SEGURIDAD EN LAS REDES

PRESENTADO POR:
CARLOS ESCOBAR
CRISTIAN COUSIN
DENNIS ROMERO
OCTAVIO GUTIERREZ
STEFANIE CIBRIAN

CATEDRATICO: ING HEGEL LPEZ

CURSO: ADMINISTRACIN Y APICACIONES
DE REDES
SAN PEDRO SULA, CORTES HONDURAS, C.A.

MAYO 2015

ndice
Introduccin............................................................................ 1
Objetivo................................................................................1
1.

IDS Intrusion Detection System.................................................2

2.

IDS Intrusion Detection System.................................................2

3.

CISCO IPS........................................................................2

4.

Cisco IPS Management Products................................................3

5.

Cisco IPS Manager Express......................................................3

6.

Cisco Security Manager..........................................................4

7.

Tcnicas de Evasin..............................................................4

8.

Seguridad.........................................................................5

9.

Configurando Anlisis de Trafico Basico........................................6

10.

Sensores Virtuales..............................................................7

11.

Ventajas y Restricciones de la Virtualizacin.................................7

12.

Cisco IPS.......................................................................7

13.

Estadsticas de paquetes de control de TCP para TCP SYN................10

14.

Using Cisco Security Intelligence Operations...............................11

Bibliografa........................................................................... 12

Introduccin
El presente informe presenta algunos servicios de monitore de redes privadas de
internet, a traves de software especializados en seguridad computacional. Estos software
y tipos de servicios descritos mas adelante pertenencen exclusivamente a la
infraestructura y diseo de los equipos CISCO.

Objetivo
1. Estudiar distintos software de monitoreo de seguridad en redes privadas de
Internet.
2. Estudiar distintos tipos de servicios que ofrece CISCO en la implentacion de una
administracion segura con equipos CISCO en una red.

1. IDS Intrusion Detection System

Este es un control de seguridad o de contramedida que tiene la capacidad de detectar el
mal uso y el abuso de, y el acceso no autorizado a los recursos de red. Un IDS, en la
mayora de los casos, es un dispositivo dedicado que supervisa el trfico de red y
detecta trfico maliciososo o anomalas en base a varios criterios:
a.

ataques a la capa de aplicaciones, tales como ataques de salto de directorio,

desbordamientos de bfer, o formas-var pagars de inyeccin de comandos.

b. barridos de red y exploraciones (indicativos de reconocimiento de red).
c. Las inundaciones denegacin de servicio (DoS) ataques en forma de paquetes o
largeamounts de (ICM) paquetes de protocolo de mensajes de control de Internet
TCP SYN.

2. IDS Intrusion Detection System

Anomalas de red comunes en la mayora de interconexin de sistemas abiertos OSI)
capas. Algunas de estas anomalas de red comunes detectados por un IDS de red
incluyen los siguientes: datagramas IP no vlidos, paquetes TCP no vlidos, unidades de
protocolo de capa de aplicacin con formato incorrecto.
Los administradores de seguridad de red supervisan estas alertas generadas por los IDS
y decidir cmo reaccionar.
Un ID no puede detener un ataque o trfico malicioso solo. Un control de seguridad y
contramedidas que tiene la capacidad para detectar y prevenir el mal uso y el abuso de,
y el acceso no autorizado a los recursos de red es un sistema de prevencin de
intrusiones (IPS)

3. CISCO IPS
Las plataformas de sensores Cisco IPS integran en una variedad de topologas de red y
arquitecturas. Las plataformas de sensores se dividen en los siguientes grupos
principales:
a. Aparatos Standalone IPS en forma de Cisco IPS sensores de la serie 4200 de Cisco
b. AIM-IPS, NME-IPS de Cisco Integrated Services Routers Cisco Catalyst 6500

c. Serie del Sistema de Deteccin de Intrusos (IDSM-2) Mdulos

d. integrado Cisco ASA 5500 Series de inspeccin avanzada y Seguridad Prevencin
de Ser-vicios Mdulos (AIP SSC-5, AIP SSM-10, AIP SSM-20 y AIP SSM-40
Cisco Catalyst 6500 Series IDSM-2 Module
El Cisco Catalyst 6500 Series IDSM-2 est diseado especficamente para la direccin
cambi ambientes mediante la integracin de la funcionalidad IPS directamente en
theSWITCH. El IDSM-2 se ejecuta la misma imagen de software como los aparatos de
sensores y puede ser configurado para llevar a cabo la prevencin de intrusiones. VLAN
se utilizan en lugar de las interfaces porque no hay interfaces externas en la IDSM-2.
Interfaces de monitoreo y de mando se logran a travs de VLAN porque no hay una
interfaz externa apoyada en la module.Global correlacin IDSM-2, deteccin de
anomalas, firmas de los clientes, y hasta cuatro sensores virtuales son compatibles con
el mdulo IDSM-2

4. Cisco IPS Management Products

Cisco IPS el Administrador de dispositivos
El Administrador de dispositivos Cisco IPS (IDM) es una aplicacin Java basada en la
web que le permite configurar y administrar el sensor utilizando una interfaz grfica de
usuario. IDM proporciona una gestin para un solo dispositivo iOS. El servidor web
para la aplicacin Cisco IDM reside en el sensor de Cisco IPS.

