Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Documento realizado por el alumno Holzen Atocha Martnez Garca, Licenciado en Ciencias Computacionales, estudiante de Maestra en Tecnologas de la Informacin en Unid Sede Mrida Vista Alegre.
00109692@red.unid.mx
2011
Ttulo ............................................................................................................................................ 5 Objetivo ....................................................................................................................................... 6 Destinatarios................................................................................................................................ 7 Forma de entrega ........................................................................................................................ 8 Justificacin ................................................................................................................................. 9 Introduccin .............................................................................................................................. 10 Captulo 1. Marco Terico ................................................................................................... 11 1.1 1.2 1.3 1.4 1.5 Qu es la Seguridad?............................................................................................................ 11 Confidencialidad .................................................................................................................... 11 Integridad ............................................................................................................................... 11 Disponibilidad........................................................................................................................ 11 Autenticidad ........................................................................................................................... 11 Categora 1: algo que el usuario sabe.......................................................................... 12 Categora 2: algo que el usuario lleva consigo........................................................... 12 Categora 3: propiedad fsica o acto involuntario. .................................................... 12 Hardware ........................................................................................................................ 12 Software .......................................................................................................................... 12 Datos............................................................................................................................... 13 Elementos fungibles ..................................................................................................... 13 Interrupcin. Ataque contra la Disponibilidad. ........................................................ 13 Interceptacin. Ataque contra la Confidencialidad .................................................. 14 Fabricacin. Ataque contra la Autenticidad. ............................................................. 14 Modificacin. Ataque contra la Integridad ................................................................ 15 Factores humanos ......................................................................................................... 16 Factores no humanos ................................................................................................... 18
1.5.1 1.5.2 1.5.3 1.6 1.6.1 1.6.2 1.6.3 1.6.4 1.7 1.7.1 1.7.2 1.7.3 1.7.4 1.8 1.8.1 1.8.2 2.1 2.2
Captulo 2. Riesgos y Amenazas .......................................................................................... 20 Qu es una amenaza y un riesgo? ...................................................................................... 20 Riesgos en las redes informticas ........................................................................................ 20 Virus informticos ........................................................................................................ 20 Ingeniera Social ............................................................................................................ 20 Ataques Informticos ................................................................................................... 21
Pgina 2
2011
3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.3 3.3.1 3.3.2 3.4 3.5 3.6 3.7
Honeypots - honeynets ........................................................................................................ 25 Firewalls .................................................................................................................................. 26 Routers y Bridges .................................................................................................................. 26 Tipos de Firewall ................................................................................................................... 27 Filtrado de paquetes...................................................................................................... 27 Proxy-Gateways de aplicaciones ................................................................................. 28 Dual Homed Host ........................................................................................................ 28 Screened Host................................................................................................................ 29 Screened Subnet ............................................................................................................ 29 Inspeccin de paquetes ................................................................................................ 30 Firewalls personales ...................................................................................................... 30
3.7.1 3.7.2 3.7.3 3.7.4 3.7.5 3.7.6 3.7.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14
Polticas de diseo de firewalls ............................................................................................ 31 Restricciones en el firewall ................................................................................................... 32 Beneficios de un firewall ...................................................................................................... 32 Limitaciones de un firewall .................................................................................................. 32 Listas de Control de Accesos .............................................................................................. 33 Wrappers................................................................................................................................. 33 Deteccin de intrusos en tiempo real ................................................................................. 34 Sistemas de deteccin de intrusos .............................................................................. 34 Caractersticas de IDS .................................................................................................. 35 Fortalezas de IDS.......................................................................................................... 36 Debilidades de IDS ....................................................................................................... 37 Inconvenientes de IDS................................................................................................. 37
Pgina 3
2011
Pgina 4
2011
Ttulo
Seguridad en Redes: Reduccin de riesgos y amenazas.
