SEGURIDAD EN REDES DE DATOS

Descubra cómo la seguridad de los datos puede prevenir el robo de datos debido a la exposición de documentos, las redes sociales, el uso compartido de documentos no autorizado y el uso inadecuado del correo electrónico.

La seguridad de los datos es esencial, ya que la divulgación de la información puede ocurrir a través de publicaciones de los empleados en sus cuentas de Facebook o al dejar a la vista de forma accidental datos confidenciales. El coste de las infracciones de seguridad de datos, en términos monetarios y de credibilidad de las empresas son elevados.

Todas las organizaciones necesitan aplicar seguridad a la información a fin de prevenir la divulgación de propiedad intelectual. Este documento analiza ejemplos de divulgación accidental (o intencional), y muestra cómo la seguridad de datos puede proteger los datos en una variedad de entornos.

Seguridad de datos para prevenir el robo de documentos

Un policía veterano de la unidad anti-terrorista del Reino Unido presentó su dimisión después de haber sido fotografiado con un documento confidencial al descubierto. La tecnología fotográfica digital potenció la capacidad de ampliar y leer los datos confidenciales.

Siempre debe utilizarse una portada, encuadernación u otro contenedor para proteger la información ante la divulgación accidental de información.

Seguridad de datos en sitios web de redes sociales

Los sitios de redes sociales no tienen ninguna obligación contractual de proporcionar seguridad a las empresas cuyos empleados publican información en dichos sitios. Las conversaciones en las redes sociales también son objeto de vigilancia por parte de los profesionales de la información de la competencia.

Las empresas deberían tener políticas oficiales de seguridad de datos para las redes sociales, a fin de garantizar que los datos sensibles de la empresa no se publiquen en tales sitios.

Seguridad de datos y normas sobre la clasificación de documentos

El FBI detuvo recientemente a un antiguo empleado de una empresa no revelada por robo de secretos profesionales. Este empleado enviaba el código fuente de programación y material promocional a su cuenta de correo personal, y estaba compartiendo esta información en reuniones no autorizadas de la competencia.

Las organizaciones deben asegurarse de que los responsables de velar por la seguridad de los datos conocen el proceso de clasificación de seguridad de datos de la empresa, y utilizan normas básicas de clasificación de la documentación.

Seguridad de datos para el manejo del correo electrónico

Los proveedores de correo electrónico no tienen ninguna obligación de ofrecer seguridad de datos a un nivel que la empresa puede proteger.

Las organizaciones deben formar a sus empleados en materia de seguridad de datos con relación al correo electrónico de la empresa. Los empleados nunca deben enviar información confidencial de la empresa a sus cuentas de correo electrónico personales, aun cuando trabajen desde casa.

Según sus datos se mueven de la red troncal a la nube, las soluciones escalables y de alto rendimiento de SafeNet para el cifrado de las comunicaciones proporcionan el nivel más alto de protección -con gastos mínimos- sin importar adónde necesita ir su información.

A medida que aumentan sus necesidades de aplicaciones que requieren ancho de banda con baja latencia, como voz, video y virtualización, se vuelve una necesidad imperativa contar con un cifrado efectivo y fiable de alta velocidad.

SafeNet ofrece la única línea completa en el mundo de productos de cifrado WAN de alta velocidad, con soluciones para cada topología de red y rango de rendimiento.

RECOMENDACIONES DE SEGURIDAD PARA REDES DE DATOS

Recomendaciones generales de seguridad de redes inalámbricas

Si tiene una red inalámbrica, debe tomar algunas precauciones adicionales de seguridad.

Use una clave de seguridad de red.

Si tiene una red inalámbrica, debe configurar una clave de seguridad de red que active el cifrado. Con el cifrado activado, nadie podrá conectarse a su red sin la clave de seguridad. Además, cualquier información que se envíe a través de la red se cifrará y, por lo tanto, solo podrán leerla los equipos que tengan la clave para descifrar la información. Esto puede ayudar a impedir los intentos de acceso no autorizado a la red y a los archivos. El Acceso protegido Wi-Fi (WPA o WPA2) es el método de cifrado de red inalámbrica recomendado.

Nota Se recomienda usar WPA2, si es posible. No es recomendable usar WEP para la seguridad de red. WPA o WPA2 son más seguros. Si prueba WPA o WPA2 y no funcionan, se recomienda que actualice el adaptador de red a uno que sea compatible con WPA o WPA2.

Cambie el nombre y la contraseña de administrador predeterminados del enrutador o el punto de acceso

Si tiene un enrutador o un punto de acceso, es probable que use un nombre y una contraseña predeterminados para configurar el equipo. La mayoría de los fabricantes usan el mismo nombre y contraseña predeterminados para todos los equipos. Es posible que alguien pueda usarlos para obtener acceso al enrutador o al punto de acceso sin su conocimiento. Para evitar ese riesgo, cambie el nombre de usuario y la contraseña predeterminados del enrutador. Consulte la documentación que acompaña al dispositivo para obtener instrucciones acerca de cómo cambiar el nombre y la contraseña.

Cambie el SSID predeterminado.

Los enrutadores y los puntos de acceso usan un nombre de red inalámbrica conocido como identificador de red (SSID). La mayoría de los fabricantes usan el mismo SSID para todos lo enrutadores y puntos de acceso. Se recomienda que cambie el SSID predeterminado para evitar que la red inalámbrica se confunda con otras redes inalámbricas que pueden usar el SSID predeterminado. Esto facilitará la identificación de la red inalámbrica si existen varias alrededor, ya que el SSID suele aparecer en la lista de redes disponibles. Consulte la documentación que acompaña al dispositivo para obtener instrucciones acerca de cómo cambiar el SSID predeterminado.

Elija cuidadosamente la ubicación del enrutador o el punto de acceso.

Las señales inalámbricas pueden alcanzar varias decenas de metros y, por lo tanto, la señal de su red puede difundirse fuera de los límites de su hogar. Puede limitar el área de alcance de la señal inalámbrica colocando el enrutador o el punto de acceso en un lugar central de la casa, en lugar de ponerlo junto a una pared exterior o una ventana.

Seguridad en redes cableadas

Tradicionalmente las redes cableadas se han considerado más seguras que las redes inalámbricas.

El uso de internet y la evolución de las comunicaciones han hecho que los emplazamientos no sean únicos, sino que pueden situarse a miles de kilómetros.

En esta unidad veremos cómo protegernos de las intrusiones externas a nuestra red mediante el uso de redes privadas virtuales (VPN).

1. Red privada virtual

Las redes privadas virtuales permiten mediante el uso de Internet, establecer esta conexión realizando una inversión moderada.

Una VPN o red privada es, básicamente, una red virtual que se crea dentro de otra red, habitualmente internet.

Para un cliente VPN se trata de una conexión que se establece entre su equipo y el servidor, esta conexión es transparente para él, simplemente los datos le son enviados de la misma manera que si llegaran a través de la LAN a la que se conecta.

¿Cómo funciona una VPN?

Se basa en establecer un túnel entre los dos extremos de la conexión y usar sistemas de encriptación y autenticación para asegurar la confidencialidad e integridad de los datos que se transmiten.

Instalación y configuración de una VPN.

Existen muchas aplicaciones que nos permiten crear VPN, que ofrecen diferentes niveles de seguridad y posibilidades distintas para la configuración. Es el caso de Hamachi LogMeln, que puede utilizarse aunque tú equipo esté detrás de un proxy o utilices un Router NAT para conectarte a internet.

2. Detección de intrusos.

Los IDS son un paso adelante en las funciones que implementan los cortafuegos.

Existen varias herramientas de detección de intrusos pero su uso es bastante complejo, algunos ejemplos más representativos son tripwire enterprise y snort.

-Tripwire Enterprise: permite detectar las acciones en la red que no se ajustan a la política de seguridad de la empresa, e informar de aquellos que necesitan especial atención.

-Snort: es una aplicación de código abierto que permite tanto la detección de intrusión como su prevención.

Este IDS escucha el tráfico de la red en tiempo real y lo relaciona con una serie de normas ya predefinidas, que pueden descargarse desde internet. Cuando encuentra alguna coincidencia alerta sobre ella, hace un log de dicho tráfico o lo ignora, según se haya indicado en la norma.

3. Arranque de servicios.

Un servicio de un sistema operativo es una pequeña aplicación que corre en segundo plano y da soporte a este, para permitir tener funcionalidades como, por ejemplo, el uso del protocolo SSH.

El número de servicios que se pueden instalar y utilizar en un equipo es innumerable pero debemos tener en cuenta que, cuantas más acciones queramos que haga automáticamente nuestro sistema operativo, peor será el rendimiento del equipo. Y no solo eso, sino que es posible que también estemos poniendo en peligro su seguridad.

SEGURIDAD DE LA INFORMACIÓN / SEGURIDAD INFORMÁTICA

Existen muchas definiciones del término seguridad. Simplificando, y en general, podemos definir la seguridad como: "Característica que indica que un sistema esta libre de todo peligro, daño o riesgo." (Villalón)

Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.

Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.

Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fácil acceder a ella también es mas fácil modificar su contenido, etc.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.

Existen también diferentes definiciones del término Seguridad Informática. De ellas nos quedamos con la definición ofrecida por el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC).

“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”

Como vemos el término seguridad de la información es mas amplio ya que engloba otros aspectos relacionados con la seguridad mas allá de los puramente tecnológicos.

Seguridad de la información: modelo PDCA

Dentro de la organización el tema de la seguridad de la información es un capítulo muy importante que requiere dedicarle tiempo y recursos. La organización debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).

El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.

Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.

Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.

Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad

HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles .

VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.

ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas .

Bases de la Seguridad Informática

Fiabilidad

Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene Spafford, profesor de ciencias informáticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad de datos, dijo que “el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él”.

Hablar de seguridad informática en términos absolutos es imposible y por ese motivo se habla mas bien de fiabilidad del sistema, que, en realidad es una relajación del primer término.

Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de él.

En general, un sistema será seguro o fiable si podemos garantizar tres aspectos:

Confidencialidad: acceso a la información solo mediante autorización y de forma controlada.
Integridad: modificación de la información solo mediante autorización.
Disponibilidad: la información del sistema debe permanecer accesible mediante autorización.

Existe otra propiedad de los sistemas que es la Confiabilidad, entendida como nivel de calidad del servicio que se ofrece. Pero esta propiedad, que hace referencia a la disponibilidad, estaría al mismo nivel que la seguridad. En nuestro caso mantenemos la Disponibilidad como un aspecto de la seguridad.

Confidencialidad

En general el término 'confidencial' hace referencia a "Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas." (http://buscon.rae.es)

En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos.

El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información.

En general, cualquier empresa pública o privada y de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos. Uno de los ejemplos mas típicos es el del ejército de un país. Además, es sabido que los logros mas importantes en materia de seguridad siempre van ligados a temas estratégicos militares.

Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de sus competidores. La sostenibilidad de la empresa así como su posicionamiento en el mercado pueden depender de forma directa de la implementación de estos diseños y, por ese motivo, deben protegerlos mediante mecanismos de control de acceso que aseguren la confidencialidad de esas informaciones.

Un ejemplo típico de mecanismo que garantice la confidencialidad es la Criptografía, cuyo objetivo es cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no disponen de los permisos suficientes.

Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la clave de encriptación. Esta clave es necesaria para que el usuario adecuado pueda descifrar la información recibida y en función del tipo de mecanismo de encriptación utilizado, la clave puede/debe viajar por la red, pudiendo ser capturada mediante herramientas diseñadas para ello. Si se produce esta situación, la confidencialidad de la operación realizada (sea bancaria, administrativa o de cualquier tipo) queda comprometida.

Integridad

En general, el término 'integridad' hace referencia a una cualidad de 'íntegro' e indica "Que no carece de ninguna de sus partes." y relativo a personas "Recta, proba, intachable.".

En términos de seguridad de la información, la integridad hace referencia a la la fidelidad de la información o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o desautorizado.

El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la información.

La integridad hace referencia a:

la integridad de los datos (el volumen de la información)
la integridad del origen (la fuente de los datos, llamada autenticación)

Es importante hacer hincapié en la integridad del origen, ya que puede afectar a su exactitud, credibilidad y confianza que las personas ponen en la información.

A menudo ocurre que al hablar de integridad de la información no se da en estos dos aspectos.

Por ejemplo, cuando un periódico difunde una información cuya fuente no es correcta, podemos decir que se mantiene la integridad de la información ya que se difunde por medio impreso, pero sin embargo, al ser la fuente de esa información errónea no se está manteniendo la integridad del origen, ya que la fuente no es correcta.

Disponibilidad

En general, el término 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está lista para usarse o utilizarse."

En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados.

El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos.

En términos de seguridad informática “un sistema está disponible cuando su diseño e implementación permite deliberadamente negar el acceso a datos o servicios determinados”. Es decir, un sistema es disponible si permite no estar disponible.

Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.

Como resumen de las bases de la seguridad informática que hemos comentado, podemos decir que la seguridad consiste en mantener el equilibrio adecuado entre estos tres factores. No tiene sentido conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a él, ya que se está negando la disponibilidad.

Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidad de la información frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso pueda eliminarla no podrá conocer su contenido y reponer dicha información será tan sencillo como recuperar una copia de seguridad (si las cosas se están haciendo bien).

En ambientes bancarios es prioritaria siempre la integridad de la información frente a la confidencialidad o disponibilidad. Se considera menos dañino que un usuario pueda leer el saldo de otro usuario a que pueda modificarlo.

Mecanismos básicos de seguridad

Autenticación

Definimos la Autenticación como la verificación de la identidad del usuario, generalmente cuando entra en el sistema o la red, o accede a una base de datos.

Normalmente para entrar en el sistema informático se utiliza un nombre de usuario y una contraseña. Pero, cada vez más se están utilizando otras técnicas mas seguras.

Es posible autenticarse de tres maneras:

Por lo que uno sabe (una contraseña)
Por lo que uno tiene (una tarjeta magnética)
Por lo que uno es (las huellas digitales)

La utilización de más de un método a la vez aumenta las probabilidades de que la autenticación sea correcta. Pero la decisión de adoptar mas de un modo de autenticación por parte de las empresas debe estar en relación al valor de la información a proteger.

La técnica más usual (aunque no siempre bien) es la autenticación utilizando contraseñas. Este método será mejor o peor dependiendo de las características de la contraseña. En la medida que la contraseña sea más grande y compleja para ser adivinada, más difícil será burlar esta técnica.

Además, la contraseña debe ser confidencial. No puede ser conocida por nadie más que el usuario. Muchas veces sucede que los usuarios se prestan las contraseñas o las anotan en un papel pegado en el escritorio y que puede ser leído por cualquier otro usuario, comprometiendo a la empresa y al propio dueño, ya que la acción/es que se hagan con esa contraseña es/son responsabilidad del dueño.

Para que la contraseña sea difícil de adivinar debe tener un conjunto de caracteres amplio y variado (con minúsculas, mayúsculas y números). El problema es que los usuarios difícilmente recuerdan contraseñas tan elaboradas y utilizan (utilizamos) palabras previsibles (el nombre, el apellido, el nombre de usuario, el grupo musical preferido,...), que facilitan la tarea a quién quiere entrar en el sistema sin autorización.

Autorización

Definimos la Autorización como el proceso por el cual se determina qué, cómo y cuándo, un usuario autenticado puede utilizar los recursos de la organización.

El mecanismo o el grado de autorización puede variar dependiendo de qué sea lo que se está protegiendo. No toda la información de la organización es igual de crítica. Los recursos en general y los datos en particular, se organizan en niveles y cada nivel debe tener una autorización.

Dependiendo del recurso la autorización puede hacerse por medio de la firma en un formulario o mediante una contraseña, pero siempre es necesario que dicha autorización quede registrada para ser controlada posteriormente.

En el caso de los datos, la autorización debe asegurar la confidencialidad e integridad, ya sea dando o denegando el acceso en lectura, modificación, creación o borrado de los datos.

Por otra parte, solo se debe dar autorización a acceder a un recurso a aquellos usuarios que lo necesiten para hacer su trabajo, y si no se le negará. Aunque también es posible dar autorizaciones transitorias o modificarlas a medida que las necesidades del usuario varíen.

Administración

Definimos la Administración como la que establece, mantiene y elimina las autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema.

Los administradores son responsables de transformar las políticas de la organización y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema.

La administración de la seguridad informática dentro de la organización es una tarea en continuo cambio y evolución ya que las tecnologías utilizadas cambian muy rápidamente y con ellas los riesgos.

Normalmente todos los sistemas operativos que se precian disponen de módulos específicos de administración de seguridad. Y también existe software externo y específico que se puede utilizar en cada situación.

Auditoría y registro

Definimos la Auditoría como la continua vigilancia de los servicios en producción y para ello se recaba información y se analiza.

Este proceso permite a los administradores verificar que las técnicas de autenticación y autorización utilizadas se realizan según lo establecido y se cumplen los objetivos fijados por la organización.

Definimos el Registro como el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda almacenado en una base de eventos para luego analizarlo.

Pero auditar y registrar no tiene sentido sino van acompañados de un estudio posterior en el que se analice la información recabada.

Monitorear la información registrada o auditar se puede realizar mediante medios manuales o automáticos, y con una periodicidad que dependerá de lo crítica que sea la información protegida y del nivel de riesgo.

Mantenimiento de la integridad

Definimos el Mantenimiento de la integridad de la información como el conjunto de procedimientos establecidos para evitar o controlar que los archivos sufran cambios no autorizados y que la información enviada desde un punto llegue al destino inalterada.

Dentro de las técnicas más utilizadas para mantener (o controlar) la integridad de los datos están: uso de antivirus, encriptación y funciones 'hash'.

Vulnerabilidades de un sistema informático

En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos que forman parte del sistema y que podemos agrupar en:

Hardware: elementos físicos del sistema informático, tales como procesadores, electrónica y cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).
Software: elementos ló́gicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema operativo como las aplicaciones.
Datos: comprenden la información lógica que procesa el software haciendo uso del hardware. En general serán informaciones estructuradas en bases de datos o paquetes de información que viajan por la red.
Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en ese medio, etc.

De ellos los mas críticos son los datos, el hardware y el software. Es decir, los datos que están almacenados en el hardware y que son procesados por las aplicaciones software.

Incluso de todos ellos, el activo mas crítico son los datos. El resto se puede reponer con facilidad y los datos ... sabemos que dependen de que la empresa tenga una buena política de copias de seguridad y sea capaz de reponerlos en el estado mas próximo al momento en que se produjo la pérdida. Esto puede suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que conllevaría de pérdida de tiempo y dinero.

Vulnerabilidad: definición y clasificación

Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema informático.

Las vulnerabilidades de los sistemas informáticos las podemos agrupar en función de:

Diseño

Debilidad en el diseño de protocolos utilizados en las redes.
Políticas de seguridad deficientes e inexistentes.

Implementación

Errores de programación.
Existencia de “puertas traseras” en los sistemas informáticos.
Descuido de los fabricantes.

Uso

Mala configuración de los sistemas informáticos.
Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
Disponibilidad de herramientas que facilitan los ataques.
Limitación gubernamental de tecnologías de seguridad.

Vulnerabilidad del día cero

Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solución “conocida”, pero se sabe como explotarla.

Vulnerabilidades conocidas

Vulnerabilidad de desbordamiento de buffer.

Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria adyacentes.

En esta situación se puede aprovechar para ejecutar código que nos de privilegios de administrador.

Vulnerabilidad de condición de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede obtener de esta forma un valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las está enviando al atacante.

Vulnerabilidad de denegación del servicio.

La denegación de servicio hace que un servicio o recurso no esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la víctima.

Vulnerabilidad de ventanas engañosas (Window Spoofing).

Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque.

En http://www.cert.org/stats/ hay disponibles unas tablas que indican el nº de vulnerabilidades detectadas por año. Es interesante visitar la web de vez en cuando y comprobar el elevado número de vulnerabilidades que se van detectando. Habría que ver cuántas no se detectan...

Herramientas

En el caso de servidores Linux/Unix para hacer el análisis de vulnerabilidades se suele utilizar el programa 'Nessus'.

Nessus es de arquitectura cliente-servidor OpenSource, dispone de una base de datos de patrones de ataques para lanzar contra una máquina o conjunto de máquinas con el objetivo de localizar sus vulnerabilidades.

Existe software comercial que utiliza Nessus como motor para el análisis. Por ejemplo está Catbird (www.catbird.com) que usa un portal para la gestión centralizada de las vulnerabilidades, analiza externamente e internamente la red teniendo en cuenta los accesos inalámbricos. Además hace monitoreo de servicios de red como el DNS y la disponibilidad de los portales web de las organizaciones.

En otros sistemas tipo Windows está el MBSA “Microsoft Baseline Security Analyzer” que permite verificar la configuración de seguridad, detectando los posibles problemas de seguridad en el sistema operativo y los diversos componentes instalados.

¿De qué queremos proteger el sistema informático?

Ya hemos hablado de los principales activos o elementos fundamentales del sistema informático que son vulnerables y ahora veremos a qué son vulnerables dichos elementos.

Comenzamos definiendo el concepto de amenaza.

Entendemos la amenaza como el escenario en el que una acción o suceso, ya sea o no deliberado, compromete la seguridad de un elemento del sistema informático.

Cuando a un sistema informático se le detecta una vulnerabilidad y existe una amenaza asociada a dicha vulnerabilidad, puede ocurrir que el suceso o evento se produzca y nuestro sistema estará en riesgo.

Si el evento se produce y el riesgo que era probable ahora es real, el sistema informático sufrirá daños que habrá que valorar cualitativa y cuantitativamente, y esto se llama 'impacto'.

Integrando estos conceptos podemos decir que “un evento producido en el sistema informático que constituye una amenaza, asociada a una vulnerabilidad del sistema, produce un impacto sobre él”.

Si queremos eliminar las vulnerabilidades del sistema informático o queremos disminuir el impacto que puedan producir sobre él, hemos de proteger el sistema mediante una serie de medidas que podemos llamar defensas o salvaguardas.

Políticas de seguridad

¿Cómo podemos proteger el sistema informático?

Lo primero que hemos de hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático, una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que ocurran.

A partir de este análisis habrá que diseñar una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir.

Definimos Política de seguridad como un “documento sencillo que define las directrices organizativas en materia de seguridad” (Villalón).

La política de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas para la protección del sistema. Estos mecanismos normalmente se apoyan en normativas que cubren áreas mas específicas.

Esquemáticamente:

Los mecanismos de seguridad se dividen en tres grupos:

Prevención:

Evitan desviaciones respecto a la política de seguridad.

Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.

Detección:

Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema.

Ejemplo: la herramienta Tripwire para la seguridad de los archivos.

Recuperación:

Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.

Ejemplo: las copias de seguridad.

Dentro del grupo de mecanismos de prevención tenemos:

Mecanismos de identificación e autenticación

Permiten identificar de forma única 'entidades' del sistema. El proceso siguiente es la autenticación, es decir, comprobar que la entidad es quien dice ser.

Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.

En concreto los sistemas de identificación y autenticación de los usuarios son los mecanismos mas utilizados.

Mecanismos de control de acceso

Los objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte de cualquier entidad del sistema.

Mecanismos de separación

Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel.

Los mecanismos de separación, en función de como separan los objetos, se dividen en los grupos siguientes: separación física, temporal, lógica, criptográfica y fragmentación.

Mecanismos de seguridad en las comunicaciones

La protección de la información (integridad y privacidad) cuando viaja por la red es especialmente importante. Clásicamente se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la red.

Políticas de seguridad

El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.

La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.

No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.

Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.

Las políticas deben:

definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
mostrar el compromiso de sus altos cargos con la misma
definir la filosofía respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder diseñar normas y procedimientos referidos a
- Organización de la seguridad
- Clasificación y control de los datos
- Seguridad de las personas
- Seguridad física y ambiental
- Plan de contingencia
- Prevención y detección de virus
- Administración de los computadores

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.

La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.

La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.

Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:

Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación luego de un incidente
Un sistema documentado actualizado

Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.

Amenazas

Clasificación de las amenazas

De forma general podemos agrupar las amenazas en:

Amenazas físicas
Amenazas lógicas

Estas amenazas, tanto físicas como lógicas, son materializadas básicamente por:

las personas
programas específicos
catástrofes naturales

Podemos tener otros criterios de agrupación de las amenazas, como son:

Origen de las amenazas

Amenazas naturales: inundación, incendio, tormenta, fallo eléctrico, explosión, etc...
Amenazas de agentes externos: virus informáticos, ataques de una organización criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc...
Amenazas de agentes internos: empleados descuidados con una formación inadecuada o descontentos, errores en la utilización de las herramientas y recursos del sistema, etc...

Intencionalidad de las amenazas

Accidentes: averías del hardware y fallos del software, incendio, inundación, etc...
Errores: errores de utilización, de explotación, de ejecución de procedimientos, etc...
Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusión, etc...

Naturaleza de las amenazas

La agrupación de las amenazas atendiendo al factor de seguridad que comprometen es la siguiente:

Interceptación
Modificación
Interrupción
Fabricación

1. Flujo normal de la información: se corresponde con el esquema superior de la figura.

Se garantiza:

Confidencialidad: nadie no autorizado accede a la información.
Integridad: los datos enviados no se modifican en el camino.
Disponibilidad: la recepción y acceso es correcto.

2. Interceptación: acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos.

Detección difícil, no deja huellas.

Se garantiza:

Integridad.
Disponibilidad

No se garantiza:

Confidencialidad: es posible que alguien no autorizado acceda a la información

Ejemplos:

Copias ilícitas de programas
Escucha en línea de datos

3. Modificación: acceso no autorizado que cambia el entorno para su beneficio.

Detección difícil según circunstancias.

Se garantiza:

Disponibilidad: la recepción es correcta.

No se garantiza:

Integridad: los datos enviados pueden ser modificados en el camino.
Confidencialidad: alguien no autorizado accede a la información.

Ejemplos:

Modificación de bases de datos
Modificación de elementos del HW

4. Interrupción: puede provocar que un objeto del sistema se pierda, quede no utilizable o no disponible.

Detección inmediata.

Se garantiza:

Confidencialidad: nadie no autorizado accede a la información.
Integridad: los datos enviados no se modifican en el camino.

No se garantiza:

Disponibilidad: puede que la recepción no sea correcta.

Ejemplos:

Destrucción del hardware
Borrado de programas, datos
Fallos en el sistema operativo

5. Fabricación: puede considerarse como un caso concreto de modificación ya que se consigue un objeto similar al atacado de forma que no resulte sencillo distinguir entre objeto original y el fabricado.

Detección difícil. Delitos de falsificación.

En este caso se garantiza:

Confidencialidad: nadie no autorizado accede a la información.
Integridad: los datos enviados no se modifican en el camino.
Disponibilidad: la recepción es correcta.

Ejemplos:

Añadir transacciones en red
Añadir registros en base de datos

Amenazas provocadas por personas

La mayor parte de los ataques a los sistemas informáticos son provocados, intencionadamente o no, por las personas.

¿Qué se busca?

En general lo que se busca es conseguir un nivel de privilegio en el sistema que les permita realizar acciones sobre el sistema no autorizadas.

Podemos clasificar las personas 'atacantes' en dos grupos:

Activos: su objetivo es hacer daño de alguna forma. Eliminar información, modificar o sustraerla para su provecho.
Pasivos: su objetivo es curiosear en el sistema.

Repasamos ahora todos los tipos de personas que pueden constituir una amenaza para el sistema informático sin entrar en detalles:

Personal de la propia organización
Ex-empleados
Curiosos
Crackers
Terroristas
Intrusos remunerados

Amenazas físicas

Dentro de las amenazas físicas podemos englobar cualquier error o daño en el hardware que se puede presentar en cualquier momento. Por ejemplo, daños en discos duros, en los procesadores, errores de funcionamiento de la memoria, etc. Todos ellos hacen que la información o no esté accesible o no sea fiable.

Otro tipo de amenazas físicas son las catástrofes naturales. Por ejemplo hay zonas geográficas del planeta en las que las probabilidades de sufrir terremotos, huracanes, inundaciones, etc, son mucho mas elevadas.

En estos casos en los que es la propia Naturaleza la que ha provocado el desastre de seguridad, no por ello hay que descuidarlo e intentar prever al máximo este tipo de situaciones.

Hay otro tipo de catástrofes que se conocen como de riesgo poco probable. Dentro de este grupo tenemos los taques nucleares, impactos de meteoritos, etc. y que, aunque se sabe que están ahí, las probabilidades de que se desencadenen son muy bajas y en principio no se toman medidas contra ellos.

Ya hemos explicado el concepto de amenaza física. Vamos a conocer ahora cuáles son las principales amenazas físicas de un sistema informático.

Tipos de amenazas físicas

Las amenazas físicas las podemos agrupar en las producidas por:

1. Acceso físico

Hay que tener en cuenta que cuando existe acceso físico a un recurso ya no existe seguridad sobre él. Supone entonces un gran riesgo y probablemente con un impacto muy alto.

A menudo se descuida este tipo de seguridad.

El ejemplo típico de este tipo es el de una organización que dispone de tomas de red que no están controladas, son libres.

2. Radiaciones electromagnéticas

Sabemos que cualquier aparato eléctrico emite radiaciones y que dichas radiaciones se pueden capturar y reproducir, si se dispone del equipamiento adecuado. Por ejemplo, un posible atacante podría 'escuchar' los datos que circulan por el cable telefónico.

Es un problema que hoy día con las redes wifi desprotegidas, por ejemplo, vuelve a estar vigente.

3. Desastres naturales

Respecto a terremotos el riesgo es reducido en nuestro entorno, ya que España no es una zona sísmica muy activa. Pero son fenómenos naturales que si se produjeran tendrían un gran impacto y no solo en términos de sistemas informáticos, sino en general para la sociedad.

Siempre hay que tener en cuenta las características de cada zona en particular. Las posibilidades de que ocurra una inundación son las mismas en todas las regiones de España. Hay que conocer bien el entorno en el que están físicamente los sistemas informáticos.

4. Desastres del entorno

Dentro de este grupo estarían incluidos sucesos que, sin llegar a ser desastres naturales, pueden tener un impacto igual de importante si no se disponen de las medidas de salvaguarda listas y operativas.

Puede ocurrir un incendio o un apagón y no tener bien definidas las medidas a tomar en estas situaciones o simplemente no tener operativo el SAI que debería responder de forma inmediata al corte de suministro eléctrico.

Descripcion de algunas amenazas físicas

Veamos algunas amenazas físicas a las que se puede ver sometido un CPD y alguna sugerencia para evitar este tipo de riesgo.

Por acciones naturales: incendio, inundación, condiciones climatológicas, señales de radar, instalaciones eléctricas, ergometría, …
Por acciones hostiles: robo, fraude, sabotaje,...
Por control de accesos: utilización de guardias, utilización de detectores de metales, utilización de sistemas biométricos, seguridad con animales, protección electrónica,...

Como se puede comprobar, evaluar y controlar permanentemente la seguridad física del edificio que alberga el CPD es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso físico permite:

disminuir siniestros
trabajar mejor manteniendo la sensación de seguridad
descartar falsas hipótesis si se produjeran incidentes
tener los medios para luchar contra accidentes

Las distintas alternativas enumeradas son suficientes para conocer en todo momento el estado del medio en el que se trabaja y así tomar decisiones en base a la información ofrecida por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.

Amenazas lógicas

El punto más débil de un sistema informático son las personas relacionadas en mayor o menor medida con él. Puede ser inexperiencia o falta de preparación, o sin llegar a ataques intencionados propiamente, simplemente sucesos accidentales. Pero que, en cualquier caso, hay que prevenir.

