SEGURIDAD DE REDES

Sistemas de decepcin
Buscan cambiar las reglas del juego
Los sistemas de decepcin, en vez de neutralizar
las acciones de los atacantes, utilizan tcnicas de
monitorizacin para registrar y analizar estas
acciones, tratando de aprender de los
atacantes.
Estrategias:
Equipos de decepcin
Celdas de aislamiento
Redes de decepcin
Equipos de decepcin
Tambin conocidos como tarros de miel o
honeypots, son equipos informticos conectados
que tratan de atraer el trafico de uno o mas
atacantes. De esta forma, sus administradores
podrn ver intentos de atacantes que tratan de
realizar una intrusin en el sistema y analizar
como se comportan los elementos de seguridad
implementados.
No solucionan ningn problema de seguridad.
Simulan ser sistemas vulnerables o dbiles a los ataques.
Recogen informacin sobre los atacantes y sus tcnicas.
Conocer al enemigo
Permiten un examen en profundidad del atacante, durante
y despus del ataque al honeypot.
Los atacantes juegan con los
archivos y conversan
animadamente entre ellos sobre
todo los fascinantes programas
que encuentran, mientras el
personal de seguridad observa
con deleite cada movimiento que
hacen.
Honeypots
Estos equipos deberan estar instalados detrs de sistemas
cortafuegos congurados para que se permitan conexiones
de entrada al equipo de decepcin, pero limitando las
conexiones de salida (para evitar que el intruso pueda
atacar sistemas de produccin reales desde el equipo de
decepcin).
Ventajas
Generan un pequeo volumen de datos
Mnimos recursos requeridos: no consume ni
ancho de banda ni memoria o CPU extra.
Inexistencia de falsas alarmas
Simplicidad
Reutilizacin
Desventajas
Equipos pasivos.
Fuente potencial de riesgo.
Finger print
Legalidad del uso de Honeypot en Ecuador
(Privacidad de Telecomunicaciones)
Las celdas de aislamiento tienen una metodologa muy similar a los
equipos de decepcin. Mediante el uso de un dispositivo intermedio
todo el trfico etiquetado como malicioso ser dirigido hacia un
equipo de decepcin.
Una celda de aislamiento ofrece al atacante un entorno
aparentemente idntico a un equipo real o de produccin.
No obstante, la celda estar protegida de tal manera que no pueda
poner en riesgo al resto de equipos de la red o del exterior.
Celdas de
Aislamiento
En la mayora de situaciones, estas celdas de aislamiento son copias exactas
de los sistemas de produccin reales hacia los que va dirigido el trfico
malicioso, proporcionando de esta forma un escenario ms creble.
.
Al igual que los equipos de decepcin, las celdas de aislamiento se pueden
utilizar para comprender mejor los mtodos utilizados por los intrusos.
Snort es una completa herramienta de seguridad
basada en cdigo abierto para la creacin de sistemas
de deteccin de intrusos en entornos de red.
Gracias a su capacidad para la captura y registro de
paquetes en redes TCP/IP, Snort puede ser utilizado para
implementar desde un simple sniffer de paquetes para
la monitorizacin del trco de una pequea red, hasta
un completo sistema de deteccin de intrusos en
tiempo real.
Snort se comporta como una autentica aspiradora de
ah su nombre de datagramas IP, ofreciendo diferentes
posibilidad en cuanto a su tratamiento.
Snort
Arquitectura de Snort
La arquitectura central de Snort se basa en los siguientes
cuatro componentes importantes.
Decodificador de paquetes o Sniffer
Preprocesador
Motor de deteccin
Sistema de alertas e informes.
Siguiendo esta estructura, Snort permitir la captura y el
preprocesador del traco de la red a travs de los dos
primeros componentes (decodicador de paquetes y
preprocesador), realizando posteriormente un chequeo
contra ellos mediante el motor de deteccin (segn
el conjunto de reglas activadas) y generando, por parte del
ultimo de los componentes, las alertas y los informes
necesarios.
Redes de decepcin
Un enfoque ms avanzado que los anteriores
consiste en la construccin de todo un segmento de
red compuesto nicamente por equipos de
decepcin (tarros de miel o honeypots), preparados
todos ellos para engaar a los intrusos (permitiendo
su acceso sin demasiada dificultad).
Los equipos de este segmento ofrecern servicios
configurados de tal modo que puedan atraer la
atencin a toda una comunidad de intrusos con el
objetivo de registrar todos sus movimientos mediante
los equipos de la red de decepcin.
La siguiente figura muestra un posible esquema
para la construccin de este tipo de redes:
Todos los sistemas instalados dentro de la red de
decepcin tendrn debern ser sistemas de
decepcin y ofrecern sus servicios de la forma
ms realista posible. Para ello, deberan ofrecer
servicios reales, como los que podramos
encontrar en cualquier equipo de produccin.
Al no haber en estos equipos de decepcin
servicios simulados, todas las conclusiones
extradas durante el anlisis de una intrusin se
podrn extrapolar directamente en la red de
produccin real. As, todas las deficiencias y
debilidades que se descubran dentro de la red
de decepcin podrn servir para describir las
existentes en la parte de produccin.
El funcionamiento de la red de decepcin se basa en un solo
principio: todo el trafico que entra en cualquiera de sus equipos se
debe considerar sospechoso.
A travs de los mecanismos de deteccin instalados en la pasarela
se realizar el proceso de monitorizacin, detectando ataques
basados en tendencias o estadsticas ya conocidas. Sin embargo,
las posibilidades de investigar toda la actividad de una red de
decepcin debera ayudar a detectar ataques desconocidos.
Las redes de decepcin se deben contemplar
como herramientas de anlisis para mejorar la
seguridad de las redes de produccin. Son una
solucin muy valiosa si una organizacin puede
dedicarle el tiempo y los recursos necesarios.