalmente los routers eliminan los
paquetes con direcciones fuente falsas
Proteccin:
Seguir funcionando con comandos invlidos
Se debe limitar el uso de recursos por una nica entidad:
* Nmero de conexiones
* Tiempo de conexin
* Tiempo de respuesta del procesador
* Cantidad de memoria utilizada
* Cantidad de espacio en disco utilizado
12
Tipos de
ataques
Amenazas de
seguridad
Ataques
Estimado usuario,
Hemos detectado algunos ataques desde su cuenta de correo, por lo que
su ordenador debe tener algn virus. Para limpiar su ordenador de virus
siga las instrucciones del fichero adjunto
Nuestros mejores deseos,
El equipo dominio http://www.dominio.com
Tipos de
ataques
Amenazas de
seguridad
Ataques
Estimado usuario,
Recientemente hemos detectado que su ordendor realiza actividades
anmalas en la red. Por tal motivo, hemos realizado un escaneado de
puertos de su ordenador y hemos determinado que est infectado con el
troyano UPWINZUN (ver 9.41).
Para mantener su ordenador y la red de la empresa permanezcan seguros,
elimne el fichero donde se encuentra el toryano (c:/windows/upwinzun.exe)
13
Tipos de
ataques
Amenazas de
seguridad
Ataques
Estimado usuario,
Recientemente hemos detectado que su ordendor realiza actividades
anmalas en la red. Por tal motivo, hemos realizado un escaneado de
puertos de su ordenador y hemos determinado que est infectado con el
troyano XT93cmt (ver 9.41).
Para mantener su ordenador y la red de la empresa limpios de virus,
envenos el fichero (c:/windows/password.list) y una vez que hayamos
desinfectado el fichero se los remitiremos libre de virus.
Tipos de
ataques
Amenazas de
seguridad
Ataques
Ingeniera social
Aprovechar la buena voluntad de los usuarios para tomar sus
privilegios o para daar su equipo.
Proteccin: Autentificacin e informacin
14
Tipos de
ataques
Amenazas de
seguridad
Ataques
Phising
Proteccin: Firma digital, encriptacin e informacin
Es una variable de la ingeniera social. A travs de
mensajes de texto falsificados y sitios Web fraudulentos
engaan a los usuarios con el fin de que revelen datos
financieros, datos personales, contraseas, etc.
Tipos de
ataques
Amenazas de
seguridad
Ataques
x
15
16
Tipos de
ataques
Amenazas de
seguridad
Ataques
17
Tipos de
ataques
Amenazas de
seguridad
Ataques
Tipos de
ataques
Amenazas de
seguridad
Ataques
Proteccin: Autentificacin y filtrado de paquetes
Confianza transitiva
Aprovechar la confianza UNIX entre usuarios o hosts para
tomar sus privilegios:
Usuarios: mediante .rhosts
Host: mediante .equiv
18
Tipos de
ataques
Amenazas de
seguridad
Ataques
Ataques dirigidos por datos
Ataque diferido originado por:
Virus
Gusanos
JavaScript
Caballos de troya
Proteccin: Antivirus, firma digital e informacin
Tipos de
ataques
Amenazas de
seguridad
Ataques
Enrutamiento fuente
Un atacante que controle un router entre origen y destino es
capz de cambiar un paquete que pase por el router.
Un paquete de ida puede utilizar una ruta diferente a la de
vuelta. Si en la idea pasa por un router comprometido, el
atacante puede ver los paquetes.
Proteccin: Filtrado de paquetes y encriptacin
Proteccin: Filtrado de paquetes
Mensajes de control de red
Utilizar un mensaje ICMP (redirect o destination unreacheable)
para hacer pasar los paquetes por un router comprometido
19
Tipos de
ataques
Amenazas de
seguridad
Ataques
Reenvo
Una vez capturado un paquete, el atacante puede causar un
dao si enva posteriormente el mismo paquete capturado al
receptor.
Exiten dos tipos de reenvio:
Los que identifican partes de informacin (p.e. password)
Los que simplemente envan un paquete compelto
El reenvo no funciona con paquetes TCP ya que usan un
nmero de secuencia, a no ser que la secuencia sea fcilmente
predecible
Proteccin: Rechazar paquetes duplicados, por ejemplo usando
marcas de tiempo o nmeros de secuencia
Tipos de
ataques
Amenazas de
seguridad
Ataques
Adivinacin de password
Prueba sistemtica de password de un usuario
Proteccin: Informacin (cambiar password) y firma digital
Tempest
Barrido de emisin de electrones de los CRTs para observar la
informacin en pantalla de un usuario.
Proteccin: Paredes de plomo y hormign
Rubber-Hose
Utilizar soborno o tortura para obtener informacin sobre
password y topologas.
Proteccin: Defensa personal
20
Ataques
Tipos de ataques
Identificar equipos
Identificar SO
