Seguridad Perimetral

Informática
ING. ALVARO ANTEZANA
ARAM © 2020
 TEMARIO

1. Seguridad del perímetro

2. Plataformas de seguridad informática
3. Firewall
4. IDS/IPS
5. Sistemas anti DoS/DDoS
6. Pasarelas anti Spam/malware

2
 1.
Seguridad del perímetro
informático
Definiciones

3
 En el campo de la seguridad
informática, los mecanismos y sistemas
de seguridad perimetral intentan
evitar el acceso no autorizado de
personas a la red, los sistemas,
servicios y la información que
albergan.
4
 “
Los principales objetivos de la seguridad
perimetral informática son:

✘ Filtrar y bloquear el tráfico ilegítimo.

✘ Detectar e identificar los ataques recibidos y alertar
acerca de ellos.
✘ Prever los ataques externos.
✘ Segmentar y resguardar los sistemas y servicios en
función de su superficie de ataque.

5
 Aplicación
Aplicación
“ • Servicios de red y aplicaciones
• Define los protocolos que utilizan las aplicaciones para intercambiar datos, como POP (Protocolo de oficina postal), FTP (Pro tocolo de transferencia de
archivos), etc.

• Representación de los datos, también permite cifra y comprimir datos

• Representa la información para que llegue a su destino de forma reconocible, aun que tenga distintas configuraciones de idiom as o regionales
Presentación

• Comunicación entre los dispositivos de red

• Mantiene y controla un enlace entres dos host que transmiten datos entre si
Sesión

Transporte • Conexión de extremo a extremo y fiabilidad de los datos

• Transporta los paquetes desde un origen a un destino sin importar el medio que utilicen
Transporte

• Determinación de ruta y direccionamiento lógico

Internet • Direccionamiento lógico mediante paquetes, los routers se encargan de establecer el mejor camino y los firewall suelen trabajar en esta capa para
Red filtrar direcciones

• Direccionamiento físico MAC (Media Access Control) subcapa y LLC (Logical Link Control) forma de transferir los datos
Acceso a la Enlace de datos
• Realiza e| direccionamiento físico, e| acceso al medio, la detección de errores, la distribución de tramas y el control de flujo.

red
• Señal y transmisión binaria
• Transmite el flujo de bits a través del medio físico
Físico

TCP/IP OSI

6
 2.
Plataformas de
seguridad informática
Definiciones

7
 “
Las principales plataformas de seguridad
informática son:

✘ Firewalls o cortafuegos
✘ Sistemas de detección y/o prevención de intrusión (IDS/IPS)
✘ Sistemas anti-DDoS
✘ Pasarelas antivirus y antispam

8
 3.
Firewall
Definiciones

9
Un cortafuegos (firewall en inglés) es un dispositivo que se
emplea para proteger una red mediante el bloqueo de
accesos no autorizados, limitando el tráfico de red de
acuerdo a diversos criterios.
Los firewall pueden ser implementados como software,
hardware o una combinación de ambos. Uno de los usos más
habituales del cortafuegos se encuentra en las redes
privadas conectadas a Internet, para evitar accesos no
autorizados desde Internet hacia la intranet.

10
 “
Existen varios tipos de firewall, con diferentes elementos, facilidad
de implementación o costos:

✘ PACKET-FILTERING FIREWALL
✘ STATEFUL INSPECTION FIREWALL
✘ APPLICATION GATEWAY FIREWALL (PROXY FIREWALL)
✘ ADDRESS-TRANSLATION FIREWALL
✘ Host-based
✘ Transparent firewall
✘ Hybrid firewall

11
PACKET-FILTERING FIREWALL
“
Un firewall de filtrado de paquetes
funciona a nivel de red cómo filtro de
paquetes según un conjunto de
criterios establecidos cómo la IP de
origen o de destino, puertos, tipo de
paquete, etc. Normalmente es un rúter
con la capacidad de filtrar paquetes,
por ejemplo de capa 3 y a veces
información de capa 4.