Pgina 5
2011
Objetivo
Conocer la seguridad existente en las redes computacionales, las amenazas existentes y los riesgos a los que se ven expuestas, para tomar medidas adecuadas y reducirlas en un porcentaje considerable y obtener una red ms segura y robusta.
Pgina 6
2011
Destinatarios
Dirigido a administradores y personal de centros de cmputo, as como a estudiantes de redes y sistemas, y en general, a cualquier persona con conocimientos bsicos de redes que quiera conocer e implementar una mayor seguridad en su red.
Pgina 7
2011
Forma de entrega
ste documento se distribuir electrnicamente.
Pgina 8
2011
Justificacin
Debido a la importancia vital de las redes computacionales en la vida diaria, es recomendable tener conciencia de los riesgos que implica tener una seguridad deficiente, los ataques y amenazas a los que se enfrenta y las buenas prcticas que ayudan a disminuir el riesgo latente.
Pgina 9
2011
Introduccin
Las redes son, en la actualidad, una parte muy importante de nuestra vida personal y laboral. Tanto en nuestros hogares como en el trabajo, estamos inmersos en alguna red, aunque no seamos conscientes de ello. Con solo conectarnos a internet, estamos accediendo a una red, y lo mismo sucede si existe una impresora compartida entre varios equipos o si nos conectamos a otra PC para transferir archivos. El tamao de las redes es variable, pero en todos los casos sus fundamentos son los mismos. Todas ellas se crean para aprovechar las grandes ventajas que nos brindan, y todas deben ser sometidas a cuidados especiales para que no represente un problema debido a la falta de seguridad. Por eso, en este documento, nos ocuparemos de hacer un recorrido por los aspectos fundamentales de la seguridad informtica en las redes de computadoras. Partiremos desde los principios bsicos, conceptos y pilares necesarios para poder entender lo que es la seguridad, pasando por los tipos de ataques ms comunes que sufren las redes informticas, para llegar finalmente a consejos de implementacin para aplicar polticas correctas en nuestras redes. Deseamos que este documento sea de su agrado, entendible y sobre todo, pueda servirle para aumentar sus conocimientos y habilidades en el manejo de la seguridad enfocado a redes informticas. Comencemos, entonces, la lectura que nos brindar un mejor enfoque del que ya tenemos.
Pgina 10
2011
Captulo 1.
Marco Terico
1.1 Qu es la Seguridad?
La seguridad est finamente ligada a la certeza. Para entender esta definicin, hay que aclarar que no existe seguridad absoluta, ms bien, lo que se intenta es minimizar el impacto y/o riesgo. Por tal motivo, cuando hablamos de seguridad, debemos hacerlo en carcter de niveles, y lo que se intenta y se debe hacer es llevar a cabo una organizacin efectiva a fin de lograr llegar a los niveles ms altos. Las tcnicas para llegar a una correcta organizacin estn basadas en cuatro pilares fundamentales que hacen que la INFORMACIN se encuentre protegida. Estos pilares se ocupan principalmente de proteger cuatro aspectos de la informacin: Confidencialidad Integridad Disponibilidad Autenticidad
1.2 Confidencialidad
La informacin puede ser accedida nicamente por las personas que tienen autorizacin para hacerlo. Por ejemplo, cuando decimos que Internet es una Red de redes, estamos diciendo que hay medios que se entrelazan entre s para lograr una vinculacin. Es por ello que la confidencialidad se puede ver amenazada si alguien intercepta los paquetes que viajan de un lado al otro.
1.3 Integridad
Cuando nos referimos a integridad, queremos decir que estamos totalmente seguros de que la informacin no ha sido borrada, copiada o alterada, no slo en su trayecto, sino tambin desde su origen. Por ejemplo, si un atacante modifica informacin confidencial para provecho propio, o si dicha informacin est codificada y el mismo atacante, al no poder leerla claramente, la borra.
1.4 Disponibilidad
Este trmino hace referencia al mtodo de precaucin contra posibles daos tanto en la informacin como en el acceso a la misma: ataques, accidentes o, simplemente, descuidos pueden ser los factores que obligan a disear mtodos para posibles bloqueos.