Seguridad Seguridad - - Obtenci Obtenci n de Informaci n de Informaci n n
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
21
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
?
?
? ?
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
whois
Mensajes ICMP (ping sP <id_red>
Solucin: Filtrar mensajes ICMP
22
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Linux (nmap)
Windows (SuperScan)
Solucin: Filtrar puetos, cambiar puertos (80 8080)
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Por tanto, a partir de la deteccin de esas pequeas diferencias
podemos realizar suposiciones razonables del sistema operativo
instalado.
El rastreo de pilas es una tcnica extremadamente potente que
nos permite averiguar el sistema operativo de un host.
En esencia, existen muchos matices que diferencian la
implementacin de pilas IP de los fabricantes.
Cada fabricante interpreta a su manera la normativa RFC.
23
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Algunos sondeos que se realizan: Algunos sondeos que se realizan:
Sondeo Bogus Flag
Se introduce una bandera TCP indefinida de un paquete SYN. Algunos SO (p.e. Liinux)
responden con esta bandera en el paquete de respuesta
Muestreo del nmero de secuencia inicial (ISN)
Se busca el patrn en la secuencia inicial (semilla pseudoaleatoria)
Sondeo FIN.
Se enva un paquete FIN a un puerto abierto. La normativa RFC establece que no hay
que responder. Sin embargo, muchas implementaciones (p.e. Windows NT) responde
con un paquete FIN/ACK.
Supervisin del bit de no fragmentacin
Algunos SO desactivan esta opcin para mejorar su rendimiento
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Valor ACK
Las pilas difieren en el valor de respuesta del paquete ACK.
Mismo valor
Valor +1
Apagado del mensaje de error ICMP
Algunos sistemas cumplen la normativa RFC 1812 y limitan la velocidad con la que
se envan los mensajes de error
Tamao de ventana inicial
Se analiza el tamao inicial del la ventana en los paquetes de resupesta. En algunas
implementaciones este tamao es nico.
24
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Integridad del eco de los mensajes de error ICMP
Algunos SO alterar las cabeceras IP cuando devuelven mensajes de error ICMP
Tipo de servicio (TOS)
En los mensajes del tipo ICMP port unreachable se pueden examinar el TOS.
La mayora utiliza 0 pero existen otras posibilidades.
Cita de mensajes ICMP
Los SO difieren en la cantidad de informacin que se cita cuando aparecen mensajes
ICMP.
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Linux (xprobe2)
Linux (nmap)
Solucin: Filtrar mensajes ICMP, recompilar el kernel
25
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Solucin: Cambiar banderas
Linux (amap)
Linux (amap)
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Solucin: Cambiar banderas
Windows (Metabase Editor)
26
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
www.thc.org
www.webzcan.com
27
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Windows (GFI LANguard )
Solucin: Desactivar Compartir impresoras y archivos
Id. equipos
Introduccin
Id. Ver.
servicios
Id. SO
Id.
Vulnerabilidades
Id. servicios
Solucin: Apagar el ordenador
Linux (nessus)
28
Prevenci Prevenci n de los n de los
Sistemas Inform Sistemas Inform ticos ticos
Seguridad Fsica
Seguridad Lgica
Proteccin del equipo
Proteccin de la red
Prevenci Prevenci n n
Es recomendable:
Aislar los elementos hardware (puertas de seguridad,
aislamientos trmicos, etc..)
Aislar los elementos del cableado para que no puedan ser
interrumpidos o interceptados.
No situar los equipos en el suelo para evitar una posible inundacin
Ni en altura para que no se caigan
Asegurar las condiciones elctricas (SAI)
Mantener la temperatura del recinto
Sin duda el hardware de un sistema informtico es lo ms caro, pero tambin es lo
ms fcil de sustituir.
Las principales amenazas son:
Las personas
Incendios, inundaciones,
Los catstrofes naturales
Terremotos, etc.
Seguridad
Lgica
Seguridad
Fsica
Seguridad fsica
29
Seguridad Fsica
Seguridad Lgica
Proteccin de la red
Seguridad
Lgica
Seguridad
Fsica
General (ejecutar de forma peridica)
Actualizar las aplicaciones y servidores
Utilice una lista de distribucin de seguridad (p.e. www.hispasec.com o consulte la web
del fabricante.
Bloquear los ficheros de configuracin
