08/06/2017

Tipos de Firewalls

Firewall
Un firewall es un sistema que fuerza la implementacin de polticas
de control de acceso entre 2 o ms dominios de seguridad.
Un Firewall puede ser:
Un dispositivo (hardware dedicado)
Un software implementado sobre un dispositivo (no dedicado), lo que seran
firewall ISR (Integrated Services Router)
Una implementacin de recursos o herramientas que permiten realizar este
tipo de tareas, un conjunto de ACLs (Access Control List) en un router de
acceso.

1
 08/06/2017

Tipos de Firewalls
Filtrado de paquetes stateless (sin estado)
Filtrado de paquetes stateful (con estado)
Filtrado de paquetes stateful con inspeccin (SPI (Stateful Packet
Inspection)) y control de aplicaciones
Sistemas de prevencin de intrusos en la red: NIPS (Network Intrusion
Prevention Systems)
Gateways de aplicaciones (proxies)

Filtrado de paquetes stateless (sin

estado)
Es la forma ms bsica de filtrado de trfico. Usualmente se aplica en
dispositivos de capa de red e implementa conjuntos de reglas
estticas que examinan los encabezados de cada paquete para
permitir o denegar el trfico, sin ninguna relacin con los flujos de
trfico precedentes. Trabajan bien cuando el objetivo filtra
aplicaciones basadas en TCP que no utilizan negociacin dinmica de
puertos.

2
 08/06/2017

Filtrado de paquetes stateful (con estado)

Es un mtodo de filtrado de paquetes que trabaja a nivel de flujo o

conexin, con ocasionales intervenciones a nivel de la aplicacin.
Mantienen una tabla de estado que hace seguimiento de las sesiones
que atraviesan el firewall y en funcin de ella hace inspeccin de cada
paquete que atraviesa el dispositivo.
El mecanismo asume que si se permite el inicio de la conexin,
cualquier conexin adicional que requiera esa aplicacin ser
permitida.
Es un mecanismo confiable para filtrar trfico de red entre dominios
de seguridad.

Filtrado de paquetes stateful con inspeccin

(SPI (Stateful Packet Inspection)) y control de
aplicaciones
Se trata de firewalls stateful que incorporan motores de anlisis de
trfico que suman servicios adicionales que reciben la denominacin
de AIC (Application Inspection and Control) o DPI (Deep Packet
Inspection).
Estos sistemas reensamblan en memoria las sesiones de capa de
transporte para realizar inspeccin de protocolos de capa de
aplicacin y decodifican los protocolos de capa de aplicacin para
permitir filtrado de protocolos y contenidos. Pueden verificar los
protocolos de capa de aplicacin para eliminar paquetes que no se
conformen con el funcionamiento estndar del protocolo.

3
 08/06/2017

Sistemas de prevencin de intrusos en la red:

NIPS (Network Intrusion Prevention Systems)
Tambin conocidos como IDS/IPS o IDPS (Intrusion Detection
Prevention System). Son sistemas que analizan el trfico de la red con
el propsito de bloquear trfico malicioso conocido. Se asienta en
una base de datos de ataques que debe ser actualizada
peridicamente.
Son mecanismos permisivos y usualmente no pueden detectar
amenazas nuevas a menos que hayan sido incluidas en las
actualizaciones.

Gateways de aplicaciones (proxies)

Es un sistema de software diseado para actuar como intermediario y
reenviar requerimientos de capa de aplicacin y respuestas entre los
clientes y los servidores. En trminos de control de acceso, permite
un filtrado y seguimiento muy granular tanto de las solicitudes como
de las respuestas.
Brindan opciones de control de acceso confiables para los protocolos
soportados. Sin embargo, hay que tener presente que no hay proxies
disponibles para todas las aplicaciones corporativas y no se aplican a
aplicaciones de tiempo real.

4
 08/06/2017

Sistema de prevencin de
intrusos (ips)

SISTEMA DE PREVENCION DE INTRUSOS (IPS)

5
 08/06/2017

Un Sistema de Prevencin de Intrusos (IPS) es un

dispositivo que ejerce el control de acceso en una
red informtica para proteger a los sistemas
computacionales de ataques y abusos.
La tecnologa de Prevencin de Intrusos es
considerada por algunos como una extensin de
los Sistemas de Deteccin de Intrusos (IDS), pero
en realidad es otro tipo de control de acceso, ms
cercano a las tecnologas cortafuegos.

Los IPS fueron inventados de forma independiente por Jed Haile y

Vern Paxon para resolver ambigedades en el monitoreo pasivo de
redes de computadoras, al situar sistemas de detecciones en la va
del trfico.
Los IPS presentan una mejora importante sobre las tecnologas de
cortafuegos tradicionales, al tomar decisiones de control de
acceso basados en los contenidos del trfico, en lugar de
direcciones IP o puertos.