12
STATEFUL INSPECTION FIREWALL
“
Realiza un seguimiento del estado de las
conexiones de red (por ejemplo, flujos TCP,
comunicaciones UDP) que viajan a través de él
por medio de una memoria de uso temporal.
Distingue paquetes legítimos para diferentes
tipos de conexiones. Sólo los paquetes que
coincidan con una conexión activa conocida
serán permitidos por el firewall; los otros serán
rechazados. .
En resumen monitoriza el estado de las
conexiones, si la conexión es de iniciación, si se
están transfiriendo datos, o si es de
terminación.

13
APPLICATION GATEWAY FIREWALL
“
(PROXY FIREWALL)
Es un firewall que filtra información de capa
3, 4, 5 y 7 del modelo OSI. La mayoría de los
firewall de control y filtrado se hacen en
software..

14
ADDRESS-TRANSLATION
FIREWALL
“
Permite conectar filtros transversales NAT
personalizados en la puerta de enlace para
admitir la traducción de direcciones y puertos
para ciertos protocolos de "control / datos" de la
capa de aplicación, tales como, FTP , BitTorrent ,
SIP , RTSP, transferencia de archivos en
aplicaciones de mensajería instantánea , etc.
Por lo tanto, los datos legítimos de la aplicación
pueden pasar a través de las comprobaciones de
seguridad del firewall o NAT que, de otro modo,
habrían restringido el tráfico por no cumplir con
sus criterios de filtrado limitados.
Es un firewall que expande el número de
direcciones IP disponibles y oculta las direcciones
de red designadas.

15
 “
✘Host-based (Server and personal) firewall: un PC o un
servidor que está ejecutando un firewall software.
✘Transparent firewall: un firewall que filtra tráfico IP
entre un par de interfaces.
✘Hybrid firewall: un firewall que es una combinación de
varios tipos de firewall. Por ejemplo, una aplicación de
inspección firewall combina un stateful firewall con
una aplicación firewall gateway.

16
 ZONA DESMILITARIZADA O DMZ
(DEMILITARIZED ZONE)
Capa
Internet RED
LAN
Origen Destino Política

Internet DMZ Permitido

Internet LAN Denegado

DMZ Internet Permitido

DMZ LAN Denegado

LAN DMZ Permitido

LAN Internet Permitido DMZ

17
 4.
IDS/IPS
Definiciones

18
 Los IDS (Intrusion Detection System) / IPS(Intrusion Prevention
System) están ligados al nivel de aplicación, hoy en día existe
Hardware y Softawre (appliance), especializados en la
detección/prevención de intrusos en una red monitoreada.
Un IDS o un IPS es básicamente un analizador de tráfico red, que
fue optimizando, para poder seleccionar el tráfico deseado, y de
esta forma, poder analizar exclusivamente lo que se configura,
sin perder rendimiento, el análisis del trafico de la red es
comparado con firmas de ataques conocidos, para que luego en
base a los resultados que obtiene, genere las alarmas
correspondientes.
Los (IPS) pueden integrarse con los firewalls (que les otorga
poder de bloqueo) para detener tráficos maliciosos o atacantes
que quieren explotar una red monitoreada.

19
 “
Los IDS/IPS Pueden usar alguno de los siguientes mecanismos para
determinar que un ataque se encuentra en curso:

✘ Patrón: basado en patrones (firmas), analiza paquetes en la red, y los

compara con patrones de ataques conocidos y preconfigurados. Estos
patrones se denominan firmas. Debido a esta técnica, existe un periodo de
tiempo entre el descubrimiento del ataque y su patrón, hasta que este es
finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz
de identificar el ataque.
✘ Heurística: basado en heurística, determina la actividad normal de red,
como el orden de ancho de banda usado, protocolos, puertos y
dispositivos que generalmente se interconectan, y alerta a un
administrador o usuario cuando este varía de aquel considerado como
normal, clasificándolo como anómalo.