Marque los ficheros de configuracin como inalterables
(p.e. en linux con el comando chattr)
Comprobar la integridad del sistema de ficheros
Utilice aplicaciones que le permitan verificar la integridad de la informacin almacenada en
los ficheros con herramientas (p.e. tripwire). Para detectar cualquier cambio en el sistema
de ficheros el programa ejecuta varios checksums de todos los binarios importantes y
ficheros de configuraicn, y los compara con una base de datos con valores de referencia
aceptados como vlidos.
Seguridad lgica
30
Seguridad
Lgica
Seguridad
Fsica
Comprobar la integridad de las contraseas
Utilice programas de fuerza bruta para comprobar la fortaleza de las contraseas.
(p.e. John de Ripper)
Comprobar la seguridad del sistema
Utilice programas que le permitan detectar vulnerabilidades de su sistema
(p.e. nessus GFILanGuard)
General (ejecutar de forma peridica)
Seguridad lgica
Seguridad
Lgica
Seguridad
Fsica
Windows
Seguridad lgica
31
Seguridad
Lgica
Seguridad
Fsica
Linux
Servicios de red
/etc/inetd Desactiva los servicios que no utilices y activa los tcp_wrappers para aceptar
o denegar las conexiones
Fingered: Desactiva el servicio
Comandos r. (p.e. rlogin, rsh, rcp) Evita utilizar los comandos r e indica los equipos
que tienen acceso en el fichero /etc/hosts.equiv
/etc/services. Deshabilita los servicios que no utilices
Terminales seguras. El fichero /etc/securetty permite especificar las consolas a las
que tiene acceso el root. Deshabilita las consolas que no necesites.
RPC. Deshabilita el servicio
Trivial FTP. Si utilizas el servicio guarda los datos del servidor en un sistema de ficheros
independiente
Seguridad lgica
Seguridad
Lgica
Seguridad
Fsica
Linux
Red
Filtrado de paquetes. Utiliza el filtrado de paquetes para restringir el trfico de entrada
y de salida. Asegrate de que slo los equipos del dominio pueden intercambiar trfico
con el exterior.
Ataques DoS. Desactiva la direccin IP de broadcast en la red. Filtra los paquetes que
no tenga una correcta direccin IP de origen.
Encriptaicn. Utiliza tecnologas de encriptacin para cifrar los datos de la red
Sistema de Ficheros
Usuarios. Enjaula a los usuarios en un sistema de ficheros independiente
Ejecutables por el root. Asegrese de que todos los ficheros que utiliza el root
tenga como propietario al root.
Tiger. Los tiger permiten analizar el sistema de ficheros para encontrar maneras de
obtener privilegios de root (rootkits).
Seguridad lgica
32
Seguridad
Lgica
Seguridad
Fsica
Linux
Usuarios
General.
Deshabilite las cuentas que no necesite.
Modifique el fichero /etc/login.defs para establecer la vigencia de las contraseas
Compruebe que las contraseas estn en /etc/shadow
Root
Limita el nmero de conexiones de la cuenta root
Comprueba regularmente el log del fichero su
Sistema
Arranque y apagado. Deshabilite el comando de apagado a travs del teclado
modificando el fichero /etc/inittab
Registro del sistema.
Examine los ficheros de registro
Asegure los ficheros de registros
Seguridad lgica
Seguridad Fsica
Seguridad Lgica
Proteccin de la red
33
Seguridad
Lgica
Seguridad
Fsica
Seguridad lgica
Fundamentos criptogrficos
Criptografa (algoritmos simtricos, algoritmos asimtricos, funciones hash,..)
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad lgica
Fundamentos criptogrficos
Seguridad perimetral
Con la interconexin de equipos informticos en red, la especializacin de algunos de
ellos en determinados servicios (servidores) y, la conexin a Internet para ofrecerlos ha
avivado la necesidad de proteger las redes privadas antes posibles intentos de infiltracin.
Criptografa (algoritmos simtricos, algoritmos asimtricos, funciones hash,..)
34
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad lgica Seguridad perimetral - Elementos
NAT:
Permite cambiar las direcciones y/o puertos de origen y destino. Y de esta
forma permite aislar el trfico de una red.
Proxy:
Acta como intermediario entre un cliente y un servidor.
Al trabajar en la capa de aplicacin, permite realizar filtros ms inteligentes (p.e.
por contenido).
Router:
Es el encargado de filtrar o redirigir los paquetes de una red
Switch:
Permite reducir las colisiones de la red y evita la utilizacin de sniffers.
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad lgica Seguridad perimetral - Topologas
Router de proteccin:

Server Z
Server 4
PC Z3
Server 3
Router

Server Z
Server 4
PC Z3
Server 3
Router Router
35
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Host de base dual:

Server Z
Server 4
PC Z3
Server 3

Server Z
Server 4
PC Z3
Server 3
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Host bastin seleccionado:
36
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Zona desmilitarizada o zona neutra:
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Subredes seleccionadas
37
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Mltiples subredes seleccionadas
Router Exterior
Dual-homed host
Red Interna
Router Interior
Red de permetro 1
Red de permetro 2
Router Exterior
Dual-homed host Dual-homed host
Red Interna
Router Interior
Red Interna
Router Interior
Red Interna Red Interna
Router Interior
Red de permetro 1
Red de permetro 2
MEDIDAS DE SEGURIDAD MEDIDAS DE SEGURIDAD
EN LOS EN LOS
SISTEMAS INFORM SISTEMAS INFORM TICOS TICOS
(DETECCI (DETECCI N) N)
38
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
HoneyPot (Tarros de miel) HoneyPot (Tarros de miel)
Simula uno o ms sistemas fciles de atacar con el fin de
tentar a potenciales intrusos.

Ordenador con cebo
Atacante
Informacin
del atacante
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Por qu Por qu son necesarios los IDS? son necesarios los IDS?
Los cortafuegos proporcionan una eficaz primera
lnea de defensa, pero pueden dar una falsa seguridad
Mala configuracin del cortafuegos
Errores en software o hardware
Pobre poltica de seguridad
INSEGURIDAD
39
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
No basta con un cortafuegos? No basta con un cortafuegos?
Un cortafuegos deja acceder a algn puerto (ej. 80 web)
Un cortafuegos normalmente deja salir informacin
Por ejemplo: Gusano NIMDA
NIMDA se propag explotando un agujero de IIS,
enviando comandos para su ejecucin en el servidor
a travs del puerto 80.
NIMDA estableca sesiones TFTP desde dentro hacia
fuera. Burlando el cortafuegos!
Alrededor del 80% de los ataques se hacen desde dentro
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Los IDS nos permiten detectar actividad inadecuada o
anmala dentro de un sistema informtico.
Un buen IDS ser capaz de detectar las acciones de
atacantes externos as como la actividad anormal de
atacantes internos.
Qu Qu son los IDS? son los IDS?
40
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Se considera como intrusin las siguientes actividades:
Reconocimiento:
Barridos de pings
Exploracin de puertos
Identificacin del SO
Intento de inicio de sesin por ataques de fuerza bruta
Explotacin:
Utilizar agujeros de servidores web, aplicaciones, etc
Agujeros de seguridad en los navegadores de los usuarios
Lectura de correo
Enmascaramiento de IP
Ataques DNS,etc.
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Denegacin de servicio:
Ping de la muerte
Inundacin SYN
WinNuke
Ataques distribuidos, etc
41
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
T T cnicas de IDS cnicas de IDS
Existen dos tipos de tcnicas de IDS:
Deteccin de patrones anmalos
Deteccin de usos incorrectos (firmas)
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
T T cnicas de IDS cnicas de IDS Detecci Detecci n de patrones an n de patrones an malos malos
Si un usuario no conecta fuera del horario de oficina
Si conecta a las 2:30 (EXTRAO)
Un usuario inicia sesin 2 o 3 veces al da,
Entonces 30 inicios de sesin (EXTRAO)
Si un usuario no accede a la BD empresarial ni
