2015 1 Seguridadperimetral Tema1 140814165806 Phpapp01

Seguridad Perimetral
Conceptos Basicos de Seguridad Perimetral
Francisco Medina L
opez
Direcci
on General de Tecnologas de Informaci
on y Comunicaci
on
Universidad Nacional Aut onoma de M exico
14 de agosto de 2014
imagenes/logoUn
Conceptos B
asicos de Seguridad Perimetral
1 Conceptos B
Firewall
UTM
IDS
IPS
imagenes/logoUn
Conceptos B
Firewall
1 Conceptos B
Firewall
UTM
IDS
IPS
imagenes/logoUn
Conceptos B
Firewall
Que es un Firewall?
Definicion
Sistema o una combinaci on de sistemas que impone una barrera
entre dos o mas redes que por lo regular forman una division entre
un ambiente seguro y una abierto, como Internet.
Figura: El Firewall y los ambientes de seguridad imagenes/logoUn
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.

Conceptos B
Firewall
Taxonoma
imagenes/logoUn
Noonan, Wesley J. & Dubrawsky, Ido. Firewall Fundamentals, Cisco Press.
Conceptos B
Firewall
Vision global de los sistemas de seguridad
imagenes/logoUn
Dua, Sumeet & Du, Xian. Data Mining and Machine Learning in Cybersecurity, Taylor & Francis, P 3.
Conceptos B
Firewall
Tipos de Firewall
1 Primera Generaci
on
Packet Filtering
2 Segunda Generaci
on
Stateful Inspection
3 Tercera Generacion
Application (Proxy)
4 Cuarta Generacion
Dynamic packet filtering
5 Quinta Generacion
Kernel Proxy technology
Deep packet inspection
IDS / IPS capabilities
imagenes/logoUn
Conceptos B
Firewall
Packet Filtering
imagenes/logoUn

Conceptos B
Firewall
Stateful Inspection
imagenes/logoUn

Conceptos B
Firewall
Application (Proxy)
imagenes/logoUn
Conceptos B
Firewall
Algunos fabricantes de Firewalls
Juniper Networks
3Com/H3C
Astaro
Check Point Software Technologies
Cisco
Fortinet
McAfee
NETASQ
phion
Palo Alto Networks
SonicWALL imagenes/logoUn
Conceptos B
Firewall
Magic Quadrant for Enterprise Network Firewalls
imagenes/logoUn
Conceptos B
UTM
1 Conceptos B
Firewall
UTM
IDS
IPS
imagenes/logoUn
Conceptos B
UTM
Conceptos
Definicion
UTM (en ingles: Unified Threat Management) o Gestion Unificada
de Amenazas, son firewalls de red que engloban m
ultiples
funcionalidades en una misma caja.1
El termino fue utilizado por primera vez por Charles Kolodgy,

de International Data Corporation (IDC), en 2004.
Algunas funcionalidades:
VPN, Antispam, Antiphishing, Antispyware Filtro de
contenidos, Antivirus, Detecci
on/Prevenci
on de Intrusos
(IDS/IPS)
imagenes/logoUn
1
http://es.wikipedia.org/wiki/Unified Threat Management
Conceptos B
UTM
UTM (2)
Ventajas:
Se pueden sustituir varios sistemas independientes por uno solo
facilitando su gesti
on
Desventajas:
Se crea un punto u nico de fallo y un cuello de botella, es decir
si falla este sistema la organizaci
on queda desprotegida
totalmente.
Tiene un costo fijo peri odico.
imagenes/logoUn
Conceptos B
UTM
Magic Quadrant for Unified Threat Management
imagenes/logoUn
Conceptos B
IDS
1 Conceptos B
Firewall
UTM
IDS
IPS
imagenes/logoUn
Conceptos B
IDS
Que es una intrusion?
Definicion
Secuencia de eventos relacionados que deliberadamente tratan de
causar dano, como hacer un sistema indisponible, acceder a
informacion no autorizada o manipular dicha informacion.
Esta definicion aplica tanto para intentos fallidos, como para los
exitosos
imagenes/logoUn
Conceptos B
IDS
Que son los Sistemas de Deteccion de Intrusos?
Deteccion de Intrusos
Proceso de vigilar y analizar eventos que ocurren en un sistema
de computo o red para buscar signos que indiquen problemas de
seguridad (violaciones a polticas).
Sistema de Deteccion de Intrusos