Entre algunos de los ataques potenciales que pueden ser causados por estas personas, encontramos:

Ingeniería social: consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían.
Shoulder Surfing: consiste en "espiar" físicamente a los usuarios para obtener generalmente claves de acceso al sistema.
Masquerading: consiste en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno.
Basureo: consiste en obtener información dejada en o alrededor de un sistema informático tras la ejecución de un trabajo.
Actos delictivos: son actos tipificados claramente como delitos por las leyes, como el chantaje, el soborno o la amenaza.
Atacante interno: la mayor amenaza procede de personas que han trabajado o trabajan con los sistemas. Estos posibles atacantes internos deben disponer de los privilegio mínimos, conocimiento parcial, rotación de funciones y separación de funciones, etc.
Atacante externo: suplanta la identidad de un usuario legítimo. Si un atacante externo consigue penetrar en el sistema, ha recorrido el 80% del camino hasta conseguir un control total de un recurso.

Algunas amenazas lógicas

Las amenazas lógicas comprenden una serie de programas que pueden dañar el sistema informático. Y estos programas han sido creados:

de forma intencionada para hacer daño: software malicioso o malware (malicious software)
por error: bugs o agujeros.

Enumeramos algunas de las amenazas con las que nos podemos encontrar:

1. Software incorrecto

Son errores de programación (bugs) y los programas utilizados para aprovechar uno de estos fallos y atacar al sistema son los exploits. Es la amenaza más habitual, ya que es muy sencillo conseguir un exploit y utilizarlo sin tener grandes conocimientos.

2. Exploits

Son los programas que aprovechan una vulnerabilidad del sistema. Son específicos de cada sistema operativo, de la configuración del sistema y del tipo de red en la que se encuentren. Pueden haber exploits diferentes en función del tipo de vulnerabilidad.

3. Herramientas de seguridad

Puede ser utilizada para detectar y solucionar fallos en el sistema o un intruso puede utilizarlas para detectar esos mismos fallos y aprovechar para atacar el sistema. Herramientas como Nessus o Satan pueden ser útiles pero también peligrosas si son utilizadas por crackers buscando información sobre las vulnerabilidades de un host o de una red completa.

4. Puertas traseras

Durante el desarrollo de aplicaciones los programadores pueden incluir 'atajos' en los sistemas de autenticación de la aplicación. Estos atajos se llaman puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos. Si estas puertas traseras, una vez la aplicación ha sido finalizada, no se destruyen, se está dejando abierta una puerta de entrada rápida.

5. Bombas lógicas

Son partes de código que no se ejecutan hasta que se cumple una condición. Al activarse, la función que realizan no esta relacionada con el programa, su objetivo es es completamente diferente.

6. Virus

Secuencia de código que se incluye en un archivo ejecutable (llamado huésped), y cuando el archivo se ejecuta, el virus también se ejecuta, propagándose a otros programas.

7. Gusanos

Programa capaz de ejecutarse y propagarse por sí mismo a través de redes, y puede llevar virus o aprovechar bugs de los sistemas a los que conecta para dañarlos.

8. Caballos de Troya

Los caballos de Troya son instrucciones incluidas en un programa que simulan realizar tareas que se esperan de ellas, pero en realidad ejecutan funciones con el objetivo de ocultar la presencia de un atacante o para asegurarse la entrada en caso de ser descubierto.

9. Spyware

Programas espía que recopilan información sobre una persona o una organización sin su conocimiento. Esta información luego puede ser cedida o vendida a empresas publicitarias. Pueden recopilar información del teclado de la víctima pudiendo así conocer contraseña o nº de cuentas bancarias o pines.

10. Adware

Programas que abren ventanas emergentes mostrando publicidad de productos y servicios. Se suele utilizar para subvencionar la aplicación y que el usuario pueda bajarla gratis u obtener un descuento. Normalmente el usuario es consciente de ello y da su permiso.

11. Spoofing

Técnicas de suplantación de identidad con fines dudosos.

12. Phishing

Intenta conseguir información confidencial de forma fraudulenta (conseguir contraseñas o pines bancarios) haciendo una suplantación de identidad. Para ello el estafador se hace pasar por una persona o empresa de la confianza del usuario mediante un correo electrónico oficial o mensajería instantánea, y de esta forma conseguir la información.

13. Spam

Recepción de mensajes no solicitados. Se suele utilizar esta técnica en los correos electrónicos, mensajería instantánea y mensajes a móviles.

14. Programas conejo o bacterias

Programas que no hacen nada, solo se reproducen rápidamente hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco, etc.).

15. Técnicas salami

Robo automatizado de pequeñas cantidades dinero de una gran cantidad origen. Es muy difícil su detección y se suelen utilizar para atacar en sistemas bancarios.

ANTI-SPAM

El antispam es lo que se conoce como método para prevenir el correo basura. Tanto los usuarios finales como los administradores de sistemas de correo electrónico utilizan diversas técnicas contra ello. Algunas de estas técnicas han sido incorporadas en productos, servicios y software para aliviar la carga que cae sobre usuarios y administradores. No existe la fórmula perfecta para solucionar el problema del spam por lo que entre las múltiples existentes unas funcionan mejor que otras, rechazando así, en algunos casos, el correo deseado para eliminar completamente el spam, con los costes que conlleva de tiempo y esfuerzo.

Las técnicas antispam se pueden diferenciar en cuatro categorías: las que requieren acciones por parte humana; las que de manera automática son los mismos correos electrónicos los administradores; las que se automatizan por parte de los remitentes de correos electrónicos; las empleadas por los investigadores y funcionarios encargados de hacer cumplir las leyes.

Detección de spam

El usuario suele tender a ignorar los spam sin poner ningún tipo de medio para evitarlo, por la sencilla razón de que desea que le lleguen todos los correos electrónicos, ya sean "buenos" o "malos", de esa manera tiene la seguridad de que no pierde (no se le bloquea) ningún correo de los que se suelen considerar "buenos". Este hecho de saber diferenciar entre los correos buenos de los malos es el fundamento de los programas o sistemas antispam. Mientras algunos sistemas permiten a los usuarios finales tener cierto control sobre este equilibrio, la mayoría de las técnicas suelen tener errores por donde termina entrando la basura, por ejemplo, existen antispam cuya técnica consiste en hacer perder gran cantidad de correos electrónicos basura con la finalidad de reducir el número de correos legítimos.

La detección de spam basado en el contenido del mensaje de correo electrónico, ya sea mediante la detección de palabras clave como "viagra" o por medios estadísticos, es muy popular. Estos métodos pueden ser muy precisos cuando se sintoniza correctamente a los tipos de correo legítimo que una persona recibe, pero también pueden cometer errores tales como la detección de la palabra clave "cialis" en la palabra "especialista". El contenido tampoco determina si el spam estaba destinado a una dirección particular o bien de distribución masiva, las dos principales características de spam. Un ejemplo podría ser: si un amigo le envía una broma que menciona "viagra", los filtros de contenido pueden marcarlo como spam a pesar de que no ha sido enviado con ningún tipo de maldad.

Las agrupaciones más populares son las conocidas como listas negras, que son listas de direcciones IP de spammers conocidos, que abren enlaces, etc, en resumen, zombis de spam.

También existen los spamtraps, que son direcciones de correo electrónico inválidas o que no se utilizaron durante mucho tiempo y que se utilizan para recoger correo basura.

Técnicas de usuarios finales

Existen técnicas que los usuarios finales pueden utilizar para restringir la disponibilidad de sus direcciones de correo electrónico, la reducción o la prevención de su atractivo para el spam.

Address munging u ocultación de direcciones[

Direccionamiento anónimo, o con un nombre y dirección falso, es una manera de evitar la dirección de correo electrónico recolectora, aunque los usuarios deben asegurarse de que la dirección falsa no es válida. Los usuarios que quieren recibir correo legítimo podrán alterar sus preferencias en sus cuentas de manera que los usuarios puedan entenderlo, pero los spammers no pueden. Por ejemplo, podría renombrarse joe@example.net como joeNOS@PAM.example.net.invalid. El address munging, sin embargo, puede provocar que se pierdan respuestas legítimas. Si la dirección del usuario es inválida, debería aparentar estar activa, o ser de otra persona o algún servidor. Hay variantes que permiten a los usuarios ver la dirección real, pero la ocultan de cara a recolectores de direcciones de correo electrónico con métodos tales como la visualización de la totalidad o parte de la dirección de correo electrónica en páginas web como una imagen, un logotipo de texto reducido a su tamaño normal usando CSS en línea, o como texto desordenado con el orden de los caracteres restaurado usando CSS.

Evitar responder al spam

Los spammers solicitan a menudo respuestas respecto al contenido de sus mensajes, -incluso admiten las respuestas como "No me spamees"- como la confirmación de que una dirección de correo electrónico es válida. Del mismo modo, muchos mensajes de spam contienen enlaces o direcciones que el usuario se dirige a seguir para ser removido de la lista de correo de spammers. En casos extremos, los spams-combatientes han puesto a prueba esos vínculos, confirmando con ello que no conducen a la dirección del destinatario, la redirección, en todo caso, conducen a más spam.

Las direcciones de los remitentes son a menudo falsificadas en mensajes de spam, incluyendo el uso del destinatario la propia dirección como la dirección del remitente falsificado, con el fin de responder al spam que pueda resultar en entregas o no podrá llegar a inocentes usuarios de correo electrónico cuya dirección han sido objeto de abusos.

En Usenet, es ampliamente considerado aún más importante para evitar responder al spam. Muchos proveedores de software tienen que buscar y destruir los mensajes duplicados. Alguien puede ver un spam y responder a el antes de que sea cancelado por su servidor, eso puede tener un efecto de reposting para ellos; al no ser un duplicado, la copia reposted durará más tiempo.

Formularios electrónicos de contacto

Los formularios electrónicos de contacto permiten a los usuarios mediante el envío de mensajes remitir su correo electrónico, rellenando los formularios en un navegador web. Al solicitar el servidor web una serie de datos, también se puede facilitar con ello la transmisión de una dirección de correo electrónico. El usuario nunca ve la dirección de correo electrónico. Los formularios de contacto tienen el inconveniente de que requieren de un sitio web que apoya a los scripts del lado del servidor. También son incómodas al remitente del mensaje ya que no son capaces de utilizar sus clientes preferidos de correo electrónico. Por último, si el software utilizado para ejecutar los formularios de contacto que está mal diseñado puede convertirse en herramientas de spam en su propio derecho. Además, muchos spammers han adoptado para sí el uso de formularios de contacto para enviar spam a los destinatarios.

Desactivar HTML en correo electrónico

Muchos programas de correo modernos incorporan la funcionalidad del explorador de Web, tales como la visualización de HTML, URL, y las imágenes. Esto puede exponer al usuario al ataque incluso con las imágenes spam. Además, el spam escrito en HTML pueden contener fallos web que permite a los spammers verificar que la dirección de correo electrónico es válida y que el mensaje no ha sido atrapado en los filtros de spam. Los programas compilados en JavaScript se pueden utilizar para dirigir el navegador Web del usuario a una página de publicidad, o para hacer el mensaje de spam difícil de cerrar o eliminar. Los mensajes de spam evitan los ataques contra las vulnerabilidades de seguridad en el renderizador de HTML, el uso de estos agujeros para instalar el software espía. (Algunos de los virus son sufragados por los mismos mecanismos).

Los clientes de correo electrónico que no se descarga automáticamente y muestran HTML, imágenes o archivos adjuntos, tienen menos riesgos de ser spameados, al igual que los clientes que se han

Tener disponibles varias direcciones de correo electrónico

Muchos usuarios de correo electrónico tienen a veces la necesidad de dar su dirección a un sitio sin tener la garantía absoluta de que el sitio no enviará spam. Una forma de mitigar este riesgo está en proporcionar una dirección de correo electrónico temporal que remite los correos a la dirección de su cuenta real, que el usuario puede desactivar o abandonar. Las direcciones se pueden manipular manualmente, haciendo que se desabiliten después de un tiempo o también desabilitándola después de un cierto número de mensajes transmitidos. Los sitios que no actúan adecuadamente este tipo de direcciones se encuentran en estado de ilegalidad.

Contraseñas buenas

Algunos sistemas solicitan contraseñas reales de remitentes para así infundirles la confianza de que no se trata de un sitio que utilizará su cuenta para realizar envíos de correo basura. Normalmente la dirección de correo electrónico y su contraseña se solicitan en una página web, la contraseña irá incluida en el "asunto" del envío de correo electrónico. Estas contraseñas a menudo se combinan con sistemas de filtrado, para contrarrestar el riesgo de que un sistema de filtrado accidentalmente identifique una contraseña como spam de un mensaje.

Denunciar el spam

La búsqueda de un spammer del ISP y la falta de información puede conducir al servidor spamer liquidado. Por desgracia, suele ser difícil localizar al spammer, y si bien existen algunas herramientas en línea que ayudan, no siempre son las más correctas. Ocasionalmente, los spammers emplean sus propios netblocks. En este caso, el abuso de contacto para el netblock el spammer puede ser sí mismo y puede confirmar su dirección.

Una herramienta útil y gratuita que puede utilizarse en la presentación de informes de spam está también disponible (Complainterator). El Complainterator enviará automáticamente generados por una denuncia al secretario del spam y el registrador de dominio de sus servidores de nombres.

EJEMPLOS DE ANTI-SPAM

1.- Mailwasher 2.0.28

El programa -que rankea muy alto en la popularidad de los usuarios- se destaca porque
es capaz de importar automáticamente las cuentas de correo (dependiendo del cliente de email que uses) y de eliminar un email o "rebotarlo" contra su remitente. La ventana principal de la interfaz incluye la información principal de los correos: remitente, asunto, fecha de envío y cuenta de correo; además ofrece un dato interesante como es el “Status”, allí informa si es un posible spam, un mail de trabajo, normal, etc. Todas las funciones están disponibles en la versión freeware, sólo hay que pagar para eliminar un no demasiado molesto banner.

2.- SpamKiller 2.82

SpamKiller es una de las mejores utilidades antispam que existen. Antes de dejar pasar un correo comprueba que el mensaje o el remitente no esté clasificado como "no deseado" en su base de datos, formada por más de 3.000 filtros constantemente actualizados. (el programa filtra sus mensajes electrónicos según una extensa lista de tipos de mensajes de correo basura que puede ser modificada).

3.- Spam Pal 1.01

Funciona de forma diferente a otras utilidades antispam, ya que se establece como un potente filtro entre el servidor y el cliente de correo. No elimina los mensajes que considere como spam sino que los marca de forma especial añadiendo una etiqueta al asunto. Así se puede configurar el cliente de email para que borre o filtre todos los mensajes que contengan dicha etiqueta.

4.- Spam Alarm 1.0

Muy descargado, este programa tiene una gran cantidad de filtros y todos totalmente personalizables. El primer paso es una lista blanca y una lista negra. Los mails/remitentes anotados en la lista blanca son aceptados automáticamente, los que están el la lista negra son eliminados automáticamente. Luego contiene otros filtros que detecta palabras que deben ser configuradas previamente por el usuario, si es que desea que se elimine automáticamente un mail con tales palabras (puede ser la marca de un producto, por ejemplo). Soporta múltiples cuentas. Cuesta 25 dólares pero se puede descargar por un período de prueba de 15 días.

5.- Spam Punisher 2.4

Un castigo ejemplificador nunca viene mal. Esta sencilla herramienta averigua las direcciones de los remitentes que envían spam. Luego genera y envía una queja a tal sitio o dirección. Cuesta 20 dólares pero puede descargar un período de prueba gratuito.

6.- Email Control 8.17

Email Control pone a disposición del usuario varios filtros para combinar y personalizar a gusto. De este modo, se pueden comprobar los mensajes según el asunto, el título (cabecera), el tamaño, la dirección, los archivos adjuntos, etc. Hay dos posibilidades: una es revisar los mails en el servidor antes de bajarlos a la PC y allí eliminar manualmente el correo identificado como basura; la otra es configurar EmC de tal modo que automáticamente elimine el spam (según los filtros previamente establecidos). Cuenta con una función que permite chequear si los mensajes tienen virus. La interfaz es sencilla, intuitiva y con un aire a la del Outlook. ¡Y es gratis!

7.- SpamEater Pro 3.65 Build 334

Permite chequear el correo en el servidor (sin necesidad de bajarlo a la PC) y eliminar allí mismo el spam. Aunque también ofrece la opción de eliminarlo automáticamente. Permite armar listas “negras” (aquellas direcciones o dominios a los que siempre se les eliminará su correo) y listas “blancas” (aquellas direcciones o dominios a los que siempre se les aceptará el correo). Cuesta 25 dólares, pero se puede descargar un período de prueba gratuito que caduca a los 30 días de uso.

8.- SpamWeasel 1.0.18

El programa establece una "barrera" entre tu proveedor de Internet y tu cliente de email, analizando cabeceras y cuerpos de mensaje de cada correo en busca del más mínimo signo de publicidad. En caso de encontrar mensajes de spam, el programa puede realizar diversas acciones, como borrar automáticamente el mensaje o marcarlo de alguna forma especial.

9.- SpamBurner 1.64

Actúa del siguiente modo: posee varios filtros que deben ser configurados por el usuario. Estos filtros son los encargados de detectar el spam que llega a la cuenta de correo. Tiene una interesante variedad de filtros: por asunto, cabecera, tamaño (peso) del mail, dirección del remitente, texto incluido en el cuerpo del mensaje, etc. El correo se puede eliminar automáticamente o, bien, lo puede hacer el usuario directamente en el servidor, sin necesidad de bajarlo a la PC. Incluye una herramienta para detectar virus. Cuesta 30 dólares y se puede descargar una demo por 30 días.

10.- Spam CSI 3.6

CSI son las siglas para Crime Scene Investigator (Investigador de la Escena del Crimen), una buena metáfora para lo que se propone esta utilidad: investigar a fondo de dónde proviene el correo basura. En primer lugar, Spam CSI detecta el correo basura y se vale de los links que se dan en ellos para investigar la página web. Luego permite eliminarlo. Ofrece una base de datos que se puede configurar, en ella hay palabras que funcionan como filtro para detectar spam. Permite armar una lista "blanca" (remitentes a los que siempre aceptar) y una lista "negra" (remitentes a los que siempre rechazar). Es gratis, aunque se pide una colaboración voluntaria que también agrega otras opciones al programa.

FIREWALL

Un firewall es software o hardware que comprueba la información procedente de Internet o de una red y, a continuación, bloquea o permite el paso de ésta al equipo, en función de la configuración del firewall.

Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.

En la siguiente ilustración se muestra el funcionamiento de un firewall.

Un firewall crea una barrera entre Internet y el equipo, igual que la barrera física que constituiría una pared de ladrillos.

Un firewall no es lo mismo que un programa antivirus. Para ayudar a proteger su equipo, necesita tanto un firewall como un programa antivirus y antimalware.

Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización:

Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar la empresas y organismos gubernamentales.
Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a Internet.

La política restrictiva es la más segura, ya que es más difícil permitir por error tráfico potencialmente peligroso, mientras que en la política permisiva es posible que no se haya contemplado algún caso de tráfico peligroso y sea permitido por omisión.

Tipos de cortafuegos

Nivel de aplicación de pasarela

Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder, e incluso puede aplicar reglas en función de los propios valores de los parámetros que aparezcan en un formulario web.

Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los ordenadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personal[

Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal.

EJEMPLOS DE FIREWALL

Cuando se habla de ejemplos de contrafuegos físicos, se refieren en realidad a los routers, que tienen propiedades naturales de firewall, informa CyberCoyote. Un ordenador conectado a un router tiene una dirección dada por el router, mientras que el router usa su propia dirección IP única para dirigir el tráfico. Por lo tanto, es mucho más difícil dirigir cualquier equipo específico detrás de un router de uno en conexión directa.

Tipos

Todos los routers tienen atributos de contrafuegos físicos; Linksys es un productor muy común de routers. Sin embargo, los tipos más caros de routers, por lo general de las mismas compañías como los básicos, están disponibles para tener características específicas para evitar que los usuarios maliciosos monten un ataque, informa FirewallGuide. Los verdaderos servidores de seguridad de hardware utilizan una táctica conocida como "paquete de Stateful Inspection" (SPI), como el Linksys WRV200. SPI analiza la protección del contenido específico de la información que viaja por la red en busca de cualquier código malicioso. Los Routers básicos sólo bloquean ciertos puertos de equipos y direcciones.

Desventaja

Los cortafuegos de hardware son muy eficaces para evitar que los virus y gusanos infecten un solo equipo. Sin embargo, los routers tienen la desventaja de propagar el software malicioso más fácilmente a otros equipos de la red si cualquier ordenador conectado recibe "malware" tal como un virus a partir de una descarga; que si se tratara de conexiones independientes; informa CyberCoyote.

Prevención/Solución

Cualquier router con cable o inalámbrico es un buen ejemplo de un contrafuegos físico, pero la vulnerabilidad de otros equipos de la red por lo general hacen que los administradores de red sugieran una combinación de un software de contrafuegos, antivirus y un contrafuegos físico, informa FirewallGuide. Una combinación de software y hardware puede resolver cada uno de los puntos débiles y ofrecer la mejor solución en torno a la protección.

Advertencia

Ninguna combinación de hardware o software puede proteger por completo a un equipo frente a virus y malware. Los hackers y usuarios infames están siempre creando nuevos tipos de programas para comprometer el sistema de seguridad del equipo. Los usuarios pueden armar un sistema de seguridad informática de alta seguridad para menos de $ 200 a partir de 2009. Esto también requiere la descarga de las definiciones más actualizadas y la información de los proveedores de seguridad.

IDS

Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el exterior-interior de un sistema informático.

Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en:

Host-Based IDS: operan en un host para detectar actividad maliciosa en el mismo.
Network-Based IDS: operan sobre los flujos de información intercambiados en una red.
Knowledge-Based IDS: sistemas basados en Conocimiento.
Behavior-Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede ser detectada observando una desviación respecto del comportamiento normal o esperado de un usuario en el sistema.

La idea central de este tipo de detección es el hecho de que la actividad intrusiva es un conjunto de actividades anómalas. Si alguien consigue entrar de forma ilegal al sistema, no actuará como un usuario comprometido; su comportamiento se alejará del de un usuario normal.

Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del agregado de otras actividades individuales que por sí solas no constituyen un comportamiento intrusivo de ningún tipo. Así las intrusiones pueden clasificarse en:

Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema erróneamente indica ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema.
No intrusivas pero anómalas:denominados Falsos Positivos (el sistema erróneamente indica la existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el sistema "decide" que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarán los avisos del sistema, incluso cuando sean acertados.
No intrusiva ni anómala:son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal.
Intrusiva y anómala:se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada.

Los detectores de intrusiones anómalas requieren mucho gasto computacional, ya que se siguen normalmente varias métricas para determinar cuánto se aleja el usuario de lo que se considera comportamiento normal.

Características de IDS

Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en que esté basado, debería contar con las siguientes características:

Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en background dentro del equipo que está siendo observado. Sin embargo, no debe ser una "caja negra" (debe ser examinable desde el exterior).
Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del sistema.
En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado.
Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la máquina, simplemente no será utilizado.
Debe observar desviaciones sobre el comportamiento estándar.
Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un patrón de funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos patrones.
Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas aplicaciones al mismo.
Debe ser difícil de "engañar".

Fortalezas de IDS

Suministra información muy interesante sobre el tráfico malicioso de la red.
Poder de reacción para prevenir el daño.
Es una herramienta útil como arma de seguridad de la red.
Ayuda a identificar de dónde provienen los ataques que se sufren.
Recoge evidencias que pueden ser usadas para identificar intrusos.
Es una "cámara" de seguridad y una "alarma" contra ladrones.
Funciona como "disuasor de intrusos".
Alerta al personal de seguridad de que alguien está tratando de entrar.
Protege contra la invasión de la red.
Suministra cierta tranquilidad.
Es una parte de la infraestructura para la estrategia global de defensa.
La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir (parcialmente) al descubrimiento automático de esos nuevos ataques.
Son menos dependientes de los mecanismos específicos de cada sistema operativo.
Pueden ayudar a detectar ataques del tipo "abuso de privilegios" que no implica realmente ninguna vulnerabilidad de seguridad. En pocas palabras, se trata de una aproximación a la paranoia: "todo aquello que no se ha visto previamente es peligroso".
Menor costo de implementación y mantenimiento al ubicarse en puntos estratégicos de la red.
Dificulta el trabajo del intruso de eliminar sus huellas.

Debilidades de IDS

No existe un parche para la mayoría de bugs de seguridad.
Se producen falsas alarmas.
Se producen fallos en las alarmas.
No es sustituto para un buen Firewall, una auditoría de seguridad regular y una fuerte y estricta política de seguridad.

Inconvenientes de IDS

La alta tasa de falsas alarmas dado que no es posible cubrir todo el ámbito del comportamiento de un sistema de información durante la fase de aprendizaje.
El comportamiento puede cambiar con el tiempo, haciendo necesario un re-entrenamiento periódico del perfil, lo que da lugar a la no disponibilidad del sistema o la generación de falsas alarmas adicionales.
El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que el perfil de comportamiento contendrá un comportamiento intrusivo el cual no será considerado anómalo.

EJEMPLOS IDS

9.2. IDS basados en host

Un IDS basado en host analiza diferentes áreas para determinar el uso incorrecto (actividades maliciosas o abusivas dentro de la red) o alguna intrusión (violaciones desde afuera). Los IDSes basados en host consultan diferentes tipos de registros de archivos (kernel, sistema, servidores, red, cortafuegos, y más) y comparan los registros contra una base de datos interna de peculiaridades comúnes sobre ataques conocidos. Los IDSes basados en host de Linux y Unix hacen uso extensivo de syslog y de su habilidad para separar los eventos registrados por severidad (por ejemplo, mensajes menores de impresión versus advertencias importantes del kernel). El comando syslog está disponible cuando se instala el paquete sysklogd, incluido con Red Hat Enterprise Linux. Este paquete proporciona el registro de mensajes del sistema y del kernel. Los IDSes basados en hosts filtran los registros (lo cual, en el caso de algunas redes y registros de eventos del kernel pueden ser bastante detallados), los analizan, vuelven a etiquetar los mensajes anómalos con su propia clasificación de severidad y los reúne en su propio registro para que sean analizados por el administrador.

Los IDSes basados en host también pueden verificar la integridad de los datos de archivos y ejecutables importantes. Funciona verificando una base de datos de archivos confidenciales (y cualquier archivo añadido por el administrador) y crea una suma de verificación de cada archivo con una utilidad de resúmen de archivos de mensajes tal como md5sum (algoritmo de 128-bit) o sha1sum(algoritmo de 160-bit). El IDS basado en host luego almacena las sumas en un archivo de texto plano y periódicamente compara las sumas de verificación contra los valores en el archivo de texto. Si cualquiera de estas sumas no coinciden, el IDS alertará al administrador a través de un correo electrónico o a un mensaje al celular. Este es el proceso utilizado por Tripwire, el cual es discutido en laSección 9.2.1.

9.2.1. Tripwire

Tripwire es el IDS basado en host más popular para Linux. Los desarrolladores de Tripwire, Tripwire, Inc., abrieron recientemente el código fuente para la versión Linux y lo licenciaron bajo los términos de la Licencia Pública General GNU.Tripwire está disponible desde http://www.tripwire.org/.

Tripwire no está incluido con Red Hat Enterprise Linux y tampoco es soportado. Se ha incluido en este documento como una referencia para aquellos usuarios que estén interesados en utilizar esta popular aplicación.

9.2.2. RPM como un IDS

El Manejador de paquetes RPM es otro programa que puede ser usado como un IDS basado en host. RPM contiene varias opciones para consultar paquetes y sus contenidos. Estas opciones de verificación son invalorables para un administrador que sospeche que sus archivos de sistema y ejecutables críticos hayan sido modificados.

La lista que se muestra a continuación detalla algunas opciones para RPM que puede utilizar para verificar la integridad de los archivos en un sistema Red Hat Enterprise Linux. Consulte el Manual de administración del sistema de Red Hat Enterprise Linux para ver información completa sobre el uso de RPM.

Importante

Algunos de los comandos en la lista que sigue requieren que importe la llave pública GPG de Red Hat en su llavero de RPM. Esta llave verifica que los paquetes instalados en su sistema contengan una firma de paquete Red Hat, la cual asegura que sus paquetes se originaron desde Red Hat. La llave se puede importar con el comando siguiente (sustituyendo <version> con la versión de RPM instalada en su sistema) ejecutado como root:

rpm --import /usr/share/doc/rpm-<version>/RPM-GPG-KEY

rpm -V nombredepaquete

La opción -V verifica los archivos en el paquete instalado llamado nombredepaquete. Si no muestra ninguna salida y termina, significa que ninguno de los archivos han sido modificados desde la última vez que la base de datos de RPM fue actualizada. Si aparece un error, tal como

S.5....T c /bin/ps

entonces el archivo ha sido modificado de alguna forma y necesita evaluar si desea mantener el archivo (tal como en el caso de archivos de configuración modificados en el directorio /etc/) o elimine el archivo y reinstale el paquete que lo contiene. La lista siguiente define los elementos de la cadena de 8 caracteres ( S.5....T en el ejemplo de arriba) que notifica sobre una falla de verificación.

. — La prueba ha pasado esta etapa de la verificación
? — La prueba ha encontrado un archivo que no se pudo leer, lo que es muy probable se trate de un problema de permisos de archivos
S — La prueba ha encontrado un archivo que es más pequeño o más grande que el instalado originalmente en el sistema
5 — La prueba ha encontrado un archivo cuyas sumas de verificación md5 no coinciden con las sumas originales del archivo cuando este fue instalado
M — La prueba ha detectado un error de permisos o de tipo de archivo
D — La prueba ha encontrado una diferencia en el número minor/major de un archivo de dispositivo
L — La prueba ha encontrado un enlace simbólico que ha sido modificado a otra ruta de archivos
U — La prueba ha encontrado un archivo que tiene su atributo de propiedad del usuario modificado
G — La prueba ha encontrado un archivo que tiene su atributo de propiedad del grupo modificado
T — La prueba ha encontrado errores de verificación mtime en el archivo

rpm -Va

La opción -Va verifica todos los paquetes instalados y encuentra cualquier falla en sus pruebas de verificación (similar a la opción -V, pero con más detalles en la salida puesto que verifica cada paquete instalado).

rpm -Vf /bin/ls

La opción -Vf verifica archivos individuales en un paquete instalado. Esto puede ser muy útil si desea realizar verificaciones rápidas de un archivo sospechoso.

rpm -K application-1.0.i386.rpm

La opción -K es útil para verificar las sumas de verificación md5 y la firma GPG de un archivo de paquetes RPM. Esto es útil para verificar si un paquete que desea instalar está firmado por Red Hat o cualquier otra organización para la cual usted posee la llave pública GPG importada en un llavero GPG. Un paquete que no haya sido firmado adecuadamente producirá un mensaje de error similar a lo siguiente:

application-1.0.i386.rpm (SHA1) DSA sha1 md5 (GPG) NOT OK

(MISSING KEYS: GPG#897da07a)

Tenga cuidado cuando instale paquetes que no esten firmados pues estos no son aprobados por Red Hat, Inc. y podrían contener código malicioso.

RPM puede ser una herramienta muy poderosa, como se evidencia por sus numerosas herramientas de verificación para paquetes instalados y archivos RPM. Se recomienda que cree una copia de respaldo de los contenidos de su directorio de base de datos RPM (/var/lib/rpm/) a un medio de sólo lectura, tal como un CD-ROM, después de instalar Red Hat Enterprise Linux. De esta forma puede comparar de forma segura los archivos y paquetes con la base de datos de sólo lectura, en vez de con una base de datos en el sistema, pues usuarios maliciosos pueden dañar esta base de datos.

