Sistema de Detección de Intrusos (IDS)

Publicado por Unknown , martes, 10 de diciembre de 2013 17:13

SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)

Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.


Existen dos tipos de sistemas de detección de intrusos:
1.   HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
2.   NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante. Un sistema que reacciona ante el ataque previniendo que este continúe, se denomina IPS por sus siglas en inglés de "intrusion prevention system".
Si bien ambos están relacionados con seguridad en redes de información, un IDS, difiere de un cortafuego, en que este último generalmente examina exteriormente por intrusiones para evitar que estas ocurran. Un cortafuego limita el acceso entre redes, para prevenir una intrusión, pero no determina un ataque que pueda estar ocurriendo internamente en la red. Un IDS, evalúa una intrusión cuando esta toma lugar, y genera una alarma. Un IDS además observa ataques que se originan dentro del sistema. Este normalmente se consigue examinando comunicaciones, e identificando mediante heurística, o patrones (conocidos como firmas), ataques comunes ya clasificados, y toma una acción para alertar a un operador.
Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se encuentra en curso:

Un IDS basado en heurística, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como anómalo.
Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque.

Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.

En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.

0 comentarios

Papel de los Cortafuegos ("FIREWALLS")

Publicado por Unknown , 16:55

EL PAPEL DE LOS CORTAFUEGOS ("FIREWALLS")



Los firewalls en Internet administran los accesos posibles del Internet a la red privada. Sin un firewall, cada uno de los servidores propios del sistema se expone al ataque de otros servidores en el Internet. Esto significa que la seguridad en la red privada depende de la "Dureza" con que cada uno de los servidores cuenta y es únicamente seguro tanto como la seguridad en la fragilidad posible del sistema.

El firewall permite al administrador de la red definir un "choke point" (envudo), manteniendo al margen los usuarios no-autorizados (tal, como., hackers, crackers, vándalos, y espías) fuera de la red, prohibiendo potencialmente la entrada o salida al vulnerar los servicios de la red, y proporcionar la protección para varios tipos de ataques posibles. Uno de los beneficios clave de un firewall en Internet es que ayuda a simplificar los trabajos de administración, una vez que se consolida la seguridad en el sistema firewall, es mejor que distribuirla en cada uno de los servidores que integran nuestra red privada.



0 comentarios

El Papel de los Servidores Proxy

Publicado por Unknown , 13:48

 

EL PAPEL DE LOS SERVIDORES PROXY





El servidor Proxy es el corazón del funcionamiento de la Red LAN como tal, ya que es el elemento activo del sistema que controla los tipos de paquetes de datos que entran a la Red LAN, así como también cumple con la función de ser un punto de entrada a Internet, desde las Estaciones de Trabajo o computadores de la red. Por su naturaleza de Servidor, este equipo cumple con las siguientes tareas:

•Filtro de contenido: se pueden restringir en sus archivos de configuración, a qué tipo de contenidos pueden acceder las estaciones de trabajo.

•Cache de páginas: El Proxy almacena todas las páginas que se navegan desde las estaciones de trabajo, de manera que si en algún momento no hay navegación, el Proxy proveerá las páginas que se requieran desde las estaciones de trabajo, como si se estuviese navegando en Internet.

•Asignar las direcciones de Red a cada Estación de Trabajo, mediante el uso del DHCP, (Dinamic Host Configuration Protocol o Configuración de Protocolo dinámico de hospedaje): Esto significa que las estaciones de trabajo de la Red LAN configuradas bajo esta característica, “buscaran” en la Red quien esta asignando las direcciones IP para poder navegar. Las estaciones encontrarán el servidor DHCP, el Servidor les asignara una dirección IP y luego se podrá navegar tranquilamente.


•Administración del Firewall Algunos servidores Proxy también pueden contar con lo que se denomina un Firewall o pared de fuego, que cumple la tarea de “detener” posibles intromisiones externas a la Red Interna. Este software puede filtrar algunos agentes de virus y programas dañinos que pueden hacer que la navegación no funcione en las estaciones de trabajo.

0 comentarios

Seguridad en la Red Interna

Publicado por Unknown , 13:38


SEGURIDAD EN LA RED INTERNA



La capa de red interna, es como su nombre lo indica, donde se implementan las acciones encaminadas a proteger una red de área local, es decir, equipos interconectados entre sí, en un área pequeña.
Los riesgos para las redes internas de las organizaciones están relacionados con los datos confidenciales que se transmiten a través ellas. Los requisitos de conectividad para las estaciones de trabajo clientes en estas redes internas también suponen algunos riesgos asociados.