Herramientas, metodos y recursos que ayudan a detectar,
identificar y reportar actividad no autorizada en un servidor o una
red.
Los sistemas:
Los IDSs realmente no detectan
Ejecutan funciones de centinela
intrusos, detectan trafico en la red
Alertan y activan alarmas a partes
responsables cuando ocurren actos que puede o no, ser una intrusi on
imagenes/logoUn
de interes
Conceptos B
IDS
Funciones de un IDS
Registrar indicadores de actividad de intrusos .
Activar las alertas correspondientes.
Puede buscar ataques provenientes de fuera de la red.
Monitorear las actividades desde la red interna .
Algunos IDSs tambien buscan actividades anomalas.
Requiere configuraci
on adaptada a peculiaridades de la red que
se busca defender.
El IDS puede tomar acciones automaticas cuando ocurren
ciertas condiciones.
Ejemplo: enviar mensaje de radio al administrador del sistema.
Muchos IDSs pueden configurarse para atacar
automaticamente a los sospechosos.
Otros se optimizan para recoger informaci
on para analisis imagenes/logoUn
forense en tiempo real.

Conceptos B
IDS
Proceso basico de deteccion de intrusos
imagenes/logoUn
Intrusion Detection & Prevention, Carl Endorf, Eugene.
Conceptos B
IDS
Fuente de Datos
Proporciona el flujo de registros de
eventos
Motor de An
alisis
Encuentra indicadores de intrusion
Componente de Respuestas
Genera reacciones basadas en el
resultado arrojado por el motor de
analisis
http://wiki.hill.com/wiki/
index.php?title=Intrusion detection system
imagenes/logoUn
Conceptos B
IDS
Fuente de Datos del IDS
Cuatro tipos
Host
Red
Aplicaci
on
Objetivo
El monitor o sensor :
Recolecta informaci
on de una fuente de datos y la pasa al
motor de analisis
imagenes/logoUn
Conceptos B
IDS
Fuente de Datos del IDS (2)
Monitores basados en host

Recogen datos de fuentes internas a una computadora (usual:
nivel de S.O.)
Estas fuentes pueden incluir registros de auditora del S.O. y
bitacoras del mismo
Monitores basados en red
Recogen paquetes que pasan por la red
Frecuente: uso de dispositivos de red configurados en modo
promiscuo
imagenes/logoUn
Conceptos B
IDS
Fuente de Datos del IDS (3)
Monitores basados en aplicaciones

Obtienen informaci on de aplicaciones en ejecucion
Las fuentes son bitacoras de aplicaciones y otros registros
internos de ellas
Monitores basados en objetivo
Generan sus propios datos
Usan criptografa de hash para detectar alteraciones a objetos
del sistema
Comparan alteraciones con una poltica
imagenes/logoUn
Conceptos B
IDS
Motor de Analisis
Definidas las fuentes de informaci

on, se debe determinar el
motor de b usqueda
Este toma informacion de las fuentes y la examina para
detectar sntomas de ataques o violaciones a la poltica de
seguridad.
Mayora de casos: se recurre a tres tipos de analisis:
Detecci
on basada en Firmas
Detecci
on basada en Anomalas
Mezcla de los dos
imagenes/logoUn
Conceptos B
IDS
Motor de Analisis (2)
Detecci
on de Abusos:
Se busca ocurrencia de algo definido como malo
Para ello, se filtran eventos buscando patrones de actividad
coincidentes con ataques o violacion a poltica de seguridad
Usa tecnicas de coincidencia de patrones
General: sistemas comerciales usan esta tecnica
Detecci
on de Anomalas:
Se busca algo raro o inusual
Se analizan eventos del sistema usando tecnicas estadsticas
Para hallar patrones de actividad aparentemente anormales
Mixto
Detecci
on de anomalas permite identificar ataques nuevos o
desconocidos
Detecci
on de abusos protege contra ataques conocidos imagenes/logoUn
Conceptos B
IDS
Motor de Analisis (3)
imagenes/logoUn
Conceptos B
IDS
Respuestas
Identificada la ocurrencia, el IDS debe determinar la accion a
ejecutar
No limitada a acci
on contra sospechoso: disparar alarmas de
diferentes tipos
Se pueden incluir mensajes a consola del administrador de la
red
Envo de mensaje al localizador del administrador
Otra respuesta es modificar el IDS o el sistema vigilado
Modificaci
on en IDS puede incluir cambio en el tipo de analisis
que se hace
En el caso de los sistemas vigilados:
Cambios en configuraci on
Modificaciones a privilegios de acceso
Respuesta com
un:
Registrar resultados del analisis en bitacora usada para generar
imagenes/logoUn
reportes
Conceptos B
IDS
Caractersticas deseables en IDSs
Efectividad:
Requerimiento mas importante: IDSs deben detectar de forma
exacta y consistente los ataques, o patrones definidos
Facilidad de uso:
Expertos en seguridad difciles y caros
Necesario manejo por no expertos en seguridad
Adaptabilidad:
IDS debe adaptarse a diferentes plataformas, ambientes y
polticas
Mayora de ambientes no son homogeneos
IDS capaz de entender entradas de otros sistemas
imagenes/logoUn
Conceptos B
IDS
Caractersticas deseables en IDSs (2)
Robustez:
IDS suficientemente confiable
Tener mecanismos redundantes y caractersticas que permitan
operar en caso de fallas
Rapidez:
Ser capaz de ejecutar vigilancia
Reportar eventos en momento de ocurrencia
Eficiencia:
Uso
optimo de recursos de c
omputo, almacenamiento, y ancho
de banda
Afectaci
on mnima al desempe
no del sistema vigilado
imagenes/logoUn
Conceptos B
IDS
Caractersticas deseables en IDSs (3)
Seguridad:
Contar con caractersticas que eviten utilizacion por personal
no autorizado
Escalabilidad:
Componentes con interfaces estandar bien documentadas
Estas interfases deben soportar los mecanismos de
autenticaci
on apropiados.
Equilibrio:
Permitir a usuarios mantener balance entre necesidades de
administraci
on y de seguridad
imagenes/logoUn
Conceptos B
IDS
Sistemas de Deteccion de Intrusos en Red
NIDS
Network Intrusion Detecction
System, son un conjunto de
herramientas, metodos y
recursos que ayudan a
detectar, identificar y reportar
actividad no autorizada en una
red.
imagenes/logoUn
Conceptos B
IDS
Fuente de Datos
Port mirroring (spanning): Copias de los paquetes de entrada