9.2.3. Otros IDSes basados en host

La lista siguiente discute algunos de los otros sistemas de detección de intrusos populares basados en host que se encuentran disponibles. Refiérase a los sitios web de las utilidades respectivas para más información sobre cómo instalarlos y

Estas aplicaciones no están incluídas con Red Hat Enterprise Linux y no son soportadas. Han sido incluidas en este documento como una referencia para los usuarios que podrían estar interesados en evaluar tales aplicaciones. Existen dos grandes grupos de propagación: los virus cuya instalación el usuario, en un momento dado, ejecuta o acepta de forma inadvertida; y los gusanos, con los que el programa malicioso actúa replicándose a través de las redes.

En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperación del mismo.

Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:

Mensajes que ejecutan automáticamente programas, como el programa de correo que abre directamente un archivo adjunto.
Ingeniería social, mensajes como «Ejecute este programa y gane un premio».
Entrada de información en discos de otros usuarios infectados.
Instalación de software que pueda contener uno o varios programas maliciosos.
A través de unidades extraíbles de almacenamiento, como memorias USB.

SWATCH http://sourceforge.net/projects/swatch/ — El Simple WATCHer (o SWATCH) utiliza archivos de registro generados por syslog para alertar a los administradores de las anomalías, basándose en los archivos de configuración del usuario. SWATCH fué diseñado para registrar cualquier evento que el usuario desee añadir en el archivo de configuración; sin embargo, ha sido adoptado ampliamente como un IDS basado en host.
LIDS http://www.lids.org — El Sistema de Detección de Intrusos Linux (Linux Intrusion Detection System, LIDS) es un parche del kernel y una herramienta de administración que también puede controlar la modificación de archivos a través de las listas de control de acceso (ACLs) y proteger procesos y archivos, hasta del superusuario o root

ANTIVIRUS

El software antivirus es un programa de computación que detecta, previene y toma medidas para desarmar o eliminar programas de software malintencionados, como virus y gusanos. Puede ayudar a proteger su computadora de virus usando software antivirus, como por ejemplo Microsoft Security Essentials.

Los virus informáticos son programas de software diseñados intencionalmente para interferir con el funcionamiento de la computadora; registrar, corromper, o eliminar datos; o propagarse a otras computadoras y por toda Internet.

Para ayudar a evitar los virus más recientes, debe actualizar el software antivirus con regularidad. Puede configurar la mayoría de los programas de software antivirus para que se actualicen automáticamente.

Para obtener protección a pedido, el escáner de seguridad de Windows Live le permite visitar un sitio web y analizar su computadora en busca de virus y software malintencionado de manera gratuita.

Existen dos grandes grupos de propagación: los virus cuya instalación el usuario, en un momento dado, ejecuta o acepta de forma inadvertida; y los gusanos, con los que el programa malicioso actúa replicándose a través de las redes.

En cualquiera de los dos casos, el sistema operativo infectado comienza a sufrir una serie de comportamientos anómalos o no previstos. Dichos comportamientos son los que dan la traza del problema y tienen que permitir la recuperación del mismo.

Dentro de las contaminaciones más frecuentes por interacción del usuario están las siguientes:

Mensajes que ejecutan automáticamente programas, como el programa de correo que abre directamente un archivo adjunto.

Ingeniería social, mensajes como «Ejecute este programa y gane un premio».

Entrada de información en discos de otros usuarios infectados.

Instalación de software que pueda contener uno o varios programas maliciosos.

A través de unidades extraíbles de almacenamiento, como memorias USB.

Tipos de vacunas

Sólo detección: son vacunas que sólo actualizan archivos infectados, sin embargo, no pueden eliminarlos o desinfectarlos.
Detección y desinfección: son vacunas que detectan archivos infectados y que pueden desinfectarlos.
Detección y aborto de la acción: son vacunas que detectan archivos infectados y detienen las acciones que causa el virus.
Comparación por firmas: son vacunas que comparan las firmas de archivos sospechosos para saber si están infectados.
Comparación de firmas de archivo: son vacunas que comparan las firmas de los atributos guardados en tu equipo.
Por métodos heurísticos: son vacunas que usan métodos heurísticos para comparar archivos.
Invocado por el usuario: son vacunas que se activan instantáneamente con el usuario.
Invocado por la actividad del sistema: son vacunas que se activan instantáneamente por la actividad del sistema operativo.

Copias de seguridad (pasivo)

Mantener una política de copias de seguridad garantiza la recuperación de los datos y la respuesta cuando nada de lo anterior ha funcionado.

Asimismo, las empresas deberían disponer de un plan y detalle de todo el software instalado para tener un plan de contingencia en caso de problemas.

Consideraciones de la red

Disponer de una visión clara del funcionamiento de la red permite poner puntos de verificación de filtrado y detección ahí donde la incidencia es más claramente identificable. Sin perder de vista otros puntos de acción es conveniente:

Mantener al máximo el número de recursos de red en modo de sólo lectura. De esta forma se impide que computadoras infectadas los propaguen.
Centralizar los datos. De forma que detectores de virus en modo batch puedan trabajar durante la noche.
Realizar filtrados de firewall de red. Eliminar los programas que comparten datos, como pueden ser los P2P; Mantener esta política de forma rigurosa, y con el consentimiento de la gerencia.
Reducir los permisos de los usuarios al mínimo, de modo que sólo permitan el trabajo diario.
Controlar y monitorizar el acceso a Internet. Para poder detectar en fases de recuperación cómo se ha introducido el virus, y así determinar los pasos a seguir.

SERVICIOS DE SEGURIDAD

¿Que sucedería si usted pudiera localizar y asegurar todos sus datos críticos, y además tener la libertad de colaborar más allá del perímetro y obtener la inteligencia empresarial para encaminar las iniciativas estratégicas? La seguridad de IT juega un papel central en la protección de sus datos, activos, y en definitiva en su marca. La seguridad también debe habilitar la productividad y la innovación empresariales preservando el acceso y uso de los datos, evitando al mismo tiempo las amenazas internas y externas.

IBM Data Security Services puede ayudarlo a identificar y proteger eficientemente en costos los datos críticos de su organización de las amenazas internas y externas, ofreciendo las soluciones adaptables para la prevención de la pérdida de datos en la red (US) ,el cifrado de terminales (US) ,la prevención de la pérdida de los datos de terminales (US) ,y la administración del análisis de los registros. Ya sea implementándolas en forma individual o en combinación, IBM puede ayudarlo a crear las soluciones para proteger los datos en su entorno específico. Los consultores y especialistas de IBM tienen experiencia en una amplia gama de soluciones industriales y arquitecturas de IT para ayudar a las organizaciones de todos los tamaños a adoptar una solución para la protección de datos. El enfoque perfeccionado de IBM le da soporte a la colaboración en toda la empresa mientras que protege los datos en tránsito o en reposo – sin hacer que su empresa funcione con mayor lentitud.

Los beneficios potenciales incluyen:

Las percepciones en torno a su inteligencia empresarial que ayuden a establecer una dirección estratégica
La protección simplificada de sus datos críticos empresariales valiosos y/o datos confidenciales
El acceso a los datos controlados con el objetivo de la colaboración y el uso compartido
La protección contra la corrupción y la intercepción con un cifrado de avanzada
Menor riesgo de incumplimiento reglamentario.
La Seguridad Social ha puesto en marcha nuevos servicios "online" que permiten obtener información y efectuar trámites a través de la red y sin necesidad de acudir a sus oficinas, según ha informado hoy la Delegada del Gobierno en Canarias, María del Carmen Hernández Bento.
Hernández Bento y los directores provinciales del Instituto Nacional de la Seguridad Social de Las Palmas (INSS), Jorge Hernando, y de la Tesorería General de la Seguridad Social, Francisco Capellán Sanz, han dado a conocer estos servicios y la nueva página web "Tu Seguridad Social", que permiten gestionar los trámites más demandados.
Los ciudadanos podrán disponer de un sistema basado en el acceso a través de usuario y contraseña para efectuar sus gestiones con ambas entidades de manera segura y confidencial desde un ordenador, tabletas y teléfonos móviles, si bien deberán activar la clave en una oficina de la Seguridad Social.
Una vez activada, se podrán solicitar los informes de vida laboral, así como de estar al corriente en las obligaciones de la Seguridad Social, las solicitudes de alta en el régimen especial de trabajadores autónomo y solicitud de creación de empresas, entre otros servicios.
En cuanto a la nueva página "Tu Seguridad Social", que se activa con la misma clave, tiene como objetivo poner a disposición de los ciudadanos un nuevo medio para acceder a los servicios que ofrece el INSS.
Se trata de una herramienta de fácil empleo que permite al ciudadano acceder a su historial con privacidad y con un manejo muy intuitivo, ha señalado Hernández Bento.
La nueva página ha sido diseñada para facilitar al ciudadano, de forma privada, el acceso a la información individualizada sobre su relación con el sistema público de la Seguridad Social.
Su principal novedad es que es diferente para cada usuario, ya que se corresponde con sus circunstancias y condiciones laborales.
Es un espacio de comunicación privado donde se podrá encontrar información completa de cualquier relación que el ciudadano mantenga con la Seguridad Social como trabajador, pensionista y beneficiario de asistencia sanitaria, entre otras consultas.
A través de esta herramienta se podrán realizar las consultas y trámites más frecuentes de la Seguridad Social.
Así, desde esta web se podrán consultar los días de cotización para tener derecho a las prestaciones de la Seguridad Social y el tiempo que le falta a cada uno para solicitar la pensión de jubilación, y los pensionistas tendrán acceso a toda la información de su prestación y ver su evolución.
"Tu Seguridad Social" permite el acceso a la información relativa al derecho a la asistencia sanitaria, tanto en España como en la Unión Europea, y solicitar la Tarjeta Sanitaria Europa cuando sea precisa, así como su certificado provisional.
Está previsto que en futuras fases de este proyecto los servicios vayan en aumento, pudiéndose solicitar prestaciones por maternidad o paternidad, por jubilación, viudedad u orfandad, entre otras gestiones.

DETECCION DE INTRUSOS

Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.

1.2 Tipos de Intrusos

Los intrusos se clasifican principalmente de acuerdo al lugar al que pertenecen en:

Intrusos de Fuera.

La mayoría de las personas piensan que el mundo exterior es la amenaza más grande a su seguridad; debido a que ha sido difundido por los medios de comunicación un miedo hacia los “hackers” que entran a través de Internet. La realidad, es que los hackers representan una pequeña parte de las amenazas reales a las que se enfrenta una compañía.

Intrusos de Adentro.

Estudios realizados por el FBI han revelado que el 80% de las intrusiones y de los ataques provienen de dentro de las organizaciones. Es muy lógico si se piensa que una persona de adentro conoce el esquema del sistema, donde se encuentran la información valiosa y la localización de puntos y sistemas de seguridad.

Por lo anterior hay que desechar la idea de que la mayoría de las medidas de seguridad deben estar puestas para proteger al interior de un “malévolo” exterior, ya que realmente gran parte de las intrusiones ocurren desde adentro de las organizaciones. Es necesario un mecanismo que detecte ambos tipos de Intrusos, los externos y los internos. Un sistema detector de intrusos efectivo detecta ambos tipos de ataques en un alto grado.

1.3 Políticas de seguridad para evitar intrusiones

Una Política de Seguridad define lo que se permite y lo que se niega en un sistema. Hay dos filosofías básicas detrás de cualquier política de seguridad:

 Prohibitiva.- En esta política todo aquello que no esta expresamente permitido es negado

 Permisible.- En esta política todo lo que no esta negado expresamente es permitido

Generalmente, un lugar que es más paranoico sobre seguridad toma la primera opción. Se usara una política que detalla exactamente los funcionamientos u operaciones que se permite en un sistema. Cualquier otra operación que no este detalla en éste documento de la política será considerada como ilegal dentro del sistema. Es claro que este tipo de políticas se prestan bien para un ambiente militar, y estos tipos de políticas son raros en establecimientos civiles.

La segunda filosofía está más ligada al espíritu de la informática. Los usuarios de computadoras siempre han intentado usar el potencial de las computadoras al máximo, aun cuando esto signifique violar las reglas. Esto era aceptable con tal de que el trabajo se realizara bien y completo en el tiempo necesario, y nadie resultaba afectado.

Desgraciadamente, esta filosofía no funciona bien en los ámbitos de trabajo actuales. El espíritu competitivo tiende a nublar la ética profesional cuando un usuario se entromete con los archivos de otro usuario. De hecho, el sabotaje puede ser una norma de conducta en algunos ambientes laborales donde la supervivencia se logra con una competencia extrema.

La mayoría de los usuarios se comportará según un conjunto de reglas "sociales". Estas reglas los animan a respetar la privacidad y el trabajo de los demás. Semejante población de usuarios tiene una alianza de funcionamiento basada en la confianza, y la confianza es fácil subvertir. Una población de usuarios confiables es contaminada fácilmente por un usuario“malévolo”, que intente emplear mal los sistemas.

1.4 Detección de Intrusiones

Antes de hablar sobre la detección de intrusiones es necesario definir que es una intrusión.

Intrusión.- Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.

Las intrusiones se clasifican de la siguiente manera:

 Intrusiones para mal uso.- son ataques en puntos débiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos.

 Intrusiones anómalas.- se basa en la observación de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado.

Mientras las intrusiones de mal uso sigan patrones bien definidos pueden ser detectadas haciendo un análisis y chequeo en la información de auditoria y reportes del sistema. Por ejemplo, un intento de crear un archivo invalido puede ser descubierto examinando los mensajes en los Logs que son resultado de las llamadas al sistema.

Las intrusiones anómalas son descubiertas observando desviaciones significantes del comportamiento normal del sistema. El modelo clásico para el descubrimiento de la anomalía fue propuesto por Denning. En el se propone la construcción de un modelo que contiene métricas que se derivan del funcionamiento del sistema.

Una métrica se define como: una variable aleatoria x que representa una medida cuantitativa acumulada durante un periodo.

Estas métricas se calculan de los parámetros del sistema disponibles como promedio de carga del CPU, número de conexiones de la red por minuto, número de procesos por usuario y cualquier otro tipo de medida disponible que describa un cierto consumo de recursos en un periodo definido.

Una anomalía puede ser un síntoma de una posible intrusión. Dado un conjunto de métrica que definen el uso normal del sistema, podemos asumir que la explotación de las vulnerabilidades de un sistema involucra el uso anormal del sistema, por consiguiente, ser pueden descubrir violaciones al sistema a partir de patrones anormales del uso del sistema.

El descubrimiento de anomalías también se realiza por medio de otros mecanismos, como redes neuronales, técnicas de clasificación de maquinas que aprenden (machine learning), e incluso sistemas que imitan la inmunidad biológica.

Las intrusiones anómalas son más difíciles de detectar. No hay patrones fijos que puedan ser monitoreados. Idealmente nos gustarían un sistema que combine la capacidad de las personas de localizar patrones y la vigilancia que brinde un programa de computadora. Así siempre se estaría supervisando el sistema para detectar las intrusiones potenciales, pero podría ignorar las intrusiones falsas, si ellas resultaran ser acciones legítimas de usuarios.

Muchos sistemas de detección intrusiones basan sus operaciones en el análisis de los rastros de accesos al Sistema Operativo. Estos datos forman una huella del uso del sistema en un cierto tiempo. Es una fuente conveniente de datos y es fácilmente disponible en la mayoría de los sistemas. De estas observaciones, los Sistemas de Detección de Intrusiones calcularán métrica sobre el estado total del sistema, y decidirán si está ocurriendo una intrusión.

Un sistema de detección de intrusiones deberá también realizar su propio monitoreo del sistema. Puede ir incrementando las estadísticas que dan el perfil de uso del sistema. Esta estadística se puede derivar de una variedad de fuentes tales como uso de la CPU, entradas y salidas del disco, uso de la memoria, actividades por usuario, número de conexiones hechas, etc. Las estadísticas se debe actualizar continuamente para reflejar el estado actual del sistema. Además se debe correlacionar con un modelo interno que permita que el sistema detector de intrusiones determinen si una serie de acciones constituyen una intrusión potencial.

CAPITULO 2. SISTEMA DE DETECCIÓN DE INTRUSIONES

2.1 Concepto

Los sistemas informáticos se apoyan en los Sistemas de Detección de Intrusiones (IDS -de sus siglas en inglés) para prepararse y ocuparse del mal manejo y del uso indebido de la información de una organización. Logran esta meta, recopilando la información de una gran variedad de fuentes del sistema y de la red y analizando la información que contribuye a los síntomas de los problemas de seguridad de la misma, y permiten que el usuario especifique las respuestas en tiempo real a las violaciones.

Los productos de detección de intrusos son aplicaciones que monitorean activamente los sistemas operativos y el tráfico de red, con el objeto de detectar ataques y violaciones a la seguridad.

Es decir, los IDS son herramientas de seguridad en red que recopilan información de una variedad de fuentes del sistema, analizan la información de los parámetros que reflejan el uso erróneo o la actividad inusual, responden automáticamente a la actividad detectada, y finalmente informan el resultado del proceso de la detección.

 Objetivos

Para el buen funcionamiento de los Sistemas de Detección de Intrusiones, es necesario que cumplan con los objetivos que tienen asignados, estos consisten en el cumplimiento de los siguientes puntos:

Vigilar y analizar la actividad de los usuarios y del sistema.

Revisar las configuraciones del sistema y de las vulnerabilidades.

Evaluar la integridad de los archivos críticos del sistema y de los datos.

Reconocimiento de los modelos de la actividad que reflejan ataques conocidos.

Análisis estadístico para los modelos anormales de la actividad.

Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de las violaciones de la actividad del usuario respecto a la política establecida.

Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización.

La combinación de estas características hace que sea más fácil para los encargados del sistema, vigilar la intervención y la evaluación de sus sistemas y redes. Esta actividad en curso de la intervención y de la evaluación, es una práctica necesaria de una sana gerencia de seguridad.

 Tipos

Es importante mencionar antes de describir el funcionamiento de un IDS, los tipos más comunes de estos sistemas en el mercado actual.

La meta de un IDS es proporcionar una indicación de un potencial o de un ataque verdadero. Un ataque o una intrusión es un acontecimiento transitorio, mientras que una vulnerabilidad representa una exposición, que lleva el potencial para un ataque o una intrusión. La diferencia entre un ataque y una vulnerabilidad, entonces, es que un ataque existe en un momento determinado, mientras que una vulnerabilidad existe independientemente de la época de la observación. Otra manera de pensar en esto es que un ataque es una tentativa de explotar una vulnerabilidad (o en algunos casos, una vulnerabilidad percibida). Esto nos conduce a categorizar varios tipos de IDS.

Hay cinco diversas categorías de las identificaciones. No todas estas categorías representan la "detección clásica de la intrusión" pero desempeñan un papel en la meta total de intrusiones de detección o de prevención en una red corporativa. Las categorías son:

IDS Network-based

IDS Host-based

IDS Híbridos

Inspector de la Integridad del Archivo

Explorador de la vulnerabilidad de la Red

Explorador de la vulnerabilidad del Host

Los tres primeros puntos son tipos de IDS y los tres puntos restantes son herramientas de detección de vulnerabilidad.

Una intrusión, explota una vulnerabilidad específica y debe ser detectada cuanto antes, después de que comience. Por esta razón, las herramientas de la detección de la intrusión deben de ejecutarse con más frecuencia que los exploradores de vulnerabilidad. Los sistemas de la detección de la intrusión (IDS) examinan el sistema o la actividad de la red para encontrar intrusiones o ataques posibles.

Como mencionamos anteriormente, hay dos tipos básicos de sensores de IDS: network-based y host-based. Los sensores network-based se encargan de monitorear las conexiones de red, observar el tráfico de paquetes TCP, y así poder determinar cuando se está realizando un ataque. Los sensores host-based se ejecutan en los sistemas -servidores, workstations o en las máquinas de usuarios - y localizan alguna actividad sospechosa en el nivel del sistema. Buscan las cosas que pueden indicar actividad sospechosa, tal como tentativas de conexión fallidas. Los encargados de los IDS actúan como un centro centralizado de vigilancia, recibiendo datos de los sensores y accionando alarmas.

IDS basados en Red

Los sistemas network-based actúan como estupendos detectores, es decir, ellos observan el tráfico en las capas del TCP/IP y buscan modelos conocidos de ataque, como los que generalmente realizan los hakers o los ataques al web server. Tales sistemas hacen frente a desafíos significativos, especialmente en los ambientes cambiantes donde los detectores no ven todo el tráfico en la red. Además, la mayoría de los sistemas network-based pueden buscar solamente los modelos de abuso que se asemejan al estilo de los ataques de los hackers, y esos perfiles están cambiando constantemente. Los sistemas network-based son también propensos a los positivos falsos. Por ejemplo, si el web server tiene sobrecarga de trabajo y no puede manejar todas las peticiones de conexión, los IDS quizá pueden detectar que el sistema está bajo un ataque, aunque en realidad, no lo sea. Típicamente, un sistema basado en red no va a buscar la otra actividad sospechosa, tal como que alguien de su entorno de trabajo, intente tener acceso a los datos financieros de su compañía. Por supuesto, los detectores de la red se pueden adaptar para buscar apenas sobre cualquier tipo de ataque, pero es un proceso laborioso. Los sistemas network-based son los más comunes, y examinan el paso del tráfico de la red para las muestras de la intrusión.

Los sistemas basados en red son un poco diferentes: se diseñan empleando una arquitectura de consola-sensor y suelen ser totalmente pasivos. Este tipo de detección integrada a la red "husmea" el cable y compara los patrones de tráfico, en vivo, con listas internas de "rúbricas" de ataque.

IDS basados en Host

Los sistemas host-based emplean un diverso procedimiento para buscar a los malos individuos. No característico de los detectores, los sistemas host-based dependen generalmente de los registros del sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red mientras que ocurren. En comparación con los IDS basados en red, estos sistemas obligan a definir lo que se considera como actividades ilícitas, y a traducir la política de la seguridad a reglas del IDS. Los IDS host-based se pueden también configurar para buscar tipos específicos de ataques mientras que no hace caso de otros. Pero otra vez, el proceso de templar un sensor puede ser desperdiciador de tiempo. Es decir, los sistemas host-based observan al usuario y la actividad del proceso en la máquina local para las muestras de la intrusión.

Los sistemas relacionados al host se despliegan de la misma forma que los escáners antivirus o las soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa una consola de gestión para generar informes.

Ambas formas de detección pueden reaccionar cuando identifican un ataque. Los dos enfoques tienen puntos fuertes y débiles. Los sistemas basados en red casi no se hacen notar y son independientes de la plataforma; se pueden desplegar con poco o ningún impacto sobre las redes de producción. Sin embargo, estos sistemas tienen que superar varios obstáculos importantes. Por ejemplo, la tecnología se basa en la capacidad del sensor para ver todo el tráfico de red. En un entorno conmutado, esta situación complica demasiado la vida, ya que es preciso utilizar espejos de puertos. Pocos sistemas basados en red pueden manejar una línea de 100 Mbps saturada, y ya no hablemos de velocidades de gigabits.

Los sistemas basados en host no tienen problemas de ancho de banda; no obstante sólo pueden reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores que usan un sistema operativo no reconocido, el administrador no habrá ganado nada. Sin embargo, las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen los sistemas basados en red, como verificación de integridad binaria, análisis sintáctico de logs y terminación de procesos no válidos.

IDSs Híbridos

Los vendedores han observando las limitaciones que presentan los IDS network-based y los IDS host-based, y han concluido en combinar ambos sistemas para mejorar su capacidades. Estos sistemas híbridos combinan las mejores características de ambos en una configuración del sensor del IDS. RealSecure de Internet Security Systems (ISS), CyberCop de Network Associates (NAI) y CMDS de ODS son ejemplos de soluciones que han adoptado este acercamiento híbrido de IDS.

RealSecure, por ejemplo, originalmente se basaba en un sensor network-based, pero ahora tiene detección host-based de la intrusión también. CyberCop ofrece actualmente solamente las IDS host-based, pero se está moviendo hacia una nueva configuración de la " fusión " que incorpore detectores de red IDS host-based. Y CMDS trabaja con la red y la información de IDS host-based para buscar ataques.

 Características

Las características de un buen IDS deben tratar las siguientes cuestiones, sin importar en que mecanismo se basen:

 Debe ejecutarse continuamente sin la supervisión humana. El sistema debe ser bastante confiable y permitir que se ejecute en el fondo del sistema que es observado. Sin embargo, no debe ser un "rectángulo negro". Es decir, sus funcionamientos internos deben ser observables desde el exterior.

 Debe ser tolerante a fallos, en el sentido de que debe mantenerse ante un fallo del sistema, además no debe de poder reiniciar el sistema.

 Debe resistir el cambio. El sistema puede vigilarse para asegurarse de que no ha sido alterado.

 Debe imponer los gastos mínimos para el sistema.

 Debe observar desviaciones del comportamiento normal.

 Debe ser adaptado fácilmente al sistema en cuestión. Cada sistema tiene un diverso modelo de uso, y el mecanismo de la defensa debe adaptarse fácilmente a estos modelos.

 Debe hacer frente a comportamiento del sistema que cambia en un cierto periodo de tiempo, mientras que se están agregando las nuevas aplicaciones. El perfil del sistema cambiará en un cierto plazo, y el IDS debe poder adaptarse.

 Finalmente, debe ser difícil engañar.

Algunos sistemas proporcionan ciertas características adicionales, incluyendo:

La instalación automática de correcciones lógicas al software.

Instalación y operación de los servidores que registran la información de intrusos.

Los tipos de errores que probablemente puedan ocurrir en el sistema, se pueden categorizar cuidadosamente como:

Positivo falso

Negativa falsa,

Errores de cambio.

Un positivo falso ocurre cuando el sistema clasifica una acción como anómala (una intrusión posible) cuando es una acción legítima. Una negativa falsa ocurre cuando ha ocurrido una acción intrusa real pero el sistema permite que pase como no intruso. Un error de cambio, ocurre cuando un intruso modifica la operación del detector de la intrusión para forzar a que ocurran negativas falsas. Los errores positivos falsos conducirán a los usuario del IDS a no hacer caso de su salida, pues clasificará acciones legítimas como intrusiones. Las ocurrencias de este tipo de error se deben reducir al mínimo (puede no ser posible eliminarlas totalmente), para proporcionar la información útil a los operadores. Si muchos positivos falsos se generan también, los operadores vendrán no hacer caso de la salida del sistema en un cierto plazo, que puede conducir a una intrusión real que es detectada pero no hecha caso por los usuarios.

Un error negativo falso ocurre cuando procede una acción aunque es una intrusión. Los errores negativos falsos son más serios que errores positivos falsos porque dan un sentido engañoso de la seguridad. Permitiendo que todas las acciones procedan, una acción sospechosa no será traída a la atención del operador. El IDS ahora es un defecto, pues la seguridad del sistema es menor que la que era antes de que el IDS fuera instalado. Los errores de cambio son más complejos Un intruso podría utilizar conocimientos sobre los mecanismos internos de un IDS para alterar su operación, permitiendo posiblemente que el comportamiento anómalo proceda. El intruso podría entonces violar los apremios operacionales de la seguridad del sistema. Esto se puede descubrir por un operador humano que examina los registros del detector de la intrusión, pero parecería que el IDS todavía trabaja correctamente.

El uso del término "detección de intrusos" está proliferando en todos lados. Los medios de comunicación y la gente de mercadotecnia utilizan la frase a diestra y siniestra. A cualquier tipo de herramienta se le describe como sistema de detección de intrusos, desde analizadores de logs de web hasta productos de administración de activos.

Los sistemas de detección de intrusos pueden ayudar a los administradores a mantener vigilados los sistemas y las redes, estos productos pueden, en tiempo real, percatarse de cuándo está ocurriendo un ataque. Esto ofrece al administrador la oportunidad de reaccionar ante las agresiones o incluso marcarles el alto -lo cual es mucho mejor que recibir a las cuatro de la mañana una llamada telefónica de alguien que dice que el sitio web se ve un poco diferente--. En muchos casos, el costo de un sistema de detección de intrusos se puede justificar tan sólo por su valor "forense". Si un sistema fue violado y sus logs están contaminadas, este tipo de sistemas pueden ahorrar a los administradores los días que llevaría averiguar qué pasó exactamente.

Los sistemas de detección de intrusos son excelentes adiciones al arsenal de seguridad; sin embargo, no son el factor que permitirá ganar la guerra. Si una compañía posee redes de alta disponibilidad o muy expuestas, la tecnología podría resultar muy valiosa. No obstante, si la empresa todavía está batallando con políticas, procedimientos y bloqueos de hosts, será necesario dejar para después la detección de intrusos y ocuparse primero de lo básico.

 Ventajas y Desventajas

Cada nuevo mercado sufre de la exageración y de la idea falsa, algunas de las demandas hechas en materia de comercialización son razonables y otras son engañosas. Los Sistemas de Detección de Intrusiones, tienen sus ciertas ventajas y desventajas, mismas que se analizan en los siguientes párrafos.

Ventajas

 Pueden prestar un mayor grado de integridad al resto de su infraestructura de seguridad. Los IDS proporcionan capas adicionales de protección a un sistema asegurado. La estrategia de un atacante del sistema incluirá a menudo los dispositivos de seguridad que atacan, que anulan o que protegen. Los IDS la intrusión pueden reconocer estos primeros sellos de ataque, y potencialmente responden a ellos, atenuando daños Además, cuando estos dispositivos fallan, debido a la configuración, al ataque, o al error del usuario, los IDS puede reconocer el problema y notificar a la gente adecuada.

 Los encargados del sistema, pueden tener fuentes de información a menudo obtusas del sistema, diciéndole lo qué realmente está sucediendo en sus sistemas. Los rastros de intervención del sistema operativo y otros registros de sistemas son información clave sobre lo que se está intentando realizar sobre sus sistemas. Son también a menudo incomprensibles. Los IDS permiten que los administradores y los encargados templen, que ordenen, y que comprendan lo que les dicen estas fuentes de información, a menudo revelando problemas antes de que ocurra la pérdida

 Pueden rastrear la actividad del usuario de la punta de entrada a la punta de salida o del impacto. En el acontecimiento inverosímil que un intruso consigue más allá de un dispositivo de la defensa del perímetro, tal como un firewall, las identificaciones proporcionan una manera de coger sus acciones. Además, las identificaciones pueden detectar las acciones de un "mal individuo " ya dentro, un ataque ya iniciado o un camino previamente desconocido de la entrada a la red.

 Pueden reconocer y señalar alteraciones a los archivos críticos del sistema y de datos. Las herramientas de integridad del archivo utilizan sumas de comprobación criptográficas fuertes por bloques, y en el caso de un problema, comprobar rápidamente el fragmento del daño.

 Pueden manchar los errores de su configuración de sistema que tienen implicaciones de la seguridad, corrigiéndolas a veces si el usuario desea. Los productos de revisión de vulnerabilidad permiten la revisión y la diagnosis constantes de las configuraciones del sistema que pudieron causar problemas de la seguridad.

 Pueden reconocer cuando su sistema parece ser vulnerable a los ataques determinados. Los productos de detección de vulnerabilidad también permiten que el administrador de un sistema se determine rápidamente lo que deben ser los ataques de preocupación.