5. Cisco IPS Manager Express

Es una aplicacin basada en Windows que permite configurar, administrar y supervisar
el sensor. A continuacin se presenta una lista ms especfica de las funciones que el
IME ofrece:
Gestin de hasta diez dispositivos IPS. IME es una solucin ideal para
implementaciones pequeas y sim-PLER.

 Gestin de todos los modelos de sensores disponibles en la actualidad para incluir IPS
4200 dispositivos de la serie, AIP SSC y AIP SSM, IDSM-2, y AIM-IPS y mdulos de
NME-IPS.
Integracin con IDM, proporcionando la misma interfaz para configurar las
caractersticas del sensor.
Incluye una base de datos en la que se puede tirar de eventos IPS de los sensores
utilizando el SDEEprotocol travs de una conexin HTTPS.

6. Cisco Security Manager

El Administrador de seguridad de Cisco (CSM) es una parte integral de la Management
Suite de Seguridad de Cisco.
CSM destaca en la gestin eficiente de redes de todos los tamaos utilizando poderosas
tcnicas de gestin basados en polticas. Mltiples puntos de vista son proporcionados
por CSM en la aplicacin para dar cabida a diferentes tareas y niveles de experiencia de
usuario.

7. Tcnicas de Evasin
Una serie de mtodos para analizar los ataques, pero para analizar y elegir las
contramedidas anti-evasin mejor, es importante tener en menores de soportar las
diversas tcnicas de evasin utilizados por los atacantes. Atacantes red suelen utilizar
tcnicas de evasin de red de IPS para tratar de eludir la deteccin de intrusiones,
prevencin de intrusiones y funciones de filtrado de trfico proporcionada por la red IPS
sensores. Algunos de red comnmente utilizado tcnicas de evasin IPS incluyen los
siguientes:
El cifrado y tunelizacin
ataques de temporizacin
agotamiento de recursos
la fragmentacin de Trfico
interpretacin errnea de nivel Protocolo
sustitucin de Trfico y la insercin
Consideraciones para el Despliegue de Sensores

Fundamentalmente, cuando se despliega una IDS o una IPS, se necesita considerar lo

siguiente:

8. Seguridad
a. Modo de Prevencin o Modo de Deteccin
b. Desempeo
c. Requerimientos de Virtualizacin
Los administradores de seguridad normalmente despliegan un IPS o un IDS en los
siguientes esenarios:
En cualquier los lugar en la red.
Cerca de cualquier recurso valioso
En cualquier lugar en la infraestructura interna
En los permetros de la red
En un lugar de la red que la compaa o el proveedor nesecite identificar ataques o
determinar amenazas
El modo de prevencin es utilizado para configurar respuestas agresivas (bloquear host,
desechar paquetes, o ambas) a cualquier para alertar la actividad sospechosa
El modo de deteccin no usa respuestas agresivas, en su lugar alerta al administardor o
captura trafico de red para proveer informacin acerca de actividad sospechosa en la red
Hay tres criterios comunes que el administrador debe tener en consideracin al
desplegar el sensor:
Conexiones por segundo
Retraso
Throughput
Es importante para el administrador evaluar la virtualizacin. Los sensores IPS Cisco
soportan virtualizacin en la forma de polticas de virtualizacin.
Al desplegar una IDS o una IPS, los siguientes modos son soportados por los sensores
IPS de Cisco:
5

Modo Promiscuo
Emparejamiento de Interfaces en lnea
Emparejamiento de Vlans en lnea
Agrupacin de Vlans en lnea
Modo de anlisis selectivo en lnea
Todos los sensores IPS de Cisco son dispositivos de reenvio cuando desplegados en
modo en linea. Uno de los mas sencillos y mas desplegados es el el de emparejamiento
de interfaces en lnea. En este modo, los sensores usan un par de interfaces de red para
interconectar fsica o lgicamente redes y esencialmente sirve como conexin entre los
dos segmentos de red
En este modo, el sensor acta como un puerto troncal 802.11q y tambin como
conexin, haciendo traslado de Vlan entre un par de Vlans en este Interfaz/Puerto
troncal. Todo el trafico es analizado cuando es recibido en cada vlan en cada par, y
luego puede ser enviado a la otra vlan o desechar el paquete si se detecta una amenaza
de intrison es detectada.