y salida son enviados a un puerto especial donde pueden ser
analizados.
Network taps: Dispositivos que son colocados en el medio
fsico por donde pasa el trafico.
imagenes/logoUn
Conceptos B
IDS
Desventajas con IDSs en basados en red
Velocidad del canal

No pueden hacer frente a todo el volumen de datos que fluye
en la red
En ambientes con switches: IDS debe colocarse de tal modo
que la carga pase por un puerto de escucha
Cifrado
Ning un IDS puede revisar paquetes cifrados, porque no tiene
las llaves. Esto permite perpetrar ataques ocultos en
conexiones cifradas
imagenes/logoUn
Conceptos B
IDS
Algunos IDSs basados en red
Snort Cyclops
NIKSUN NetDetector Shoki
Sax2 SecureNet IDS/IPS
IBM Proventia Network SecurityMetrics
Intrusion Prevention System Enterasys Intrusion Prevention
(IPS) System
Bro Juniper Networks ISG Series
Cisco Secure IDS (NetRanger) Integrated Security Gateway
imagenes/logoUn
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html
Conceptos B
IPS
1 Conceptos B
Firewall
UTM
IDS
IPS
imagenes/logoUn
Conceptos B
IPS
Que es una IPS?
Definicion
Software que ejerce el control de acceso en una red informatica
para proteger a los sistemas computacionales de ataques y abusos.
2
No es una extensi
on de los sistemas de deteccion de intrusos
(IDS).
Su mecanismos asemeja mas a un firewall.
imagenes/logoUn
2
https://es.wikipedia.org/wiki/Sistema de Prevenci%C3%B3n de Intrusos
Conceptos B
IPS
Magic Quadrant for Network Intrusion Prevention Systems
imagenes/logoUn

2015 1 Seguridadperimetral Tema1 140814165806 Phpapp01

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

2015 1 Seguridadperimetral Tema1 140814165806 Phpapp01

Uploaded by

Copyright:

Available Formats

Seguridad Perimetral

Figura: El Firewall y los ambientes de seguridad imagenes/logoUn

Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.

Vision global de los sistemas de seguridad

Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 11.

Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 14.

Algunos fabricantes de Firewalls

Magic Quadrant for Enterprise Network Firewalls

El termino fue utilizado por primera vez por Charles Kolodgy,

Magic Quadrant for Unified Threat Management

Que es una intrusion?

Que son los Sistemas de Deteccion de Intrusos?

Sistema de Deteccion de Intrusos

forense en tiempo real.

Proceso basico de deteccion de intrusos

Fuente de Datos del IDS

Fuente de Datos del IDS (2)

Monitores basados en host

Fuente de Datos del IDS (3)

Monitores basados en aplicaciones

Definidas las fuentes de informaci

Motor de Analisis (2)

Motor de Analisis (3)

Caractersticas deseables en IDSs

Caractersticas deseables en IDSs (2)

Caractersticas deseables en IDSs (3)

Sistemas de Deteccion de Intrusos en Red

Port mirroring (spanning): Copias de los paquetes de entrada

Desventajas con IDSs en basados en red

Velocidad del canal

Algunos IDSs basados en red

Que es una IPS?

Magic Quadrant for Network Intrusion Prevention Systems

You might also like