 Diseño de una red interna sencilla


Los ataques que tienen lugar a través de la red representan el mayor número de incidencias registradas de software malintencionado. Normalmente, los ataques de este tipo de software comenzarán por aprovechar los puntos débiles en las defensas del perímetro de la red a fin de tener acceso a los dispositivos host dentro de la infraestructura de TI de la organización. Estos dispositivos podrían ser clientes, servidores, enrutadores o incluso servidores de seguridad.
Uno de los problemas más difíciles a los que se enfrentan las defensas antivirus en esta capa consiste en buscar el equilibrio entre los requisitos de características de los usuarios de los sistemas de TI y las limitaciones necesarias para establecer una defensa eficaz. Por ejemplo, al igual que numerosos ataques recientes, el gusano My Doom utilizaba un archivo adjunto de correo electrónico para replicarse. Desde la perspectiva de la infraestructura de TI, la opción más sencilla y segura consiste en bloquear todos los archivos adjuntos entrantes. Sin embargo, puede que los requisitos de los usuarios de correo electrónico de su organización no permitan que sea una opción viable. Por tanto, es necesario llegar a un compromiso que consiga un equilibrio entre los requisitos de la organización y el nivel de riesgo que ésta puede aceptar.
Muchas organizaciones han adoptado un enfoque multicapa en relación al diseño de sus redes que utiliza tanto estructuras de red interna como externa. Microsoft recomienda este método porque se adapta directamente al modelo de seguridad de defensa en profundidad.
Hay una tendencia creciente a dividir la red interna en zonas de seguridad para establecer un perímetro en cada una de ellas. A esto se le llama Subneteo, se recomienda también este enfoque, ya que ayuda a reducir la exposición general a un ataque de software malintencionado que busca obtener acceso a la red interna. Sin embargo, en relación a la finalidad de esta guía, sólo se describe la defensa de una única red. Si tiene pensado utilizar un perímetro y varias redes internas, puede aplicar esta instrucción directamente a cada una.


Ejemplo de una Red dividida en sub redes


Las primeras defensas de la red de la organización se denominan defensas de la red perimetral. Se han diseñado para evitar que se introduzca software malintencionado en la organización a partir de un ataque externo. Un ataque normal de software malintencionado se centra en copiar archivos en un equipo de destino. Por tanto, las defensas antivirus deben trabajar en combinación con las medidas de seguridad generales de la organización para garantizar que el acceso a los datos de la empresa sólo se permite a personal autorizado y de forma segura.
Para asegurar un sistema de red interno, deben tomarse en cuanta las siguientes condiciones:
  • Componentes de la seguridad perimetral
  • Cortafuegos personales
  • Software Antivirus
  • Sistemas de Detección de Intrusiones (antispyware)
  • Segmentación de conmutadores.
  • Control de Listas de Acceso de Redes virtuales Vlans.
  • Sistema operativo y gestión de configuración
  • Auditoría Constante
  • Implementar tecnologías de cifrado de contenido
Podemos observar el siguiente vídeo de conceptos de seguridad en redes, cortafuegos y antivirus
http://www.youtube.com/watch?v=BIRAwYKAbtM