9. Configurando Anlisis de Trafico Basico

El motor de anlisis analiza paquetes y detecta alertas. Monitorea el trafico que fluye
por interfaces especificadas. Uno crea sensores virtuales en el motor de anlisis. Cada
sensor virtual tiene un nombre unico con una lista de interfaces. Cada sensor virtual
tambin esta asociado con una nica definicin especficamente nombrada, reglas para
eventos de accin, y configuracin de deteccin de anomalas. Paquetes de interfaces
que no estan asignados a ningn sensor virtual son desechados de acuerdo con la
configuracin de bypass.

10.Sensores Virtuales
El sensor puede recibir data de una o varias corrientes de data monitoreadas. Estas
corrientes de data monitoreadas pueden ser puertos de interfaces fisicas o puertos de
interfaces virtuales.

Un sensor virtual es una coleccin de data que es definido por una serie de politicas de
configuracion. El sensor virtual es aplicado a una serie de paquetes definidos por su
componente de interfaz. El sensor puede monitorear multiples segmentos y se pued
aplicar una politica diferente en cada sensor virtual dentro de un sensor fisico, tambin,
se pueden asignar interfaces, pares de interfaces en linea o grupos VLAN.

11.Ventajas y Restricciones de la Virtualizacin.

Ventajas
a. Se pueden aplicar diferentes configuraciones a diferentes trficos.
b. Se puede monitorear dos redes con espacios IP traslapados con un solo sensor.
c. Se puede monitorear dentro y fuera de un firewall o dispositivo NAT.

12.Cisco IPS
Cisco IPS es una serie de reglas que un sensor utiliza para detectar actividades
maliciosas y sospechosas. Un motor de firmas es una parte del sensor IPS y soporta una
categora de firmas.
Un sensor Cisco IPS puede reconfigurar dinmicamente un dispositivo remoto Cisco
para bloquear la fuente de un ataque en tiempo real. Paquetes IP pueden ser capturados
automtica o manualmente. Una anulacion de evento puede ser usada para cambiar las
acciones asociadas al evento.El filtrado de eventos permite reducir el numero de falsas
alarmas. Deteccin de intrusiones basado en Anomala Es un nuevo mtodo en la lucha
contra la explotacin y el abuso.
Cuando se utiliza junto con una solucin eficaz de deteccin basada en firmas, la
deteccin basada en anomalas es un medio viable y eficaz para la proteccin de su
infraestructura de red y la capacidad de su empresa para hacer negocio.
La deteccin de intrusiones basado en anomalas activa una alarma en los IDS cuando
algn tipo de comportamiento inusual se produce en su red. Incluye cualquier caso, el
estado, el contenido, o comportamiento que se considera ser anormal por un estndar
pre-definido.

El comportamiento "normal" puede ser programado en el sistema basado en lnea de

aprendizaje y la investigacin o el sistema puede aprender el comportamiento "normal"
en lnea al procesar el trfico de red.
El trfico HTTP en un puerto no estndar. (Anomala de protocolo)
Servicio de puerta trasera en el puerto estndar conocido. (Anomala de protocolo y
Anomala estadstica). Un segmento de cdigo binario en una contrasea de usuario.
(Anomala de la aplicacin). El exceso de UDP en comparacin con el trfico TCP.
(Anomala estadstica). Un mayor nmero de bytes procedentes de un navegador HTTP
que se va a ella. (Anomala de la aplicacin y anomala estadstica)
Para la deteccin de intrusos basados en anomalas para ser eficaz, se debe tener un
perfil robusto que caracteriza el comportamiento normal.
Un perfil se compone de una lista completa de parmetros y valores que estn
orientados especficamente a la meta siendo monitoreados.
Debe ser estable y consistente en el seguimiento del comportamiento normal de la
entorno de destino. Debe ser sensible a ocurrencias de eventos que se consideran los
problemas de seguridad. Implica la recoleccin de informacin sobre el comportamiento
y la actividad actualmente considera aceptable en la red.
Patrones de ocurrencia de comandos especficos en sesiones de aplicacin.
Asociacin de tipos de contenido con diferentes campos de protocolos de aplicacin.
Patrones de conectividad entre los servidores protegidos y el mundo exterior.
Tarifas y longitud de rfaga distribuciones para todos los tipos de trfico.
Los perfiles de adaptacin pueden aprender de los cambios normales de la red para
evitar levantar falsas alarmas.
El autoaprendizaje es fundamental para garantizar la implementacin amplia y exitosa
de los mecanismos de deteccin basados en anomalas.

