La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Diego E. Medina R. Director de Proyectos Cyberia S.A.

Publicada porMarcelino Godinez Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Diego E. Medina R. Director de Proyectos Cyberia S.A."— Transcripción de la presentación:

1 Diego E. Medina R. Director de Proyectos Cyberia S.A.
Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad Diego E. Medina R. Director de Proyectos Cyberia S.A.

2 Objetivos Generales Identificar las fallas de seguridad relacionadas con el protocolo TCP/IP Conocer los conceptos relacionados con los Sistemas de Detección de Intrusos y el Monitoreo de Seguridad Identificar los aspectos fundamentales en la implementación de Sistemas de Detección de Intrusos y monitoreo de Seguridad Informática Comprender los requerimientos y responsabilidades corporativas necesarias para completar exitosamente un proyecto de Detección de Intrusos

3 Contenido de la charla Parte I – Fundamentos de IDS
Conceptos fundamentales de TCP/IP Teoría del ICMP (Internet Control Message Protocol) Teoría del servicio DNS (Domain Name Service) Teoría de fragmentación

4 Contenido de la charla Parte II – Implementación y Administración de IDS Arquitectura de los sistemas de detección de Intrusos Introducción a los filtros y patrones Interoperatividad y correlación de eventos Escenarios de monitoreo de Seguridad Reacción automática o manual ante eventos de Seguridad Tendencias y proyección de los Sistemas de Detección de Intrusos

5 Contenido de la charla Parte III - Factores Organizacionales
Factores gerenciales Amenazas y vulnerabilidades Organizacionales Actividades relacionadas con la Implementación

6 Fundamentos de IDS

7 Conceptos de TCP/IP El modelo de Internet de TCP/IP Web Browser
Capa de aplicación: Maneja la Implementación de aplicaciones de Usuario. Web Browser Stream Web Server Capa de transporte: Maneja la conexión punto a punto entre equipos. TCP Segmento TCP TCP Capa de red: Mueve la información De fuente a destino. IP Datagrama IP IP Capa de enlace: Maneja la Transferencia de datos desde y hacia Medio físico. Driver Ethernet Frame Ethernet Driver Ethernet

8 Conceptos de TCP/IP Encapsulamiento Datos Datos Datos Datos
Header TCP Datos Header Datagrama IP Datos Header Frame Ethernet Datos Los encabezados de una capa, se convierten en datos para la siguiente

9 Conceptos de TCP/IP Estructura del Encabezado IP Total: 20 bytes VER
15 31 VER TOS Longitud en Bytes ID Frag. Offset TTL Protocolo Header CheckSum Dirección IP Fuente Dirección IP Destino

10 Conceptos de TCP/IP Puertos de Servicios Puerto Fuente Puerto Destino
15 31 Puerto Fuente Puerto Destino Longitud Mensaje CheckSum Datos Porción de paquete IP (UDP) Domain 53/udp La longitud del campo es 16 bits, por lo que se Permiten puertos diferentes.

11 Conceptos de TCP/IP Enrutamiento IP Fuente: 172.20.41.2 MAC
MAC Fuente: 0f:00:20:1f:b0:0f IP Destino: MAC Destino: 0f:00:20:51:ab:47 Enrutador 00:00:0c:00:8f:3c 00:00:0c:03:00:de 0f:00:20:1f:b0:0f 0f:00:20:51:ab:47 IP Fuente: MAC MAC Fuente: 00:00:0c:00:8f:3c IP Destino: MAC Destino: 0f:00:20:51:ab:47

12 Conceptos de TCP/IP Establecimiento de conexiones TCP (1) Servidor
Cliente Servidor Envío Syn 1 Recepción Syn 2 Envío Syn/Ack Recepción Syn/Ack Envío Ack 3 Recepción Ack Envío Fin Datos Recepción Fin Recepción Ack Envío Ack

13 Conceptos de TCP/IP Establecimiento de conexiones TCP (2) Servidor
Cliente Servidor Envío Syn 1 Recepción Syn 2 Envío Syn/Ack Recepción Syn/Ack Envío Ack 3 Recepción Ack Datos Envío Rst Recepción Rst

14 Interfaz de Red (Enlace)
Teoría del ICMP Orígenes y Utilización Internet Control Message Protocol Fue concebido originalmente como un mecanismo de reportar condiciones de error y el envío y recepción de solicitudes simples. No utiliza puertos y va encapsulado en el Datagrama IP. Aplicación Transporte TCP Y UDP ICMP { Internet (Red) IP Interfaz de Red (Enlace)