6
 08/06/2017

Tiempo despus, algunos IPS fueron comercializados por la

empresa One Secure, la cual fue finalmente adquirida por
NetScreen Technologies, que a su vez fue adquirida por Juniper
Networks en 2004.
Dado que los IPS fueron extensiones literales de los sistemas IDS,
continan en relacin.
Tambin es importante destacar que los IPS pueden actuar al nivel
de equipo, para combatir actividades potencialmente maliciosas

FUNCIONAMIENTO
Un Sistema de Prevencin de Intrusos, al igual que un
Sistema de Deteccin de Intrusos, funciona por medio de
mdulos, pero la diferencia es que este ltimo alerta al
administrador ante la deteccin de un posible intruso
(usuario que activ algn Sensor), mientras que un
Sistema de Prevencin de Intrusos establece polticas de
seguridad para proteger el equipo o la red de un ataque;
se podra decir que un IPS protege al equipo
proactivamente y un IDS lo protege reactivamente.

7
 08/06/2017

FUNCIONAMIENTO
Los IPS se categorizan en la forma que detectan el trfico
malicioso:
Deteccin Basada en Firmas
Deteccin Basada en Polticas
Deteccin Basada en Anomalas
Deteccin Honey Pot (Jarra de Miel)

DETECCIN BASADA EN FIRMAS

Una firma tiene la capacidad de reconocer una determinada
cadena de bytes en cierto contexto, y entonces lanza un alerta. Por
ejemplo, los ataques contra los servidores Web generalmente
toman la forma de URLs.
Por lo tanto se puede buscar utilizando un cierto patrn de
cadenas que pueda identificar ataques al servidor Web.
Sin embargo, como este tipo de deteccin funciona parecido a un
Antivirus, el Administrador debe verificar que las firmas estn
constantemente actualizadas.

8
 08/06/2017

DETECCIN BASADA EN POLTICAS

En este tipo de deteccin, el IPS requiere que se declaren muy

especficamente las polticas de seguridad.
Por ejemplo, determinar que hosts pueden tener comunicacin
con determinadas redes. El IPS reconoce el trfico fuera del perfil
permitido y lo descarta.

DETECCIN BASADA EN ANOMALAS

Este tipo de deteccin tiende a generar muchos falsos positivos, ya
que es sumamente difcil determinar y medir una condicin
normal. En este tipo de deteccin tenemos dos opciones:
Deteccin Estadstica de Anormalidades: El IPS analiza el trfico
de red por un determinado periodo de tiempo y crea una lnea
base de comparacin. Cuando el trfico vara demasiado con
respecto a la lnea base de comportamiento, se genera una
alarma.

9
 08/06/2017

DETECCIN BASADA EN ANOMALAS

Deteccin No Estadstica de Anormalidades: En este tipo de
deteccin, es el administrador quien define el patrn normal de
trfico. Sin embargo, debido a que con este enfoque no se realiza
un anlisis dinmico y real del uso de la red, es susceptible a
generar muchos falsos positivos.

DETECCIN HONEY POT (JARRA DE MIEL)

Aqu se utiliza un distractor. Se asigna como Honey Pot un
dispositivo que pueda lucir como atractivo para los atacantes.
Los atacantes utilizan sus recursos para tratar de ganar acceso
en el sistema y dejan intactos los verdaderos sistemas.
Mediante esto, se puede monitorizar los mtodos utilizados
por el atacante e incluso identificarlo, y de esa forma
implementar polticas de seguridad acordes en nuestros
sistemas de uso real.

10
 08/06/2017

SISTEMA DE DETECCIN DE INTRUSOS

Un sistema de deteccin de intrusos (o IDS de sus

siglas en ingls Intrusion Detection System) es un
programa usado para detectar accesos no
autorizados a un computador o a una red.
Estos accesos pueden ser ataques de habilidosos
hackers, o de Script Kiddies que usan herramientas
automticas.

El IDS suele tener sensores virtuales (por

ejemplo, un sniffer de red) con los que el
ncleo del IDS puede obtener datos externos
(generalmente sobre el trfico de red).
El IDS detecta, gracias a dichos sensores,
anomalas que pueden ser indicio de la
presencia de ataques o falsas alarmas.

11
 08/06/2017

SISTEMA DE DETECCIN DE INTRUSOS

El funcionamiento de estas herramientas se basa en
el anlisis pormenorizado del trfico de red, el cual
al entrar al analizador es comparado con firmas de
ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de
puertos, paquetes malformados, etc.
El IDS no slo analiza qu tipo de trfico es, sino
que tambin revisa el contenido y su
comportamiento.