La gran ventaja de utilizar productos de detección de intrusos es que proporcionan a los administradores una visión en tiempo real de lo que realmente está ocurriendo en la red. Sin monitoreo activo, muchos sitios están volando a ciegas. Pocas personas revisan sus logs de sistema y quienes lo hacen casi nunca las examinan en tiempo real. Peor aún, muy pocas organizaciones han instalado mecanismos de loggins seguros; si un host es violado en el nivel de raíz o de administrador, está a merced de las técnicas de borrado de logs. La consecuencia es una serie de posibles pesadillas, sin tener idea de cómo entraron los intrusos, qué hicieron ni qué tan lejos llegaron.

Desventajas

 La seguridad es un área compleja con posibilidades y dificultades innumerables. No hay soluciones mágicas a los problemas de la seguridad de la red, y los productos de la detección de la intrusión no son ninguna anomalía a esta regla. Sin embargo, como parte de una gerencia comprensiva de la seguridad saben desempeñar un papel vital en la protección de sus sistemas.

 No pueden compensar para los mecanismos débiles de la identificación y de la autentificación. Una infraestructura de la seguridad que incluye la detección fuerte de I&A y de la intrusión es más fuerte de una que contiene solamente uno o la otra.

 No pueden conducir investigaciones de ataques sin la intervención humana. Uno debe realizar la dirección del incidente. Uno debe investigar los ataques, determinarse, en lo posible, el partido responsable, después diagnosticar y corregir la vulnerabilidad que permitió que ocurriera el problema, señalando el ataque y los detalles a las autoridades donde se requiera.

 No pueden intuir el contenido de la política organizacional de la seguridad. Los sistemas expertos de la detección de la intrusión aumentan de valor cuando se permiten funcionar como alarmas de hacker.

 No pueden compensar para los problemas en la calidad o integridad de la información que el sistema proporciona. Es decir la " basura es basura " todavía se aplica.

 No pueden analizar todo el tráfico en una red ocupada. La detección network-based de la intrusión es capaz de vigilar tráfico de una red, pero solamente a una punta.

 No pueden ocuparse siempre de los problemas que implican ataques del nivel de paquete. Hay debilidades en sistemas la detección de la intrusión de la red. El corazón de las vulnerabilidades implica la diferencia entre la interpretación de IDS's del resultado de una transacción de la red (basada en su reconstrucción de la sesión de la red) y del nodo de destinación para la dirección real de esa sesión de la red de la transacción. Por lo tanto, un adversario bien informado puede enviar la serie de paquetes hechos fragmentos y de otra manera cuidados que eludan la detección, pero lanza ataques contra el nodo de destinación. Peor todavía, un adversario puede utilizar esta clase de manipulación del paquete para lograr una negación del ataque del servicio contra las identificaciones sí mismo por la memoria que desborda afectada un aparato para las coletas entrantes del paquete.

2.6 IDS y Firewalls

Una idea errónea pero generalizada acerca de los firewalls, es que garantizan la protección de una red. Aunque es indudable que esta tecnología es necesaria, por sí sola no determina que la red sea segura. Un firewall no posee poderes místicos; deja entrar algunos paquetes y bloquea el paso de otros. Lo que hay que recordar es que tan pronto como se dejan entrar algunos paquetes, aunque éstos hayan atravesado un firewall, la red de la empresa está en riesgo. Por tal motivo, es crucial contar con expertos que entiendan qué paquetes hay que dejar entrar y cómo minimizar los riesgos que implica el permitirles el acceso. Dado que el firewall está situado en un punto muy estratégico de la red, no es sorprendente que los fabricantes añadan otros servicios. Varios firewalls incluyen funciones de autenticación, capacidades VPN, filtrado de URL, escaneo de virus e incluso integración con sistemas de detección de intrusos.

Axent Technologies, Check Point y Cisco se cuentan entre los fabricantes que han integrado software para detección de intrusos en los firewalls, el cual activa automáticamente filtros si el software cree haber detectado un ente extraño.

La funcionalidad básica del firewall, que se concentra en filtrar paquetes con base en aplicaciones y direcciones IP; casi todos los productos cumplen su promesa. El problema radica en decidir qué servicios se deben ejecutar en el hardware de firewall, además del filtrado básico de paquetes. La tentación de añadir soluciones debe moderarse, en la inteligencia de que la ejecución de más programas podría hacer lento o desestabilizar al firewall.

Por último, tenga presente que un firewall no se puede descartar que los paquetes que el firewall deja entrar en la red formen parte de un ataque.

Una pregunta común es cómo la detección de la intrusión complementa firewalls. Una forma de caracterizar la diferencia es proporcionada clasificando la violación de la seguridad por fuente -- si vienen fuera de la red de la organización o de dentro. Acto de los firewalls re como barrera entre las redes (internas) corporativas y el mundo exterior (Internet), y tráfico entrante del filtro según una política de la seguridad.

Esto es una función valiosa y sería suficiente protección era él no para estos hechos:

 No todo el acceso de Internet ocurre a través del firewall

Los usuarios por diversas circunstancias instalaron en ocasiones conexiones desautorizadas del módem entre sus sistemas conectados con la red interna y los abastecedores de acceso de Internet del exterior u otras proveedoras de Internet. El firewall no puede atenuar el riesgo asociado a las conexiones que nunca considera.

 No toda la amenaza se origina fuera del firewall.

Hay ocasiones que se ha detectado que los problemas se originan dentro de la organización Una vez más el firewall ve solamente tráfico en los límites entre la red interna y el Internet. Si la seguridad de reflejo del tráfico nunca práctica una abertura flujos más allá del firewall, no puede considerar los problemas.

Actualmente más organizaciones utilizan la encripción para proteger sus archivos y las conexiones públicas de la red, el punto importante será proteger aquella información que no este protegida dentro de la red interna. Es aquí donde la detección de intrusiones toma parte ya que solo se ocupa del tráfico en la red interna.

Por lo tanto, llegarán a ser aún más importantes como las infraestructuras de la seguridad se desarrollan.

 Los firewalls están conforme a ataque ellos mismos

Una estrategia común del ataque es utilizar un túnel para desviar protecciones del firewall. El hacer un túnel es la práctica de encapsular un mensaje en un interior del protocolo (que se pudo bloquear por los filtros del firewall) un segundo mensaje.

CAPITULO 3. VULNERABILIDAD

3.1 Concepto de Vulnerabilidad

Los paquetes de vulnerabilidad (también conocidos como escáners de seguridad) adoptan un enfoque proactivo respecto a la seguridad de redes y procuran identificar de forma eficiente, exhaustiva y automatizada huecos en la seguridad, tanto en el nivel de host como en las redes. Muchos de los puntos de vulnerabilidad son específicos en el Sistema Operativo.

Además de que realizan rigurosas tareas de sistemas en orden, para determinar el lado débil que a fuerzas permite la violación de la seguridad, estos productos usan estrategias para realizar tareas:

El primero: pasivo; es un mecanismo basado en el host; el cual inspecciona la configuración del archivo del sistema para la instalación discreta de la clave del sistema de archivo y para uso del mismo, y otro sistema de objetos para la violación de la política de la seguridad. Estas señales son seguidas en más casos por activos; es la evaluación basada en la red, la cual reactúa en la instrusión común del texto, anotando la respuesta del texto para el sistema.

Los resultados de evaluación de vulnerabilidad de las herramientas representan una seguridad instantánea del sistema para un punto a tiempo. Aunque estos sistemas no pueden detectar confiablemente un ataque en progreso, sólo pueden determinar que ataque es el que ha ocurrido.

3.2 Objetivos

Los productos para la evaluación de la vulnerabilidad (conocidos como escáners) son herramientas de administración de seguridad que:

Comprueban la conducta exhaustiva de un sistema que procura localizar las tareas para la seguridad de la vulnerabilidad.

Reporta el número, natural y la rigidez de esas tareas.

Permite al sistema administrador determinar el estatus de seguridad de un sistema para un tiempo particular.

Permite a los auditores de seguridad determinar la eficacia de un sistema de organización en la seguridad de la administración.

En algunos casos, algunas veces suceden incidentes y permite a los investigadores determinar la ruta de entrada para un atacante o intruso.

3.3 Ventajas y Desventajas

Ventajas

 Las herramientas de vulnerabilidad pueden ser utilizadas para probar la red y nos permite hallar la debilidad de la red, incluso los agujeros que aparecen constantemente en las redes.

 Tiene la capacidad de identificar una gran variedad de agujeros en la seguridad y configuraciones erróneas.

 Son parecidos a los escáners antivirus en cuanto a que utilizan bases de datos internos, que incluyen un listado de defectos conocidos (para determinar sí un sistema es vulnerable o no a un tipo de ataque específico).

 Si los fabricantes de tecnología de seguridad tienen conocimientos nuevos del agujero, se codifican verificaciones, se integran a la siguiente versión y ésta es distribuida.

 La persona que hace uso de la evaluación de la herramienta, podrá obtener el uso adecuado de ella, así mismo como poder tomar decisiones en cuanto a la compra (claro que hay que considerarse que tipo de licencias es con las que cuenta la empresa).

Desventajas

 Se debe evitar anunciar los Sistemas Operativos de sus servidores; ejemplos como: las extensiones de archivos.asp, uso de .htm en lugar de html y página principales llamadas default.htm, las cuales ayudan a atacante a identificar el servidor, además de que el atacante al determinar el Sistema Operativo sólo necesita de la dirección IP del servidor.

 No puede realizar una prueba de vulnerabilidad una sola vez, ya que es necesario utilizar una herramienta frecuentemente con una base de datos actualizada de los puntos vulnerables del Sistema Operativo.

 En NT la debilidad aparece todo el tiempo.

 Los atacantes pueden usar las herramientas para probar donde existen debilidades en la red.

 No es una tarea sencilla el estar dedicándole tanto tiempo a investigar agujeros en la seguridad, sino se cuentan a la mano con versiones actualizadas de las herramientas de escáneo.

 Si el atacante esta al tanto de las actualizaciones de los sistemas, tienen mayor probabilidad de tener éxito si usa los métodos más recientes.

 Si los administadores no se mantienen al día de los parches o hotfix pueden convertirse en víctimas seguras y aún más, si no tiene conocimiento del agujero.

3.4 Evaluaciones para el Host

Este tipo de aplicación usa pasivo; ejecuta el estudio de la clave como parte del análisis de la evaluación de la clave, la cual consiste en correr el password contra el password del archivo, utilizando un buen conocimiento de ataque en orden para rápidamente localizar el franco no existente o de otra manera la subida del password.

Ventajas

Rendimiento exacto ,del host específico del agujero de seguridad.

Contiene agujeros de seguridad que no son expuestos durante la evaluación de la red.

Desventajas

La estimación de métodos son plataformas específicas y así se requiere de la configuración precisa para cada tipo de host usado por la organización.

Desplegar y poner al día muchas veces si se requiere, mucho más esfuerzo que en la evaluación de la red.

3.5 Evaluaciones para la red

La vulnerabilidad de la evaluación de la red, usa activo; las cuales son técnicas para determinar si se ha dado un sistema vulnerable para un determinado ataque. En red la valuación se basa, como variedad de escenarios de ataques que son conectados contra la tarjeta del sistema, y sus resultados son analizados en orden para determinar la vulnerabilidad del sistema para ataque. En algunos casos la evaluación de la red, es usada para explorar los problemas de la red en específico.

Ventajas

Hallar agujeros de seguridad sobre una variedad de plataformas y sistemas

Porque no es una plataforma independiente como el host, ya que este último es fácil de desplegar rápidamente.

Que no asume el nivel de acceso del host, este es fácil para desplegar un punto político de vista.

Desventajas

Que no considera la plataforma específica de vulnerabilidad, este a menudo es menos exacto que la evaluación del host.

Puede afectar las operaciones y ejecución de la red.

CAPITULO 4. FUNCIONAMIENTO DE IDS

4.1 Red IDS

Usualmente una red IDS tiene dos componentes lógicos: el sensor y la estación administradora. El sensor radica en un segmento de red, y los monitores para detectar tráfico sospechoso. La estación administradora recibe alarmas de los sensores y las muestra al operador.

Los sensores usualmente son sistemas dedicados que existen solo para monitorear la red. Estos tienen una interfase de red que recibe todo el tráfico no solo aquel destinado para su dirección IP, además capturan y analizan todo el tráfico que fluye en la red. Si detectan algo que parezca inusual lo envían a una estación de análisis.

La estación de análisis puede mostrar las alarmas o hacer un análisis adicional. Algunas de las alarmas que se muestran son simplemente una interfase a una herramienta administradora de la red, como HP OpenView, pero algunas son GUI's ( interfaces gráficas de usuario) diseñadas para ayudar al operador a analizar el problema.

Este diagrama muestra esquema de una red tradicional basada en IDS con dos sensores sobre segmentos de redes separados que comunican con una estación que monitorean la red interna.

Ventajas

El IDS puede detectar algunos de los ataques a la red. Es buena para detectar accesos sin autoridad o algunos tipos de accesos con exceso de autoridad.

Un IDS basado en red no requiere modificación o un servidor de producción. Esta es una ventaja porque frecuentemente los servidores de producción de servicios tienen tolerancia a las operaciones cercanas al CPU, I/O, y capacidad de disco, instalando software adicional podría exceder la capacidad del sistema.

El IDS no es una trayectoria critica para ninguna producción de servicios o procesos porque una red basada en IDS no actúa como una ruta o un dispositivo critico. Sistemas fracasados no tienen un significativo impactante en los negocios. El lado benéfico de esto es que será probable que usted encuentre menos resistencia de otras personas dentro de su organización el riesgo que existe con procesos críticos es bajo con un sistema de red que con un servidor.

Las redes basadas en sistemas IDS tienden a ser más auto contenidas que un sistema basado en servidor. Ellas corren sobre un sistema dedicado que es sencillo de instalar; hace algunas configuraciones, y conecta esta dentro de su red en una locación que permite monitorear sensitivamente él trafico.

Desventajas

Por otra parte en una red IDS el sensor solo examina el tráfico del segmento al que esta conectado directamente, pero no puede detectar en ataque que viaje a través de un diferente segmento de red.

Este problema es particularmente endémico en un ambiente ethernet switchado. El problema puede requerir que una organización compre muchos sensores para llegar a todos los puntos de la red que desee cubrir. Dado que los sensores cuestan dinero, la amplia cobertura de una red IDS con sensores, puede resultar extremadamente caro.

Los sistemas de detección de intrusiones de una red tienden a usar análisis de firmas para conocer los requerimientos de desempeño. Esto detectará ataques programados comunes provenientes de fuentes externas, pero es inadecuado para detectar amenazas con información más complejas. Esto requiere una habilidad más robusta para examinar el entorno.

Un sistema de detección de intrusiones de una red puede tener la necesidad de comunicar largos volúmenes de datos de regreso al sistema central de análisis. A veces esto significa que cualquier paquete monitoreado genera una gran cantidad de tráfico de análisis. Muchos de estos sistemas usan procesos agresivos de reducción de datos, para reducir la cantidad de tráfico de comunicación. Ellos también hacen mucho uso de los procesos de toma de decisiones, afuera en el sensor mismo y usan la estación central para desplegar las condiciones, en lugar de usarlo para el análisis actual. La desventaja de esto es que provee muy poca coordinación entre los sensores. Cualquier sensor dado, ignora que otro ha detectado un ataque. Tales sistemas no pueden detectar normalmente ataques sinérgicos o complejos.

Una red basada en IDS puede enfrentar tiempos difíciles manejando ataques dentro de sesiones de encriptado. Afortunadamente, hay muy pocos ataques que toman lugar dentro de sesiones de tráfico encriptadas, que atacan en contra de servidores web débiles.

4.2 Servidor IDS

Los IDS basados en el servidor, buscan señales de intrusión en el sistema local del servidor. Estos frecuentemente usan los sistemas de intervención del servidor y sus mecanismos de acceso como fuente de información para el análisis.

Ellos buscan actividad inusual limitada al servidor local, tal como accesos, acceso incorrecto a archivos, escalación de privilegios del sistema. Esta arquitectura de IDS generalmente usa motores basados en reglas para el análisis d las actividades; un ejemplo de tales reglas podría ser, “privilegio de super usuario sólo puede ser conseguido a través del comando su”. Por lo tanto los intentos sucesivos de acceso a la cuenta raíz serán considerados un ataque.

Ventajas

Un IDS basado en el servidor puede ser una herramienta extremadamente poderosa para analizar un posible ataque. Por ejemplo, a veces puede decir exactamente que hizo el atacante, qué comandos ejecutó, que archivos abrió, y que sistemas que llamó fueron ejecutados, en lugar de solo una vaga acusación de que el atacante intentó ejecutar un comando peligroso. Un IDS basado en el servidor usualmente provee mucha más detallada y relevante información que los IDS basados en la red.

Los sistemas basados en el servidor tienden a registrar índices más bajos de falsas alarmas que los sistemas basados en red. Esto pasa porque el rango de comandos ejecutados en un servidor especifico es mucho más específicos que los tipos de tráfico. Fluyendo a través de la red. Esta propiedad puede reducir la complejidad de los motores de análisis basados en el servidor.

Los sistemas basados en el servidor pueden ser usados en entornos donde una amplia detección de intrusiones no es necesaria, o donde el ancho de banda no esta disponible para comunicaciones sensor-análisis. Los sistemas basados en el servidor pueden estar completamente auto contenidos. Esto también permite correr a los sistemas basados en el servidor en algunos casos, desde medios de solo lectura; esto previene los ataques para deshabilitar al IDS.

Finalmente, un sistema basado en el servidor, puede ser menos riesgoso configurado con respuesta activa, tal como terminación de un servicio o desconectar a un usuario ofensivo. Un sistema basado en el servidor es más difícil de engañar restringiendo el acceso desde fuentes legitimas.

Desventajas

Los sistemas basados en el servidor requieren instalación en los dispositivos particulares que se desee proteger. Si, por ejemplo, se tiene un servidor de recursos humanos, y se quiere protegerlo, se tendrá que instalar el IDS en ese servidor. Como se mencionó antes esto puede ocasionar problemas de capacidad. En algunos casos, esto puede hasta representar problemas de seguridad, dado que el personal de seguridad puede no tener ordinariamente acceso al servidor en cuestión.

Otro problema asociado con los sistemas basados en el servidor es que tienden a detenerse sobre los accesos innatos y las capacidades de monitoreo del servidor. Si el servidor no esta configurado para dar accesos adecuados y monitorear, se tiene que cambiar posiblemente la configuración de una máquina de producción, lo cual representa un tremendo problema de cambios administrativos.

Los sistemas basados en el servidor son relativamente caros. Muchas organizaciones no tienen los recursos financieros para proteger todos los segmentos de red usando sistemas basados en el servidor. Estas organizaciones deben elegir muy cuidadosamente el sistema para protegerse. Esto puede dejar amplias brechas en la cobertura ID, porque, por ejemplo, un atacante en un sistema vecino no protegido puede rastrear información auténtica u otro material sensible para nuestra red.

Finalmente, los sistemas basados en el servidor padecen en gran grado, de restricciones en su visión local. Ellos ignoran casi en su totalidad el entorno de la red. Así, el tiempo de análisis requerido para evaluar dalos de una intrusión potencial aumente linealmente con el número de servidores protegidos.

4.3 Verificador de Integridad de Archivos

Un verificador de integridad de archivos examina los archivos en una computadora para determinar cuál de ellos ha sido alterado desde la última vez que se le verificó. Los verificadores de integridad guardan una base de datos de valores aleatorios para cada archivo. Cada vez que se corre el verificador, recalcula los valores y los compara con los guardados en la base de datos. Si los valores son diferentes, quieres decir que el archivo ha cambiado.

Una función de aleatorización, es un proceso matemático para reducir la secuencia de bytes en un archivo, a un número de longitud fijado. El mismo archivo siempre producirá el mismo valor aleatorio y cualquier cambio en el archivo produce un valor diferente. A diferencia de la encripción una aleatorización es una función con un solo camino; no se puede producir el archivo original a partir del valor aleatorio.

Algunas aleatorizaciones son más seguras que otras. Muchas aleatorizaciones seguras, que siguen requerimientos matemáticos especiales, son llamados aleatorizaciones seguras criptográficamente. Uno de los requerimientos para aleatorizaciones seguras criptográficamente es que resulta muy difícil calcular una colisión, es decir, dos entradas que se aleatorizan al mismo número. Esto significa que aún si un atacante cambia un archivo, no podrá cambiar el archivo de forma que burle al verificador de integridad.

Ventajas

No es computacionalmente factible vencer a las matemáticas en un verificador de integridad. Esto los hace una muy pero muy buena herramienta para detectar cambios en los archivos de una computadora. Es muy fuerte, de hecho esta es una de las herramientas más importantes que se usan para detectar un mal trato a los sistemas computacionales.

Los verificadores de integridad observan todo en un sistema, o solo archivos importantes. Son extremadamente flexibles.

Una vez que los atacantes comprometen al sistema, les gusta hacer dos cosas. Primero les gusta cubrir sus ataques, lo que significa que alterarán sistemas binarios, librerías, o archivos de registró de acceso para esconder el hecho de que ellos están o han estado en el sistema. Segundo, ellos harán cambios para asegurar que seguirán accesando al sistema. Un verificador de integridad de archivos correctamente configurado detectará ambas actividades.

Desventajas

Los verificadores de integridad cuentan con datos almacenados en las computadoras locales. Como archivos de acceso, estos datos son vulnerables a modificaciones en el sistema. Dicen a un atacante como obtener privilegios de super usuario en el sistema el atacante puede encontrar el verificador de integridad, hacer algún cambio hostil en el sistema y volver a correr el verificador de integridad para crear nuevamente los valores aleatorios de la base de datos, y cuando el administrador del sistema corra el verificador, no encontrará ningún cambio en el sistema. Una forma de rodear este problema es mantener la base de datos en modo de solo lectura tales como CD escribible.

El verificador de integridad debe estar configurado para cada sistema. Usualmente esto es una tarea que consume mucho tiempo y es complicado. Si el sistema operativo no es bueno al cumplir con la integridad del sistema, la instalación se convierte en algo más complejo.

Una vez que el verificador es configurado, debe correrse frecuentemente. Dependiendo del sistema operativo, simples cambios u operaciones normales pueden reportar desde decenas hasta miles de cambios. Por ejemplo, un verificador de integridad corre justo después de actualizar MS-Outlook en un sistema Windows NT, entonces justo antes de la instalación se reportan mas de 1800 cambios.

Finalmente, el verificador de integridad consume un considerable número de recursos del sistema. Estos pueden masticar al CPU, memoria, y espacio de disco. Muchos administradores no querrán correr frecuentemente el verificador de integridad. Esto limita su funcionalidad, porque un verificador que corre una vez al mes, reportará tantos cambios que un ataque real tiene una buena oportunidad de pasar desapercibido.

4.4 Explorador de Vulnerabilidad

Un explorador de vulnerabilidad puede buscar vulnerabilidad en un NFS conocido, examinando los servicios disponibles y la configuración de un sistema remoto. Un IDS, manejando la misma vulnerabilidad, podría reportar solo la existencia de la vulnerabilidad cuando un atacante intente explotando.

Los exploradores de vulnerabilidad, sean de red o de servidor, dan la oportunidad de que la organización arregle problemas antes de que lleguen, en vez de reaccionar a una intrusión o un mal uso que ya esté en progreso. Un IDS detecta intrusiones en progreso, mientras que un explorador en primer lugar, una intrusión. Los exploradores de vulnerabilidad pueden ser de mucha ayuda en organizaciones sin una buena capacidad de respuesta a los incidentes.

Un explorador de vulnerabilidad de red opera remotamente, examinando la interfase de red en un sistema remoto. Este buscará servicios vulnerables, corriendo en una máquina remota, y reportando una posible vulnerabilidad. Por ejemplo, es bien sabido que rexd es un servicio débil; un explorador de vulnerabilidad de red intentará conectarse al servicio de rexd. Si la conexión tiene éxito el explorador reportará vulnerabilidad en el servicio rexd.

Después de que el explorador de vulnerabilidad de red pueda ser corrido desde una sola máquina en la red, este puede ser instalado sin impactar la configuración de otras máquinas. Frecuentemente estos exploradores son usados por auditores y grupos de seguridad porque pueden proveer una vista externa de los hoyos de seguridad en una computadora o una red.

Ventajas

Los exploradores de vulnerabilidad de red pueden reportar una gran variedad de objetivos en la arquitectura. Algunos trabajan con ruteadores, otros son sistemas Unís y algunos otros con NT u otra plataforma Windows.

Los exploradores de vulnerabilidad de red son, en general, muy fáciles de instalar y de comenzar a usarlos. A diferencia de los sistemas basados en el servidor, los cuales usualmente requieren instalación o reconfiguración del software, un sistema basado en la red puede ser depositado en un lugar en la red. Simplemente conectando la interfase dentro del switch y encendiendo la máquina.

La GUI ( interfase gráfica de usuario) con un sistema de red, tiende a ser completamente intuitiva, lo cual significa que el personal junior puede monitorear el sistema y llamar a más analistas señor si algo inusual ocurre.

Desventajas

Los exploradores de vulnerabilidad de red son casi exclusivamente sistemas basados en firmas. Como un IDS basado en firmas, un explorador de vulnerabilidad basado en firmas, puede detectar sólo aquellas vulnerabilidades que este programado para reconocer. Si una nueva vulnerabilidad surge, como frecuentemente ocurre, hay una gran oportunidad para el atacante antes de que el vendedor actualice las firmas. Si la vulnerabilidad continua, los sistemas pueden permanecer vulnerables a ataques durante un periodo de tiempo.

Si los clientes son tan inteligentes con sus exploradores la vulnerabilidad de firmas como lo muestra la historia, entonces muchas organizaciones serán vulnerables a los ataques aún si corren sus exploradores de vulnerabilidad regularmente. Un análisis reciente muestra que el 90% de los servidores de red corriendo IIS aún son vulnerables a una bien documentada y muy seria vulnerabilidad de seguridad, para lo cuál el vendedor ha producido avisos de seguridad. Un explorador de vulnerabilidad sólo puede enfatizar posibles problemas que la organización debe resolver.

Otro problema potencial con los exploradores de vulnerabilidad de red es que las salidas siempre requieren de hábiles interpretaciones. Cada ambiente tiene diferentes requerimientos de operación y diferentes vulnerabilidades en seguridad. De hecho, el concepto de vulnerabilidad engloba otros conceptos vagamente definidos, tales como riesgo, aceptabilidad y las habilidades esperadas del atacante. Como cada uno de estos conceptos varía con cada organización, el grado en que una configuración particular represente vulnerabilidad, también varían con cada organización.

Cuando el explorador de vulnerabilidad reporta una vulnerabilidad particular, la red de la organización o el personal de operación deben evaluar ese reporte dentro del contexto del ambiente operativo de la organización. La vulnerabilidad puede no representar un riesgo inaceptable en ese ambiente de la organización, o el riesgo puede ser forzado sobre la organización por los requerimientos de negocios. Esto puede parecer tonto en el contexto de discusiones de seguridad, pero en el mundo real de la seguridad, las preocupaciones frecuentemente caen en víctimas de justificaciones de negocios.

Los exploradores de vulnerabilidad han sido conocidos por disminuir a la máquina objetivo. Algunas implementaciones IP no son suficientemente robustas para manejar conexiones simultaneas, o paquetes IP con combinaciones de banderas inusuales. El tráfico generado por una agresiva búsqueda en un puerto, por ejemplo, puede hacer que a veces la máquina se carga.

Finalmente, los exploradores de vulnerabilidad de red tienden a contener una enorme cantidad de datos de vulnerabilidad. Si alguien alguna vez irrumpe en el sistema del explorador, compromete a las demás máquinas de la red puede convertirse en un juego de niños. Es necesario proteger el explorador para prevenir el uso no autorizado de la exploración de datos.

4.5 Exploradores de Vulnerabilidad del Servidor

Un explorador de vulnerabilidad del servidor difiere de un explorador de vulnerabilidad de red en que éste está completamente confinado al sistema operativo local. Un explorador de vulnerabilidad de red requiere que la máquina objetivo sea accesible desde la red para poder operar; en un explorador de vulnerabilidad del servidor no es así.

Los exploradores de vulnerabilidad del servidor son software instalado en sistemas operativos particulares. Una vez que el software es instalado puede ser configurado para corres a cualquier hora del día o la noche.

Ventajas

Los exploradores de vulnerabilidad del servidor tienden a estar mucho más sintonizado y preciso en cualquier sistema operativo. Ellos pueden decirle frecuentemente al usuario que parches deberán aplicar para arreglar una vulnerabilidad identificada, mientras los exploradores de red, algunas veces solo proveen información general.

Cuando considere que producto comprar observe una muestra del reporte para su sistema operativo especifico, para determinar cuanta información está contenida en los reportes. La amplitud y precisión del reporte podría ser un criterio de selección.

Los exploradores de vulnerabilidad del servidor no consumen ancho de banda de la red cuando corren, todo el procesamiento está restringido al sistema del servidor local. Los exploradores de vulnerabilidad del servidor no son similares a los exploradores de red. Algunos sistemas operativos tienen débiles o pobres implementaciones de pilas asociadas con sus interfaces de red, enviar un gran volumen de tráfico o banderas TCP inusuales puede causar que la interfase se trabe, lo cual necesitará que se reinicie.

Los exploradores de vulnerabilidad del servidor, son menos susceptibles a ser usados contra la organización por algún intruso. Un pirata que entre en el sistema y encuentre un explorador de vulnerabilidad de red haga una exploración desde él puede utilizar la herramienta para atacar otros sistemas dentro de la organización. Una herramienta basada en el servidor provee mucho menos información útil para hacer más grande un ataque.

Desventajas

Los exploradores de vulnerabilidad del servidor son, basados en firmas. Ellos buscan conocidas configuraciones peligrosas y las reportan en una especie de libro de cocina para eliminar esas amenazas. Los procedimientos del sistema local y sus requerimientos de operación pueden requerir flexibilidad para encontrar y aplicar soluciones a una vulnerabilidad dada.

Instalar una explorador de vulnerabilidad del servidor requiere la cooperación de los administradores del sistema como el software corre usualmente con privilegios, el administrador de cada máquina debe aprobar el propósito y la configuración de la herramienta. En muchas organizaciones, esto puede representar un severo problema de coordinación.

Tal como cualquier sistema basado en el servidor, los atacantes pueden modificar el explorador de vulnerabilidad sin que se reporte que ha sido modificado.

CAPITULO 5. PUNTOS A CONSIDERAR EN LA SELECCIÓN DE UN IDS

5.1 Pautas para Seleccionar Productos

Las capacidades técnicas son ciertamente una parte importante de la decisión de compra, pero ellos no son la única parte. Hay varias consideraciones orgánicas y medioambientales cuando se trata de un IDS. ¿Muchos de estos problemas contestan la pregunta "Debemos nosotros situar un sistema de detección de intrusión?" ¿Qué debe preguntarse y razonablemente debe contestarse antes de la pregunta, "Qué IDS debemos nosotros situar?"

Esta sección proporciona tres arboles de decisión separados para ayudarnos con los procesos que realizan decisiones. Se piensa que estos árboles proporcionan guías básicas en la decisión que hacen los procesos para una compra de IDS. Empiece examinando algunos de los puntos de decisión en el árbol de la Administración. Entonces proceda al árbol Técnico para examinar algunos de los problemas relacionados para usar un IDS en una red interior. Finalmente, si usted tiene una misión el servidor de web crítico que nosotros recomendamos evaluar, Sitio Web se considera en el Paso 3. Usted puede encontrar que requiere más de un tipo de producto de IDS. En ese caso, esta sección puede ayudarle a decidir qué tipos de IDS cubren la mayoría de sus necesidades de seguridad de información.