15 Teoría del ICMP Funcionamiento Echo Request Echo Reply Trafico IP
Source quench Trafico a puerto filtrado Enrutador Admin prohibited Trafico a puerto valido Enrutador Host Unreachable

16 Teoría del ICMP Actividad Maliciosa - Smurf Victima.com
Paso 1: Se envía un Echo request a una dirección Broadcast con dirección fuente falsa de victima.com Paso 2: El enrutador permite trafico ICMP Echo Request a direcciones broadcast. Paso 3: Todos los host responden con un Echo Reply a la direccion fuente real del mensaje. Victima.com

17 Teoría del ICMP Actividad Maliciosa – Tribe Flood Network (TFN)
TFN Master: se comunica con los daemons Por medio de Echo reply’s (ID en el header) TFN Daemons Los hosts inundan la victima Victima

18 Teoría de DNS Domain Name Service
Presta el servicio de conversión de nombres direcciones IP y viceversa Son probablemente el objetivo de la mayoría de ataques e intentos de Vulneración Porque? - Pueden proveer muchísima información sobre las maquinas de la red y ayudar a preparar ataques bien planeados - Al ser vulnerados, pueden permitir la manipulación y redireccionamiento del trafico hacia otras redes

19 Teoría de DNS DNS Poisoning www.sitio1.com? 200.30.20.20 200.10.10.20
Servidor DNS

20 Teoría de Fragmentación
La fragmentación es necesaria para que los paquetes de datos puedan viajar de una red de ciertas características a otras. Aumentan la eficiencia en las transmisiones de datos, permitiendo adaptar los tamaños de los paquetes a las características de las redes por las que viajan. La fragmentación es utilizada para saltar los sistemas de detección de Intrusos que no “memorizan” el estado de las conexiones.

21 Teoría de Fragmentación
Internet Stateless IDS ServidorWEB d.exe?dir+c:\ stem32/cm nnt/sy ./wi . ./

22 Implementación y Administración de IDS

23 Arquitectura de IDS Básicamente existen dos tipos de detectores de Intrusos: IDSes basados en red Un IDS basado en red monitorea los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el trafico (como un HUB o un enrutador). Este donde este, monitorizara diversas maquinas y no una sola: esta es la principal diferencia con los sistemas de detección de intrusos basados en host. IDS

24 Arquitectura de IDS Arquitectura de IDS
IDSes basados en maquina Mientras que los sistemas de detección de intrusos basados en red operan bajo todo un dominio de colisión, los basados en maquina realizan su función protegiendo un único sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en background (o que despierta periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala utilización y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado. IDS IDS

25 IDS Filtros y Patrones Filtros
Descartan paquetes de información que cumplen con ciertos criterios como IP fuente, protocolo, puerto, etc Patrones Comparan la información de los paquetes y los datos mismos para tomar acciones correctivas como desconexión, , almacenamiento en logs, etc.

26 Filtros y Patrones Ejemplo de filtro: Ejemplo de Patrón: Dirección IP
Mascara Protocolo TCP Puerto 80, 443, 25, 23 Ejemplo de Patrón: Dirección IP cualquiera Mascara Protocolo TCP Puerto 80 Patrón “cmd.exe” Acción Desconexión, log

27 Interoperabilidad y correlación
La interoperabilidad, permite que un sistema IDS pueda compartir u obtener información de otros sistemas como Firewalls, Enrutadores y Switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red. La correlación es una nueva característica que añade a los IDS la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.

28 Escenarios de monitoreo de Seguridad
Sensor por dentro del FireWall Internet FireWall IDS

29 Escenarios de monitoreo de Seguridad
Sensor por fuera del FireWall IDS Internet FireWall

30 Escenarios de monitoreo de Seguridad
Sistemas híbridos IDS Internet FireWall IDS

31 Reacción automática o manual
Mecanismos de reacción automática: Filtrado de puertos y servicios en recursos perimetrales Utilizar FireWalls internos para proteger redes internas Utilizar IDS de maquina en los servidores críticos Demoras en respuestas a escaneos de puertos en el FireWall Desechar conexiones por medio de IDS de red Bloquear temporalmente todo el trafico de direcciones hostiles Aislamiento automático de los dispositivos (apagado) Simulación de respuesta de puertos no abiertos en las maquinas Implementación de Honeypots