1.5 Autenticidad
Algunos profesionales de la seguridad no incluyen este tem cuando hablan de los pilares, sino que nombran los tres anteriores. Particularmente, creemos que no se puede omitir este concepto, debido al hecho de que integridad nos informa que el archivo,
Pgina 11
2011
Figura 1-1 Imagen que nos muestra un sistema de verificacin por medio de usuario y password en el sistema operativo Linux.
1.5.2
Categora 2: algo que el usuario lleva consigo. Puede ser un documento de identidad, una tarjeta o cualquier otro elemento que lleve consigo. Categora 3: propiedad fsica o acto involuntario. La pupila, la voz y la huella dactilar son ejemplos de propiedades fsicas de un individuo y firmar es un acto involuntario, ya que uno no est pensando en hacer cada trazo, sino que los realiza en conjunto.
1.5.3
1.6.2
Pgina 12
2011
1.6.4
Pgina 13
2011
1.7.2
Interceptacin. Ataque contra la Confidencialidad Con este tipo de ataque lo que se logra es que un usuario no autorizado pueda acceder a un recurso y, por ende, la confidencialidad se vea divulgada. Hay muchos tipos de interceptacin, por ejemplo, cuando se intercepta las cabecera de los paquetes y logramos identificar usuarios tanto del lado del remitente como del receptor; eso es llamado interceptacin de identidad, en cambio, el sniffear (ver ilegtimamente la informacin que pasa por un medio) se llama sencillamente interceptacin de datos.
1.7.3
Fabricacin. Ataque contra la Autenticidad. El ataque contra la autenticidad tiene lugar cuando un usuario malicioso consigue colocar un objeto en el sistema atacado. Este tipo de ataque puede llevarse a cabo con el objeto de hacer creer que ese archivo/paquete es el correcto o bien con la finalidad de agregar datos y obtener, de esta manera, un provecho propio.
Pgina 14
2011
1.7.4
Modificacin. Ataque contra la Integridad Un atacante, que puede contar o no con autorizacin para ingresar al sistema, manipula los datos de tal manera que la integridad se ve afectada por su accionar. Cambiar datos de archivos, modificar paquetes, alterar un programa o aplicacin son slo algunos ejemplos de este tipo de ataque que, sin ninguna duda, es el que reviste mayor grado de peligrosidad.
Hasta aqu, hemos nombrado los grupos ms conocidos y ms divulgados dentro del campo de la seguridad informtica. Pero no son exactos, ya que algunos ataques no se
Pgina 15
2011
Pgina 16
2011
ellos hacen. Saben ms o menos lo mismo que los hackers pero no comparten la tica. Por consiguiente, no les importa romper una arquitectura o sistema una vez dentro, ni tampoco borrar, modificar o falsificar algo; es por eso que la teora habla de que: los hackers son buenos y los crackers son malos. Los lammers: se usa la palabra lamer o lammer para hablar en forma despectiva de de una persona que no posee los mismos conocimientos que tienen los expertos, pero que conserva la misma intencin. Ms puntualmente, se denomina de esta manera a la persona que quiere aprender a ser un experto sin siquiera poner esfuerzo en aprender. Ms que nada, es una palabra que usan los hackers o crackers para discriminarse del resto y de los novatos que se quieren iniciar y no saben cmo, ni tampoco poseen la pasin que los expertos tenan cuando empezaron. Cliqueadores y gececes En esta etapa englobamos a dos tipos similares: Los cliqueadores: son personas que nicamente pueden lograr su cometido si son ayudadas por un programa. Este programa suele ser creado por hackers. Los denominamos as, diferenciando entre la gama Unix y la gama Windows. Los cliqueadores, en su gran mayora, nunca usaron un entorno de consola, y si lo hicieron, fue en Microsoft DOS para poder usar el ping. En otras palabras, los clickeadores slo saben que haciendo clic (y muchas veces con un entorno grfico demaggico) pueden explotar algunas vulnerabilidades, y as creerse y manifestarse como hacker. Los gecece los denominamos as porque utilizan entorno de consola, aunque seguramente