Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad Ing. Héctor A. Hernández.

Slides:



Advertisements
Presentaciones similares
GFI EventsManager 7. Administracion de los registros de sucesos de toda la red Los registros de sucesos son una valiosa herramienta para monitorear la.
Advertisements

Sistemas Peer-To-Peer La plataforma JXTA
Firewalls COMP 417.
Nanci Abarca Pablo Cruz Gabriela Palacios Cisne Sarmiento
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Ing. Horacio Carlos Sagredo Tejerina
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Diego E. Medina R. Director de Proyectos Cyberia S.A.
MODELO TCP/IP Conectividad de extremo a extremo especificando como los datos deberian ser formateados,direccionados,transmitidos,enrutados y recibidos.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
MODELO TCP/IP.
TOPICOS ACTIVIDAD # 5 TOPICOS G.B.I PRESENTADO POR:
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
FIREWALL.
ELEMENTOS DE UNA RED ( Parte I)
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
Auditoría de Sistemas y Software
Diseño Lógico de la Red Topología.
El término servidor hace referencia a un host que ejecuta una aplicación de software que proporciona información o servicios a otros hosts conectados.
66.69 Criptografía y Seguridad Informática FIREWALL.
1 MENSAJES DE CONTROL Y ERROR DE LA PILA TCP/IP Semestre 2 Capítulo 8 Carlos Bran
Módulo V: Voz sobre IP Tema : Consideraciones a evaluar en la implementacion de VoIP L.I. Karla Ivette Ortega Hernández.
POR: SANTIAGO TORO RENDON LUIS ANGEL NEGRETE HERNANDEZ.
RESUMEN CAPITULO 6.
Fundamentos de TCP/IP.
En este capitulo se analizo la relación entre cliente y servidor de red habituales, como: HTTP FTP DNS DHCP Correo Electrónico INTRODUCCIÓN.
TALLER DE DESARROLLO WEB FUNDAMENTOS DE INTERNET.
Seguridad DNS. Javier Rodríguez Granados.
Modelo OSI Capas 3 y 4 Harold Sánchez Ospina
 Un Firewall o Cortafuegos, es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados)
Elementos básicos de la seguridad perimetral
UNIVERSIDAD DE GUADALAJARA CENTRO UNIVERSITARIO DE LA COSTA SUR ALUMNA: CLEMENTINA RANGEL ALMEDA MATERIA: SISTEMAS OPERATIVOS ABIERTOS 16 DE JUNIO 09,
Documentación de una red empresarial:
Capítulo 7: Capa de transporte
Políticas de defensa en profundidad: - Defensa perimetral
ADMINISTRACIÓN DE REDES Análisis de Tráfico. Es el proceso de capturar tráfico de la red y de examinarlo de cerca para determinar qué está sucediendo.
5.7 Servicios no orientados a conexión. 5.8 Ruteadores.
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.
 TCP/IP es un conjunto de protocolos. La sigla TCP/IP significa " Protocolo de control de transmisión/Protocolo de Internet " y se pronuncia "T-C-P-I-P".
Conceptos de protocolos de red
Políticas de defensa en profundidad
Protocolos del modelo TCP/IP
Redes virtuales.
Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.
Ing. Elizabeth Guerrero V.
4. Introducción a IP,TCP,UDP,ARP,ICMP
PROTOCOLO TCP Y UDP.
Protocolos de comunicación TCP/IP
Ing. Elizabeth Guerrero V.
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.
PROTOCOLOS DE COMUNICACIÓN PRESENTAN: GUADALUPE MORALES VALADEZ ESTELA ORTEGA AGUILAR IRAIS UGARTE BAUTISTA LAURA ARELI JERONIMO FLORES ANA LILIA CONDE.
Arquitecturas de cortafuegos Gabriel Montañés León.
Arquitecturas de cortafuegos:
Seguridad de Datos IDS e IPS.
UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II
PROTOCOLOS Modelo TCP/IP
FIREWALLS, Los cortafuegos
Gabriel Montañés León. TCP es un protocolo orientado a conexión es decir, que permite que dos máquinas que están comunicadas controlen el estado de la.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
TECNOLOGIAS INTEGRADAS DE INTERNET. CIRLEY CASTILLO MÓNICA MANTILLA DERLY VARGAS Aprendices: ING. BLANCA NUBIA CHITIVA Instructora: CENTRO DE INDUSTRIA.
Comunicación a través de la red
MODELO TCP/IP.
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Protocolos de Transporte y Aplicación Javier Rodríguez Granados.
Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación
Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se.
Sistemas de Comunicación Magistral Nro. 6 Capa 3: Red La Capa de Red provee principalmente los servicios de envío, enrutamiento (routing) y control de.
Protección de un servicio Web 1.Autenticación. 2.Gestión de usuarios y grupos. 3.Gestión de servicios. 4.Gestión de sistema de ficheros. 5.Firewall. 6.Prevención.
Transcripción de la presentación:

Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad Ing. Héctor A. Hernández

Conceptos de TCP/IP El modelo de Internet de TCP/IP Web Browser Capa de aplicación: Maneja la Implementación de aplicaciones de Usuario. Web Browser Stream Web Server Capa de transporte: Maneja la conexión punto a punto entre equipos. TCP Segmento TCP TCP Capa de red: Mueve la información De fuente a destino. IP Datagrama IP IP Capa de enlace: Maneja la Transferencia de datos desde y hacia Medio físico. Driver Ethernet Frame Ethernet Driver Ethernet

Conceptos de TCP/IP Enrutamiento IP Fuente: 172.20.41.2 MAC MAC Fuente: 0f:00:20:1f:b0:0f IP Destino: 172.21.19.8 MAC Destino: 0f:00:20:51:ab:47 Enrutador 172.21.19.1 00:00:0c:00:8f:3c 172.20.41.1 00:00:0c:03:00:de 172.20.41.2 0f:00:20:1f:b0:0f 172.21.19.8 0f:00:20:51:ab:47 IP Fuente: 172.20.41.2 MAC MAC Fuente: 00:00:0c:00:8f:3c IP Destino: 172.21.19.8 MAC Destino: 0f:00:20:51:ab:47

Conceptos de TCP/IP Establecimiento de conexiones TCP (1) Servidor Cliente Servidor Envío Syn 1 Recepción Syn 2 Envío Syn/Ack Recepción Syn/Ack Envío Ack 3 Recepción Ack Envío Fin Datos Recepción Fin Recepción Ack Envío Ack

Interfaz de Red (Enlace) Teoría del ICMP Orígenes y Utilización Internet Control Message Protocol Fue concebido originalmente como un mecanismo de reportar condiciones de error y el envío y recepción de solicitudes simples. No utiliza puertos y va encapsulado en el Datagrama IP. Aplicación Transporte TCP Y UDP ICMP { Internet (Red) IP Interfaz de Red (Enlace)

Teoría del ICMP Funcionamiento Echo Request Echo Reply Trafico IP Source quench Trafico a puerto filtrado Enrutador Admin prohibited Trafico a puerto valido Enrutador Host Unreachable

Teoría del ICMP Actividad Maliciosa - Smurf Victima.com Paso 1: Se envía un Echo request a una dirección Broadcast con dirección fuente falsa de victima.com Paso 2: El enrutador permite trafico ICMP Echo Request a direcciones broadcast. Paso 3: Todos los host responden con un Echo Reply a la direccion fuente real del mensaje. Victima.com

Teoría del ICMP Actividad Maliciosa – Tribe Flood Network (TFN) TFN Master: se comunica con los daemons Por medio de Echo reply’s (ID en el header) TFN Daemons Los hosts inundan la victima Victima

Teoría de DNS Domain Name Service Presta el servicio de conversión de nombres direcciones IP y viceversa Son probablemente el objetivo de la mayoría de ataques e intentos de Vulneración Porque? - Pueden proveer muchísima información sobre las maquinas de la red y ayudar a preparar ataques bien planeados - Al ser vulnerados, pueden permitir la manipulación y redireccionamiento del trafico hacia otras redes

Teoría de DNS DNS Poisoning www.sitio1.com? 200.30.20.20 200.10.10.20 Servidor DNS 200.10.10.20 200.30.20.20 www.sitio1.com www.sitio2.com

Teoría de Fragmentación La fragmentación es necesaria para que los paquetes de datos puedan viajar de una red de ciertas características a otras. Aumentan la eficiencia en las transmisiones de datos, permitiendo adaptar los tamaños de los paquetes a las características de las redes por las que viajan. La fragmentación es utilizada para saltar los sistemas de detección de Intrusos que no “memorizan” el estado de las conexiones.

Teoría de Fragmentación Internet www.servidor.com/../../winnt/system32/cmd.exe?dir+c:\ Stateless IDS ServidorWEB www.servidor.com/../../winnt/system32/cmd.exe?dir+c:\ d.exe?dir+c:\ stem32/cm nnt/sy ./wi . ./ www.servidor.com/.