20
 “
Existen 2 tipos de eventos de 4 posibles que se desean identifiquen los IDS/IPS, para ilustrar
usemos dos tipos de flujos de trafico un por un gusano nuevo y el otro, por un usuario
navegando por la web:

✘ Verdadero Positivo: El gusano nuevo se está extendiendo en una red de confianza, y el IDS o IPS lanza la
alerta.
✘ Verdadero Negativo: Un usuario esta navegando por la WEB a un sitio permitido, y el IDS o IPS está en
silencio (NO ALERTA).
✘ Falso Positivo: Un usuario esta navegando por la WEB a un sitio permitido, y el IDS o IPS lanza la alerta.
✘ Falso Negativo: El gusano nuevo se está extendiendo en una red de confianza, y el IDS o IPS está en
silencio (NO ALERTA).
El objetivo es tener solo verdaderos positivo y verdaderos negativos, por que los falsos positivos hacen perder
el tiempo y los recursos, ya que el personal de vigilancia utiliza tiempo investigando los acontecimientos no
malintencionados. Los falsos negativos son, posiblemente, el peor de los casos: el tráfico malicioso en una red
que no se está prevenido o detectado.

21
 NIDS Y NIPS (NETWORK BASED)
“
Un sistema de detección de intrusiones basado en red (NIDS) detecta el tráfico malicioso en una red.
Los NIDS por lo general requieren acceso a la red de forma promiscua con el fin de analizar todo el
tráfico, incluyendo todo el tráfico UNICAST. Los NIDS son dispositivos pasivos que no interfieran con el
tráfico que controlan; y envía alertas al servidor de gestión del NIS. En cambio, un NIPS puede alterar el
flujo del tráfico de la red, para detener un flujo malicioso de un ataque en la red.

22
 “
HIDS Y HIPS (HOST BASED)
Un sistema de detección/prevención de intrusiones basado en Host (HIDS/HIPS), procesan la información dentro del anfitrión
(Host o Servidor). Pueden procesar el tráfico de red que entra en el anfitrión, pero la atención se centra generalmente en sus
archivos y procesos. Un ejemplo podría ser Tripwire que protege la integridad del sistema host mediante la detección de
cambios en archivos critico del sistema operativo, mediante una variedad de métodos, como la comparación de hashes
(criptografía), este último es conocido como monitor de integridad del sistema.

23
 Comparación de los HIPS y NIPS
“
Recordemos que los HIPS examina la información en los host local o a nivel de sistema operativo, mientras que un IPS de red examina los
paquetes que viajan a través de la red para conocer los signos de la actividad intrusiva. No son tecnologías que compiten, pero si son
tecnologías que se complementa y ambos deben ser desplegados para proporcionar seguridad de extremo a extremo de la red (End-to-End)..

TIPO VENTAJAS DESVENTAJAS

• Es específico del host (para la función o sistema que tenga)
• Puede proteger al Hosts después del descifrado (si se trasmite
HIPS datos o aplicaciones cifradas)
• Proporciona protección de cifrado a nivel aplicación
• Costo económico
• No es visible en la red
NIPS • Es independiente del sistema operativo
• Ve los eventos de red de bajo nivel
• Depende del sistema operativo
• Los eventos de bajo nivel de la red no son vistos
• Los hosts son visibles a los atacantes
• No puede examinar tráfico cifrado
• no sabe si un ataque tuvo éxito

24
IDS /IPS (FIRMAS)
“ TIPO, las firmas son generalmente clasificados como atómica (único paquete) o compuesto
(firma con estado) por lo general requieren varias piezas de datos para que coincida con
una firma de ataque en un horizonte de eventos (cantidad de tiempo para mantener el
estado de las conexiones).
✘ El tráfico malicioso muestra características distintas o "firmas". Una
firma es un conjunto de reglas que un IDS/IPS utilizan para detectar
la actividad intrusiva típica, tales como los ataques DoS.
✘ Estas firmas les dan una identificación exclusiva a gusanos
específicos, los virus, anomalías de protocolo, o el tráfico malicioso.
Los Sensores IPS están sintonizados para buscar concordancia con TRIGGER (ALARMA), a menudo se refiere como el gatillo (DISPARADOR) de la firma, que
firmas o patrones de tráfico anormales. Las Firmas IPS son desencadena una acción específica de ir a un puerto específico para bloquear trafico
conceptualmente similares a los virus.dat de archivo utilizado por los o si esta en un Host invocar a una llamada del sistema para realizar una actividad
escáneres de virus..
especifica. .
✘ Los sensores de escaneo de paquetes de red, que utilizan las firmas
para detectar los ataques conocidos y responder con acciones
predefinidas. Un flujo de paquetes maliciosos tiene un tipo específico
de actividad y de firma. Un sensor de IDS o IPS examina el flujo de
datos usando muchas firmas diferentes.
✘ Cuando un sensor coincide con una firma de un flujo de datos, el toma
una acción, tal como un registro de eventos o se envía una alarma ACCIÓN, puede generar distintas acciones como: Generar una alerta de Registro de la
para el software administrativo de un IDS o IPS. actividad, impedir la caída de la actividad, Restablecer una conexión TCP, Bloque de la
actividad futura, Autorizar la actividad.
✘ Las Firmas tienen tres características distintivas que son:

25
 5.
Sistemas anti DoS/DDoS
Definiciones

26
 Un ataque de denegación de servicio (Dos) es un intento
malintencionado de afectar la disponibilidad del sistema atacado,
como por ejemplo, el sitio web de la UPDS.
Los atacantes suelen generar grandes volúmenes de paquetes o
requerimientos para, finalmente, sobrecargar el sistema
objetivo. En el caso de un ataque de denegación de servicio
distribuidos (DDoS) el atacante utiliza múltiples fuentes de
vulnerabilidad o fuentes controladas para generar el ataque.
En general, los ataques DDoS pueden ser segregados según la
capa del modelo de interconexión de sistemas abiertos (OSI) que
atacan. Son más comunes en las siguientes capas: red (capa 3),
transporte (capa 4), presentación (capa 6) y aplicación (capa 7)..

27
# CAPA APLICACIÓN DESCRIPCIÓN
“ EJEMPLO DE VECTOR
Inundaciones HTTP,
7 Aplicación Datos Procesamiento de red para la aplicación inundaciones de consultas
DNS
6 Presentación Datos Representación de datos y cifrado Abuso de SSL
5 Sesión Datos Comunicación entre hosts N/D

4 Transporte Segmentos Conexiones integrales y confiabilidad Inundaciones SYN

3 Red Paquetes Determinación de la ruta y direccionamiento lógico Ataques de reflexión UDP

2 Enlace de datos Marcos Direccionamiento físico N/D

1 Físico Bits Medios, señal y transmisión binaria N/D

28
 “
ATAQUES A LA CAPA DE INFRAESTRUCTURA
Los ataques a las capas 3 y 4, en general, están clasificados como
ataques a las capas de infraestructura, estos son los ataques DDoS más
comunes e incluyen vectores como inundaciones sincronizadas (SYN) y
otros ataques como inundaciones de paquetes de datagramas de
usuario (UDP). Estos ataques, en general, tienen gran volumen y
apuntan a sobrecargar la capacidad del servidor de la red o de la
aplicación. Pero, afortunadamente, son un tipo de ataque que contiene
firmas claras y son fáciles de detectar.

29
 “
ATAQUES A LA CAPA DE APLICACIÓN
Los ataques a las capas 6 y 7 se clasifican como ataques a las capas de
aplicación, estos ataques son menos comunes, tienden a ser más
sofisticados. Estos ataques son, en general, más pequeños en volumen en
comparación con los ataques a las capas de infraestructura pero tienden
a focalizarse en partes especificas y costosas de la aplicación e impiden
que esté disponible a los usuarios reales. Por ejemplo, una inundación de
requerimientos de HTTP a una página de inicio de sesión o a una
búsqueda costosa de una API o incluso inundaciones Wordpress XML-RPC
(también conocidas como ataques pingback Wordpress)

30
 “
Las principales mecanismos de seguridad
para minimizar ataques DDoS:
✘
✘
Reducir la superficie expuesta a ataques

✘
Elaborar un plan para escalado (Capacidad de tránsito y del servidor)

✘
Monitorear del tráfico normal para identificar el anormal
Firewalls para ataques sofisticados de aplicaciones

31
 6.
Pasarelas antivirus y
antispam
Definiciones

32
 Una de las estrategias para evitar el acceso de algún tipo de
malware o spam por medio del correo electrónico corporativo,
que perjudique la operativa de la empresas, es implementara una
pasarela antivirus/antispam. Esta herramienta es una capa
intermedia (o filtro) entre la red externa y la red interna en lo
que respecta al contenido del correo electrónico recibido por un
servidor.