slo por el hecho de que los programas para explotar vulnerabilidades estn hechos en un lenguaje de programacin que usa libreras no compatibles con el sistema operativo Windows. Los programas para explotar (exploits), ya sean que estn escritos en Perl, C, Python o cualquier otro lenguaje, ponen a disposicin de quien quiera su cdigo fuente, es decir, que cualquiera que desee aprender una vulnerabilidad y saber cmo funciona sta, slo debera leer este cdigo. A esos jvenes, que solamente saben ejecutar este cdigo sin entenderlo, los llamamos aqu gecece, ya que GCC (Gnu Compiler Collection) es el compilador de lenguajes ms difundido y conocido. Adems, irnicamente, hemos puesto gecece, ya que la fontica sirve para los desentendidos de un idioma, y el GCC les convierte la ignorancia en un comando. Ejemplo: gcc exploit.c (siendo C el lenguaje) y, luego, con tan slo ejecutarlo tienen la misma funcin que sus compaeros, los cliqueadores. Existe una palabra en la jerga que es utilizada para denominar a estos grupos: script kiddie.
Pgina 17
2011
1.8.2
Factores no humanos Las amenazas ambientales, si bien dependiendo de la ubicacin geogrfica pueden tener ms o menos periodicidad catastrfica, no son hechos que ocurran frecuentemente. Pero esto no es motivo suficiente para no considerar la circunstancia de que, si sucede, el dao ser severo.
Pgina 18
2011
Pgina 19
2011
Captulo 2.
Riesgos y Amenazas
2.2.2
Pgina 20
2011
Pgina 21
2011
Fictitious people Protection limit poke Password guessing Invalid values on calls Van Eck bugging Packet watching Wiretapping
Bribes
Data diddling Dumpster Eavesdropping diving Software Data copying piracy Covert Viruses and channels worms Trojan hor- IP spoofing ses Excess privileges
Bien, ya hemos visto algunas de las tcnicas utilizadas con su pequea descripcin, ahora procederemos a ver cmo nos podemos defender ante estos amenazas para disminuir el riesgo.
Pgina 22
2011
Captulo 3.
3.2.1
Sistemas de deteccin de intrusos. Son sistemas que permiten analizar las bitcoras de los sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos, sobre la base de la informacin con la que han sido previamente alimentados. Pueden considerarse como monitores. Sistemas orientados a conexin de red. Monitorizan las conexiones que se intentan establecer en una red o equipo en particular, siendo capaces de efectuar una accin sobre la base de mtricas como: origen y des-
3.2.2
Pgina 23
2011
3.2.4
3.2.5
Pgina 24
2011
Pgina 25
2011
3.5 Firewalls
Quizs uno de los elementos ms publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que ms se debe prestar atencin, distan mucho de ser la solucin final a los problemas de seguridad. De hecho, los Firewalls no tienen nada que hacer contra tcnicas como la Ingeniera Social y el ataque de Insiders. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).
Como puede observarse, el Muro Cortafuegos, slo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer proteccin una vez que el intruso lo traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la informacin entrante y saliente debe pasar a travs de ellos para proveer servicios de seguridad adicionales como la encriptacin del trfico de la red. Se entiende que si dos Firewalls estn conectados, ambos deben hablar el mismo mtodo de encriptacindesencriptacin para entablar la comunicacin.
Pgina 26
2011
Pgina 27
2011
3.7.3
Dual Homed Host Son dispositivos que estn conectados a ambos permetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actan con el IPForwarding desactivado. Un usuario interior que desee hacer uso de un servicio exterior, deber conectarse primero al Firewall, donde el Proxy atender su peticin, y en funcin de la configuracin impuesta en dicho Firewall, se conectar al servicio exterior solicitado y har de puente entre este y el usuario interior. Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el Firewall y el otro desde este hasta la mquina que albergue el servicio exterior.