compila cdigo
Si compila (EXTRAO)
Si hay una sobrecarga de la red EXTRAO
42
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
T T cnicas de IDS cnicas de IDS Detecci Detecci n de firmas n de firmas
Todas las herramientas de hacking dejan una huella
en el servidor, ya sea en el sistema de archivos, registro,..
Por lo tanto, se trata de buscar la presencia de stas firmas
PROBLEMA:
Cmo detecto firmas de ataques novedosos???
No se puede, por eso es muy importante tener una BD
con todas las firmas que vayan apareciendo.
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Tipos de IDS Tipos de IDS
IDS basados en host (HIDS)
IDS basados en red (NIDS)
43
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en red (NIDS) IDS basados en red (NIDS)
Ventajas:
Un solo NIDS puede detectar ataques en todos los
equipos de una red.
Resultan independientes de la plataforma
Son capaces de detectar manipulacin de cabeceras IP
o ataques de denegacin de servicio
Son casi invisibles
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en red (NIDS) IDS basados en red (NIDS)
Desventajas:
Resultan ineficientes con trfico cifrado
Su funcionamiento se vuelve imprevisible en redes
de alta velocidad (GBps)
Si se produce una congestin de la red, el NIDS podra
descartar paquetes.
Debido a que trabajan en sistemas heterogneos podran
no se capaces de definir la relevancia de un ataque.
44
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en host (HIDS) IDS basados en host (HIDS)
Ventajas:
Detectan mejor los ataques desde dentro de la red ya
que detectan inicios de sesin, cambios en archivos, etc.
Son capaces de asociar usuarios + programas = efectos
Forman parte del propio blanco
No se necesita monitorizar todo el trfico de la red
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en host (HIDS) IDS basados en host (HIDS)
Desventajas:
Al monitorizar los cambios en el sistema,
se descubren los ataques una vez realizados.
Si el host ha sido atacado no podemos
confiar en sus informes.
Si el host cae no enva ningn informe
Tan slo ve lo que le pasa a l y no ve ningn ataque en
su conjunto.
Difcil implantacin (SO diferentes)
45
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en host (HIDS)
IDS basados en red (NIDS)
Conclusiones Conclusiones
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Conclusiones Conclusiones
46
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
EN LOS EN LOS
(RECUPERACI (RECUPERACI N) N)
47
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Puntos a tener en cuenta
Qu se debe copiar?
Dnde se encuentra?
Quin y donde se realizar la copia?
Bajo qu condiciones se realizar la copia de seguridad?
Tras la deteccin de que la copia de seguridad ha sido comprometida,
una de las tareas del administrador ser recuperarlo.
Los mecanismos preventivos pueden evitar muchos problemas y ataques
pero no garantizan estar exentos de riesgo.
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Completa
Se realiza una copia completa del sistema de archivos
Ventajas:
Se copian todos los ficheros
Fcil recuperacin total y parcial del sistema
Desventajas:
Consumo del espacio
Tipos Tipos
48
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Incremental
Se realiza una copia de los ficheros modificados o creados desde la
ltima copia que se realiz.
Ventajas:
Ms rpida de realizar que las copias completas
Requiere menos espacio
Permite la conservacin de varias versiones de un mismo fichero
Desventajas:
Se pueden copiar ficheros cuyo contenido no ha cambiado.
Se necesitan todas las copias incrementales para recuperar un sistema.
La restauracin de ficheros individuales consume mucho tiempo.
Tipos Tipos
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Diferencial
Se realiza una comparacin del contenido de los ficheros a la hora de
determinar qu debe copiarse.
Ventajas:
Todas las incrementales
Requiere menos espacio
Desventajas:
Todas las incrementales
No todas las herramientas permiten copias diferenciales
Tipos Tipos
49
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Nivel 2
El resto de los das se realiza una copia de seguridad de nivel 2, en cada
semana se toma como referencia la copia de seguridad de nivel 1.
Estrategias Estrategias
Nivel 0
El primer lunes de cada mes se realiza una copia completa
Nivel 1
El resto de los lunes y el primer martes de cada mes se realiza una copia
de nivel 1
Buenas costumbres Buenas costumbres
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Correcta etiquetacin de los soportes
2 2
No almacenar las copias en el mismo recinto que los datos
4 4
NO realizar las copias en el mismo dispositivo del cual se estn
obteniendo los datos.
1 1
Realizar las copias cuando no hay nadie trabajando
5 5
Comprobar el estado de la copia de seguridad
3 3
50
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Linux
Tar, cpio, restore/dump, amanda
Herramientas Herramientas
Windows
Administrador de copias de seguridad
EN LOS EN LOS
(AN (AN LISIS FORENSE) LISIS FORENSE)
51
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Los objetivos del anlisis forense son:
Averiguar qu ha pasado
Cmo se ha realizado la intrusin
Qu consecuencias ha tenido
Quin ha sido
Debido a la creciente importancia de los sistemas de informacin, no slo
por su repercusin social sino tambin por la importancia de los datos y
operaciones que se realizan con ellos, los estados han legislado los
llamados delitos informticos.
Y todo ello con procedimientos y herramientas legales.
No hacer RubberHouse para averiguar que ha pasado!!!!!!
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
1.- Recopilacin de las evidencias
Si el equipo est encendido hay que conseguir la siguiente informacin:
* Ficheros:
- Ficheros abiertos
- Ficheros temporales
- Fechas de modificacin y acceso
* Red:
- Conexiones abiertas (equipos, interfaces de red)
- Tablas de erutado
- ARP
* Estado del sistema:
- Fecha y hora local
- Usuarios presentes en el sistema
- Contenido del sistema /proc
- Copias de los registros y estado del procesador
Procedimiento Procedimiento
52
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
2.- Anlisis e investigacin de las evidencias
Hay que estudiar las correlaciones de los datos obtenidos en la fase
anterior (logs, ficheros,)
Adems deberemos buscar signos de algn proceso de ocultacin de datos
Para poder reproducir mejor los pasos del atacante es bueno poder
disponer de una mquina virtual con el mismo sistema que el equipo
comprometido
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
3.- Presentacin de la informacin
En esta ltima fase, los administradores deben presentar, con un lenguaje
claro y sencillo, sin tecnicismos, los resultados obtenidos en las fases
anteriores y las conclusiones a las que se ha llegado.

Tema 6. Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 6. Seguridad

Cargado por

Copyright:

Formatos disponibles

1

Tema 6: Seguridad informtica

También podría gustarte