Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Server Z
Server 4
PC Z3
Server 3
Router
Server Z
Server 4
PC Z3
Server 3
Router Router
35
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Seguridad lgica Seguridad perimetral - Topologas
Host de base dual:
Server Z
Server 4
PC Z3
Server 3
Server Z
Server 4
PC Z3
Server 3
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Seguridad lgica Seguridad perimetral - Topologas
Host bastin seleccionado:
36
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Seguridad lgica Seguridad perimetral - Topologas
Zona desmilitarizada o zona neutra:
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Seguridad lgica Seguridad perimetral - Topologas
Subredes seleccionadas
37
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Seguridad lgica Seguridad perimetral - Topologas
Mltiples subredes seleccionadas
Router Exterior
Dual-homed host
Red Interna
Router Interior
Red de permetro 1
Red de permetro 2
Router Exterior
Dual-homed host Dual-homed host
Red Interna
Router Interior
Red Interna
Router Interior
Red Interna Red Interna
Router Interior
Red de permetro 1
Red de permetro 2
MEDIDAS DE SEGURIDAD MEDIDAS DE SEGURIDAD
EN LOS EN LOS
SISTEMAS INFORM SISTEMAS INFORM TICOS TICOS
(DETECCI (DETECCI N) N)
38
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
HoneyPot (Tarros de miel) HoneyPot (Tarros de miel)
Simula uno o ms sistemas fciles de atacar con el fin de
tentar a potenciales intrusos.
Ordenador con cebo
Atacante
Informacin
del atacante
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Por qu Por qu son necesarios los IDS? son necesarios los IDS?
Los cortafuegos proporcionan una eficaz primera
lnea de defensa, pero pueden dar una falsa seguridad
Mala configuracin del cortafuegos
Errores en software o hardware
Pobre poltica de seguridad
INSEGURIDAD
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
39
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
No basta con un cortafuegos? No basta con un cortafuegos?
Un cortafuegos deja acceder a algn puerto (ej. 80 web)
Un cortafuegos normalmente deja salir informacin
Por ejemplo: Gusano NIMDA
NIMDA se propag explotando un agujero de IIS,
enviando comandos para su ejecucin en el servidor
a travs del puerto 80.
NIMDA estableca sesiones TFTP desde dentro hacia
fuera. Burlando el cortafuegos!
Alrededor del 80% de los ataques se hacen desde dentro
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Los IDS nos permiten detectar actividad inadecuada o
anmala dentro de un sistema informtico.
Un buen IDS ser capaz de detectar las acciones de
atacantes externos as como la actividad anormal de
atacantes internos.
Qu Qu son los IDS? son los IDS?
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
40
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Qu Qu son los IDS? son los IDS?
Se considera como intrusin las siguientes actividades:
Reconocimiento:
Barridos de pings
Exploracin de puertos
Identificacin del SO
Intento de inicio de sesin por ataques de fuerza bruta
Explotacin:
Utilizar agujeros de servidores web, aplicaciones, etc
Agujeros de seguridad en los navegadores de los usuarios
Lectura de correo
Enmascaramiento de IP
Ataques DNS,etc.
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Qu Qu son los IDS? son los IDS?
Denegacin de servicio:
Ping de la muerte
Inundacin SYN
WinNuke
Ataques distribuidos, etc
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
41
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
T T cnicas de IDS cnicas de IDS
Existen dos tipos de tcnicas de IDS:
Deteccin de patrones anmalos
Deteccin de usos incorrectos (firmas)
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
T T cnicas de IDS cnicas de IDS Detecci Detecci n de patrones an n de patrones an malos malos
Si un usuario no conecta fuera del horario de oficina
Si conecta a las 2:30 (EXTRAO)
Un usuario inicia sesin 2 o 3 veces al da,
Entonces 30 inicios de sesin (EXTRAO)
Si un usuario no accede a la BD empresarial ni
compila cdigo
Si compila (EXTRAO)
Si hay una sobrecarga de la red EXTRAO
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
42
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
T T cnicas de IDS cnicas de IDS Detecci Detecci n de firmas n de firmas
Todas las herramientas de hacking dejan una huella
en el servidor, ya sea en el sistema de archivos, registro,..
Por lo tanto, se trata de buscar la presencia de stas firmas
PROBLEMA:
Cmo detecto firmas de ataques novedosos???
No se puede, por eso es muy importante tener una BD
con todas las firmas que vayan apareciendo.
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Tipos de IDS Tipos de IDS
IDS basados en host (HIDS)
IDS basados en red (NIDS)
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
43
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en red (NIDS) IDS basados en red (NIDS)
Ventajas:
Un solo NIDS puede detectar ataques en todos los
equipos de una red.
Resultan independientes de la plataforma
Son capaces de detectar manipulacin de cabeceras IP
o ataques de denegacin de servicio
Son casi invisibles
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en red (NIDS) IDS basados en red (NIDS)
Desventajas:
Resultan ineficientes con trfico cifrado
Su funcionamiento se vuelve imprevisible en redes
de alta velocidad (GBps)
Si se produce una congestin de la red, el NIDS podra
descartar paquetes.
Debido a que trabajan en sistemas heterogneos podran
no se capaces de definir la relevancia de un ataque.
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
44
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en host (HIDS) IDS basados en host (HIDS)
Ventajas:
Detectan mejor los ataques desde dentro de la red ya
que detectan inicios de sesin, cambios en archivos, etc.