Con el autoaprendizaje, el mecanismo de deteccin puede aprender el comportamiento

normal de la corriente de trfico asignado y proporcionar una deteccin basada en el
perfil aprendido.
a. Nuevos ataques de desbordamiento de bfer que llevan shellcode.
b. Nuevas hazaas.
c. Intencionalmente ataques furtivos.
Las variantes de ataques existentes en nuevos entornos.
Cules son las zonas de proteccin aplicables?
Al examinar la informacin recopilada por la deteccin de intrusiones basado en
anomalas, el enfoque cambia a los efectos mensurables de el evento, en lugar de la
mecnica de la ejecucin del evento.
Esto aplica en las reas de proteccin donde los efectos medibles son ms significativos
y donde la deteccin de intrusos basados en anomalas es de gran ayuda. Para un
protocolo estndar dado, alguien invoca funciones ya sea experimentales u obsoletas del
protocolo. A veces, esto es un indicador de la actividad maliciosa, en otros casos, esto
puede ser alguien dentro de su red de pruebas o investigacin realizando.
Un protocolo tambin puede ser mal utilizado cuando un atacante modifica con el fin de
hacer un tnel a travs de un cortafuegos. Instalacin de puerta trasera los servicios en
los puertos estndar bien conocidos es otro mal uso comn de los puertos de servicio.
Cuando un intruso malicioso crea un ataque usando un paquete IP diseado, la
denegacin resultante de servicio (DoS) puede ocurrir en el ancho de banda de red,
ciclos de CPU, los recursos de memoria, o la aplicacin de procesos / programas.
Ejemplos de este tipo de DoS incluye la tabla de procesos agotamiento, pila IP
estrellarse, o una aplicacin Web "punto blando". El impacto observable de esta DoS
ataque ser una anomala en la calidad del servicio.

Cuando los ataques han progresado ms all de la actividad del canal de control,
deteccin de intrusos basados en anomalas es el nico fiable medios para la deteccin
en el caso del ataque DoS que inunda la red con un gran volumen de trfico.
Esto es porque sofisticado trfico de ataques puede no ser distinguible de trfico de red
regular de forma individual y el paquete de ataque no se manifiesta una firma especfica
que puede ser capturado por los mecanismos basados en firmas.
Por ejemplo, el siguiente patrn de anomalas de trfico pueden ser observados como
consecuencia de la denegacin de servicio distribuido (DDoS):

13.Estadsticas de paquetes de control de TCP para TCP SYN.

Volmenes relativos de trfico TCP, UDP e ICMP para UDP o ICMP inundaciones .
Using Cisco Security Intelligence Operations
Cisco Security Intelligence Operations SIO es un servicio de nube que conecta las redes
de forma global, para todos sus clientes (clientes cisco) en un entorno confiable de
seguridad, prevencin, y vulnerabilidad.
Informacin ms reciente amenaza: Contiene informacin sobre las amenazas de
seguridad, alertas y brotes, incluyendo informes ciber-riesgo, boletines de defensa de
amenazas IPS, e informacin de virus.
Recursos: Esta seccin contiene tanto los recursos tcnicos y de negocio, que varan
las practicas de reportes de seguridad, casos de estudio, y programas.
Respuesta a Emergencias Cisco: provee informacin de los contactos que podran ser
vulnerables.
Alertas de Seguridad: son alertas dentro de la comunidad, a travs de valores, nombres
de los dispositivos. Enlazados a links con detalles de informacin.
Este es un servicio que filtra a traves de multiples alertas, desde diferentes reportes
escogidos estratgicamente, para el desarrollo de estrategias de proteccin. Este servicio
consta de lo siguiente:
Web Portal: Este es un portal de acceso para sus clientes, donde reciben la informacin
en especificas horas de trabajo, sistemas y aplicaciones usadas en la organizacin.

10

Inteligencia de Regreso: La infraestructura que conecta los datos tomados de un anlisis

de vulnerabilidad a travs de procesos rigurosos de verificacin, y publicacin de
procesos.

14.Using Cisco Security Intelligence Operations

Historial de Base de datos: es una extensin en el anlisis de vulnerabilidad incluida en
los programas de sus clientes.
Sistemas de seguimiento de trabajo en construccin: es un mecanismo que
redimenciona las acciones. En los sistemas de IT se miran los estados de cada una de las
conexiones y como estas se comportan, a traves de estados corrientes en el rendimiento
de esfuerzo.

11

Bibliografa
Davis Burns, K. b. (2012). CCNP Securty IPS 642-627 (2nd Edition ed.,
Vol. 1). (D. Burns, Ed.) Indianapolis, United States of America: Cisco
Press.

12