32 Reacción automática o manual
Procedimientos de reacción manual: Preparación Recursos disponibles Identificación Herramientas y personas calificadas Contención Congelar la escena física del incidente Transporte al sitio del incidente Forensica del sistema Erradicación Herramientas y reinstalación de sistema si es necesario Recuperación Utilización de respaldos y copias de seguridad Aprender de las lecciones aprendidas en el incidente Llevar registro detallado de todos los incidentes y los procedimientos

33 Tendencias y proyección de IDSs
Realidad: Los ataques están incrementando Las herramientas son cada día mas sofisticadas Cyber-Terrorismo Atacantes Internos Soluciones a futuro: Integración de Antivirus con IDSs y FireWalls Desencripcion del trafico encriptado para análisis de Seguridad Correlación de eventos entre diferentes dispositivos en la red Detección de intrusos a nivel de aplicativo, como por ejemplo software de oficina Personal mas calificado en temas de seguridad informática

34 Factores Organizacionales

35 Factores Gerenciales POLITICA DE SEGURIDAD CORPORATIVA
SEGUIR LAS MEJORES PRACTICAS DE LA INDUSTRIA CONTAR CON INFRAESTRUCTURA PARA SEGURIDAD IMPLEMENTAR CONTRAMEDIDAS SEGÚN LA PRIORIDAD REALIZAR REVISIONES PERIODICAS DEL ESTADO DE LA SEGURIDAD IMPLEMENTAR MECANISMOS DE REACCION ANTE INCIDENTES DEFINIR EL NIVEL DE RIESGO REDUCIR GRADUALMENTE EL NIVEL DE RIESGO DEFINIR LAS AMENAZAS Y SU IMPACTO (MATRIZ DE RIESGO) JUSTIFICAR LA INVERSION DE SEGURIDAD EN TERMINOS DE REDUCCION DE TARIFAS DE POLIZAS DE SEGUROS Y SERVICIOS RELACIONADOS

36 Amenazas y Vulnerabilidades

37 Amenazas y Vulnerabilidades

38 Amenazas y Vulnerabilidades

39 Actividades relacionadas con Implementación
Definición de los recursos a proteger Análisis de la infraestructura de red Análisis especial para ambientes switcheados Análisis de estructura y disposición de FireWalls Sistemas Operativos a proteger Características geográficas Definición de los procedimientos de reacción Seguridad física y control de acceso a los recursos Definición de herramientas para pruebas de seguridad internas y externas Capacitación del personal en la utilización de las herramientas y en Seguridad en General

40 FIN

Descargar ppt "Diego E. Medina R. Director de Proyectos Cyberia S.A."

Presentaciones similares

Protocolos de Inter-red

Protocolos de Inter-red
CAPA DE TRANSPORTE MODELO OSI

CAPA DE TRANSPORTE MODELO OSI
GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.

GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.
IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS
Sistemas Peer-To-Peer La plataforma JXTA

Sistemas Peer-To-Peer La plataforma JXTA
TEMA1. Servicios de Red e Internet

TEMA1. Servicios de Red e Internet
Firewalls COMP 417.

Firewalls COMP 417.
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.

© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.
CAPA DE TRANSPORTE DEL MODELO OSI

CAPA DE TRANSPORTE DEL MODELO OSI
“Un mundo de posibilidades“

“Un mundo de posibilidades“
Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento

Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
PROTOCOLOS Y ESTANDARES DE RED

PROTOCOLOS Y ESTANDARES DE RED
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
CAPA DE RED DEL MODELO DE REFERENCIA OSI

CAPA DE RED DEL MODELO DE REFERENCIA OSI
Ingeniería en Automática Industrial Software para Aplicaciones Industriales I Ingeniería en Automática Industrial Software para Aplicaciones Industriales.

Ingeniería en Automática Industrial Software para Aplicaciones Industriales I Ingeniería en Automática Industrial Software para Aplicaciones Industriales.
Objetivos Describir la forma en que las redes impactan nuestras vidas diarias. Describir el rol del trabajo en red en la actualidad. Identificar los componentes.

Objetivos Describir la forma en que las redes impactan nuestras vidas diarias. Describir el rol del trabajo en red en la actualidad. Identificar los componentes.
Capa de transporte.

Capa de transporte.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Manuel H. Santander Peláez GIAC Certified Forensic Analyst

Manuel H. Santander Peláez GIAC Certified Forensic Analyst

Presentaciones similares

Anuncios Google