Problemas de Administración

El primer paso para evaluar un proyecto de detección de intrusos es determinar el alcance del apoyo a la organización para este proyecto. Recuerde que el propósito de un proyecto de detección de intrusos es no solo detectar posibles intrusiones, pero a de "hacer algo" sobre ellos. Por consiguiente, la detección de intrusos debe ser considerada como parte de un proceso de contestación más grande a incidentes. La administración debe decidir qué tipo de contestación es apropiada y cómo resolverse cualquier incidente identificado.

Además, la contestación de un incidente responde a una intrusión que puede involucrar un número significativo de asuntos legales, públicos, conexión de una red, y personal de administración de sistemas, así como la productividad perdida y tiempo fuera de servicio del sistema. La organización debe entender estos problemas totalmente antes de iniciar un proyecto de detección de intrusos. La magnitud de apoyo orgánico tendrá un efecto en la selección del producto final; sistemas que son duros de llevarse a cabo y aquellos en los que el campo requerirá más paciencia de administración que sistemas que están esencialmente enviados en cajas. El último, sin embargo, requerirá mejores esfuerzos del análisis humano para interpretar y detectar falsas alarmas.

Los procesos administrativos relativamente fuertes configurados dentro de la organización afectarán la selección y eficacia de cualquier sistema servidor-basado directamente y, a un menos grado, cualquier sistema red-basado. En algunas organizaciones, cualquier usuario en el sistema puede alterar la configuración del sistema. Ellos pueden, por ejemplo, alterar los archivos que podrían parecer ser un acto hostil. Una vez que el cambio es nombrado, debe investigarse antes de que la organización pueda continuar realmente en el sistema. Sin embargo algunas Organizaciones con procesos de CM fuertes, pueden sentirse cómodas ante cualquier cambio completamente sospechoso no reconocido.

Problemas técnicos

Los problemas técnicos abundan al instalar un sistema de detección de intrusos. Típicamente, el problema técnico más serio está tratándose del tráfico de la red adicional que puede ser generado por un IDS. Otro problema es crear un proceso para interpretar resultados del IDS. Las organizaciones deben decidir cómo manejar los resultados interpretados y cómo integrar esos resultados en un plan para la contestación y corrección.

El primer paso en sistemas planeados es identificar los recursos críticos de información, ambos para el almacenamiento y comunicaciones. En otras palabras, haga una lista de lo que usted está intentando proteger. En algunos casos, este poderío es un servidor de web en su perímetro DMZ. En otros casos, podría ser la configuración del firewall que le permite tráfico al DMZ. En otros casos, podría ser los mainframe o sistemas de base de datos back end que guardan información del cliente en extremo crítica. Incluso podría ser, a alguna magnitud, la imagen de su compañía (sí usted está angustiado sobre los sitios Web borrados). Cuando usted construye la lista de recursos críticos, haga el diagrama de los sistemas y redes para proporcionar una representación visual del ambiente y colocación de herramientas de IDS. Este diagrama debe compararse con mapas de red de oficial para asegurar consistencia con la arquitectura de la red global.

Una vez que se han identificado recursos de información críticos, evalúe su habilidad de mantener la seguridad de esos recursos. ¿Si usted no tiene ningún medio de dirección de la configuración en el sitio Web, tiene usted realmente la capacidad para mantener la integridad del servidor? ¿Si no hay prioridad en la organización para reparar vulnerabilidades conocidas en los sistemas críticos, será el software de detección en esos sistemas valiosos?

Acceder a las máquinas también es un factor crítico. El Servidor basado en sistemas de detección de datos requiere más atención que una red basada en detección de intrusos. Desde que un Servidor basado en IDS requiere acceso privilegiado a la rutina del OS de la máquina afectada, un Servidor basado en IDS requiere el apoyo significante del grupo que mantiene esas máquinas. Este solo factor es la consideración más importante al instalar a un Host basado en IDS.

Problemas de Sitio Web

Instalando un IDS para un servidor web o DMZ presenta consideraciones especiales. Puesto que los servidores de web son más susceptibles a la manipulación, a ellos se les deben dar consideraciones especiales por el equipo de IDS. Los servidores web de transacciones son más vulnerables que los servidores de web estrictamente informativos, puesto que el rango de interacción es más grande. Considere usando más de un tipo de IDS en estos ambientes, porque ellos son más sensibles y la dirección de la configuración para los servidores de web es normalmente más firme que la Administración de la Configuración para los sistemas interiores.

Productos de Arboles de Decisión

Problemas de la Integración Práctica

Instalando o integrando un IDS con otras herramientas en el arsenal de seguridad requieren alguna planificación extra. Debe conocerse acerca de los problemas para configuración del firewall y las consideraciones para topologías de seguridad de redes.

Es importante que dentro de la Administración se realicen políticas de contestación de intrusión interior y el personal experimentado necesario para supervisar el IDS. Asumiendo que usted tiene un firewall. Así mismo se asume que su topografía de sistema de perímetro sigue los principios de seguridad prudentes.

Colocación del Sensor para una Red IDS

Si usted está desplegando una red IDS, usted debe decidir dónde poner los sensores supervisándolo de antemano. Esto dependerá significativamente de qué tipo de intrusión o del esfuerzo de intrusión que usted intentará descubrir.

Empiece creando un diagrama de la red detallado, si es que no lo tuviese. Un diagrama de la red puede ser inestimable a la planificación de IDS. Al mirar el diagrama, evalúe puntos de ahogo de red importantes o colecciones de sistemas que son sensibles a los funcionamientos comerciales. Un diagrama bien preparado puede mantener pistas intrínsecas a la situación correcta los sensores de IDS.

Si el IDS va a supervisar un servidor de web para penetraciones, entonces la posición más útil para el sensor estará en el segmento de DMZ con el servidor de web. Esto asume, por supuesto, que su servidor de web está en un segmento de DMZ, en lugar de fuera de o dentro del firewall (ninguna de las cuales es una idea particularmente buena). Si los atacantes componen el servidor, el IDS tiene la mejor oportunidad de descubrir la penetración original o la actividad resultante que origina del organizador compuesto.

Si el IDS va supervisar a los intrusos detectados en servidores internos, como servidores de DNS o servidores del correo, el mejor lugar para un sensor simplemente es el interior del firewall en el segmento que conecta el firewall a la red interior. La lógica detrás de esto es que el firewall prevendrá la inmensa mayoría de ataques apuntada a la organización, y ese monitoreo regular de los firewall anotará aquello que sean identificados. El IDS en el segmento interior descubrirá algunos de esos ataques que se realizan para estar dentro de los firewalls. Esto se llama "la defensa a fondo."

Algunas organizaciones querrán usar el IDS para supervisar recursos interiores como una colección sensible de máquinas o una sección específica o situación física. En ese caso, el lugar más lógico para el sensor de IDS estará en el punto de ahogo entre esos sistemas y el resto de la red interior.

¿Qué pasa fuera de un Firewall?

Es importante mencionar que por el momento no se ha discutido el poner un sensor fuera del firewall. Algunas fuentes recomiendan o defienden un sensor de IDS fuera del firewall con el fin de supervisar ataques del Internet. Miremos esa idea en un ambiente operacional ver lo que significa.

El propio firewall debe anotar cualquier ataque que detiene (asumiéndolo tienen un firewall anotando y leyendo los registros) ¿Qué agregó valor que proporcionan los IDS en este guión? ¿Si usted no está mirando los logs del firewall, por qué le prestaría usted la atención al IDS? Si lo hace, verá los ataques detenidos a ese punto. El IDS es redundante. Probablemente no es un uso productivo de dinero orgánico y tiempo para instalar y supervisar un IDS fuera del firewall.

Eso que se dice, si usted todavía quiere contar o evaluar ataques que se detienen al firewall, un IDS puede simplificar el proceso de rastrear y clasificar ataques. Los datos todavía deben estar en los logs del firewall, pero el IDS puede mejorar la legibilidad o claridad de la información.

Servidor de Integración para un Servidor IDS

Si usted planea usar un sistema Servidor-basado, usted debe tener una comprobación adecuada y fase de familiarización. Esto permite a los operadores y a analistas conocer el funcionamiento de esa parte en particular del software. El IDS debe instalarse bien de antemano en un sistema de desarrollo de instalación planeada en un sistema de la producción. Incluso en un sistema inmóvil, algunos archivos cambiarán regularmente (por ejemplo, el archivo de auditoría), así que el IDS informará algunos cambios. Algunos sistemas Servidordor-basado, como un ejemplo adicional, informarán cuando un proceso del usuario altera el archivo de contraseña de sistema. Esto pasaría si un intruso agregó una cuenta. También pasa, sin embargo, cuando un usuario cambia su o sus contraseñas. El analista de IDS necesita tiempo para familiarizarse con el funcionamiento correcto de cada sistema, para que él o ella puedan diagnosticar desviaciones propiamente de "normal" las alarmas.

Tenga presente, al usar un sistema servidor-basado que frecuentemente debe supervisarse. Esto significa un día dos veces, por lo menos. Si un atacador tiene superuser podra o tendrá la capacidad de acceder al sistema, él o ella puede alterar el IDS o el banco de datos de IDS a las alarmas del supress. Si el IDS escribe a un archivo, el atacante puede revisar el archivo del rendimiento simplemente. En otras palabras, siempre es sospechoso que algo puede haber alterado la configuración del IDS.

Configuración de Alarmas

IDSs vienen con niveles configurables de alarma. Algunos se integrarán con dirección de las estaciones de la red, algunos permiten compaginar, algunos envíar e-mail, y algunos pueden interoperar con firewalls para cerrar todo el tráfico de la red que originó el ataque.

Sea muy cauto sobre usar estos rasgos. De hecho, para el primer mes o segundos apague todas las alarmas. Sólo mire el rendimiento del sistema ver lo que está descubriendo. Todos los IDSs tienen, como discutió anteriormente, algún nivel de positivo falsos; ese nivel puede ser tan alto como 80 o 90 por ciento de alarmas informadas. Usted necesita estar familiarizado con su sistema particular antes de que usted empiece encendiendo alarmas.

Alarm misconfiguration, o over-aggresive responde a las alarmas, puede llevar a una decisión orgánica para apagar el IDS. Los locos de las computadoras saben que las instalaciones de IDS son supervisadas por humanos, y que los humanos tienen fracasos humanos. Ellos saben que si ellos activan alarma después de la alarma, las personas que supervisan el sistema dejarán de prestar atención.

Igualmente, si el IDS se configura para instruir el firewall para negar todo el tráfico "atacando" las redes, los locos de las computadoras pueden aprovecharse de esto fácilmente. Alguien motivó suficientemente o malévolo podría usar esto contra la organización por spoofing ataca a los compañeros del negocio de la organización o los sitios muy conocidos (Bestia, AltaVista, Amazona, CNN, Microsoft, el etc.) para que el firewall negara tráfico entrante de esos sitios, incluso el e-mail y tráfico de sitio web. Recuerde, el IDS no es la seguridad está ahorrando gracia, es sólo una herramienta (y uno bastante poco inteligente a eso).

Horario de la Integración

Instale un sensor en un momento. No se apresure la instalación para rodar fuera la capacidad de IDS en un palmo de tiempo corto. Toma una cierta cantidad de tiempo para los administradores y analistas ganar familiaridad con las peculiaridades de un sistema dado o punto de la red, y las peculiaridades no pueden ser el mismo del punto para apuntar. Un sensor en un DMZ puede ver un juego dado de conductas, mientras un sensor en la red interior puede ver otro juego de conductas, con una intersección muy pequeña.

Es crucialmente importante que el personal asignado para supervisar el IDS esté adecuadamente familiarizado con cada dispositivo en la configuración.

CAPITULO 6. EJEMPLOS

6.1 Elección de un IDS

La compañía la llamaremos X.com Inc.. El Internet ha permitido que la compañía establezca una variedad amplia de mercados, tales como educación en línea, de servicios Internet y de un surtido de programas de la difusión que permiten la comunicación de dos vías entre abastecedores, estudiantes y clientes. Cuando decidíamos desplegar las IDS, la meta fundamental era lograr una equilibrio razonable entre controlado, asegura el acceso y la alta disponibilidad. Otra meta era elegir un producto que no requeriría muchos de administración y de entrenamiento, en vista de la tamaño de nuestro departamento de IT., que es pequeño.

Consideraciones

Después de una filosofía de seguridad de varias capas, no deseamos una solución para nuestro sistema de la detección de intrusiones, sino algo varias capas de protección, comenzando con los riesgos asociados a servicios y a dispositivos de red. Deseamos la protección en el nivel de sistema y una herramienta para vigilar en tiempo real. Y finalmente, necesitamos poder atarlo todo junto con una solución robusta que podría obrar recíprocamente con los dispositivos existentes de la red, tales como nuestros firewalls y ruteador.

Después de que identificáramos algunos de los productos populares de las IDS, creamos una matriz que enumeraba cada nombre del producto, requisitos de la plataforma, la metodología de la detección (estadística o en tiempo real), la información del contacto y el coste. Además, creamos una lista de preguntas que deseamos contestar sobre cada producto:

 ¿Qué equipo especializado se requiere?

 Es un producto de red o es basado en host?

 Qué cantidad de ataques puede el producto detectar?

 Cómo y cada cuánto se hacen las actualizaciones?

 ¿es capaz de responder automáticamente a los ataques?

 Cuál es el precio?

 Qué tipo de infraestructura se debe crear para implementar y manejar el producto?

El paso de progresión siguiente era construir un diagrama de la red existente de X.com's para entender qué con que equipo se contaba: hosts, subnets, lruteadores, gateways y otros dispositivos de la red fueron situados en nuestra infraestructura. Esto nos dio una comprensión más clara de nuestra exposición y con tal que una buena referencia para el desarrollo de política. Con esta información a disposición, también podíamos estimar los costes que licenciaban de varias opciones de las IDS -- no una tarea fácil, puesto que algunas configuraciones se licencian según la segmentación de la red, otros por el número total de hosts.

Con estas preguntas preliminares en mente, seleccionamos cuatro productos para poner a través los pasos: RealSecure de los sistemas Internet de la seguridad (ISS) (www.iss.net), de NetRanger de la aplicación de la detección del Cisco Systems (www.cisco.com/netranger), de la intrusión de NFR del registrador de vuelo de la red (www.nfr.net) y de SessionWall-3 de AbirNet (www.sessionwall.com). Para cada uno de estos productos, el primer paso de progresión era leer a través de cualesquiera white papers y literatura del producto Entonces, solicitamos versiones del demo para ver el producto en la acción antes de hacer una consolidación financiera. A continuación se realizaron las pruebas pertinentes sobre los servidores, donde se detectaron los posibles problemas que se tenía. Una vez que se han probado todas las opciones se debe elegir por aquella que más se acople a nuestras necesidades en cuanto a la interfaz y la forma como detecta los intrusos.

6.2 Cisco Secure Intrusion Detection System (NetRanger)

A continuación presentamos un producto IDS. NetRanger, es u sistema de detección de intrusiones con las características de que es empresa-escala, tiempo real, diseñado para detectar, para señalar, y para terminar actividad no autorizada a través de una red. Es el primer sistema de la detección de intrusiones de la industria, el Cisco Secure Intrusion Detection System es el componente dinámico de seguridad de la línea de productos de Cisco.

El entorno de seguridad

El entorno en el que se desenvuelve el NetRanger se basa en una perspectiva operacional más bien que en productos independientes o políticas. Esta filosofía de la seguridad se refleja en la imagen de la rueda de la seguridad que se muestra a continuación. La premisa de esta filosofía es como la administración de la red, la administración de la seguridad es un proceso dinámico, los procesos cambian constantemente.

El entorno de la seguridad es cíclico para asegurar su buen funcionamiento y mejora la seguridad. El paradigma incorpora los cinco pasos de progresión siguientes:

 Desarrolla una política fuerte de seguridad

 Plantea una red segura

 Monitoreo de la red y responde a ataques

 Pruebas existentes para mantener la seguridad

 Maneja y mejora la seguridad corporativa

Los resultados o los datos obtenidos en los pasos de progresión 2 al 5 necesitan siempre ser comparados a la política de la seguridad desarrollada en el paso de progresión 1 para asegurarse de que se están resolviendo los objetivos de alto nivel de la seguridad.

El IDS de Cisco como Perímetro de la Defensa de la Detección de Intrsuiones

El sistema de entrada y salida (IOS) de un IDS y el de un Firewall, crean una estructura muy sólida, lo que se llama el perímetro de defensa de la detección de intrusiones. Porque Cisco IOS IDS contienen solamente un subconjunto de firmas encontradas en el sensor del NetRanger, no detectará todos los ataques, sino que combinado del control de acceso listas fuertes y un firewall, debe proporcionar a un servicio de seguridad bastante robusto.

Con esta información, usted debe ahora considerar la red que usted desea proteger. Determínese qué segmentos deben ser vigilados. Tenga presente que el componente del Cisco IOS IDS mantiene una política de seguridad configurada para el segmento que está vigilando. Éstos pueden ser estándares a través de la organización o únicos para cada dispositivo del sensor del IDS. Se puede considerar cambiar la topología de la red para forzar el tráfico a través de esta y vigilar un segmento dado de la red. Hay siempre compensaciones operacionales al pasar por este proceso. El resultado final debe ser una idea aproximada del número de los sensores del IDS requeridos para proteger la red deseada.

Componentes del Cisco Secure Intrusion Detection System

Los IDS seguras del Cisco son un sistema en tiempo real que incluye los sensores seguros de los IDS del Cisco, las aplicaciones cautelosas de la seguridad de la detección de la intrusión de la seguridad que actúan como los " succionadores" y el director de seguridad, una consola centralizada de administración. El director recoge datos entrantes del sensor, los traduce, y los presenta al personal de responsable de la seguridad en un interfaz. Los usuarios pueden tener acceso rápidamente a la información adicional sobre el tipo de ataque desde el Network Security Database (NSDB) del director. El director también permite que el personal de la seguridad maneje la configuración de sensores remotos. Y finalmente, el director puede manejar datos del sensor exportándola a las bases de datos emparentadas de tercera persona.

La información que se tiene en específico es:

El sensor. El sensor en una red es una aplicación de la red que combina alta confiabilidad con simplicidad de la instalación y del mantenimiento. Cada segmento de la red monitoreado requiere un sensor dedicado, incluyendo Internet, los Intranets, y las Extranets. La aplicación del sensor se optimiza para rangos de datos específicos y las interfaces, tales como Ethernet (10BaseT), Ethernet rápida (100BaseT), el Token Ring (4 y 16 Mbps), y el Fiber Distributed Data Interface (FDDI) (modo solo o dual). Utiliza un motor experto basado en reglas del sistema para destilar volúmenes grandes de tráfico de la red del IP en acontecimientos significativos de la seguridad. Ofrece una característica llamada "three-tiered" para la detección del ataque para establecer claramente la actividad no autorizada, incluyendo: nombre los ataques, la categoría general de los ataques, y los ataques extraordinarios. El sensor puede también monitorear los syslogs de un ruteador para las violaciones de la política de seguridad, registra los datos de la seguridad, " mata " a las sesiones activas del TCP, y maneja dinámicamente las listas del control de acceso de una ruteador para evitar a intrusos

El director. Proporciona una interfaz gráfica que proporciona a la administración local, centralizada o distribuida hasta centenares de sensores a través de una red distribuida. El director fue desarrollado para proporcionar a una operación amigable, interfaz point and click para la respuesta constante a los acontecimientos de la seguridad. Puede también realizar otras funciones importantes: manejo de datos a través de las herramientas de tercera persona, tenga acceso a una base de datos de la seguridad de la red, remotamente pueda monitorear y manejar los sensores, y envíe la información del acontecimiento a un sistema de perturbación, a una página o a un e-mail al personal de alerta de la seguridad cuando ocurren eventos sobre seguridad.

Post Office. Es la configuración de las comunicaciones que proporciona robustas, confiables, y eficientes comunicaciones entre los Cisco Sensor y Director. Toda la comunicación es utilizada por un protocolo propietario, el protocolo es conectionless que pueda cambiar entre las rutas alternativas para mantener la comunicación punto a punto.

La relación que se da entre los componentes se ilustran a continuación

Arquitectura del Cisco Secure Intrusion Detection System

Los sensores, los directores, y el correos cada uno tienen componentes operacionales separados, llamados los demonios o servicios. Porque cada función es lograda por un servicio separado, los resultados son un sistema de seguridad que es rápido, durable, y escalable.

Los servicios que se muestran en la figura siguiente son:

Sensor/packetd. Estos servicios proporcionan la detección de intrusiones. El sensord se utilizan cuando un sensor está cooperando con un dispositivo de la red que utilice las funciones de copy_to/log_to (que envía las copias de paquetes capturados al sensor); se utiliza el packetd cuando el sensor en sí mismo está capturando los paquetes directamente de la red.

El servicio de Loggerd. Es el recurso de registro de las IDS. Es responsable de error de la escritura, de comando, y alarma de entradas a archivos log en el sensor.

Sapd. Este servicio proporciona a datos y a la administración de archivos. Es responsable de mover archivos log a las áreas del respaldo de la base de datos, a los archivos off-line, y a otros procesos de la rutina para evitar que los sistemas de archivos no se puedan guardar adecuadamente.

El servicio de Postofficed. Maneja la comunicación entre los servicios seguros de los IDS del Cisco y los nodos seguros de los IDS del Cisco. Según lo ilustrado en la figura, cuando el sensord detecta actividad desautorizada, señala postofficed; postofficed es entonces responsable de decir loggerd para comenzar a registrar, alertando el smid en el director, y ordenar la comunicación a un ruteador si el ataque va a ser evitado.

El servicio de smid. Se ejecuta en el director solamente, y es responsable de traducir datos del sensor en la información significativa para el nrdirmap.

El servicio de nrdirmap. Es responsable de visualizar los varios símbolos que representan las máquinas, las colecciones de máquinas, las aplicaciones, los alarmar, y los errores en el interfaz gráfico del director.

El servicio de eventd. Es responsable de mantener procesos definidos por el usuario de la notificación del acontecimiento. Los utilizadores pueden definir qué clases de alarmas o de otros acontecimientos lanzan una acción, generalmente un e-mail o una notificación de página.

