Santini System Group /

Esparza Santini

Conceptos de Seguridad
Agenda

 Descripción del problema

 Ataques de seguridad en red
 Protocolos de administración
 Firewalls
 Redes privadas virtuales VPN´s
 IDS Vs IPS
 Sistemas de monitoreo y correlación de
eventos de seguridad
 Sistemas de Filtrado de correo
 Sistemas de Filtrado de páginas Web
Descripción del Problema
Descripción del Problema
¿Cuáles son las amenazas?
 Descripción del Problema

 La seguridad inadecuada en la infraestructura

de tecnología de la información puede afectar
negativamente la integridad, confidencialidad y
disponibilidad de los sistemas y de la
información.

 Las redes de una organización siempre están

expuestas y son vulnerables en alguna medida,
a ataques internos o externos.

 En los servicios de red, debido a la necesidad

de cubrir la demanda de servicios se descuida
la seguridad.
 ¿De quién es el problema?

 Cualquier persona que utilice la infraestructura

de TI tiene que preocuparse por el
mejoramiento de la seguridad de los sistemas
en red.
 Todos los usuarios deben tener la
responsabilidad organizacional, ética y legal,
de proteger cualquier tipo de información.
 Premisas

 La seguridad es un Proceso, no un producto.

 La seguridad efectiva es la seguridad en
conjunto.
 Existen metas y objetivos del negocio que
derivan requerimientos de seguridad
 Se debe conocer qué es lo que se está
protegiendo (análisis de riesgos).
 Los controles apoyan las políticas de
seguridad definidas en la organización.
 Consideraciones

 Identificación de lo que se va a proteger

 Seguridad Versus Desempeño
 Alta disponibilidad?
 Contratos de Servicio
 Evaluación periódica del estado de la
seguridad de la red.
 Analogía de componentes físicos de seguridad

Puertas,candados, Firewalls y controles de

guardas acceso
Keys y carnets Autenticación
Alarmas cámaras y
sensores de Intrusion detection system
movimiento

• Sistemas complementarios que unidos

proveen defensa efectiva
 Ataques de seguridad en red

 Existen cuatro categorías primarias de ataques

de seguridad en red.
 Ataques de reconocimiento
 Ataques de Acceso
 Ataques de DoS
 Ataques de Basados en Software (Worms,
Virus y Caballos de Troya).
 Protocolos de administración

Los protocolos de Administración más usados

incluyen SSH, SSL y Telnet. Adicionalmente
también se encuentran SNMP, SYSLOG, TFTP y
NTP.
Protocolos como Telnet, SNMP, SYSLOG, TFTP y
NTP presentan problemas y riesgos de
seguridad. Los primeros por enviar información
en texto claro sensible a ataques de
reconocimiento como packet sniffing y el último
es más impactado por la falta de mecanismos
de autenticación.
 ¿Qué es un Firewall?

Un Firewall es un sistema o grupos de sistemas

que controla el acceso entre dos redes.
Es un mecanismo de filtrado de trafico basado en
reglas y variables de red.
¿Cómo trabaja un Firewall?

El Firewall evalúa formas de acceso entre

zonas basado en Listas de Control de
Acceso ACL´s, estás reglas son revisadas
de arriba hacia abajo con un “deny”
implícito al final.
Redes Privadas Virtuales VPN´s

Una VPN es un servicio que ofrece

seguridad y conectividad confiable sobre
una infraestructura de red pública
compartida como Internet.
 Intrusion Detection Systems IDS´s
Históricamente surgen antes que los IPS`s , con la
función principal de detectar situaciones
anómalas y usos indebidos de los recursos y
servicios de la infraestructura tecnológica.

La detección de intrusos consiste en un conjunto

de métodos y técnicas para revelar actividad
sospechosa sobre un recurso o conjunto de
recursos computacionales. Es decir, eventos que
sugieran comportamientos anómalos , incorrectos
o inapropiados sobre un sistema; entendido como
el ente que se está monitoreando (estación de
trabajo, dispositivos de red, servidores, firewalls,
etc).
Intrusion Detection Systems IDS´s
Un IDS es un equipo que se conecta de modo
promiscuo a la red, para que detecte ataques y
envíe notificaciones a un equipo de
administración. Para detectar intrusiones en un
sistema, los IDS`s utilizan tres tipos de
información: la recopilada tiempo atrás que tiene
información de ataques previos, la configuración
actual del sistema y finalmente la descripción del
estado actual en términos de comunicación y
procesos.