Su fin es inspeccionar el correo electrónico en el servidor para

filtrar aquellos que tienen contenido malicioso o quitan tiempo y
recursos por ser catalogados como spam, evitando que sean
accedidos por los destinatarios (casillas email) y por tanto a la
red interna.

33
 “
Las pasarelas antivirus/antispam pueden ser software
privativo u opensource y presentan las siguientes
características:
✘ Basado en firmas automáticas.
✘ Categorización de dudoso SPAM por filtro bayesiano que pueden ser personalizados por cada usuario.
✘ Detección y bloqueo de SPAM por firmas spamware, inconsistencia de header, análisis de contenido y
expresiones regulares.
✘ Testeo basado en DNS Block list, RHSBLs y SPF.
✘ Panel de control WEB que individualiza a los usuarios, permitiendo gestionar los emails marcados como
sospechosos, puntuación de los filtros bayesianos, listas blancas y negras por usuario, corrección con
memoria de falsos positivos y negativos.
✘ Gestión de cuarentenas por usuario a través de panel de control WEB

34
 “
FILTRADO BAYESIANO DE SPAM
Son estadísticas técnicas de filtrado (clasificación) de email, para lo cual
utilizan un conjunto de palabras características para identificar los correos
spam, correlacionan tokens (conjunto de palabras, patrones de imágenes,
etc. ) para aplicar el teorema de Bayas para el calculo de probabilidades de
ser o no spam, esto permite tener un índice bajo de falsos positivos.

35
 “
BLACK LIST (BL) ANTISPAM
Una lista negra o también llamada “blacklist”, es una lista donde identifican
direcciones IPs de servidores que envían spam. A esta lista se puede
ingresar de manera manual, es decir por medio de una denuncia y se
encuentra evidencia, o bien de manera automática por medio de los
“correos trampa” si reciben mensajes no solicitados. Los correos trampa
son casillas de email utilizadas por las organizaciones que gestionan en
internet las listas negras y que están a la espera de que les envíen spam.

36
 TIPOS DE BLACK LIST (BL)
“
En casi todos los casos, el servidor de correo verifica IPs o dominios contra una lista negra y si
encuentra un coincidente deniega las conexiones entrantes, esto aplica a todos los tipos de *B:
✘ Real-time Blackhole List (RBL), fue uno de los primeros sistemas que usaron esta tecnología y se basa en listas
negras de direcciones IPs.
✘ DNS Blacklist (DNSBL), tiene la misma función que el anterior y se puede implementar a través de zonas DNS
para trabajar del mismo modo.
✘ Right Hand Side Blacklist (RHSBL), Su funcionalidad es similar a DNSBL, sólo que en vez de usar IPs, usa
nombres de dominio.
✘ DNS whitelist (DNSWL), es básicamente una lista de direcciones IPs permitidas para enviar correo.

37
BLACK LIST POPULARES
“
✘ http://www.dnsbl.info/
✘ http://www.sorbs.net/
✘ http://www.spamhaus.org/
✘ http://www.barracudacentral.org/rbl
✘ http://www.mail-abuse.org/

38
 SENDER POLICY FRAMEWORK (SPF)
“
Es una protección contra la falsificación de direcciones en el envío de correo electrónico, identificando por
medio de los registros de nombres de dominio (DNS), a los servidores de correo SMTP autorizados para el
transporte de los mensajes. Este convenio busca ayudar para disminuir abusos como el spam y otros males
del correo electrónico.
SPF extiende el protocolo SMTP para permitir comprobar las máquinas autorizadas a enviar correo para un
dominio determinado. La idea es una mescal de identificar las máquinas autorizadas por su dirección IP, y que
esta identificación la haga el responsable del dominio que recibirá el correo por medio registros RX del DNS o
Designated Mailer Protocol (DMP). Esta combinación usa registros DNS para identificar las máquinas
autorizadas para envío de correo (sean del proveedor de servicios de Internet que sea). Esto es lo que se
propone en la solución SPF.

39
 Consultas o dudas?
tj.alvaro.antezana.m@upds.net.bo

+591 69304565
Este material es facilitado con fines didácticos solo a los estudiantes que cursan alguna
asignatura con el autor, su distribución o comercialización sin autorización esta prohibido.
Ing. Alvaro Antezana © 2020

40