Pgina 28
2011
3.7.4
Screened Host En este caso se combina un Router con un host bastin y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastin, el nico sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y slo se permiten un nmero reducido de servicios.
3.7.5
Screened Subnet En este diseo se intenta aislar la mquina ms atacada y vulnerable del Firewall, el Nodo Bastin. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta mquina no consiga el acceso total a la subred protegida. En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos: hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno). Es posible definir varios niveles de DMZ agregando ms Routers, pero destacando que las reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se simplificaran a uno solo.
Pgina 29
2011
Los sistemas DualHomed Host y Screnned pueden ser complicados de configurar y comprobar, lo que puede dar lugar, paradjicamente, a importantes agujeros de seguridad en toda la red. En cambio, si se encuentran bien configurados y administrados pueden brindar un alto grado de proteccin y ciertas ventajas: Ocultamiento de la informacin: los sistemas externos no deben conocer el nombre internos. El Gateway de aplicaciones es el nico autorizado a conectarse con el exterior y el encargado de bloquear la informacin no solicitada o sospechosa. Registro de actividades y autenticacin robusta: El Gateway requiere de autenticacin cuando se realiza un pedido de datos externos. El registro de actividades se realiza en base a estas solicitudes. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del Router sern menos compleja dado a que l slo debe atender las solicitudes del Gateway.
As mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que generalmente este debe instalar algn tipo de aplicacin especializada para lograr la comunicacin. Se suma a esto que generalmente son ms lentos porque deben revisar todo el trfico de la red. 3.7.6 Inspeccin de paquetes Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, as como tambin su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas. Firewalls personales Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple cuelgue o infeccin de virus hasta la prdida de toda su informacin almacenada.
3.7.7
Pgina 30
2011
Pgina 31
2011
3.9
Restricciones en el firewall
La parte ms importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en funcin de los distintos usuarios y su ubicacin: Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados). Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido. Usuarios externos con permiso de entrada desde el exterior: este es el caso ms sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algn motivo deben acceder para consultar servicios de la red interna.
Tambin es habitual utilizar estos accesos por parte de terceros para prestar servicios al permetro interior de la red. Sera conveniente que estas cuentas sean activadas y desactivadas bajo demanda y nicamente el tiempo que sean necesarias.
3.10
Beneficios de un firewall
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estaran expuestas a ataques desde el exterior. Esto significa que la seguridad de toda la red, estara dependiendo de qu tan fcil fuera violar la seguridad local de cada mquina interna. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador ser el responsable de la revisin de estos monitoreos. Otra causa que ha hecho que el uso de Firewalls se haya convertido en uso casi imperativo es el hecho que en los ltimos aos en Internet han entrado en crisis el nmero disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un traductor de direcciones, el cual puede alojarse en el Firewall. Los Firewalls tambin son importantes desde el punto de vista de llevar las estadsticas del ancho de banda consumido por el trafico de la red, y que procesos han influido ms en ese trfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible. Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados.
3.11
Limitaciones de un firewall
La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos por su diseador, por ende si un paquete de informacin no se encuentra dentro de estos parmetros como una amenaza de peligro simplemente lo deja pasar. Ms peligroso an es que ese
Pgina 32
2011
3.12
Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clsicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos concretos. Por ejemplo pueden definirse sobre un Proxy una lista de todos los usuarios (o grupos de ellos) a quien se le permite el acceso a Internet, FTP, etc. Tambin podrn definirse otras caractersticas como limitaciones de anchos de banda y horarios.