Existen indicadores estadísticos que permiten

cuantificar la bondad del IDS. Tales indicadores
(sensibilidad, especificidad y precisión) se basan
en los siguientes conceptos:
Intrusion Detection Systems IDS´s
Verdadero Positivo (TP): Intrusión existente y
correctamente detectada.

Falsos Positivos (FP): Intrusión no existente e

incorrectamente detectada.

Falsos Negativos (FN): Intrusión existente y no

detectada.

Verdaderos Negativos (TN): Intrusión no

existente y no detectada.

De acuerdo a la ubicación de la fuente auditada,

los IDS`s se pueden clasificar en:
 Intrusion Detection Systems IDS´s
Los IDS basados en Host (HIDS) sólo procesan
información de las actividades de los usuarios y
servicios en una máquina determinada, por ejemplo
la creación de archivos, los llamados al sistema
operativo y los llamados a las interfaces de red.

Los IDS basados en red (NIDS) hacen sniffing sobre

algún punto de la red y analizan el tráfico capturado
en busca de intrusiones.

En caso de que el NIDS se encuentre distribuido

(DIDS) disponiendo de varios puntos de recolección
y análisis de datos (sensores) usualmente se
consolida un banco de datos centralizado que
contiene la información procesada por los diferentes
sensores.
 Intrusion Prevention Systems IPS´s
Finalmente, los IDS basados en logs procesan los
archivos de log en búsqueda de información
relacionada con eventos de intrusión, este tipo de
detección se caracteriza por su completitud y
precisión.

IPS (Intrusion Prevention System): Son dispositivos

de hardware o software encargados de revisar el
tráfico de red con el propósito de detectar y
responder a posibles ataques o intrusiones. La
respuesta usualmente consiste en descartar los
paquetes involucrados en el ataque o modificarlos
(scrubbing) de tal manera que se anule su propósito.
Es claro que este comportamiento los clasifica como
dispositivos proactivos debido a su reacción
automática a situaciones anómalas.
 Intrusion Prevention Systems IPS´s

De alguna manera el comportamiento de los IPS semeja el

comportamiento de los firewalls ya que ambos toman
decisiones con respecto a la aceptación de un paquete en
un sistema. Sin embargo, la diferencia radica en el hecho
que los firewalls basan sus decisiones en los encabezados
del paquete entrante, en particular los de las capas de red y
transporte, mientras que los IPS basan sus decisiones tanto
en los encabezados como en el contenido de los datos
(payload) del paquete.

El IDS se limita a detectar y notificar la intrusión a la

persona encargada de recibir y responder las alertas (por
ejemplo: el administrador de red o el operador del IDS)
quien debe tomar la acción correctiva pertinente, lo que es
 Intrusion Prevention Systems IPS´s
análogo a darse cuenta de un robo en un banco y
limitarse a notificarle a la policía.

Por su parte, una vez el IPS detecta la intrusión la

detiene de algún modo. En el caso de la analogía del
robo, el IPS representa un guardia armado que
reacciona de forma instintiva al ataque.

Es importante notar que los IPS no son la “bala de plata”