El servicio de configd. Este proporciona un mecanismo a través del cual el nrdirmap pueda interconectar con otros servicios postofficed, sensord, y manejó. Es decir los comandos en el interfaz gráfico se pueden ejecutar vía el servicio subyacente del configd. • Concepto de Intruso
Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.
1.2 Tipos de Intrusos
Los intrusos se clasifican principalmente de acuerdo al lugar al que pertenecen en:
Intrusos de Fuera.
La mayoría de las personas piensan que el mundo exterior es la amenaza más grande a su seguridad; debido a que ha sido difundido por los medios de comunicación un miedo hacia los “hackers” que entran a través de Internet. La realidad, es que los hackers representan una pequeña parte de las amenazas reales a las que se enfrenta una compañía.
Intrusos de Adentro.
Estudios realizados por el FBI han revelado que el 80% de las intrusiones y de los ataques provienen de dentro de las organizaciones. Es muy lógico si se piensa que una persona de adentro conoce el esquema del sistema, donde se encuentran la información valiosa y la localización de puntos y sistemas de seguridad.
Por lo anterior hay que desechar la idea de que la mayoría de las medidas de seguridad deben estar puestas para proteger al interior de un “malévolo” exterior, ya que realmente gran parte de las intrusiones ocurren desde adentro de las organizaciones. Es necesario un mecanismo que detecte ambos tipos de Intrusos, los externos y los internos. Un sistema detector de intrusos efectivo detecta ambos tipos de ataques en un alto grado.
1.3 Políticas de seguridad para evitar intrusiones
Una Política de Seguridad define lo que se permite y lo que se niega en un sistema. Hay dos filosofías básicas detrás de cualquier política de seguridad:
• Prohibitiva.- En esta política todo aquello que no esta expresamente permitido es negado
• Permisible.- En esta política todo lo que no esta negado expresamente es permitido
Generalmente, un lugar que es más paranoico sobre seguridad toma la primera opción. Se usara una política que detalla exactamente los funcionamientos u operaciones que se permite en un sistema. Cualquier otra operación que no este detalla en éste documento de la política será considerada como ilegal dentro del sistema. Es claro que este tipo de políticas se prestan bien para un ambiente militar, y estos tipos de políticas son raros en establecimientos civiles.
La segunda filosofía está más ligada al espíritu de la informática. Los usuarios de computadoras siempre han intentado usar el potencial de las computadoras al máximo, aun cuando esto signifique violar las reglas. Esto era aceptable con tal de que el trabajo se realizara bien y completo en el tiempo necesario, y nadie resultaba afectado.
Desgraciadamente, esta filosofía no funciona bien en los ámbitos de trabajo actuales. El espíritu competitivo tiende a nublar la ética profesional cuando un usuario se entromete con los archivos de otro usuario. De hecho, el sabotaje puede ser una norma de conducta en algunos ambientes laborales donde la supervivencia se logra con una competencia extrema.
La mayoría de los usuarios se comportará según un conjunto de reglas "sociales". Estas reglas los animan a respetar la privacidad y el trabajo de los demás. Semejante población de usuarios tiene una alianza de funcionamiento basada en la confianza, y la confianza es fácil subvertir. Una población de usuarios confiables es contaminada fácilmente por un usuario“malévolo”, que intente emplear mal los sistemas.
1.4 Detección de Intrusiones
Antes de hablar sobre la detección de intrusiones es necesario definir que es una intrusión.
Intrusión.- Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.
Las intrusiones se clasifican de la siguiente manera:
• Intrusiones para mal uso.- son ataques en puntos débiles conocidos de un sistema. Pueden ser detectados observando y buscando ciertas acciones que se realizan a ciertos objetos.
• Intrusiones anómalas.- se basa en la observación de desviaciones de los patrones de uso normales del sistema. Pueden ser descubiertos construyendo un perfil del sistema que se desea supervisar, y detectando desviaciones significantes del perfil creado.
Mientras las intrusiones de mal uso sigan patrones bien definidos pueden ser detectadas haciendo un análisis y chequeo en la información de auditoria y reportes del sistema. Por ejemplo, un intento de crear un archivo invalido puede ser descubierto examinando los mensajes en los Logs que son resultado de las llamadas al sistema.
Las intrusiones anómalas son descubiertas observando desviaciones significantes del comportamiento normal del sistema. El modelo clásico para el descubrimiento de la anomalía fue propuesto por Denning. En el se propone la construcción de un modelo que contiene métricas que se derivan del funcionamiento del sistema.
Una métrica se define como: una variable aleatoria x que representa una medida cuantitativa acumulada durante un periodo.
Estas métricas se calculan de los parámetros del sistema disponibles como promedio de carga del CPU, número de conexiones de la red por minuto, número de procesos por usuario y cualquier otro tipo de medida disponible que describa un cierto consumo de recursos en un periodo definido.
Una anomalía puede ser un síntoma de una posible intrusión. Dado un conjunto de métrica que definen el uso normal del sistema, podemos asumir que la explotación de las vulnerabilidades de un sistema involucra el uso anormal del sistema, por consiguiente, ser pueden descubrir violaciones al sistema a partir de patrones anormales del uso del sistema.
El descubrimiento de anomalías también se realiza por medio de otros mecanismos, como redes neuronales, técnicas de clasificación de maquinas que aprenden (machine learning), e incluso sistemas que imitan la inmunidad biológica.
Las intrusiones anómalas son más difíciles de detectar. No hay patrones fijos que puedan ser monitoreados. Idealmente nos gustarían un sistema que combine la capacidad de las personas de localizar patrones y la vigilancia que brinde un programa de computadora. Así siempre se estaría supervisando el sistema para detectar las intrusiones potenciales, pero podría ignorar las intrusiones falsas, si ellas resultaran ser acciones legítimas de usuarios.
Muchos sistemas de detección intrusiones basan sus operaciones en el análisis de los rastros de accesos al Sistema Operativo. Estos datos forman una huella del uso del sistema en un cierto tiempo. Es una fuente conveniente de datos y es fácilmente disponible en la mayoría de los sistemas. De estas observaciones, los Sistemas de Detección de Intrusiones calcularán métrica sobre el estado total del sistema, y decidirán si está ocurriendo una intrusión.
Un sistema de detección de intrusiones deberá también realizar su propio monitoreo del sistema. Puede ir incrementando las estadísticas que dan el perfil de uso del sistema. Esta estadística se puede derivar de una variedad de fuentes tales como uso de la CPU, entradas y salidas del disco, uso de la memoria, actividades por usuario, número de conexiones hechas, etc. Las estadísticas se debe actualizar continuamente para reflejar el estado actual del sistema. Además se debe correlacionar con un modelo interno que permita que el sistema detector de intrusiones determinen si una serie de acciones constituyen una intrusión potencial.
CAPITULO 2. SISTEMA DE DETECCIÓN DE INTRUSIONES
2.1 Concepto
Los sistemas informáticos se apoyan en los Sistemas de Detección de Intrusiones (IDS -de sus siglas en inglés) para prepararse y ocuparse del mal manejo y del uso indebido de la información de una organización. Logran esta meta, recopilando la información de una gran variedad de fuentes del sistema y de la red y analizando la información que contribuye a los síntomas de los problemas de seguridad de la misma, y permiten que el usuario especifique las respuestas en tiempo real a las violaciones.
Los productos de detección de intrusos son aplicaciones que monitorean activamente los sistemas operativos y el tráfico de red, con el objeto de detectar ataques y violaciones a la seguridad.
Es decir, los IDS son herramientas de seguridad en red que recopilan información de una variedad de fuentes del sistema, analizan la información de los parámetros que reflejan el uso erróneo o la actividad inusual, responden automáticamente a la actividad detectada, y finalmente informan el resultado del proceso de la detección.
• Objetivos
Para el buen funcionamiento de los Sistemas de Detección de Intrusiones, es necesario que cumplan con los objetivos que tienen asignados, estos consisten en el cumplimiento de los siguientes puntos:
Vigilar y analizar la actividad de los usuarios y del sistema.
Revisar las configuraciones del sistema y de las vulnerabilidades.
Evaluar la integridad de los archivos críticos del sistema y de los datos.
Reconocimiento de los modelos de la actividad que reflejan ataques conocidos.
Análisis estadístico para los modelos anormales de la actividad.
Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de las violaciones de la actividad del usuario respecto a la política establecida.
Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización.
La combinación de estas características hace que sea más fácil para los encargados del sistema, vigilar la intervención y la evaluación de sus sistemas y redes. Esta actividad en curso de la intervención y de la evaluación, es una práctica necesaria de una sana gerencia de seguridad.
• Tipos
Es importante mencionar antes de describir el funcionamiento de un IDS, los tipos más comunes de estos sistemas en el mercado actual.
La meta de un IDS es proporcionar una indicación de un potencial o de un ataque verdadero. Un ataque o una intrusión es un acontecimiento transitorio, mientras que una vulnerabilidad representa una exposición, que lleva el potencial para un ataque o una intrusión. La diferencia entre un ataque y una vulnerabilidad, entonces, es que un ataque existe en un momento determinado, mientras que una vulnerabilidad existe independientemente de la época de la observación. Otra manera de pensar en esto es que un ataque es una tentativa de explotar una vulnerabilidad (o en algunos casos, una vulnerabilidad percibida). Esto nos conduce a categorizar varios tipos de IDS.
Hay cinco diversas categorías de las identificaciones. No todas estas categorías representan la "detección clásica de la intrusión" pero desempeñan un papel en la meta total de intrusiones de detección o de prevención en una red corporativa. Las categorías son:
IDS Network-based
IDS Host-based
IDS Híbridos
Inspector de la Integridad del Archivo
Explorador de la vulnerabilidad de la Red
Explorador de la vulnerabilidad del Host
Los tres primeros puntos son tipos de IDS y los tres puntos restantes son herramientas de detección de vulnerabilidad.
Una intrusión, explota una vulnerabilidad específica y debe ser detectada cuanto antes, después de que comience. Por esta razón, las herramientas de la detección de la intrusión deben de ejecutarse con más frecuencia que los exploradores de vulnerabilidad. Los sistemas de la detección de la intrusión (IDS) examinan el sistema o la actividad de la red para encontrar intrusiones o ataques posibles.
Como mencionamos anteriormente, hay dos tipos básicos de sensores de IDS: network-based y host-based. Los sensores network-based se encargan de monitorear las conexiones de red, observar el tráfico de paquetes TCP, y así poder determinar cuando se está realizando un ataque. Los sensores host-based se ejecutan en los sistemas -servidores, workstations o en las máquinas de usuarios - y localizan alguna actividad sospechosa en el nivel del sistema. Buscan las cosas que pueden indicar actividad sospechosa, tal como tentativas de conexión fallidas. Los encargados de los IDS actúan como un centro centralizado de vigilancia, recibiendo datos de los sensores y accionando alarmas.
IDS basados en Red
Los sistemas network-based actúan como estupendos detectores, es decir, ellos observan el tráfico en las capas del TCP/IP y buscan modelos conocidos de ataque, como los que generalmente realizan los hakers o los ataques al web server. Tales sistemas hacen frente a desafíos significativos, especialmente en los ambientes cambiantes donde los detectores no ven todo el tráfico en la red. Además, la mayoría de los sistemas network-based pueden buscar solamente los modelos de abuso que se asemejan al estilo de los ataques de los hackers, y esos perfiles están cambiando constantemente. Los sistemas network-based son también propensos a los positivos falsos. Por ejemplo, si el web server tiene sobrecarga de trabajo y no puede manejar todas las peticiones de conexión, los IDS quizá pueden detectar que el sistema está bajo un ataque, aunque en realidad, no lo sea. Típicamente, un sistema basado en red no va a buscar la otra actividad sospechosa, tal como que alguien de su entorno de trabajo, intente tener acceso a los datos financieros de su compañía. Por supuesto, los detectores de la red se pueden adaptar para buscar apenas sobre cualquier tipo de ataque, pero es un proceso laborioso. Los sistemas network-based son los más comunes, y examinan el paso del tráfico de la red para las muestras de la intrusión.
Los sistemas basados en red son un poco diferentes: se diseñan empleando una arquitectura de consola-sensor y suelen ser totalmente pasivos. Este tipo de detección integrada a la red "husmea" el cable y compara los patrones de tráfico, en vivo, con listas internas de "rúbricas" de ataque.
IDS basados en Host
Los sistemas host-based emplean un diverso procedimiento para buscar a los malos individuos. No característico de los detectores, los sistemas host-based dependen generalmente de los registros del sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red mientras que ocurren. En comparación con los IDS basados en red, estos sistemas obligan a definir lo que se considera como actividades ilícitas, y a traducir la política de la seguridad a reglas del IDS. Los IDS host-based se pueden también configurar para buscar tipos específicos de ataques mientras que no hace caso de otros. Pero otra vez, el proceso de templar un sensor puede ser desperdiciador de tiempo. Es decir, los sistemas host-based observan al usuario y la actividad del proceso en la máquina local para las muestras de la intrusión.
Los sistemas relacionados al host se despliegan de la misma forma que los escáners antivirus o las soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa una consola de gestión para generar informes.
Ambas formas de detección pueden reaccionar cuando identifican un ataque. Los dos enfoques tienen puntos fuertes y débiles. Los sistemas basados en red casi no se hacen notar y son independientes de la plataforma; se pueden desplegar con poco o ningún impacto sobre las redes de producción. Sin embargo, estos sistemas tienen que superar varios obstáculos importantes. Por ejemplo, la tecnología se basa en la capacidad del sensor para ver todo el tráfico de red. En un entorno conmutado, esta situación complica demasiado la vida, ya que es preciso utilizar espejos de puertos. Pocos sistemas basados en red pueden manejar una línea de 100 Mbps saturada, y ya no hablemos de velocidades de gigabits.
Los sistemas basados en host no tienen problemas de ancho de banda; no obstante sólo pueden reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores que usan un sistema operativo no reconocido, el administrador no habrá ganado nada. Sin embargo, las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen los sistemas basados en red, como verificación de integridad binaria, análisis sintáctico de logs y terminación de procesos no válidos.
IDSs Híbridos
Los vendedores han observando las limitaciones que presentan los IDS network-based y los IDS host-based, y han concluido en combinar ambos sistemas para mejorar su capacidades. Estos sistemas híbridos combinan las mejores características de ambos en una configuración del sensor del IDS. RealSecure de Internet Security Systems (ISS), CyberCop de Network Associates (NAI) y CMDS de ODS son ejemplos de soluciones que han adoptado este acercamiento híbrido de IDS.
RealSecure, por ejemplo, originalmente se basaba en un sensor network-based, pero ahora tiene detección host-based de la intrusión también. CyberCop ofrece actualmente solamente las IDS host-based, pero se está moviendo hacia una nueva configuración de la " fusión " que incorpore detectores de red IDS host-based. Y CMDS trabaja con la red y la información de IDS host-based para buscar ataques.
• Características
Las características de un buen IDS deben tratar las siguientes cuestiones, sin importar en que mecanismo se basen:
• Debe ejecutarse continuamente sin la supervisión humana. El sistema debe ser bastante confiable y permitir que se ejecute en el fondo del sistema que es observado. Sin embargo, no debe ser un "rectángulo negro". Es decir, sus funcionamientos internos deben ser observables desde el exterior.
• Debe ser tolerante a fallos, en el sentido de que debe mantenerse ante un fallo del sistema, además no debe de poder reiniciar el sistema.
• Debe resistir el cambio. El sistema puede vigilarse para asegurarse de que no ha sido alterado.
• Debe imponer los gastos mínimos para el sistema.
• Debe observar desviaciones del comportamiento normal.
• Debe ser adaptado fácilmente al sistema en cuestión. Cada sistema tiene un diverso modelo de uso, y el mecanismo de la defensa debe adaptarse fácilmente a estos modelos.
• Debe hacer frente a comportamiento del sistema que cambia en un cierto periodo de tiempo, mientras que se están agregando las nuevas aplicaciones. El perfil del sistema cambiará en un cierto plazo, y el IDS debe poder adaptarse.
• Finalmente, debe ser difícil engañar.
Algunos sistemas proporcionan ciertas características adicionales, incluyendo:
La instalación automática de correcciones lógicas al software.
Instalación y operación de los servidores que registran la información de intrusos.
Los tipos de errores que probablemente puedan ocurrir en el sistema, se pueden categorizar cuidadosamente como:
Positivo falso
Negativa falsa,
Errores de cambio.
Un positivo falso ocurre cuando el sistema clasifica una acción como anómala (una intrusión posible) cuando es una acción legítima. Una negativa falsa ocurre cuando ha ocurrido una acción intrusa real pero el sistema permite que pase como no intruso. Un error de cambio, ocurre cuando un intruso modifica la operación del detector de la intrusión para forzar a que ocurran negativas falsas. Los errores positivos falsos conducirán a los usuario del IDS a no hacer caso de su salida, pues clasificará acciones legítimas como intrusiones. Las ocurrencias de este tipo de error se deben reducir al mínimo (puede no ser posible eliminarlas totalmente), para proporcionar la información útil a los operadores. Si muchos positivos falsos se generan también, los operadores vendrán no hacer caso de la salida del sistema en un cierto plazo, que puede conducir a una intrusión real que es detectada pero no hecha caso por los usuarios.
Un error negativo falso ocurre cuando procede una acción aunque es una intrusión. Los errores negativos falsos son más serios que errores positivos falsos porque dan un sentido engañoso de la seguridad. Permitiendo que todas las acciones procedan, una acción sospechosa no será traída a la atención del operador. El IDS ahora es un defecto, pues la seguridad del sistema es menor que la que era antes de que el IDS fuera instalado. Los errores de cambio son más complejos Un intruso podría utilizar conocimientos sobre los mecanismos internos de un IDS para alterar su operación, permitiendo posiblemente que el comportamiento anómalo proceda. El intruso podría entonces violar los apremios operacionales de la seguridad del sistema. Esto se puede descubrir por un operador humano que examina los registros del detector de la intrusión, pero parecería que el IDS todavía trabaja correctamente.
El uso del término "detección de intrusos" está proliferando en todos lados. Los medios de comunicación y la gente de mercadotecnia utilizan la frase a diestra y siniestra. A cualquier tipo de herramienta se le describe como sistema de detección de intrusos, desde analizadores de logs de web hasta productos de administración de activos.
Los sistemas de detección de intrusos pueden ayudar a los administradores a mantener vigilados los sistemas y las redes, estos productos pueden, en tiempo real, percatarse de cuándo está ocurriendo un ataque. Esto ofrece al administrador la oportunidad de reaccionar ante las agresiones o incluso marcarles el alto -lo cual es mucho mejor que recibir a las cuatro de la mañana una llamada telefónica de alguien que dice que el sitio web se ve un poco diferente--. En muchos casos, el costo de un sistema de detección de intrusos se puede justificar tan sólo por su valor "forense". Si un sistema fue violado y sus logs están contaminadas, este tipo de sistemas pueden ahorrar a los administradores los días que llevaría averiguar qué pasó exactamente.
Los sistemas de detección de intrusos son excelentes adiciones al arsenal de seguridad; sin embargo, no son el factor que permitirá ganar la guerra. Si una compañía posee redes de alta disponibilidad o muy expuestas, la tecnología podría resultar muy valiosa. No obstante, si la empresa todavía está batallando con políticas, procedimientos y bloqueos de hosts, será necesario dejar para después la detección de intrusos y ocuparse primero de lo básico.
• Ventajas y Desventajas
Cada nuevo mercado sufre de la exageración y de la idea falsa, algunas de las demandas hechas en materia de comercialización son razonables y otras son engañosas. Los Sistemas de Detección de Intrusiones, tienen sus ciertas ventajas y desventajas, mismas que se analizan en los siguientes párrafos.
Ventajas
• Pueden prestar un mayor grado de integridad al resto de su infraestructura de seguridad. Los IDS proporcionan capas adicionales de protección a un sistema asegurado. La estrategia de un atacante del sistema incluirá a menudo los dispositivos de seguridad que atacan, que anulan o que protegen. Los IDS la intrusión pueden reconocer estos primeros sellos de ataque, y potencialmente responden a ellos, atenuando daños Además, cuando estos dispositivos fallan, debido a la configuración, al ataque, o al error del usuario, los IDS puede reconocer el problema y notificar a la gente adecuada.
• Los encargados del sistema, pueden tener fuentes de información a menudo obtusas del sistema, diciéndole lo qué realmente está sucediendo en sus sistemas. Los rastros de intervención del sistema operativo y otros registros de sistemas son información clave sobre lo que se está intentando realizar sobre sus sistemas. Son también a menudo incomprensibles. Los IDS permiten que los administradores y los encargados templen, que ordenen, y que comprendan lo que les dicen estas fuentes de información, a menudo revelando problemas antes de que ocurra la pérdida
• Pueden rastrear la actividad del usuario de la punta de entrada a la punta de salida o del impacto. En el acontecimiento inverosímil que un intruso consigue más allá de un dispositivo de la defensa del perímetro, tal como un firewall, las identificaciones proporcionan una manera de coger sus acciones. Además, las identificaciones pueden detectar las acciones de un "mal individuo " ya dentro, un ataque ya iniciado o un camino previamente desconocido de la entrada a la red.
• Pueden reconocer y señalar alteraciones a los archivos críticos del sistema y de datos. Las herramientas de integridad del archivo utilizan sumas de comprobación criptográficas fuertes por bloques, y en el caso de un problema, comprobar rápidamente el fragmento del daño.
• Pueden manchar los errores de su configuración de sistema que tienen implicaciones de la seguridad, corrigiéndolas a veces si el usuario desea. Los productos de revisión de vulnerabilidad permiten la revisión y la diagnosis constantes de las configuraciones del sistema que pudieron causar problemas de la seguridad.
• Pueden reconocer cuando su sistema parece ser vulnerable a los ataques determinados. Los productos de detección de vulnerabilidad también permiten que el administrador de un sistema se determine rápidamente lo que deben ser los ataques de preocupación.
La gran ventaja de utilizar productos de detección de intrusos es que proporcionan a los administradores una visión en tiempo real de lo que realmente está ocurriendo en la red. Sin monitoreo activo, muchos sitios están volando a ciegas. Pocas personas revisan sus logs de sistema y quienes lo hacen casi nunca las examinan en tiempo real. Peor aún, muy pocas organizaciones han instalado mecanismos de loggins seguros; si un host es violado en el nivel de raíz o de administrador, está a merced de las técnicas de borrado de logs. La consecuencia es una serie de posibles pesadillas, sin tener idea de cómo entraron los intrusos, qué hicieron ni qué tan lejos llegaron.
Desventajas
• La seguridad es un área compleja con posibilidades y dificultades innumerables. No hay soluciones mágicas a los problemas de la seguridad de la red, y los productos de la detección de la intrusión no son ninguna anomalía a esta regla. Sin embargo, como parte de una gerencia comprensiva de la seguridad saben desempeñar un papel vital en la protección de sus sistemas.
• No pueden compensar para los mecanismos débiles de la identificación y de la autentificación. Una infraestructura de la seguridad que incluye la detección fuerte de I&A y de la intrusión es más fuerte de una que contiene solamente uno o la otra.
• No pueden conducir investigaciones de ataques sin la intervención humana. Uno debe realizar la dirección del incidente. Uno debe investigar los ataques, determinarse, en lo posible, el partido responsable, después diagnosticar y corregir la vulnerabilidad que permitió que ocurriera el problema, señalando el ataque y los detalles a las autoridades donde se requiera.
• No pueden intuir el contenido de la política organizacional de la seguridad. Los sistemas expertos de la detección de la intrusión aumentan de valor cuando se permiten funcionar como alarmas de hacker.
• No pueden compensar para los problemas en la calidad o integridad de la información que el sistema proporciona. Es decir la " basura es basura " todavía se aplica.
• No pueden analizar todo el tráfico en una red ocupada. La detección network-based de la intrusión es capaz de vigilar tráfico de una red, pero solamente a una punta.
• No pueden ocuparse siempre de los problemas que implican ataques del nivel de paquete. Hay debilidades en sistemas la detección de la intrusión de la red. El corazón de las vulnerabilidades implica la diferencia entre la interpretación de IDS's del resultado de una transacción de la red (basada en su reconstrucción de la sesión de la red) y del nodo de destinación para la dirección real de esa sesión de la red de la transacción. Por lo tanto, un adversario bien informado puede enviar la serie de paquetes hechos fragmentos y de otra manera cuidados que eludan la detección, pero lanza ataques contra el nodo de destinación. Peor todavía, un adversario puede utilizar esta clase de manipulación del paquete para lograr una negación del ataque del servicio contra las identificaciones sí mismo por la memoria que desborda afectada un aparato para las coletas entrantes del paquete.
2.6 IDS y Firewalls
Una idea errónea pero generalizada acerca de los firewalls, es que garantizan la protección de una red. Aunque es indudable que esta tecnología es necesaria, por sí sola no determina que la red sea segura. Un firewall no posee poderes místicos; deja entrar algunos paquetes y bloquea el paso de otros. Lo que hay que recordar es que tan pronto como se dejan entrar algunos paquetes, aunque éstos hayan atravesado un firewall, la red de la empresa está en riesgo. Por tal motivo, es crucial contar con expertos que entiendan qué paquetes hay que dejar entrar y cómo minimizar los riesgos que implica el permitirles el acceso. Dado que el firewall está situado en un punto muy estratégico de la red, no es sorprendente que los fabricantes añadan otros servicios. Varios firewalls incluyen funciones de autenticación, capacidades VPN, filtrado de URL, escaneo de virus e incluso integración con sistemas de detección de intrusos.
Axent Technologies, Check Point y Cisco se cuentan entre los fabricantes que han integrado software para detección de intrusos en los firewalls, el cual activa automáticamente filtros si el software cree haber detectado un ente extraño.
La funcionalidad básica del firewall, que se concentra en filtrar paquetes con base en aplicaciones y direcciones IP; casi todos los productos cumplen su promesa. El problema radica en decidir qué servicios se deben ejecutar en el hardware de firewall, además del filtrado básico de paquetes. La tentación de añadir soluciones debe moderarse, en la inteligencia de que la ejecución de más programas podría hacer lento o desestabilizar al firewall.
Por último, tenga presente que un firewall no se puede descartar que los paquetes que el firewall deja entrar en la red formen parte de un ataque.
Una pregunta común es cómo la detección de la intrusión complementa firewalls. Una forma de caracterizar la diferencia es proporcionada clasificando la violación de la seguridad por fuente -- si vienen fuera de la red de la organización o de dentro. Acto de los firewalls re como barrera entre las redes (internas) corporativas y el mundo exterior (Internet), y tráfico entrante del filtro según una política de la seguridad.
Esto es una función valiosa y sería suficiente protección era él no para estos hechos:
• No todo el acceso de Internet ocurre a través del firewall
Los usuarios por diversas circunstancias instalaron en ocasiones conexiones desautorizadas del módem entre sus sistemas conectados con la red interna y los abastecedores de acceso de Internet del exterior u otras proveedoras de Internet. El firewall no puede atenuar el riesgo asociado a las conexiones que nunca considera.
• No toda la amenaza se origina fuera del firewall.
Hay ocasiones que se ha detectado que los problemas se originan dentro de la organización Una vez más el firewall ve solamente tráfico en los límites entre la red interna y el Internet. Si la seguridad de reflejo del tráfico nunca práctica una abertura flujos más allá del firewall, no puede considerar los problemas.
Actualmente más organizaciones utilizan la encripción para proteger sus archivos y las conexiones públicas de la red, el punto importante será proteger aquella información que no este protegida dentro de la red interna. Es aquí donde la detección de intrusiones toma parte ya que solo se ocupa del tráfico en la red interna.
Por lo tanto, llegarán a ser aún más importantes como las infraestructuras de la seguridad se desarrollan.
• Los firewalls están conforme a ataque ellos mismos
Una estrategia común del ataque es utilizar un túnel para desviar protecciones del firewall. El hacer un túnel es la práctica de encapsular un mensaje en un interior del protocolo (que se pudo bloquear por los filtros del firewall) un segundo mensaje.
CAPITULO 3. VULNERABILIDAD
3.1 Concepto de Vulnerabilidad
Los paquetes de vulnerabilidad (también conocidos como escáners de seguridad) adoptan un enfoque proactivo respecto a la seguridad de redes y procuran identificar de forma eficiente, exhaustiva y automatizada huecos en la seguridad, tanto en el nivel de host como en las redes. Muchos de los puntos de vulnerabilidad son específicos en el Sistema Operativo.
Además de que realizan rigurosas tareas de sistemas en orden, para determinar el lado débil que a fuerzas permite la violación de la seguridad, estos productos usan estrategias para realizar tareas:
El primero: pasivo; es un mecanismo basado en el host; el cual inspecciona la configuración del archivo del sistema para la instalación discreta de la clave del sistema de archivo y para uso del mismo, y otro sistema de objetos para la violación de la política de la seguridad. Estas señales son seguidas en más casos por activos; es la evaluación basada en la red, la cual reactúa en la instrusión común del texto, anotando la respuesta del texto para el sistema.
Los resultados de evaluación de vulnerabilidad de las herramientas representan una seguridad instantánea del sistema para un punto a tiempo. Aunque estos sistemas no pueden detectar confiablemente un ataque en progreso, sólo pueden determinar que ataque es el que ha ocurrido.
3.2 Objetivos
Los productos para la evaluación de la vulnerabilidad (conocidos como escáners) son herramientas de administración de seguridad que:
Comprueban la conducta exhaustiva de un sistema que procura localizar las tareas para la seguridad de la vulnerabilidad.
Reporta el número, natural y la rigidez de esas tareas.
Permite al sistema administrador determinar el estatus de seguridad de un sistema para un tiempo particular.
Permite a los auditores de seguridad determinar la eficacia de un sistema de organización en la seguridad de la administración.
En algunos casos, algunas veces suceden incidentes y permite a los investigadores determinar la ruta de entrada para un atacante o intruso.
3.3 Ventajas y Desventajas
Ventajas
• Las herramientas de vulnerabilidad pueden ser utilizadas para probar la red y nos permite hallar la debilidad de la red, incluso los agujeros que aparecen constantemente en las redes.
• Tiene la capacidad de identificar una gran variedad de agujeros en la seguridad y configuraciones erróneas.
• Son parecidos a los escáners antivirus en cuanto a que utilizan bases de datos internos, que incluyen un listado de defectos conocidos (para determinar sí un sistema es vulnerable o no a un tipo de ataque específico).
• Si los fabricantes de tecnología de seguridad tienen conocimientos nuevos del agujero, se codifican verificaciones, se integran a la siguiente versión y ésta es distribuida.
• La persona que hace uso de la evaluación de la herramienta, podrá obtener el uso adecuado de ella, así mismo como poder tomar decisiones en cuanto a la compra (claro que hay que considerarse que tipo de licencias es con las que cuenta la empresa).
Desventajas
• Se debe evitar anunciar los Sistemas Operativos de sus servidores; ejemplos como: las extensiones de archivos.asp, uso de .htm en lugar de html y página principales llamadas default.htm, las cuales ayudan a atacante a identificar el servidor, además de que el atacante al determinar el Sistema Operativo sólo necesita de la dirección IP del servidor.
• No puede realizar una prueba de vulnerabilidad una sola vez, ya que es necesario utilizar una herramienta frecuentemente con una base de datos actualizada de los puntos vulnerables del Sistema Operativo.
• En NT la debilidad aparece todo el tiempo.
• Los atacantes pueden usar las herramientas para probar donde existen debilidades en la red.
• No es una tarea sencilla el estar dedicándole tanto tiempo a investigar agujeros en la seguridad, sino se cuentan a la mano con versiones actualizadas de las herramientas de escáneo.
• Si el atacante esta al tanto de las actualizaciones de los sistemas, tienen mayor probabilidad de tener éxito si usa los métodos más recientes.
• Si los administadores no se mantienen al día de los parches o hotfix pueden convertirse en víctimas seguras y aún más, si no tiene conocimiento del agujero.
3.4 Evaluaciones para el Host
Este tipo de aplicación usa pasivo; ejecuta el estudio de la clave como parte del análisis de la evaluación de la clave, la cual consiste en correr el password contra el password del archivo, utilizando un buen conocimiento de ataque en orden para rápidamente localizar el franco no existente o de otra manera la subida del password.
Ventajas
Rendimiento exacto ,del host específico del agujero de seguridad.
Contiene agujeros de seguridad que no son expuestos durante la evaluación de la red.
Desventajas
La estimación de métodos son plataformas específicas y así se requiere de la configuración precisa para cada tipo de host usado por la organización.
Desplegar y poner al día muchas veces si se requiere, mucho más esfuerzo que en la evaluación de la red.
3.5 Evaluaciones para la red
La vulnerabilidad de la evaluación de la red, usa activo; las cuales son técnicas para determinar si se ha dado un sistema vulnerable para un determinado ataque. En red la valuación se basa, como variedad de escenarios de ataques que son conectados contra la tarjeta del sistema, y sus resultados son analizados en orden para determinar la vulnerabilidad del sistema para ataque. En algunos casos la evaluación de la red, es usada para explorar los problemas de la red en específico.
Ventajas
Hallar agujeros de seguridad sobre una variedad de plataformas y sistemas
Porque no es una plataforma independiente como el host, ya que este último es fácil de desplegar rápidamente.
Que no asume el nivel de acceso del host, este es fácil para desplegar un punto político de vista.
Desventajas
Que no considera la plataforma específica de vulnerabilidad, este a menudo es menos exacto que la evaluación del host.
Puede afectar las operaciones y ejecución de la red.
CAPITULO 4. FUNCIONAMIENTO DE IDS
4.1 Red IDS
Usualmente una red IDS tiene dos componentes lógicos: el sensor y la estación administradora. El sensor radica en un segmento de red, y los monitores para detectar tráfico sospechoso. La estación administradora recibe alarmas de los sensores y las muestra al operador.
Los sensores usualmente son sistemas dedicados que existen solo para monitorear la red. Estos tienen una interfase de red que recibe todo el tráfico no solo aquel destinado para su dirección IP, además capturan y analizan todo el tráfico que fluye en la red. Si detectan algo que parezca inusual lo envían a una estación de análisis.