0 comentarios

Problemas de Seguridad de Internet

Publicado por Unknown , 13:08

PROBLEMAS DE SEGURIDAD EN LA INTERNET

Tu correo electrónico no pasa directamente de tu ordenador al ordenador del destinatario, sino que pasa por varios nodos y va dejando información en el recorrido. Se puede acceder a tu correo desde cualquier parte del recorrido (¡no sólo desde tu país!).
Alguien podría estar mirando por encima de tu hombro mientras tecleas. Esto es particularmente problemático en los Internet cafés. Si estás conectado a una red, todo el mundo en la oficina tiene acceso a tu correo electrónico. Tu sistema administrativo puede tener unos privilegios administrativos especiales para acceder a todos los correos electrónicos.
Tu proveedor del servicio de Internet (ISP) tiene acceso a tus correos electrónicos, y cualquier persona con influencia sobre tu ISP podría presionarlo para conseguir que le remita copias de todos tus correos electrónicos o para impedir que pasen ciertos correos electrónicos.
Al pasar por Internet, tus correos electrónicos recorren cientos de sitios inseguros. Los piratas informáticos pueden acceder a los mensajes de correo electrónico mientras transitan. El ISP de tu destinatario también puede ser vulnerable, al igual que su red y su oficina.
Seguridad de Internet básica
Los virus y otros problemas, tales como los Caballos de Troya o los Troyanos, pueden proceder de cualquier parte; incluso tus amigos pueden propagarte un virus sin saberlo. Utiliza un buen programa anti-virus y mantenlo actualizado con conexiones automáticas a la Web. Constantemente se crean y descubren virus nuevos, así que consulta la Biblioteca de Información sobre Virus para saber lo último sobre los parches de protección.
Los virus suelen ser propagados a través del correo electrónico, así que procura hacer un uso seguro del correo electrónico (véase abajo). Los virus son programas únicos diseñados para replicar y podrían o no ser nocivos. Los Troyanos son unos programas diseñados para ofrecer el acceso de tu ordenador a terceros.
Un buen cortafuego puede ayudarte a pasar desapercibido ante los piratas informáticos y mantener alejados a los intrusos que intenten acceder a tu sistema. De esta forma desde tu ordenador sólo podrán conectarse a Internet las aplicaciones autorizadas e impide también que programas como el de los Troyanos te envíen información o abran las “puertas traseras” de tu ordenador para dejar pasar a los piratas informáticos.
El sistema de “key logger” puede localizar cada tecla que pulses. Estos programas pueden ser instalados o bien accediendo a tu ordenador en tu ausencia, o a través de un virus o un Troyano que ataca tu sistema desde Internet. Los Key loggers localizan las pulsaciones de tu teclado e informan de tus actividades, normalmente por Internet. Se les puede derrotar utilizando una frase de pase para proteger tu ordenador, haciendo uso del correo electrónico de forma segura, utilizando un programa anti-virus, y un programa para teclear tu contraseña con el ratón. También se puede incapacitar a los Key loggers desconectando físicamente el ordenador del acceso a Internet - normalmente sólo necesitas desenchufar la conexión telefónica del ordenador cuando no lo estés utilizando.
La dirección de correo electrónico puede ser “spoofed” (manipulada/falsificada) o utilizada por una persona que no es el propietario real. El pirata informático puede conseguir esto accediendo al proveedor de servicios de Internet del ordenador de esa persona y obteniendo el acceso y su contraseña, o utilizando una dirección casi idéntica. Por ejemplo, si intercambiamos la “l” minúscula por el número “1”, obtendremos una dirección muy parecida y casi nadie notará la diferencia. Para evitar ser engañado por un spoof, escribe frases coherentes en la línea de Asunto y formula preguntas periódicamente que sólo la persona en cuestión pueda responder. Confirma toda solicitud de información por medio de otro sistema de comunicación.
Mantén la privacidad de tu actividad de navegación no aceptando cookies y eliminando tú caché cada vez que termines de navegar en la web. En Internet Explorer, haz clic en Herramientas, y luego en Opciones. En Netscape Navigator, haz clic en Edición, y luego en Preferencias. Una vez dentro de cualquiera de estos menús borra todo tu historial, todas las cookies que puedas tener y vacía tu caché. Recuerda borrar también todos tus marcadores. Los navegadores también archivan las páginas Web que has visitado en ficheros de caché, así que averigua qué ficheros deberían ser borrados de tu sistema.
No utilices un ordenador que contenga información confidencial para conexiones a Internet no esenciales.
Diez claves para navegar en el internet, ver video.
http://www.youtube.com/watch?v=2TferQprZ0g


0 comentarios

Editorial

Publicado por Unknown , 12:01

Cuando hablamos de seguridad en la Internet nos asustamos y no sabemos qué hacer, nos da  miedo  entrar a ciertas páginas porque se nos va a infectar con virus nuestra pc y la verdad hasta los pagos de muchas cosas que la Internet nos facilita no lo hacemos por miedo de que clonen nuestra clave de la cuenta; la Internet es una herramienta realmente excelente encontramos toda la información que necesitamos, nuestra música, vídeos, fotos, etc.
Podemos darnos cuenta que todo este problema es para poder que los que crean estos virus tengan las contras y así ellos enriquecerse  cada día más, esto nunca parara así que tenemos que estar alertas en nuestro trabajo y empresa de los que quieren robar nuestra información y para eso debemos tener una persona de confianza para realizar todo esto y ser muy cautelosos.
En mi opinión como técnico y próximamente tecnólogo pienso que no debemos de dejarnos intimidar de estas personas males intencionados y luchar cada día contra lo que venga; porque la verdad esto nunca acabara.



0 comentarios
Suscribirse a: Entradas (Atom)