Normalmente esta herramienta se integra con un

firewall.
El detector de intrusos es incapaz de detener los
ataques por s solo, excepto los que trabajan
conjuntamente en un dispositivo de puerta de enlace
con funcionalidad de firewall, convirtindose en una
herramienta muy poderosa ya que se une la inteligencia
del IDS y el poder de bloqueo del firewall
Al ser el punto donde forzosamente deben pasar los
paquetes y pueden ser bloqueados antes de penetrar en
la red.

12
 08/06/2017

SISTEMA DE DETECCIN DE INTRUSOS

Los IDS suelen disponer de una base de datos de firmas de

ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC
y el uso fraudulento, y/o entre el trfico normal de la red y el
trfico que puede ser resultado de un ataque o intento del mismo.

TIPOS DE IDS
Existen dos tipos de sistemas de deteccin
de intrusos:
HIDS (HostIDS): el principio de
funcionamiento de un HIDS, depende del
xito de los intrusos, que generalmente
dejaran rastros de sus actividades en el
equipo atacado, cuando intentan
aduearse del mismo, con propsito de
llevar a cabo otras actividades. El HIDS
intenta detectar tales modificaciones en el
equipo afectado, y hacer un reporte de sus
conclusiones.

13
 08/06/2017

TIPOS DE IDS
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo
el segmento de la red. Su interfaz debe funcionar en modo promiscuo
capturando as todo el trfico de la red.

SISTEMAS PASIVOS Y SISTEMAS REACTIVOS

En un sistema pasivo, el sensor detecta una posible
intrusin, almacena la informacin y manda una seal de
alerta que se almacena en una base de datos. En un
sistema reactivo, el IDS responde a la actividad
sospechosa reprogramando el cortafuegos para que
bloquee trfico que proviene de la red del atacante.

14
 08/06/2017

SISTEMAS PASIVOS Y SISTEMAS REACTIVOS

Un sistema que reacciona ante el ataque previniendo que
este contine, se denomina IPS por sus siglas en ingles de
Intrusion prevention system.

15
 08/06/2017

COMPARACIN CON CORTAFUEGOS

Si bien ambos estn relacionados con seguridad en redes de
informacin, un IDS, difiere de un cortafuegos, en que este ltimo
generalmente examina exteriormente por intrusiones para evitar
que estas ocurran. Un cortafuegos limita el acceso entre redes,
para prevenir una intrusin, pero no determina un ataque que
pueda estar ocurriendo internamente en la red.

COMPARACIN CON CORTAFUEGOS

Un IDS, evala una intrusin cuando esta toma lugar, y genera una
alarma. Un IDS adems observa ataques que se originan dentro
del sistema. Este normalmente se consigue examinando
comunicaciones, e identificando mediante heurstica, o patrones
(conocidos como firmas), ataques comunes ya clasificados, y toma
una accin para alertar a un operador.

16
 08/06/2017

MECANISMOS DE DETECCIN DE UN ATAQUE

Un IDS, usa alguna de las dos siguientes tcnicas

para determinar que un ataque se encuentra en
curso:
Heurstica
Patrn

HEURSTICA
Un IDS basado en heurstica, determina actividad normal
de red, como el orden de ancho de banda usado,
protocolos, puertos y dispositivos que generalmente se
interconectan, y alerta a un administrador o usuario
cuando este vara de aquel considerado como normal,
clasificndolo como anmalo.

17
 08/06/2017

PATRN
Un IDS basado en patrones, analiza paquetes en la
red, y los compara con patrones de ataques
conocidos, y preconfigurados.
Estos patrones se denominan firmas. Debido a esta
tcnica, existe un periodo de tiempo entre el
descubrimiento del ataque y su patrn, hasta que
este es finalmente configurado en un IDS. Durante
este tiempo, el IDS ser incapaz de identificar el
ataque.

PATRN
Para poner en funcionamiento un sistema de deteccin
de intrusos se debe tener en cuenta que es posible
optar por una solucin hardware, software o incluso una
combinacin de estos dos.
La posibilidad de introducir un elemento hardware es
debido al alto requerimiento de procesador en redes
con mucho trfico. A su vez los registros de firmas y las
bases de datos con los posibles ataques necesitan gran
cantidad de memoria, aspecto a tener en cuenta.

18
 08/06/2017

PATRN
En redes es necesario considerar el lugar de
colocacin del IDS. Si la red est segmentada con
hub (capa 1 del modelo OSI) no hay problema en
analizar todo el trfico de la red realizando una
conexin a cualquier puerto.
En cambio, si se utiliza un switch (capa 2 del
modelo OSI), es necesario conectar el IDS a un
puerto SPAN (Switch Port Analiser) para poder
analizar todo el trfico de esta red.

GRACIAS POR SU ATENCIN

19