La estación de análisis puede mostrar las alarmas o hacer un análisis adicional. Algunas de las alarmas que se muestran son simplemente una interfase a una herramienta administradora de la red, como HP OpenView, pero algunas son GUI's ( interfaces gráficas de usuario) diseñadas para ayudar al operador a analizar el problema.
Este diagrama muestra esquema de una red tradicional basada en IDS con dos sensores sobre segmentos de redes separados que comunican con una estación que monitorean la red interna.
Ventajas
El IDS puede detectar algunos de los ataques a la red. Es buena para detectar accesos sin autoridad o algunos tipos de accesos con exceso de autoridad.
Un IDS basado en red no requiere modificación o un servidor de producción. Esta es una ventaja porque frecuentemente los servidores de producción de servicios tienen tolerancia a las operaciones cercanas al CPU, I/O, y capacidad de disco, instalando software adicional podría exceder la capacidad del sistema.
El IDS no es una trayectoria critica para ninguna producción de servicios o procesos porque una red basada en IDS no actúa como una ruta o un dispositivo critico. Sistemas fracasados no tienen un significativo impactante en los negocios. El lado benéfico de esto es que será probable que usted encuentre menos resistencia de otras personas dentro de su organización el riesgo que existe con procesos críticos es bajo con un sistema de red que con un servidor.
Las redes basadas en sistemas IDS tienden a ser más auto contenidas que un sistema basado en servidor. Ellas corren sobre un sistema dedicado que es sencillo de instalar; hace algunas configuraciones, y conecta esta dentro de su red en una locación que permite monitorear sensitivamente él trafico.
Desventajas
Por otra parte en una red IDS el sensor solo examina el tráfico del segmento al que esta conectado directamente, pero no puede detectar en ataque que viaje a través de un diferente segmento de red.
Este problema es particularmente endémico en un ambiente ethernet switchado. El problema puede requerir que una organización compre muchos sensores para llegar a todos los puntos de la red que desee cubrir. Dado que los sensores cuestan dinero, la amplia cobertura de una red IDS con sensores, puede resultar extremadamente caro.
Los sistemas de detección de intrusiones de una red tienden a usar análisis de firmas para conocer los requerimientos de desempeño. Esto detectará ataques programados comunes provenientes de fuentes externas, pero es inadecuado para detectar amenazas con información más complejas. Esto requiere una habilidad más robusta para examinar el entorno.
Un sistema de detección de intrusiones de una red puede tener la necesidad de comunicar largos volúmenes de datos de regreso al sistema central de análisis. A veces esto significa que cualquier paquete monitoreado genera una gran cantidad de tráfico de análisis. Muchos de estos sistemas usan procesos agresivos de reducción de datos, para reducir la cantidad de tráfico de comunicación. Ellos también hacen mucho uso de los procesos de toma de decisiones, afuera en el sensor mismo y usan la estación central para desplegar las condiciones, en lugar de usarlo para el análisis actual. La desventaja de esto es que provee muy poca coordinación entre los sensores. Cualquier sensor dado, ignora que otro ha detectado un ataque. Tales sistemas no pueden detectar normalmente ataques sinérgicos o complejos.
Una red basada en IDS puede enfrentar tiempos difíciles manejando ataques dentro de sesiones de encriptado. Afortunadamente, hay muy pocos ataques que toman lugar dentro de sesiones de tráfico encriptadas, que atacan en contra de servidores web débiles.
4.2 Servidor IDS
Los IDS basados en el servidor, buscan señales de intrusión en el sistema local del servidor. Estos frecuentemente usan los sistemas de intervención del servidor y sus mecanismos de acceso como fuente de información para el análisis.
Ellos buscan actividad inusual limitada al servidor local, tal como accesos, acceso incorrecto a archivos, escalación de privilegios del sistema. Esta arquitectura de IDS generalmente usa motores basados en reglas para el análisis d las actividades; un ejemplo de tales reglas podría ser, “privilegio de super usuario sólo puede ser conseguido a través del comando su”. Por lo tanto los intentos sucesivos de acceso a la cuenta raíz serán considerados un ataque.
Ventajas
Un IDS basado en el servidor puede ser una herramienta extremadamente poderosa para analizar un posible ataque. Por ejemplo, a veces puede decir exactamente que hizo el atacante, qué comandos ejecutó, que archivos abrió, y que sistemas que llamó fueron ejecutados, en lugar de solo una vaga acusación de que el atacante intentó ejecutar un comando peligroso. Un IDS basado en el servidor usualmente provee mucha más detallada y relevante información que los IDS basados en la red.
Los sistemas basados en el servidor tienden a registrar índices más bajos de falsas alarmas que los sistemas basados en red. Esto pasa porque el rango de comandos ejecutados en un servidor especifico es mucho más específicos que los tipos de tráfico. Fluyendo a través de la red. Esta propiedad puede reducir la complejidad de los motores de análisis basados en el servidor.
Los sistemas basados en el servidor pueden ser usados en entornos donde una amplia detección de intrusiones no es necesaria, o donde el ancho de banda no esta disponible para comunicaciones sensor-análisis. Los sistemas basados en el servidor pueden estar completamente auto contenidos. Esto también permite correr a los sistemas basados en el servidor en algunos casos, desde medios de solo lectura; esto previene los ataques para deshabilitar al IDS.
Finalmente, un sistema basado en el servidor, puede ser menos riesgoso configurado con respuesta activa, tal como terminación de un servicio o desconectar a un usuario ofensivo. Un sistema basado en el servidor es más difícil de engañar restringiendo el acceso desde fuentes legitimas.
Desventajas
Los sistemas basados en el servidor requieren instalación en los dispositivos particulares que se desee proteger. Si, por ejemplo, se tiene un servidor de recursos humanos, y se quiere protegerlo, se tendrá que instalar el IDS en ese servidor. Como se mencionó antes esto puede ocasionar problemas de capacidad. En algunos casos, esto puede hasta representar problemas de seguridad, dado que el personal de seguridad puede no tener ordinariamente acceso al servidor en cuestión.
Otro problema asociado con los sistemas basados en el servidor es que tienden a detenerse sobre los accesos innatos y las capacidades de monitoreo del servidor. Si el servidor no esta configurado para dar accesos adecuados y monitorear, se tiene que cambiar posiblemente la configuración de una máquina de producción, lo cual representa un tremendo problema de cambios administrativos.
Los sistemas basados en el servidor son relativamente caros. Muchas organizaciones no tienen los recursos financieros para proteger todos los segmentos de red usando sistemas basados en el servidor. Estas organizaciones deben elegir muy cuidadosamente el sistema para protegerse. Esto puede dejar amplias brechas en la cobertura ID, porque, por ejemplo, un atacante en un sistema vecino no protegido puede rastrear información auténtica u otro material sensible para nuestra red.
Finalmente, los sistemas basados en el servidor padecen en gran grado, de restricciones en su visión local. Ellos ignoran casi en su totalidad el entorno de la red. Así, el tiempo de análisis requerido para evaluar dalos de una intrusión potencial aumente linealmente con el número de servidores protegidos.
4.3 Verificador de Integridad de Archivos
Un verificador de integridad de archivos examina los archivos en una computadora para determinar cuál de ellos ha sido alterado desde la última vez que se le verificó. Los verificadores de integridad guardan una base de datos de valores aleatorios para cada archivo. Cada vez que se corre el verificador, recalcula los valores y los compara con los guardados en la base de datos. Si los valores son diferentes, quieres decir que el archivo ha cambiado.
Una función de aleatorización, es un proceso matemático para reducir la secuencia de bytes en un archivo, a un número de longitud fijado. El mismo archivo siempre producirá el mismo valor aleatorio y cualquier cambio en el archivo produce un valor diferente. A diferencia de la encripción una aleatorización es una función con un solo camino; no se puede producir el archivo original a partir del valor aleatorio.
Algunas aleatorizaciones son más seguras que otras. Muchas aleatorizaciones seguras, que siguen requerimientos matemáticos especiales, son llamados aleatorizaciones seguras criptográficamente. Uno de los requerimientos para aleatorizaciones seguras criptográficamente es que resulta muy difícil calcular una colisión, es decir, dos entradas que se aleatorizan al mismo número. Esto significa que aún si un atacante cambia un archivo, no podrá cambiar el archivo de forma que burle al verificador de integridad.
Ventajas
No es computacionalmente factible vencer a las matemáticas en un verificador de integridad. Esto los hace una muy pero muy buena herramienta para detectar cambios en los archivos de una computadora. Es muy fuerte, de hecho esta es una de las herramientas más importantes que se usan para detectar un mal trato a los sistemas computacionales.
Los verificadores de integridad observan todo en un sistema, o solo archivos importantes. Son extremadamente flexibles.
Una vez que los atacantes comprometen al sistema, les gusta hacer dos cosas. Primero les gusta cubrir sus ataques, lo que significa que alterarán sistemas binarios, librerías, o archivos de registró de acceso para esconder el hecho de que ellos están o han estado en el sistema. Segundo, ellos harán cambios para asegurar que seguirán accesando al sistema. Un verificador de integridad de archivos correctamente configurado detectará ambas actividades.
Desventajas
Los verificadores de integridad cuentan con datos almacenados en las computadoras locales. Como archivos de acceso, estos datos son vulnerables a modificaciones en el sistema. Dicen a un atacante como obtener privilegios de super usuario en el sistema el atacante puede encontrar el verificador de integridad, hacer algún cambio hostil en el sistema y volver a correr el verificador de integridad para crear nuevamente los valores aleatorios de la base de datos, y cuando el administrador del sistema corra el verificador, no encontrará ningún cambio en el sistema. Una forma de rodear este problema es mantener la base de datos en modo de solo lectura tales como CD escribible.
El verificador de integridad debe estar configurado para cada sistema. Usualmente esto es una tarea que consume mucho tiempo y es complicado. Si el sistema operativo no es bueno al cumplir con la integridad del sistema, la instalación se convierte en algo más complejo.
Una vez que el verificador es configurado, debe correrse frecuentemente. Dependiendo del sistema operativo, simples cambios u operaciones normales pueden reportar desde decenas hasta miles de cambios. Por ejemplo, un verificador de integridad corre justo después de actualizar MS-Outlook en un sistema Windows NT, entonces justo antes de la instalación se reportan mas de 1800 cambios.
Finalmente, el verificador de integridad consume un considerable número de recursos del sistema. Estos pueden masticar al CPU, memoria, y espacio de disco. Muchos administradores no querrán correr frecuentemente el verificador de integridad. Esto limita su funcionalidad, porque un verificador que corre una vez al mes, reportará tantos cambios que un ataque real tiene una buena oportunidad de pasar desapercibido.
4.4 Explorador de Vulnerabilidad
Un explorador de vulnerabilidad puede buscar vulnerabilidad en un NFS conocido, examinando los servicios disponibles y la configuración de un sistema remoto. Un IDS, manejando la misma vulnerabilidad, podría reportar solo la existencia de la vulnerabilidad cuando un atacante intente explotando.
Los exploradores de vulnerabilidad, sean de red o de servidor, dan la oportunidad de que la organización arregle problemas antes de que lleguen, en vez de reaccionar a una intrusión o un mal uso que ya esté en progreso. Un IDS detecta intrusiones en progreso, mientras que un explorador en primer lugar, una intrusión. Los exploradores de vulnerabilidad pueden ser de mucha ayuda en organizaciones sin una buena capacidad de respuesta a los incidentes.
Un explorador de vulnerabilidad de red opera remotamente, examinando la interfase de red en un sistema remoto. Este buscará servicios vulnerables, corriendo en una máquina remota, y reportando una posible vulnerabilidad. Por ejemplo, es bien sabido que rexd es un servicio débil; un explorador de vulnerabilidad de red intentará conectarse al servicio de rexd. Si la conexión tiene éxito el explorador reportará vulnerabilidad en el servicio rexd.
Después de que el explorador de vulnerabilidad de red pueda ser corrido desde una sola máquina en la red, este puede ser instalado sin impactar la configuración de otras máquinas. Frecuentemente estos exploradores son usados por auditores y grupos de seguridad porque pueden proveer una vista externa de los hoyos de seguridad en una computadora o una red.
Ventajas
Los exploradores de vulnerabilidad de red pueden reportar una gran variedad de objetivos en la arquitectura. Algunos trabajan con ruteadores, otros son sistemas Unís y algunos otros con NT u otra plataforma Windows.
Los exploradores de vulnerabilidad de red son, en general, muy fáciles de instalar y de comenzar a usarlos. A diferencia de los sistemas basados en el servidor, los cuales usualmente requieren instalación o reconfiguración del software, un sistema basado en la red puede ser depositado en un lugar en la red. Simplemente conectando la interfase dentro del switch y encendiendo la máquina.
La GUI ( interfase gráfica de usuario) con un sistema de red, tiende a ser completamente intuitiva, lo cual significa que el personal junior puede monitorear el sistema y llamar a más analistas señor si algo inusual ocurre.
Desventajas
Los exploradores de vulnerabilidad de red son casi exclusivamente sistemas basados en firmas. Como un IDS basado en firmas, un explorador de vulnerabilidad basado en firmas, puede detectar sólo aquellas vulnerabilidades que este programado para reconocer. Si una nueva vulnerabilidad surge, como frecuentemente ocurre, hay una gran oportunidad para el atacante antes de que el vendedor actualice las firmas. Si la vulnerabilidad continua, los sistemas pueden permanecer vulnerables a ataques durante un periodo de tiempo.
Si los clientes son tan inteligentes con sus exploradores la vulnerabilidad de firmas como lo muestra la historia, entonces muchas organizaciones serán vulnerables a los ataques aún si corren sus exploradores de vulnerabilidad regularmente. Un análisis reciente muestra que el 90% de los servidores de red corriendo IIS aún son vulnerables a una bien documentada y muy seria vulnerabilidad de seguridad, para lo cuál el vendedor ha producido avisos de seguridad. Un explorador de vulnerabilidad sólo puede enfatizar posibles problemas que la organización debe resolver.
Otro problema potencial con los exploradores de vulnerabilidad de red es que las salidas siempre requieren de hábiles interpretaciones. Cada ambiente tiene diferentes requerimientos de operación y diferentes vulnerabilidades en seguridad. De hecho, el concepto de vulnerabilidad engloba otros conceptos vagamente definidos, tales como riesgo, aceptabilidad y las habilidades esperadas del atacante. Como cada uno de estos conceptos varía con cada organización, el grado en que una configuración particular represente vulnerabilidad, también varían con cada organización.
Cuando el explorador de vulnerabilidad reporta una vulnerabilidad particular, la red de la organización o el personal de operación deben evaluar ese reporte dentro del contexto del ambiente operativo de la organización. La vulnerabilidad puede no representar un riesgo inaceptable en ese ambiente de la organización, o el riesgo puede ser forzado sobre la organización por los requerimientos de negocios. Esto puede parecer tonto en el contexto de discusiones de seguridad, pero en el mundo real de la seguridad, las preocupaciones frecuentemente caen en víctimas de justificaciones de negocios.
Los exploradores de vulnerabilidad han sido conocidos por disminuir a la máquina objetivo. Algunas implementaciones IP no son suficientemente robustas para manejar conexiones simultaneas, o paquetes IP con combinaciones de banderas inusuales. El tráfico generado por una agresiva búsqueda en un puerto, por ejemplo, puede hacer que a veces la máquina se carga.
Finalmente, los exploradores de vulnerabilidad de red tienden a contener una enorme cantidad de datos de vulnerabilidad. Si alguien alguna vez irrumpe en el sistema del explorador, compromete a las demás máquinas de la red puede convertirse en un juego de niños. Es necesario proteger el explorador para prevenir el uso no autorizado de la exploración de datos.
4.5 Exploradores de Vulnerabilidad del Servidor
Un explorador de vulnerabilidad del servidor difiere de un explorador de vulnerabilidad de red en que éste está completamente confinado al sistema operativo local. Un explorador de vulnerabilidad de red requiere que la máquina objetivo sea accesible desde la red para poder operar; en un explorador de vulnerabilidad del servidor no es así.
Los exploradores de vulnerabilidad del servidor son software instalado en sistemas operativos particulares. Una vez que el software es instalado puede ser configurado para corres a cualquier hora del día o la noche.
Ventajas
Los exploradores de vulnerabilidad del servidor tienden a estar mucho más sintonizado y preciso en cualquier sistema operativo. Ellos pueden decirle frecuentemente al usuario que parches deberán aplicar para arreglar una vulnerabilidad identificada, mientras los exploradores de red, algunas veces solo proveen información general.
Cuando considere que producto comprar observe una muestra del reporte para su sistema operativo especifico, para determinar cuanta información está contenida en los reportes. La amplitud y precisión del reporte podría ser un criterio de selección.
Los exploradores de vulnerabilidad del servidor no consumen ancho de banda de la red cuando corren, todo el procesamiento está restringido al sistema del servidor local. Los exploradores de vulnerabilidad del servidor no son similares a los exploradores de red. Algunos sistemas operativos tienen débiles o pobres implementaciones de pilas asociadas con sus interfaces de red, enviar un gran volumen de tráfico o banderas TCP inusuales puede causar que la interfase se trabe, lo cual necesitará que se reinicie.
Los exploradores de vulnerabilidad del servidor, son menos susceptibles a ser usados contra la organización por algún intruso. Un pirata que entre en el sistema y encuentre un explorador de vulnerabilidad de red haga una exploración desde él puede utilizar la herramienta para atacar otros sistemas dentro de la organización. Una herramienta basada en el servidor provee mucho menos información útil para hacer más grande un ataque.
Desventajas
Los exploradores de vulnerabilidad del servidor son, basados en firmas. Ellos buscan conocidas configuraciones peligrosas y las reportan en una especie de libro de cocina para eliminar esas amenazas. Los procedimientos del sistema local y sus requerimientos de operación pueden requerir flexibilidad para encontrar y aplicar soluciones a una vulnerabilidad dada.
Instalar una explorador de vulnerabilidad del servidor requiere la cooperación de los administradores del sistema como el software corre usualmente con privilegios, el administrador de cada máquina debe aprobar el propósito y la configuración de la herramienta. En muchas organizaciones, esto puede representar un severo problema de coordinación.
Tal como cualquier sistema basado en el servidor, los atacantes pueden modificar el explorador de vulnerabilidad sin que se reporte que ha sido modificado.
CAPITULO 5. PUNTOS A CONSIDERAR EN LA SELECCIÓN DE UN IDS
5.1 Pautas para Seleccionar Productos
Las capacidades técnicas son ciertamente una parte importante de la decisión de compra, pero ellos no son la única parte. Hay varias consideraciones orgánicas y medioambientales cuando se trata de un IDS. ¿Muchos de estos problemas contestan la pregunta "Debemos nosotros situar un sistema de detección de intrusión?" ¿Qué debe preguntarse y razonablemente debe contestarse antes de la pregunta, "Qué IDS debemos nosotros situar?"
Esta sección proporciona tres arboles de decisión separados para ayudarnos con los procesos que realizan decisiones. Se piensa que estos árboles proporcionan guías básicas en la decisión que hacen los procesos para una compra de IDS. Empiece examinando algunos de los puntos de decisión en el árbol de la Administración. Entonces proceda al árbol Técnico para examinar algunos de los problemas relacionados para usar un IDS en una red interior. Finalmente, si usted tiene una misión el servidor de web crítico que nosotros recomendamos evaluar, Sitio Web se considera en el Paso 3. Usted puede encontrar que requiere más de un tipo de producto de IDS. En ese caso, esta sección puede ayudarle a decidir qué tipos de IDS cubren la mayoría de sus necesidades de seguridad de información.
Problemas de Administración
El primer paso para evaluar un proyecto de detección de intrusos es determinar el alcance del apoyo a la organización para este proyecto. Recuerde que el propósito de un proyecto de detección de intrusos es no solo detectar posibles intrusiones, pero a de "hacer algo" sobre ellos. Por consiguiente, la detección de intrusos debe ser considerada como parte de un proceso de contestación más grande a incidentes. La administración debe decidir qué tipo de contestación es apropiada y cómo resolverse cualquier incidente identificado.
Además, la contestación de un incidente responde a una intrusión que puede involucrar un número significativo de asuntos legales, públicos, conexión de una red, y personal de administración de sistemas, así como la productividad perdida y tiempo fuera de servicio del sistema. La organización debe entender estos problemas totalmente antes de iniciar un proyecto de detección de intrusos. La magnitud de apoyo orgánico tendrá un efecto en la selección del producto final; sistemas que son duros de llevarse a cabo y aquellos en los que el campo requerirá más paciencia de administración que sistemas que están esencialmente enviados en cajas. El último, sin embargo, requerirá mejores esfuerzos del análisis humano para interpretar y detectar falsas alarmas.
Los procesos administrativos relativamente fuertes configurados dentro de la organización afectarán la selección y eficacia de cualquier sistema servidor-basado directamente y, a un menos grado, cualquier sistema red-basado. En algunas organizaciones, cualquier usuario en el sistema puede alterar la configuración del sistema. Ellos pueden, por ejemplo, alterar los archivos que podrían parecer ser un acto hostil. Una vez que el cambio es nombrado, debe investigarse antes de que la organización pueda continuar realmente en el sistema. Sin embargo algunas Organizaciones con procesos de CM fuertes, pueden sentirse cómodas ante cualquier cambio completamente sospechoso no reconocido.
Problemas técnicos
Los problemas técnicos abundan al instalar un sistema de detección de intrusos. Típicamente, el problema técnico más serio está tratándose del tráfico de la red adicional que puede ser generado por un IDS. Otro problema es crear un proceso para interpretar resultados del IDS. Las organizaciones deben decidir cómo manejar los resultados interpretados y cómo integrar esos resultados en un plan para la contestación y corrección.
El primer paso en sistemas planeados es identificar los recursos críticos de información, ambos para el almacenamiento y comunicaciones. En otras palabras, haga una lista de lo que usted está intentando proteger. En algunos casos, este poderío es un servidor de web en su perímetro DMZ. En otros casos, podría ser la configuración del firewall que le permite tráfico al DMZ. En otros casos, podría ser los mainframe o sistemas de base de datos back end que guardan información del cliente en extremo crítica. Incluso podría ser, a alguna magnitud, la imagen de su compañía (sí usted está angustiado sobre los sitios Web borrados). Cuando usted construye la lista de recursos críticos, haga el diagrama de los sistemas y redes para proporcionar una representación visual del ambiente y colocación de herramientas de IDS. Este diagrama debe compararse con mapas de red de oficial para asegurar consistencia con la arquitectura de la red global.
Una vez que se han identificado recursos de información críticos, evalúe su habilidad de mantener la seguridad de esos recursos. ¿Si usted no tiene ningún medio de dirección de la configuración en el sitio Web, tiene usted realmente la capacidad para mantener la integridad del servidor? ¿Si no hay prioridad en la organización para reparar vulnerabilidades conocidas en los sistemas críticos, será el software de detección en esos sistemas valiosos?
Acceder a las máquinas también es un factor crítico. El Servidor basado en sistemas de detección de datos requiere más atención que una red basada en detección de intrusos. Desde que un Servidor basado en IDS requiere acceso privilegiado a la rutina del OS de la máquina afectada, un Servidor basado en IDS requiere el apoyo significante del grupo que mantiene esas máquinas. Este solo factor es la consideración más importante al instalar a un Host basado en IDS.
Problemas de Sitio Web
Instalando un IDS para un servidor web o DMZ presenta consideraciones especiales. Puesto que los servidores de web son más susceptibles a la manipulación, a ellos se les deben dar consideraciones especiales por el equipo de IDS. Los servidores web de transacciones son más vulnerables que los servidores de web estrictamente informativos, puesto que el rango de interacción es más grande. Considere usando más de un tipo de IDS en estos ambientes, porque ellos son más sensibles y la dirección de la configuración para los servidores de web es normalmente más firme que la Administración de la Configuración para los sistemas interiores.
Productos de Arboles de Decisión
Problemas de la Integración Práctica
Instalando o integrando un IDS con otras herramientas en el arsenal de seguridad requieren alguna planificación extra. Debe conocerse acerca de los problemas para configuración del firewall y las consideraciones para topologías de seguridad de redes.
Es importante que dentro de la Administración se realicen políticas de contestación de intrusión interior y el personal experimentado necesario para supervisar el IDS. Asumiendo que usted tiene un firewall. Así mismo se asume que su topografía de sistema de perímetro sigue los principios de seguridad prudentes.
Colocación del Sensor para una Red IDS
Si usted está desplegando una red IDS, usted debe decidir dónde poner los sensores supervisándolo de antemano. Esto dependerá significativamente de qué tipo de intrusión o del esfuerzo de intrusión que usted intentará descubrir.
Empiece creando un diagrama de la red detallado, si es que no lo tuviese. Un diagrama de la red puede ser inestimable a la planificación de IDS. Al mirar el diagrama, evalúe puntos de ahogo de red importantes o colecciones de sistemas que son sensibles a los funcionamientos comerciales. Un diagrama bien preparado puede mantener pistas intrínsecas a la situación correcta los sensores de IDS.
Si el IDS va a supervisar un servidor de web para penetraciones, entonces la posición más útil para el sensor estará en el segmento de DMZ con el servidor de web. Esto asume, por supuesto, que su servidor de web está en un segmento de DMZ, en lugar de fuera de o dentro del firewall (ninguna de las cuales es una idea particularmente buena). Si los atacantes componen el servidor, el IDS tiene la mejor oportunidad de descubrir la penetración original o la actividad resultante que origina del organizador compuesto.
Si el IDS va supervisar a los intrusos detectados en servidores internos, como servidores de DNS o servidores del correo, el mejor lugar para un sensor simplemente es el interior del firewall en el segmento que conecta el firewall a la red interior. La lógica detrás de esto es que el firewall prevendrá la inmensa mayoría de ataques apuntada a la organización, y ese monitoreo regular de los firewall anotará aquello que sean identificados. El IDS en el segmento interior descubrirá algunos de esos ataques que se realizan para estar dentro de los firewalls. Esto se llama "la defensa a fondo."
Algunas organizaciones querrán usar el IDS para supervisar recursos interiores como una colección sensible de máquinas o una sección específica o situación física. En ese caso, el lugar más lógico para el sensor de IDS estará en el punto de ahogo entre esos sistemas y el resto de la red interior.
¿Qué pasa fuera de un Firewall?
Es importante mencionar que por el momento no se ha discutido el poner un sensor fuera del firewall. Algunas fuentes recomiendan o defienden un sensor de IDS fuera del firewall con el fin de supervisar ataques del Internet. Miremos esa idea en un ambiente operacional ver lo que significa.
El propio firewall debe anotar cualquier ataque que detiene (asumiéndolo tienen un firewall anotando y leyendo los registros) ¿Qué agregó valor que proporcionan los IDS en este guión? ¿Si usted no está mirando los logs del firewall, por qué le prestaría usted la atención al IDS? Si lo hace, verá los ataques detenidos a ese punto. El IDS es redundante. Probablemente no es un uso productivo de dinero orgánico y tiempo para instalar y supervisar un IDS fuera del firewall.
Eso que se dice, si usted todavía quiere contar o evaluar ataques que se detienen al firewall, un IDS puede simplificar el proceso de rastrear y clasificar ataques. Los datos todavía deben estar en los logs del firewall, pero el IDS puede mejorar la legibilidad o claridad de la información.
Servidor de Integración para un Servidor IDS
Si usted planea usar un sistema Servidor-basado, usted debe tener una comprobación adecuada y fase de familiarización. Esto permite a los operadores y a analistas conocer el funcionamiento de esa parte en particular del software. El IDS debe instalarse bien de antemano en un sistema de desarrollo de instalación planeada en un sistema de la producción. Incluso en un sistema inmóvil, algunos archivos cambiarán regularmente (por ejemplo, el archivo de auditoría), así que el IDS informará algunos cambios. Algunos sistemas Servidordor-basado, como un ejemplo adicional, informarán cuando un proceso del usuario altera el archivo de contraseña de sistema. Esto pasaría si un intruso agregó una cuenta. También pasa, sin embargo, cuando un usuario cambia su o sus contraseñas. El analista de IDS necesita tiempo para familiarizarse con el funcionamiento correcto de cada sistema, para que él o ella puedan diagnosticar desviaciones propiamente de "normal" las alarmas.
Tenga presente, al usar un sistema servidor-basado que frecuentemente debe supervisarse. Esto significa un día dos veces, por lo menos. Si un atacador tiene superuser podra o tendrá la capacidad de acceder al sistema, él o ella puede alterar el IDS o el banco de datos de IDS a las alarmas del supress. Si el IDS escribe a un archivo, el atacante puede revisar el archivo del rendimiento simplemente. En otras palabras, siempre es sospechoso que algo puede haber alterado la configuración del IDS.
Configuración de Alarmas
IDSs vienen con niveles configurables de alarma. Algunos se integrarán con dirección de las estaciones de la red, algunos permiten compaginar, algunos envíar e-mail, y algunos pueden interoperar con firewalls para cerrar todo el tráfico de la red que originó el ataque.
Sea muy cauto sobre usar estos rasgos. De hecho, para el primer mes o segundos apague todas las alarmas. Sólo mire el rendimiento del sistema ver lo que está descubriendo. Todos los IDSs tienen, como discutió anteriormente, algún nivel de positivo falsos; ese nivel puede ser tan alto como 80 o 90 por ciento de alarmas informadas. Usted necesita estar familiarizado con su sistema particular antes de que usted empiece encendiendo alarmas.
Alarm misconfiguration, o over-aggresive responde a las alarmas, puede llevar a una decisión orgánica para apagar el IDS. Los locos de las computadoras saben que las instalaciones de IDS son supervisadas por humanos, y que los humanos tienen fracasos humanos. Ellos saben que si ellos activan alarma después de la alarma, las personas que supervisan el sistema dejarán de prestar atención.
Igualmente, si el IDS se configura para instruir el firewall para negar todo el tráfico "atacando" las redes, los locos de las computadoras pueden aprovecharse de esto fácilmente. Alguien motivó suficientemente o malévolo podría usar esto contra la organización por spoofing ataca a los compañeros del negocio de la organización o los sitios muy conocidos (Bestia, AltaVista, Amazona, CNN, Microsoft, el etc.) para que el firewall negara tráfico entrante de esos sitios, incluso el e-mail y tráfico de sitio web. Recuerde, el IDS no es la seguridad está ahorrando gracia, es sólo una herramienta (y uno bastante poco inteligente a eso).
Horario de la Integración
Instale un sensor en un momento. No se apresure la instalación para rodar fuera la capacidad de IDS en un palmo de tiempo corto. Toma una cierta cantidad de tiempo para los administradores y analistas ganar familiaridad con las peculiaridades de un sistema dado o punto de la red, y las peculiaridades no pueden ser el mismo del punto para apuntar. Un sensor en un DMZ puede ver un juego dado de conductas, mientras un sensor en la red interior puede ver otro juego de conductas, con una intersección muy pequeña.
Es crucialmente importante que el personal asignado para supervisar el IDS esté adecuadamente familiarizado con cada dispositivo en la configuración.
CAPITULO 6. EJEMPLOS
6.1 Elección de un IDS
La compañía la llamaremos X.com Inc.. El Internet ha permitido que la compañía establezca una variedad amplia de mercados, tales como educación en línea, de servicios Internet y de un surtido de programas de la difusión que permiten la comunicación de dos vías entre abastecedores, estudiantes y clientes. Cuando decidíamos desplegar las IDS, la meta fundamental era lograr una equilibrio razonable entre controlado, asegura el acceso y la alta disponibilidad. Otra meta era elegir un producto que no requeriría muchos de administración y de entrenamiento, en vista de la tamaño de nuestro departamento de IT., que es pequeño.
Consideraciones
Después de una filosofía de seguridad de varias capas, no deseamos una solución para nuestro sistema de la detección de intrusiones, sino algo varias capas de protección, comenzando con los riesgos asociados a servicios y a dispositivos de red. Deseamos la protección en el nivel de sistema y una herramienta para vigilar en tiempo real. Y finalmente, necesitamos poder atarlo todo junto con una solución robusta que podría obrar recíprocamente con los dispositivos existentes de la red, tales como nuestros firewalls y ruteador.
Después de que identificáramos algunos de los productos populares de las IDS, creamos una matriz que enumeraba cada nombre del producto, requisitos de la plataforma, la metodología de la detección (estadística o en tiempo real), la información del contacto y el coste. Además, creamos una lista de preguntas que deseamos contestar sobre cada producto:
• ¿Qué equipo especializado se requiere?
• Es un producto de red o es basado en host?
• Qué cantidad de ataques puede el producto detectar?
• Cómo y cada cuánto se hacen las actualizaciones?
• ¿es capaz de responder automáticamente a los ataques?
• Cuál es el precio?
• Qué tipo de infraestructura se debe crear para implementar y manejar el producto?
El paso de progresión siguiente era construir un diagrama de la red existente de X.com's para entender qué con que equipo se contaba: hosts, subnets, lruteadores, gateways y otros dispositivos de la red fueron situados en nuestra infraestructura. Esto nos dio una comprensión más clara de nuestra exposición y con tal que una buena referencia para el desarrollo de política. Con esta información a disposición, también podíamos estimar los costes que licenciaban de varias opciones de las IDS -- no una tarea fácil, puesto que algunas configuraciones se licencian según la segmentación de la red, otros por el número total de hosts.
Con estas preguntas preliminares en mente, seleccionamos cuatro productos para poner a través los pasos: RealSecure de los sistemas Internet de la seguridad (ISS) (www.iss.net), de NetRanger de la aplicación de la detección del Cisco Systems (www.cisco.com/netranger), de la intrusión de NFR del registrador de vuelo de la red (www.nfr.net) y de SessionWall-3 de AbirNet (www.sessionwall.com). Para cada uno de estos productos, el primer paso de progresión era leer a través de cualesquiera white papers y literatura del producto Entonces, solicitamos versiones del demo para ver el producto en la acción antes de hacer una consolidación financiera. A continuación se realizaron las pruebas pertinentes sobre los servidores, donde se detectaron los posibles problemas que se tenía. Una vez que se han probado todas las opciones se debe elegir por aquella que más se acople a nuestras necesidades en cuanto a la interfaz y la forma como detecta los intrusos.
6.2 Cisco Secure Intrusion Detection System (NetRanger)
A continuación presentamos un producto IDS. NetRanger, es u sistema de detección de intrusiones con las características de que es empresa-escala, tiempo real, diseñado para detectar, para señalar, y para terminar actividad no autorizada a través de una red. Es el primer sistema de la detección de intrusiones de la industria, el Cisco Secure Intrusion Detection System es el componente dinámico de seguridad de la línea de productos de Cisco.
El entorno de seguridad
El entorno en el que se desenvuelve el NetRanger se basa en una perspectiva operacional más bien que en productos independientes o políticas. Esta filosofía de la seguridad se refleja en la imagen de la rueda de la seguridad que se muestra a continuación. La premisa de esta filosofía es como la administración de la red, la administración de la seguridad es un proceso dinámico, los procesos cambian constantemente.
El entorno de la seguridad es cíclico para asegurar su buen funcionamiento y mejora la seguridad. El paradigma incorpora los cinco pasos de progresión siguientes:
• Desarrolla una política fuerte de seguridad
• Plantea una red segura
• Monitoreo de la red y responde a ataques
• Pruebas existentes para mantener la seguridad
• Maneja y mejora la seguridad corporativa
Los resultados o los datos obtenidos en los pasos de progresión 2 al 5 necesitan siempre ser comparados a la política de la seguridad desarrollada en el paso de progresión 1 para asegurarse de que se están resolviendo los objetivos de alto nivel de la seguridad.
El IDS de Cisco como Perímetro de la Defensa de la Detección de Intrsuiones
El sistema de entrada y salida (IOS) de un IDS y el de un Firewall, crean una estructura muy sólida, lo que se llama el perímetro de defensa de la detección de intrusiones. Porque Cisco IOS IDS contienen solamente un subconjunto de firmas encontradas en el sensor del NetRanger, no detectará todos los ataques, sino que combinado del control de acceso listas fuertes y un firewall, debe proporcionar a un servicio de seguridad bastante robusto.
Con esta información, usted debe ahora considerar la red que usted desea proteger. Determínese qué segmentos deben ser vigilados. Tenga presente que el componente del Cisco IOS IDS mantiene una política de seguridad configurada para el segmento que está vigilando. Éstos pueden ser estándares a través de la organización o únicos para cada dispositivo del sensor del IDS. Se puede considerar cambiar la topología de la red para forzar el tráfico a través de esta y vigilar un segmento dado de la red. Hay siempre compensaciones operacionales al pasar por este proceso. El resultado final debe ser una idea aproximada del número de los sensores del IDS requeridos para proteger la red deseada.
Componentes del Cisco Secure Intrusion Detection System
Los IDS seguras del Cisco son un sistema en tiempo real que incluye los sensores seguros de los IDS del Cisco, las aplicaciones cautelosas de la seguridad de la detección de la intrusión de la seguridad que actúan como los " succionadores" y el director de seguridad, una consola centralizada de administración. El director recoge datos entrantes del sensor, los traduce, y los presenta al personal de responsable de la seguridad en un interfaz. Los usuarios pueden tener acceso rápidamente a la información adicional sobre el tipo de ataque desde el Network Security Database (NSDB) del director. El director también permite que el personal de la seguridad maneje la configuración de sensores remotos. Y finalmente, el director puede manejar datos del sensor exportándola a las bases de datos emparentadas de tercera persona.
La información que se tiene en específico es:
El sensor. El sensor en una red es una aplicación de la red que combina alta confiabilidad con simplicidad de la instalación y del mantenimiento. Cada segmento de la red monitoreado requiere un sensor dedicado, incluyendo Internet, los Intranets, y las Extranets. La aplicación del sensor se optimiza para rangos de datos específicos y las interfaces, tales como Ethernet (10BaseT), Ethernet rápida (100BaseT), el Token Ring (4 y 16 Mbps), y el Fiber Distributed Data Interface (FDDI) (modo solo o dual). Utiliza un motor experto basado en reglas del sistema para destilar volúmenes grandes de tráfico de la red del IP en acontecimientos significativos de la seguridad. Ofrece una característica llamada "three-tiered" para la detección del ataque para establecer claramente la actividad no autorizada, incluyendo: nombre los ataques, la categoría general de los ataques, y los ataques extraordinarios. El sensor puede también monitorear los syslogs de un ruteador para las violaciones de la política de seguridad, registra los datos de la seguridad, " mata " a las sesiones activas del TCP, y maneja dinámicamente las listas del control de acceso de una ruteador para evitar a intrusos
El director. Proporciona una interfaz gráfica que proporciona a la administración local, centralizada o distribuida hasta centenares de sensores a través de una red distribuida. El director fue desarrollado para proporcionar a una operación amigable, interfaz point and click para la respuesta constante a los acontecimientos de la seguridad. Puede también realizar otras funciones importantes: manejo de datos a través de las herramientas de tercera persona, tenga acceso a una base de datos de la seguridad de la red, remotamente pueda monitorear y manejar los sensores, y envíe la información del acontecimiento a un sistema de perturbación, a una página o a un e-mail al personal de alerta de la seguridad cuando ocurren eventos sobre seguridad.
Post Office. Es la configuración de las comunicaciones que proporciona robustas, confiables, y eficientes comunicaciones entre los Cisco Sensor y Director. Toda la comunicación es utilizada por un protocolo propietario, el protocolo es conectionless que pueda cambiar entre las rutas alternativas para mantener la comunicación punto a punto.
La relación que se da entre los componentes se ilustran a continuación
Arquitectura del Cisco Secure Intrusion Detection System
Los sensores, los directores, y el correos cada uno tienen componentes operacionales separados, llamados los demonios o servicios. Porque cada función es lograda por un servicio separado, los resultados son un sistema de seguridad que es rápido, durable, y escalable.
Los servicios que se muestran en la figura siguiente son:
Sensor/packetd. Estos servicios proporcionan la detección de intrusiones. El sensord se utilizan cuando un sensor está cooperando con un dispositivo de la red que utilice las funciones de copy_to/log_to (que envía las copias de paquetes capturados al sensor); se utiliza el packetd cuando el sensor en sí mismo está capturando los paquetes directamente de la red.
El servicio de Loggerd. Es el recurso de registro de las IDS. Es responsable de error de la escritura, de comando, y alarma de entradas a archivos log en el sensor.
Sapd. Este servicio proporciona a datos y a la administración de archivos. Es responsable de mover archivos log a las áreas del respaldo de la base de datos, a los archivos off-line, y a otros procesos de la rutina para evitar que los sistemas de archivos no se puedan guardar adecuadamente.
El servicio de Postofficed. Maneja la comunicación entre los servicios seguros de los IDS del Cisco y los nodos seguros de los IDS del Cisco. Según lo ilustrado en la figura, cuando el sensord detecta actividad desautorizada, señala postofficed; postofficed es entonces responsable de decir loggerd para comenzar a registrar, alertando el smid en el director, y ordenar la comunicación a un ruteador si el ataque va a ser evitado.
El servicio de smid. Se ejecuta en el director solamente, y es responsable de traducir datos del sensor en la información significativa para el nrdirmap.
El servicio de nrdirmap. Es responsable de visualizar los varios símbolos que representan las máquinas, las colecciones de máquinas, las aplicaciones, los alarmar, y los errores en el interfaz gráfico del director.
El servicio de eventd. Es responsable de mantener procesos definidos por el usuario de la notificación del acontecimiento. Los utilizadores pueden definir qué clases de alarmas o de otros acontecimientos lanzan una acción, generalmente un e-mail o una notificación de página.
El servicio de configd. Este proporciona un mecanismo a través del cual el nrdirmap pueda interconectar con otros servicios postofficed, sensord, y manejó. Es decir los comandos en el interfaz gráfico se pueden ejecutar vía el servicio subyacente del config.