3.13
Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con esto un ms alto nivel de seguridad. Los Wrappers son usados dentro de la seguridad en sistemas UNIXs. Estos programas nacieron por la necesidad de modificar el comportamiento del sistema operativo sin tener que modificar su funcionamiento. Los Wrappers son ampliamente utilizados, y han llegado a formar parte de herramientas de seguridad por las siguientes razones: Debido a que la seguridad lgica est concentrada en un solo programa, los Wrappers son fciles y simples de validar. Debido a que el programa protegido se mantiene como una entidad separada, ste puede ser actualizado sin necesidad de cambiar el Wrapper. Debido a que los Wrappers llaman al programa protegido mediante llamadas estndar al sistema, se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger. Permite un control de accesos exhaustivo de los servicios de comunicaciones, adems de buena capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no.
El paquete Wrapper ms ampliamente utilizado es el TCPWrappers, el cual es un conjunto de utilidades de distribucin libre, escrito por Wietse Venema (coautor de SATAN, con Dan Farmer, y considerado el padre de los sistemas Firewalls) en 1990.
Pgina 33
2011
3.14
La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas de proteccin hasta aqu abordados, si bien son eficaces, distan mucho de ser la proteccin ideal. As, debe estar fuera de toda discusin la conveniencia de aadir elementos que controlen lo que ocurre dentro de la red (detrs de los Firewalls). Como se ha visto, la integridad de un sistema se puede corromper de varias formas y la forma de evitar esto es con la instalacin de sistemas de Deteccin de Intrusos en Tiempo Real, quienes: Inspeccionan el trfico de la red buscando posibles ataques. Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos como de usuarios autorizados). Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check) del sistema para detectar la modificacin de los mismos. Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o semejantes. Controlan el ncleo del Sistema Operativo para detectar posibles infiltraciones en l, con el fin de controlar los recursos y acciones del mismo. Avisan al administrador de cualquiera de las acciones mencionadas.
3.14.1 Sistemas de deteccin de intrusos Un sistema de deteccin de intrusos es un componente ms dentro del modelo de seguridad de una organizacin. Consiste en detectar actividades inapropiadas, incorrectas o anmalas desde el exteriorinterior de un sistema informtico. Los sistemas de deteccin de intrusos pueden clasificarse, segn su funcin y comportamiento en: HostBased IDS: operan en un host para detectar actividad maliciosa en el mismo.
Pgina 34
2011
La idea central de este tipo de deteccin es el hecho de que la actividad intrusiva es un conjunto de actividades anmalas. Si alguien consigue entrar de forma ilegal al sistema, no actuar como un usuario comprometido; su comportamiento se alejar del de un usuario normal. Sin embargo en la mayora de las ocasiones una actividad intrusiva resulta del agregado de otras actividades individuales que por s solas no constituyen un comportamiento intrusivo de ningn tipo. As las intrusiones pueden clasificarse en: Intrusivas pero no anmalas: denominados Falsos Negativos (el sistema errneamente indica ausencia de intrusin). En este caso la actividad es intrusiva pero como no es anmala no es detectada. No son deseables, porque dan una falsa sensacin de seguridad del sistema. No intrusivas pero anmalas: denominados Falsos Positivos (el sistema errneamente indica la existencia de intrusin). En este caso la actividad es no intrusiva, pero como es anmala el sistema decide que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarn los avisos del sistema, incluso cuando sean acertados. No intrusiva ni anmala: son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal. Intrusiva y anmala: se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada.
Los detectores de intrusiones anmalas requieren mucho gasto computacional, ya que se siguen normalmente varias mtricas para determinar cunto se aleja el usuario de lo que se considera comportamiento normal. 3.14.2 Caractersticas de IDS Cualquier sistema de deteccin de intrusos debera, sea cual sea el mecanismo en que est basado, debera contar con las siguientes caractersticas: Debe funcionar continuamente sin supervisin humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en background dentro del equipo que est siendo observado. Sin embargo, no debe ser una caja negra (debe ser examinable desde el exterior). Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una cada del sistema. En relacin con el punto anterior, debe ser resistente a perturbaciones. El sistema puede monitorizarse a s mismo para asegurarse de que no ha sido perturbado. Debe imponer mnima sobrecarga sobre el sistema. Un sistema que relentiza la mquina, simplemente no ser utilizado.