Implementación y Administración de IDS

Arquitectura de IDS Básicamente existen dos tipos de detectores de Intrusos: IDSes basados en red Un IDS basado en red monitorea los paquetes que circulan por nuestra red en busca de elementos que denoten un ataque contra alguno de los sistemas ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un elemento que analice todo el trafico (como un HUB o un enrutador). Este donde este, monitorizara diversas maquinas y no una sola: esta es la principal diferencia con los sistemas de detección de intrusos basados en host. IDS

Arquitectura de IDS Arquitectura de IDS IDSes basados en maquina Mientras que los sistemas de detección de intrusos basados en red operan bajo todo un dominio de colisión, los basados en maquina realizan su función protegiendo un único sistema; de una forma similar a como actúa un escudo antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en background (o que despierta periódicamente) buscando patrones que puedan denotar un intento de intrusión o mala utilización y alertando o tomando las medidas oportunas en caso de que uno de estos intentos sea detectado. IDS IDS

IDS Filtros y Patrones Filtros Descartan paquetes de información que cumplen con ciertos criterios como IP fuente, protocolo, puerto, etc Patrones Comparan la información de los paquetes y los datos mismos para tomar acciones correctivas como desconexión, e-mail, almacenamiento en logs, etc.

Filtros y Patrones Ejemplo de filtro: Ejemplo de Patrón: Dirección IP 200.20.10.10 Mascara 255.255.255.0 Protocolo TCP Puerto 80, 443, 25, 23 Ejemplo de Patrón: Dirección IP cualquiera Mascara Protocolo TCP Puerto 80 Patrón “cmd.exe” Acción Desconexión, e-mail (ids@miempresa.com), log

Interoperabilidad y correlación La interoperabilidad, permite que un sistema IDS pueda compartir u obtener información de otros sistemas como Firewalls, Enrutadores y Switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red. La correlación es una nueva característica que añade a los IDS la capacidad de establecer relaciones lógicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema.

Escenarios de monitoreo de Seguridad Sensor por dentro del FireWall Internet FireWall IDS

Escenarios de monitoreo de Seguridad Sensor por fuera del FireWall IDS Internet FireWall

Escenarios de monitoreo de Seguridad Sistemas híbridos IDS Internet FireWall IDS

Reacción automática o manual Mecanismos de reacción automática: Filtrado de puertos y servicios en recursos perimetrales Utilizar FireWalls internos para proteger redes internas Utilizar IDS de maquina en los servidores críticos Demoras en respuestas a escaneos de puertos en el FireWall Desechar conexiones por medio de IDS de red Bloquear temporalmente todo el trafico de direcciones hostiles Aislamiento automático de los dispositivos (apagado) Simulación de respuesta de puertos no abiertos en las maquinas Implementación de Honeypots

Reacción automática o manual Procedimientos de reacción manual: Preparación Recursos disponibles Identificación Herramientas y personas calificadas Contención Congelar la escena física del incidente Transporte al sitio del incidente Forensica del sistema Erradicación Herramientas y reinstalación de sistema si es necesario Recuperación Utilización de respaldos y copias de seguridad Aprender de las lecciones aprendidas en el incidente Llevar registro detallado de todos los incidentes y los procedimientos

Tendencias y proyección de IDSs Realidad: Los ataques están incrementando Las herramientas son cada día mas sofisticadas Cyber-Terrorismo Atacantes Internos Soluciones a futuro: Integración de Antivirus con IDSs y FireWalls Desencripcion del trafico encriptado para análisis de Seguridad Correlación de eventos entre diferentes dispositivos en la red Detección de intrusos a nivel de aplicativo, como por ejemplo software de oficina Personal mas calificado en temas de seguridad informática

Factores Organizacionales

Factores Gerenciales POLITICA DE SEGURIDAD CORPORATIVA SEGUIR LAS MEJORES PRACTICAS DE LA INDUSTRIA CONTAR CON INFRAESTRUCTURA PARA SEGURIDAD IMPLEMENTAR CONTRAMEDIDAS SEGÚN LA PRIORIDAD REALIZAR REVISIONES PERIODICAS DEL ESTADO DE LA SEGURIDAD IMPLEMENTAR MECANISMOS DE REACCION ANTE INCIDENTES DEFINIR EL NIVEL DE RIESGO REDUCIR GRADUALMENTE EL NIVEL DE RIESGO DEFINIR LAS AMENAZAS Y SU IMPACTO (MATRIZ DE RIESGO) JUSTIFICAR LA INVERSION DE SEGURIDAD EN TERMINOS DE REDUCCION DE TARIFAS DE POLIZAS DE SEGUROS Y SERVICIOS RELACIONADOS

Actividades relacionadas con Implementación Definición de los recursos a proteger Análisis de la infraestructura de red Análisis especial para ambientes switcheados Análisis de estructura y disposición de FireWalls Sistemas Operativos a proteger Características geográficas Definición de los procedimientos de reacción Seguridad física y control de acceso a los recursos Definición de herramientas para pruebas de seguridad internas y externas Capacitación del personal en la utilización de las herramientas y en Seguridad en General

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.