Son capaces de asociar usuarios + programas = efectos
Forman parte del propio blanco
No se necesita monitorizar todo el trfico de la red
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en host (HIDS) IDS basados en host (HIDS)
Desventajas:
Al monitorizar los cambios en el sistema,
se descubren los ataques una vez realizados.
Si el host ha sido atacado no podemos
confiar en sus informes.
Si el host cae no enva ningn informe
Tan slo ve lo que le pasa a l y no ve ningn ataque en
su conjunto.
Difcil implantacin (SO diferentes)
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
45
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
IDS basados en host (HIDS)
IDS basados en red (NIDS)
Conclusiones Conclusiones
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Conclusiones Conclusiones
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
46
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
MEDIDAS DE SEGURIDAD MEDIDAS DE SEGURIDAD
EN LOS EN LOS
SISTEMAS INFORM SISTEMAS INFORM TICOS TICOS
(RECUPERACI (RECUPERACI N) N)
47
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Puntos a tener en cuenta
Qu se debe copiar?
Dnde se encuentra?
Quin y donde se realizar la copia?
Bajo qu condiciones se realizar la copia de seguridad?
Tras la deteccin de que la copia de seguridad ha sido comprometida,
una de las tareas del administrador ser recuperarlo.
Los mecanismos preventivos pueden evitar muchos problemas y ataques
pero no garantizan estar exentos de riesgo.
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Completa
Se realiza una copia completa del sistema de archivos
Ventajas:
Se copian todos los ficheros
Fcil recuperacin total y parcial del sistema
Desventajas:
Consumo del espacio
Tipos Tipos
48
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Incremental
Se realiza una copia de los ficheros modificados o creados desde la
ltima copia que se realiz.
Ventajas:
Ms rpida de realizar que las copias completas
Requiere menos espacio
Permite la conservacin de varias versiones de un mismo fichero
Desventajas:
Se pueden copiar ficheros cuyo contenido no ha cambiado.
Se necesitan todas las copias incrementales para recuperar un sistema.
La restauracin de ficheros individuales consume mucho tiempo.
Tipos Tipos
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Diferencial
Se realiza una comparacin del contenido de los ficheros a la hora de
determinar qu debe copiarse.
Ventajas:
Todas las incrementales
Requiere menos espacio
Desventajas:
Todas las incrementales
No todas las herramientas permiten copias diferenciales
Tipos Tipos
49
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Nivel 2
El resto de los das se realiza una copia de seguridad de nivel 2, en cada
semana se toma como referencia la copia de seguridad de nivel 1.
Estrategias Estrategias
Nivel 0
El primer lunes de cada mes se realiza una copia completa
Nivel 1
El resto de los lunes y el primer martes de cada mes se realiza una copia
de nivel 1
Buenas costumbres Buenas costumbres
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Correcta etiquetacin de los soportes
2 2
No almacenar las copias en el mismo recinto que los datos
4 4
NO realizar las copias en el mismo dispositivo del cual se estn
obteniendo los datos.
1 1
Realizar las copias cuando no hay nadie trabajando
5 5
Comprobar el estado de la copia de seguridad
3 3
50
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Linux
Tar, cpio, restore/dump, amanda
Herramientas Herramientas
Windows
Administrador de copias de seguridad
MEDIDAS DE SEGURIDAD MEDIDAS DE SEGURIDAD
EN LOS EN LOS
SISTEMAS INFORM SISTEMAS INFORM TICOS TICOS
(AN (AN LISIS FORENSE) LISIS FORENSE)
51
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
Los objetivos del anlisis forense son:
Averiguar qu ha pasado
Cmo se ha realizado la intrusin
Qu consecuencias ha tenido
Quin ha sido
Debido a la creciente importancia de los sistemas de informacin, no slo
por su repercusin social sino tambin por la importancia de los datos y
operaciones que se realizan con ellos, los estados han legislado los
llamados delitos informticos.
Y todo ello con procedimientos y herramientas legales.
No hacer RubberHouse para averiguar que ha pasado!!!!!!
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
1.- Recopilacin de las evidencias
Si el equipo est encendido hay que conseguir la siguiente informacin:
* Ficheros:
- Ficheros abiertos
- Ficheros temporales
- Fechas de modificacin y acceso
* Red:
- Conexiones abiertas (equipos, interfaces de red)
- Tablas de erutado
- ARP
* Estado del sistema:
- Fecha y hora local
- Usuarios presentes en el sistema
- Contenido del sistema /proc
- Copias de los registros y estado del procesador
Procedimiento Procedimiento
52
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
2.- Anlisis e investigacin de las evidencias
Hay que estudiar las correlaciones de los datos obtenidos en la fase
anterior (logs, ficheros,)
Adems deberemos buscar signos de algn proceso de ocultacin de datos
Para poder reproducir mejor los pasos del atacante es bueno poder
disponer de una mquina virtual con el mismo sistema que el equipo
comprometido
Procedimiento Procedimiento
Prevencin
Introduccin
Anlisis
Deteccin
Recuperacin
Seguridad Seguridad - - Medidas de seguridad Medidas de seguridad
3.- Presentacin de la informacin
En esta ltima fase, los administradores deben presentar, con un lenguaje
claro y sencillo, sin tecnicismos, los resultados obtenidos en las fases
anteriores y las conclusiones a las que se ha llegado.
Procedimiento Procedimiento