Pgina 35
2011
Suministra informacin muy interesante sobre el trfico malicioso de la red. Poder de reaccin para prevenir el dao. Es una herramienta til como arma de seguridad de la red. Ayuda a identificar de dnde provienen los ataques que se sufren.
Protege contra la invasin de la red. Suministra cierta tranquilidad. Es una parte de la infraestructura para la estrategia global de defensa. La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir (parcialmente) al descubrimiento automtico de esos nuevos ataques. Son menos dependientes de los mecanismos especficos de cada sistema operativo. Pueden ayudar a detectar ataques del tipo abuso de privilegios que no implica realmente ninguna vulnerabilidad de seguridad. En pocas palabras, se trata de una aproximacin a la paranoia: todo aquello que no se ha visto previamente es peligroso. Menor costo de implementacin y mantenimiento al ubicarse en puntos estratgicos de la red. Dificulta el trabajo del intruso de eliminar sus huellas.
Recoge evidencias que pueden ser usadas para identificar intrusos. Es una cmara de seguridad y una alarma contra ladrones.
Pgina 36
2011
No existe un parche para la mayora de bugs de seguridad. Se producen falsas alarmas. Se producen fallos en las alarmas. No es sustituto para un buen Firewall, una auditora de seguridad regular y una fuerte y estricta poltica de seguridad.
La alta tasa de falsas alarmas dado que no es posible cubrir todo el mbito del comportamiento de un sistema de informacin durante la fase de aprendizaje. El comportamiento puede cambiar con el tiempo, haciendo necesario un reentrenamiento peridico del perfil, lo que da lugar a la no disponibilidad del sistema o la generacin de falsas alarmas adicionales. El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que el perfil de comportamiento contendr un comportamiento intrusivo el cual no ser considerado anmalo.
3.15
Kerberos
Instalar Kerberos puede ser una buena opcin para asegurar la red. Kerberos surgi en 1993, ao en que el MIT (Instituto Tecnolgico de Massachusetts) crea el proyecto Athena, y disea Kerberos basndose en la mitologa griega con su perro de tres cabezas y una cola de serpiente vigilando la entrada a Hades (el infierno). Kerberos es un sistema de seguridad que provee autentificacin a travs de redes inseguras. Su objetivo es restringir los accesos slo a usuarios autorizados y poder autentificar los requerimientos a servicios, asumiendo un entorno distribuido abierto, en el cual los usuarios en las estaciones de trabajo acceden a estos servicios a travs de una red. Los modelos de autentificacin hasta ahora vistos son, principalmente, de dos tipos: Recursos: el usuario indica el recurso al que desea acceder mediante un cliente verificado. Usuario: El usuario se ve obligado a verificar su autenticidad cada cierto tiempo.
En estos sistemas se tiene una dificultad esencial: el password viaje en forma permanente por la red estando a merced de cualquier tipo de ataque que se desee realizar. Kerberos fue creado para mitigar este problema de forma tal que el usuario necesita autorizacin para comunicarse con el servidor (y esta es confiable), se elimina la necesidad de demostrar el conocimiento de informacin privada y de que esta viaje a travs de la red.
Pgina 37
2011
Un Servidor KDC (Kerberos Distribution Center) alojado en el AS mantiene una base de datos de sus clientes (usuarios y servicios) y sus respectivas claves simtricas privadas utilizando DES (aunque actualmente se encuentra en desarrollo versiones de Kerberos empleando RSA): La Clave Secreta del Usuario: esta clave es conocida nicamente por el usuario y por Kerberos y tiene la finalidad de autentificar al usuario frente a Kerberos. El AS comparte una nica clave secreta con cada servidor, las cuales fueron distribudas fsicamente o de otra de forma segura. La Clave de Sesin: clave secreta generada por Kerberos luego de verificar al usuario y expedida al mismo con el objetivo de autentificar el intercambio de un par de usuarios que definen una sesin. Esta clave tiene un tiempo de vida predeterminado y conocida nicamente por aquellos para los cuales fue generada. Ticket: es un certificado testigo expedido a un cliente para solicitar los servicios de un servidor. Este Ticket contiene el ID del usuario y su direccin en la red y es encriptado usando la clave secreta compartida por el AS y el cliente, garantizando que este ha sido autenticado recientemente (el mismo tiene un perodo de validez). Autenticador: Es un testigo construido por el cliente y enviado al AS para probar su identidad. Slo cuando el servidor desencripta el Ticket, y verifica que el ID del usuario es autntico, otorga el servicio requerido.