que hace desaparecer los problemas de seguridad, ni
soluciona las falencias de los IDS, por ejemplo, los IPS
no están en capacidad de detectar y mucho menos
detener intrusiones sobre comunicaciones cifradas o
detener intrusiones que ni siquiera son capaces de
detectar.
 Términos clave
Virus: está diseñado para atacar computadores y a
menudo para replicarse a través de la red en muchos
dispositivos. Un virus puede ser un archivo adjunto en
un correo electrónico, que al seleccionarse causa que el
código ejecutable corra y replique el virus.
Gusano: programa de software destructivo que
escanea para hallar vulnerabilidades o huecos de
seguridad en computadores, luego explotar las
vulnerabilidades y replicarse. Los gusanos se pueden
replicar de forma independiente y muy rápidamente.
Troyano: software enmascarado como confiable como
un juego o un protector de pantalla, una vez que el
usuario lo accesa, comienza su labor destructiva que
puede consistir en borrado de archivos o reformateo del
disco duro. Los troyanos usualmente no se replican.
 Términos clave
Denial of Service DoS: es el ataque a una red que
provoca la denegación de un servicio por una aplicación
solicitada como una página web. Hay muchas maneras
de generar un ataque de DoS, la más simple es generar
gran cantidad de tráfico aparentemente valido, esto
satura de peticiones al servidor, provocando que los
usuarios que realmente lo necesitan, no tengan acceso a
él. Sin embargo, este tipo de DoS normalmente
necesita ser distribuido ya que requiere más de una
fuente para general el ataque (DDoS).
Spyware: es una clase de aplicaciones de software que
pueden participar en ataques a redes. Una vez la
aplicación de spyware ha sido instalada, éste captura
información de lo que hacen los usuarios con sus
computadores (páginas visitadas, e-mails enviados y
passwords digitados.
 Sistemas centralizados de monitoreo y
correlación de eventos de seguridad
Son plataformas centralizadas en la cuales se condensan
los eventos de seguridad reportados por diferentes
dispositivos ubicados en la red, allí son analizados en
busca de patrones coincidentes como orígenes, destinos,
tipos de ataque y con base en estos análisis se hace un
resumen emitiendo contadas alertas con información
precisa que permite al administrador de seguridad
enfocarse en puntos focalizados.

Estos equipos dentro de sus bondades brindan:

 Importar flujos de datos de red.

 Crear una línea base del tráfico normal de red.
 Importar configuraciones de equipos administrados.
 Mostrar el mapa de la topología de red junto con
vectores de ataque.
Sistemas centralizados de monitoreo y
correlación de eventos de seguridad

 Reducir falsos
positivos por
incidentes reportados.
 Realiza mitigación
al desplegar
configuraciones sobre
dispositivos específicos
para detener ataques.
 Realiza mitigación
enseñandos ACL´s que
cierran el ataque a la
fuente del mismo.
 Sistemas de filtrado de correo

Los sistemas de filtrado de

correo están diseñados para
detener correo spam,
entendiendo este tipo de correo
como todo aquel mensaje no
solicitado, habitualmente de
tipo publicitario, enviado en
grandes cantidades (incluso
masivas) que perjudican de
alguna o varias maneras al
receptor
¿Cómo trabaja un sistema de filtrado de correo?

Cuando cualquier usuario envía un correo electrónico a

una cuenta de un dominio de un cliente de servicio, el
servidor de correo del remitente verifica la información
del dominio, accediendo a los registros de los DNS,
encontrando que para ese dominio aparece la dirección
del sistema de filtrado. El sistema de filtrado procesa los
correos y envía al servidor del cliente aquellos que
cumplan con los requisitos establecidos, reteniendo en la
cuarentena los que contengan virus, spam o contenidos
que incumplan la política de uso establecida por el
cliente.
¿Cómo trabaja un sistema de filtrado de correo?
¿Cómo trabaja un sistema de filtrado de correo?
En el sentido saliente, los correos procedentes del servidor
del cliente son enviados al sistema de filtrado, y este una
vez comprueba su limpieza, los envía a los buzones de los
destinatarios.
¿Cómo trabaja un sistema de filtrado de correo?

Los correos pueden ser modificados para añadir

anotaciones (como una indicación de que el correo ha
sido filtrado y que se ha determinado que contiene
spam) o puede disparar notificaciones para advertir de
una circunstancia anormal.

Los correos almacenados en cuarentena pueden ser

revisados, liberados o borrados por aquellos que el
cliente determine tienen autoridad para hacerlo
(administradores o usuarios).
Sistemas de filtrado de páginas Web

Sistemas que proporcionan análisis avanzado que

incluye reglas, firmas, métodos heurísticos* y conductas
de las aplicaciones para detectar y evitar la evasión de
proxy, sitios de hacking, contenido para adultos,
botnets, keyloggers, ataques de phishing, spyware y
muchos otros tipos de contenido inseguro.

*heurística: algoritmo que persigue detectar problemas utilizando buenos tiempos de

ejecución y buenas soluciones, usualmente las óptimas. Las heurísticas generalmente son
usadas cuando no existe una solución óptima bajo las restricciones dadas (espacio, tiempo,
etc) o cuando no existe del todo.
Santini System Group /
Esparza Santini

FABIO ANDRES LASSO

Ingeniero de Soporte IT - Cauca

fabio.lasso@santinisystemgroup.com