3.16
Resumen de Kerberos
En el siguiente grfico puede apreciarse el funcionamiento de las distintas entidades intervinientes en Kerberos y su funcin: Solicitud de un Ticket de acceso. Ticket + Clave de Sesin. Solicitud de un Ticket de acceso al servicio. Ticket + Clave de Sesin. Solicitud de Servicio. Autenticador del Servidor.
Pgina 38
2011
El proceso de Autentificacin se divide en dos etapas: Autentificacin de Usuario 1. Un usuario desde una Estacin de Trabajo requiere un servicio. 2. AS verifica el correcto acceso del usuario a la Base de Datos, crea un Ticket y una Clave de Sesin. Los resultados son encriptados usando la clave derivada del password del usuario. Autentificacin de Servicio 3. La Estacin solicita el password al usuario y la utiliza para desencriptar el mensaje, luego enva al TGS el Ticket y el Autenticador que contienen el Nombre de Usuario, la Direccin de red y el Tiempo de Vida. 4. El TGS desencripta el Ticket y el Autenticador, verifica la solicitud y crea un Ticket para ser enviado al Servidor. 5. La Estacin de Trabajo enva el Ticket y el Autenticador al Servidor. 6. El Servidor verifica que el Ticket y el Autenticador coincidan, luego permite el Servicio.
Pgina 39
2011
Conclusiones
Existen diversas herramientas y mtodos que podemos combinar para asegurar nuestra red y eliminar o disminuir el riesgo y las amenazas que acechan a las redes. En un mundo tan conectado, es imprescindible que tengamos elementos con que defender nuestra red y datos. Tal vez los dispositivos y las implementaciones parezcan de un gran costo, pero nada es comparable a perder nuestros datos, o que estos se corrompan por ataques que pudimos prever. Siempre debemos tener una respuesta proactiva para este tipo de casos, un buen plan de contingencias y sin duda revisar constantemente las polticas de seguridad establecidas.
Pgina 40
2011
Tabla de Ilustraciones
Figura 1-1 Imagen que nos muestra un sistema de verificacin por medio de usuario y password en el sistema operativo Linux. ............................................................................................ 12 Figura 1-2 Ejemplo de paralizacin de flujo en comunicaciones. .................................................. 14 Figura 1-3 Desvo de los datos............................................................................................................. 14 Figura 1-4 El momento del cambio de datos .................................................................................... 15 Figura 1-5 Esquema de flujos de datos inventado ............................................................................ 15 Figura 3-1 Ejemplificacin de Firewall ............................................................................................... 26 Figura 3-2 Bastin Host ........................................................................................................................ 28 Figura 3-3 Dual Homed Host .............................................................................................................. 29 Figura 3-4 Screened Host ..................................................................................................................... 29 Figura 3-5 Screened Subnet .................................................................................................................. 30 Figura 3-6 Resumen de Kerberos ........................................................................................................ 39
Pgina 41
2011
Referencias
REDES CISCO, 1 EDICIN 2010, BENCHIMAL, DANIEL, EDITORIAL USERS. SEGURIDAD INFORMATICA, 2 ED. 2006, FIRTMAN, SEBASTIAN, EDITORIAL USERS
WWW.SEGU- INFO .COM.AR/PROTECCION /PROTECCION .HTM
Pgina 42