CLASIFICACIÓN DE LOS INTRUSOS EN LAS REDES

Hackers

Los hackers son intrusos que se dedican a estas tareas como pasatiempo y como reto técnico:

entran en los sistemas informáticos para demostrar y poner a prueba su inteligencia y conocimientos de los entresijos de internet, pero no pretenden provocar daños en estos sistemas.

Sin embargo, hay que tener en cuenta que pueden tener acceso a información confidencial, por lo que su actividad está siendo considerada como un delito en bastantes países de nuestro entorno.

En la actualidad muchos “hackers” defienden sus actuaciones alegando que no persiguen provocar daños en los sistemas y redes informáticas, ya que sólo pretenden mejorar y poner a prueba sus conocimientos. Sin embargo, el acceso no autorizado a un sistema informático se considera por sí mismo un delito en muchos países, puesto que aunque no se produzca ningún daño, se podría revelar información confidencial.

Por otra parte, la actividad de un “hacker” podría provocar otros daños en el sistema: dejar “puertas traseras” que podrían ser aprovechadas por otros usuarios maliciosos, ralentizar su normal

funcionamiento, etcétera. Además, la organización debe dedicar tiempo y recursos para detectar y recuperar los sistemas que han sido comprometidos por un “hacker”.

Crackers (“blackhats”)

Los crackers son individuos con interés en atacar un sistema informático para obtener beneficios de forma ilegal o, simplemente, para provocar algún daño a la organización propietaria del sistema, motivados por intereses económicos, políticos, religiosos, etcétera.

A principios de los años setenta comienzan a producirse los primeros casos de delitos informáticos,

provocados por empleados que conseguían acceder a los ordenadores de sus empresas para modificar sus datos: registros de ventas, nóminas…

sniffers

Los sniffers son individuos que se dedican a rastrear y tratar de recomponer y descifrar los mensajes que circulan por redes de ordenadores como Internet.

Phreakers

Los phreakers son intrusos especializados en sabotear las redes telefónicas para poder realizar llamadas gratuitas. Los phreakers desarrollaron las famosas “cajas azules”, que podían emitir distintos tonos en las frecuencias utilizadas por las operadoras para la señalización interna de sus redes, cuando éstas todavía eran analógicas.

Spammers

Los spammers son los responsables del envío masivo de miles de mensajes de correo

electrónico no solicitados a través de redes como Internet, provocando el colapso de los servidoresy la sobrecarga de los buzones de correo de los usuarios.

Además, muchos de estos mensajes de correo no solicitados pueden contener código dañino (virus informáticos) o forman parte de intentos de estafa realizados a través de Internet (los famosos casos de “phishing”).

Piratas informáticos

Los piratas informáticos son los individuos especializados en el pirateo de programas y contenidos digitales, infringiendo la legislación sobre propiedad intelectual.

Creadores de virus y programas dañinos

Se trata de expertos informáticos que pretenden demostrar sus conocimientos construyendo virus y otros programas dañinos, que distribuyen hoy en día a través de Internet para conseguir una propagación exponencial y alcanzar así una mayor notoriedad.

En estos últimos años, además, han refinado sus técnicas para desarrollar virus con una

clara actividad delictiva, ya que los utilizan para obtener datos sensibles de sus víctimas (como los números de cuentas bancarias y de las tarjetas de credito, por ejemplo) que posteriormenteemplearán para cometer estafas y operaciones fraudulentas.

Lamers (“wannabes”): “Scriptkiddies”o “Click-kiddies”

Los “lamers”, también conocidos por “script kiddies” o “click kiddies” , son aquellas personas que han obtenido determinados programas o herramientas para realizar ataques informáticos (descargándolos generalmente desde algún servidor de Internet) y que los utilizan sin tener conocimientos técnicos de cómo funcionan.

A pesar de sus limitados conocimientos, son los responsables de la mayoría de los ataques que se producen en la actualidad, debido a la disponibilidad de abundante documentación técnica y de herramientas informáticas que se pueden descargar fácilmente de Internet, y que pueden ser utilizadas por personas sin conocimientos técnicos para lanzar distintos tipos de ataques contra redes y sistemas informáticos.

DETECCION DE VULNERABILIDADES

Fortigate

El FortiGate Antivirus y Firewall perimetral, desarrollado por Fortinet, es la primera gama de aplicaciones de alto rendimiento para la protección de redes en tiempo real. Se trata de plataformas que combinan hardware y software para ofrecer antivirus, filtrado de contenidos web y de email, firewall de inspección detallada, IPSec VPN, detección y prevención de intrusiones y funciones de perfilado de tráfico (QoS). Asimismo, FortiGate detecta y elimina las amenazas que provienen de los contenidos email, spam y del tráfico web en tiempo real, todo ello sin reducir el rendimiento de la red.

Las plataformas desarrolladas por Fortinet, único proveedor de sistemas Firewall - Antivirus basados en tecnología ASIC (Application-Specific Integrated Circuit) para la protección de redes en tiempo real, y comercializadas por NET, rompen el límite del procesamiento de contenidos, gracias a su capacidad para procesar la gran cantidad de datos necesarios para analizar contenidos de red en tiempo real. De este modo, pone fin a la vulnerabilidad de las redes y proporciona una completa serie de servicios a nivel de aplicación y red en un mismo dispositivo que se sitúa en el extremo de la red, lo que elimina muchas de las limitaciones impuestas por el uso de múltiples dispositivos.

Al integrar todas las capacidades, estas soluciones reducen los costos de equipamiento, así como los requisitos de administración y mantenimiento, ya que con una actualización única y automática de la plataforma se protege a toda una empresa de nuevos ataques con el último software antivirus. Los 13 modelos de FortiGate están dirigidos a cubrir tanto las necesidades de pequeñas empresas, oficinas remotas, delegaciones hasta proveedores de servicios (Carrier), ofreciendo un throughput de hasta 20 Gbps. Así, los modelos FortiGate 50B, FG-60B, FGWifi-60 y FG-100A están destinados al mercado SOHO, FG-100B, FG200A y FG300A se dirigen a medianas y pequeñas empresas (PyME), FG400, FG500, FG800 y FG1000 al segmento corporativo y FG300 y FG3600 se orientan a grandes corporaciones y proveedores de servicios.

FortiAnalyzer

FortiAnalyzer™ es un sistema de logeo, analizador y de reporte de redes en tiempo real de forma segura, agregan y analizan la información logeada desde los dispositivos de seguridad FortiGate, permitiendote cumplir con las regulaciones gubernamentales, relacionadas con privacidad.

Reportes de almacenamiento de registro de usuarios, reportes e historial

La familia FortiAnalyzer™ de sistemas de logeo, analizadores y reporte de red en tiempo real es una serie de soluciones de hardware dedicadas que, de forma segura, agregan y analizan la información logeada desde los dispositivos de seguridad FortiGate.

Los sistemas proveen a los administradores de red una visión del uso de la red más sencilla del estado de la seguridad de la información en su organización, apoyando las necesidades de descubrir nuevas formas y puntos de ataque y amenaza para los sistemas implementados.

Los dispositivos FortiAnalyzer minimizan el esfuerzo requerido para monitorear y mantener políticas de uso aceptables, para identificar patrones de ataques y procesar al atacante y cumplir con las regulaciones gubernamentales relativo a la privacidad y descubrimiento de brechas de seguridad.

Estos aceptan y procesan una gran cantidad de registros log proporcionados porlos sistemas FortiGate, incluyendo datos de tráfico, eventos, virus, ataque, filtradode contenidos y filtrado de coreo electrónico.

FortiAnalyzer también proporciona funciones de administración de seguridad avanzadas tal como archivos de cuarentena, correlación de eventos, valoraciones de vulnerabilidad, análisis del tráfico y archivos de contenidos.

Se pueden obtener estadísticas por, entre otros, los siguientes conceptos:

Red:

Actividad de red
Actividad de mensajería instantánea
Actividad de e-mail
Actividad VPN

Antivirus:

Por hora
Por virus

Intrusión:

Ataques por hora
Por origen
Por destino

Filtro web:

Actividad bloqueada
Actividad por clientes

Gráfico de datos de tráfico entrante y saliente por tramos horarios

FortiWeb

Las soluciones Fortinet le ofrecen la mayor seguridad y rendimiento, tanto si busca una sola plataforma para gestión unificada de las amenazas como si busca una solución dedicada para proteger ámbitos específicos, como web, mensajería o tráfico de bases de datos. Fortinet ofrece soluciones de seguridad de red que abordan las necesidades más críticas a que se enfrentan organizaciones de cualquier tamaño, incluidas empresas globales, operadoras y proveedores de servicios.

Para ofrecer una seguridad sólida sin penalizar el rendimiento, las soluciones de Fortinet aprovechan grandes avances en diseño de chips, redes, seguridad y análisis de reconocimiento de pautas de contenido. Su exclusiva arquitectura, basada en ASIC, analiza el contenido y comportamiento de red en tiempo real, permitiendo filtrar en tiempo real todos los servicios clave de red - incluidas aplicaciones web - tanto respecto de las amenazas de red como de contenidos, sin que ello afecte al rendimiento.

El planteamiento integrado de Fortinet permite reducir costes y simplificar la infraestructura de red consolidando las soluciones de seguridad.

Protección para aplicaciones web

La familia FortiWeb de firewall para aplicaciones web brinda protección especializada multicapa contra las amenazas a que se ven expuestas empresas de todos los tamaños, proveedores de servicios de aplicaciones y proveedores SaaS. Gracias a la

combinación de capacidades de cortafuegos tanto para aplicaciones web como XML en una sola plataforma, FortiWeb permite a las empresas protegerse de los ataques al nivel de aplicación dirigidos contra la infraestructura de las aplicaciones y los servicios web.

El cortafuegos integrado de aplicaciones web y XML FortiWeb protege las aplicaciones web y los datos en Internet frente a los ataques y la pérdida de datos. Mediante el empleo de técnicas avanzadas para ofrecer protección bidireccional contra las amenazas más sofisticadas - como inyección de SQL y scripting entre sitios - las plataformas FortiWeb previenen el robo de identidades, el fraude financiero y el espionaje industrial.

Medición del cumplimiento de políticas

FortiWeb hace posible la medicion de cumplimiento de políticas, como el marco regulatorio de la Norma de la Seguridad de los Datos de la Industria de las Tarjetas de Pago (DSS de la PCI), a través de herramientas de informes adaptables y preconfiguradas. FortiWeb ofrece la tecnología necesaria para supervisar y hacer cumplir las regulaciones públicas, así como las mejores prácticas de la industria y las políticas internas.

La familia FortiWeb reduce drásticamente el tiempo necesario para proteger los datos sujetos a regulación presentes en Internet y facilita afrontar los desafíos asociados con la aplicación de políticas y el cumplimiento de las normativas. Estos dispositivos cuentan además con un motor inteligente de balanceo de carga que permite distribuir el tráfico y redirigir los contenidos entre múltiples servidores web. Esta funcionalidad incrementa el rendimiento de las aplicaciones, mejora la utilización de recursos y la estabilidad de las aplicaciones a la vez que reduce los tiempos de respuesta de los servidores.

Aceleración de despliegue y reducción de costes

FortiWeb reduce significativamente los costes de despliegue al consolidar los cortafuegos de aplicaciones web, los filtros de XML, la aceleración del tráfico web y el balanceo de tráfico de las aplicaciones en un solo dispositivo sin precios por usuario. Se trata de una plataforma de seguridad de aplicaciones integrada y económica para cualquier empresa mediana o grande.

Características	Ventajas
Modos de despliegue de proxy inverso en línea, transparente y fuera de líne	Despliegue FortiWeb en las redes existentes sin necesidad de rediseñarlas o de cambiar la infraestructura de las aplicaciones web y de la red
Perfiles de Autoaprendizaje automático	Descubra la estructura y pautas de uso de las aplicaciones web que suprimen la necesidad de configurar manualmente políticas de acceso y perfiles de seguridad
Escáner de vulnerabilidades We	Examina las aplicaciones web para detectar vulnerabilidades existentes, complementando el cortafuegos de aplicaciones web a efectos de la sección 6.6 de DSS de PC
Prevención de fugas de datos	Analiza todo el tráfico saliente y alerta/bloquea cualquier fuga de tarjetas de crédito y difusión de información
PCI DS	Ayuda a las organizaciones a cumplir los requisitos de PCI proporcionando una solución completa para la protección de las aplicaciones web

FortiDB

FortiDB es una de las soluciones más completas para la protección de bases de datos y aplicaciones relacionadas, tales como ERP, CRM, SCM o aplicaciones desarrolladas por las propias organizaciones. FortiDB completa los siguientes requerimientos:

Administración de Vulnerabilidades:

Descubre bases de datos, realiza escaneos periodicos o bajo demanda en busca de vulnerabilidades en dichas bases y emite posibles soluciones ante los problemas o riesgos encontrados

Database Activity Monitoring (DAM - Monitoreo de Actividad en Base de Datos)

Identifica actividad sospechosa originada por el acceso de usuarios o aplicaciones con privilegios elevados, emite alertas y reportes apuntando a posibles intentos de robo de información

Data Loss Prevention

Continuamene se monitorean todos los accesos a registros designados como Datos de Información Personal almacenados en las bases de datos

Automatización de Auditoría y Cumplimiento de Normas

Automatiza las tareas de emisión de reportes orientados al cumplimiento de normas como SOX, PCI y regulaciones similares, también se pueden definir reportes especiales de acuerdo a las necesidades de cada organización.

PRINCIPALES TAREAS DE UN ADMUNISTRADOR DE RED

Los términos administrador de red, especialista de red y analista de red se designan a aquellas posiciones laborales en las que los ingenieros se ven involucrados en redes de computadoras, o sea, las personas que se encargan de la administración de la red.

Los administradores de red son básicamente el equivalente de red de los administradores de sistemas: mantienen el hardware y software de la red.

Esto incluye el despliegue, mantenimiento y monitoreo del engranaje de la red: switches, routers, cortafuegos, etc. Las actividades de administración de una red por lo general incluyen la asignación de direcciones, asignación de protocolos de ruteo y configuración de tablas de ruteo así como, configuración de autenticación y autorización de los servicios.

Frecuentemente se incluyen algunas otras actividades como el mantenimiento de las instalaciones de red tales como los controladores y ajustes de las computadoras e impresoras. A veces también se incluye el mantenimiento de algunos tipos de servidores como VPN, sistemas detectores de intrusos, etc.

Los analistas y especialistas de red se concentran en el diseño y seguridad de la red, particularmente en la Resolución de problemas o depuración de problemas relacionados con la red. Su trabajo también incluye el mantenimiento de la infraestructura de autorización a la red.

Funciones

Algunas funciones de administración de red incluyen:

proporcionar servicios de soporte
asegurarse de que la red sea utilizada eficientemente, y
asegurarse que los objetivos de calidad de servicio se alcancen

Un administrador de red sirve a los usuarios: crea espacios de comunicación, atiende sugerencias; mantiene las herramientas y el espacio requerido por cada usuario, a tiempo y de buena forma (piense si usted fuera usuario como le gustaría que fuera el administrador); mantiene en buen estado el hardware y el software de los computadores y la(s) red(es) a su cargo; mantiene documentación que describe la red, el hardware y el software que administra; respeta la privacidad de los usuarios y promueve el buen uso de los recursos. A cambio de tantas responsabilidades la recompensa es el buen funcionamiento de la red como un medio que vincula personas y de los computadores y programas como herramientas para agilizar algunas labores que dan tiempo y dar tiempo para realizar otras.

Encargado del buen funcionamiento de los sistemas, servidores y recursos de red existentes..

El administrador de red debe conocer las reglas de la guerra root de las máquinas que administra. Desde esa cuenta puede configurar servicios y establecer políticas que afectarán a todos los usuarios. Algunas de las labores que sólo pueden hacerse desde esta cuenta son:

Nombre de la cuenta que permite administrar un sistema Linux.
Apagar el equipo (aunque por defecto en Debian esta operación la puede realizar cualquier usuario).
Configurar los programas que se inician junto con el sistema.
Administrar cuentas de usuarios.
Administrar los programas y la documentación instalada.
Configurar los programas y los dispositivos.
Configurar la zona geográfica, fecha y hora.
Administrar espacio en discos y mantener copias de respaldo.
Configurar servicios que funcionarán en red.
Solucionar problemas con dispositivos o programas. Labor que resulta en ocasiones la más dispendiosa, pero que se facilitará entre más aprenda del sistema y la red a su cargo.

La Administración de Redes es un conjunto de técnicas tendientes a mantener una red operativa, eficiente, segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada.

Sus objetivos son:

Mejorar la continuidad en la operación de la red con mecanismos adecuados de control y monitoreo, de resolución de problemas y de suministro de recursos.

Hacer uso eficiente de la red y utilizar mejor los recursos, como por ejemplo, el ancho de banda.

Reducir costos por medio del control de gastos y de mejores mecanismos de cobro.

Hacer la red mas segura, protegiéndola contra el acceso no autorizado, haciendo imposible que personas ajenas puedan entender la información que circula en ella.

Controlar cambios y actualizaciones en la red de modo que ocasionen las menos interrupciones posibles, en el servicio a los usuarios.

La administración de la red se vuelve más importante y difícil si se considera que las redes actuales comprendan lo siguiente:

Mezclas de diversas señales, como voz, datos, imagen y gráficas.

Interconexiónde varios tipos de redes, como WAN, LAN y MAN.

El uso de múltiples medios de comunicación, como par trenzado, cable coaxial, fibra óptica, satélite, láser, infrarrojo y microondas.

Diversos protocolos de comunicación, incluyendo TCP/IP, SPX/IPX, SNA, OSI.

El empleo de muchos sistemas operativos, como DOS, Netware, Windows NT, UNÍS, OS/2.

Diversas arquitecturas de red, incluyendo Ethernet 10 base T, Fast Ethernet, Token Ring, FDDI, 100vg-Any Lan y Fiber channel.

Varios métodos de compresión, códigos de línea, etc...

El sistema de administración de red opera bajo los siguientes pasos básicos:

1.- Colección de información acerca del estado de la red y componentes del sistema. La información recolectada de los recursos debe incluir: eventos, atributos y acciones operativas.

2.- Transformación de la información para presentarla en formatos apropiados para el entendimiento del administrador.

3.- Transportación de la información del equipo monitoreado al centro de control.

4.- Almacenamiento de los datos coleccionados en el centro de control.

5.- Análisis de parámetros para obtener conclusiones que permitan deducir rápidamente lo que pasa en la red.

6.- Actuación para generar acciones rápidas y automáticas en respuesta a una falla mayor.

La característica fundamental de un sistemas de administración de red moderno es la de ser un sistema abierto, capaz de manejar varios protocolos y lidiar con varias arquitecturas de red. Esto quiere decir: soporte para los protocolos de red más importantes.

ELEMENTOS INVOLUCRADOS EN LA ADMINISTRACIÓN DE RED SON:

 Objetos: son los elementos de más bajo nivel y constituyen los aparatos administrados.

 Agentes: un programa o conjunto de programas que colecciona información de administración del sistema en un nodo o elemento de la red. El agente genera el grado de administración apropiado para ese nivel y transmite información al administrador central de la red acerca de:

Notifiación de problemas.

Datos de diagnóstico.

Identificador del nodo.

Características del nodo.

 Administrador del sistema: Es un conjunto de programas ubicados en un punto central al cual se dirigen los mensajes que requieren acción o que contienen información solicitada por el administrador al agente.

OPERACIONES DE LA ADMINISTRACIÓN DE RED.

Las operaciones principales de un sistema de administración de red son las siguientes:

Administración de fallas.

La administración de fallas maneja las condiciones de error en todos los componentes de la red, en las siguientes fases:

 Detección de fallas.

 Diagnóstico del problema.

 Darle la vuelta al problema y recuperación.

 Resolución.

 Seguimiento y control.

Control de fallas.

Esta operación tiene que ver con la configuración de la red (incluye dar de alta, baja y reconfigurar la red) y con el monitoreo continuo de todos sus elementos.

Administración de cambios.

La administración de cambios comprende la planeación, la programación de eventos e instalación.

Administración del comportamiento.

Tiene como objetivo asegurar el funcionamiento óptimo de la red, lo que incluye: El número de paquetes que se transmiten por segundo, tiempos pequeños de respuesta y disponibilidad de la red.

Servicios de contabilidad.

Este servicio provee datos concernientes al cargo por uso de la red. Entre los datos proporcionados están los siguientes:

Tiempo de conexión y terminación.

Número de mensajes transmitidos y recibidos.

Nombre del punto de acceso al servicio.

Razón por la que terminó la conexión.

Control de Inventarios.

Se debe llevar un registro de los nuevos componentes que se incorporen a la red, de los movimientos que se hagan y de los cambios que se lleven a cabo.

Seguridad.

La estructura administrativa de la red debe proveer mecanismos de seguridad apropiados para lo siguiente:

Identificación y autentificación del usuario, una clave de acceso y un password.

Autorización de acceso a los recursos, es decir, solo personal autorizado.

Confidencialidad. Para asegurar la confidencialidad en el medio de comunicación y en los medios de almacenamiento, se utilizan medios de criptografía, tanto simétrica como asimétrica.

Un administrador de redes en general, se encarga principalmente de asegurar la correcta operación de la red, tomando acciones remotas o localmente. Se encarga de administrar cualquier equipo de telecomunicaciones de voz, datos y video, así como de administración remota de fallas, configuración rendimiento, seguridad e inventarios.

Llave privada.

En éste método los datos del transmisor se transforman por medio e un algoritmo público de criptografía con una llave binaria numérica privada solo conocida por el transmisor y por el receptor. El algoritmo más conocido de este tipo es el DES (Data Encription Standard).

El algoritmo opera así:

Mensaje Mensaje Mensaje RX

TX Algoritmo de Algoritmo de

Encriptado desencriptado

Encriptado

Llave privada

Generador de llave

FUNCIONES DE ADMINISTRACIÓN DEFINIDAS POR OSI.

OSI define las cinco funciones de administración básicas siguientes:

Configuración

Fallas

Contabilidad

Comportamiento

Seguridad.

La configuración comprende las funciones de monitoreo y mantenimiento del estado de la red.

La función de fallas incluye la detección, el aislamiento y la corrección de fallas en la red.

La función de contabilidad permite el establecimiento de cargos a usuarios por uso de los recursos de la red.

La función de comportamiento mantiene el comportamiento de la red en niveles aceptables.

La función de seguridad provee mecanismos para autorización, control de acceso, confidencialidad y manejo de claves.

El modelo OSI incluye cinco componentes claves en la administración de red:

CMIS: Common Management Information Services. Éste es el servicio para la colección y transmisión de información de administración de red a las entidades de red que lo soliciten.

CMIP: Common Management Information Protocol. Es el protocolo de OSI que soporta a CMIS, y proporcionael servicio de petición/respuesta que hace posible el intercambio de información de administración de red entre aplicaciones.

SMIS: Specific Management Information Services. Define los servicios específicos de administración de red que se va a instalar, como configuración, fallas, contabilidad, comportamiento y seguridad.

MIB: Management Information Base. Define un modelo conceptual de la información requerida para tomar decisiones de administración de red. La información en el MIB incluye: número de paquetes transmitidos, número de conexiones intentadas, datos de contabilidad, etc...

Servicios de Directorio: Define las funciones necesarias para administrar la información nombrada, como la asociación entre nombres lógicos y direcciones físicas.

PROTOCOLO DE ADMINISTRACIÓN DE RED TCP/IP.

El sistema de administración de red de TCP/IP se basa en el protocolo SNMP (Simple Network Management Protocol), que ha llegado a ser un estándar de ipso en la industria de comunicación de datos para la administración de redes de computadora, ya que ha sido instalado por múltiples fabricantes de puentes, repetidores, ruteadores, servidores y otros componentes de red.

Para facilitar la transición de SNMP a CMOT (Common Management Information Services and Protocol Over TCP/IP), los dos protocolos emplean la misma base de administración de objetos MIB (Management information Base).

Para hacer mas eficiente la administración de la red, la comunidad de TCP/IP divide las actividades en dos partes:

 Monitoreo, o proceso de observar el comportamiento de la red y de sus componentes, para detectar problemas y mejorar su funcionamiento.

 Control, o proceso de cambiar el comportamiento de la red en tiempo real ajustando parámetros, mientras la red está en operación, para mejorar el funcionamiento y repara fallas.

ESQUEMA DE ADMINISTRACIÓN.

Como se observa, el agente y la MIB residen dentro del aparato que es monitoreado y controlado. La estación administradora contiene software que opera los protocolos usados para intercambiar datos con los agentes, y software de aplicación de administración de red que provee la interfaz de usuario para a fin de habilitar a un operador para saber el estado de la red , analizar los datos recopilados e invocar funciones de administración.

ESTACION DE ADMINISTRACIÓN DE RED.

AGENTE DEL SISTEMA ADMINISTRADO.

MIB

(Aparato administrado)

El administrador de red controla un elemento de red pidiendo al agente del elemento que actualice los parámetros de configuración y que le de un informe sobre el estado de la MIB. El agente intercambia mensajes con el administrador de la red con el protocolo SNMP. Cualquier elemento que participe en la red puede ser administrado, incluidos host, ruteadores, concentradores, puentes, multiplexores, módems, switches de datos, etc... Cuando el aparato controlado no soporta SNMP, se usa un agente Proxy. El agente Proxy actúa como un intermediario entre la aplicación de administración de red y el aparato no soporta SNMP.

Administración de un aparato que no soporta SMMP:

Estación de AGENTE Aparato

Administración SNMP PROXY Monitorea (no soporta SNMP)

Y configura

MIB el aparato.

Para el aparato

MENSAJES SNMP:

El administrador de red de la estación de control y los agentes instalados en los aparatos manejados se comunican enviando mensajes SNMP. Sólo hay 5 mensajes:

Get request: Contiene una lista de variables que el administrador desea leer de una MIB; es decir, el administrador pregunta a un agente sobre el estado de un objeto.

Get Next request: Este comando provee un modo de leer secuencialmente una MIB.

Set request: El administrador usa este comando para ordenar un cambio en el valor de una o más variables.

Get response: El agente envía este mensaje como réplica a un mensaje de Get request, Get next request o Set request.

Trap: El agente usa este mensaje para informar que ha ocurrido un hecho significativo:

falla de un enlace local.

otra vez funciona el enlace.

mensaje recibido con autentificación incorrecta.

Un mensaje SNMP debe estar totalmente contenido en un datagrama IP, el cuál por omisión, es de 576 bytes, por lo que su tamaño puede llegar a ser de hasta 484 bytes.

TIPOS DE DATOS DE SNMP.

SNMP maneja los siguientes tipos de datos:

Enteros: Para expresar, por ejemplo, el MTU (Maximum Transfer Unit).

Dirección IP: Se expresa como cuatro bytes. Recuérdese que cada elemento de red se configura con al menos una dirección IP.

Dirección física: Se expresa como una cadena de octetos de longitud adecuada; por ejemplo, para una red Ethernet o Token Ring, la dirección física es de 6 octetos.

Contador: Es un entero no negativo de 32 bits, se usa para medir, por ejemplo, el número de mensajes recibidos.

Tabla: es una secuencia de listas.

Cadena de Octetos: Puede tener un valor de 0 a 255 y se usa para identificar una comunidad.

BASE DE DATOS DE ADMINISTRACIÓN: MIB.

La MIB define los objetos de la red operados por el protocolo de administración de red, y las operaciones que pueden aplicarse a cada objeto. Una variable u objeto MIB se define especificando la sintaxis, el acceso, el estado y la descripción de la misma. La MIB no incluye información de administración para aplicaciones como Telnet, FTP o SMTP, debido que es difícil para las compañías fabricantes instrumentar aplicaciones de este tipo para el MIB.

Sintaxis: Especifica el tipo de datos de la variable, entero, cadena dirección IP, etc...

Acceso: Especifica el nivel de permiso como: Leer, leer y escribir, escribir, no accesible.

Estado: Define si la variable es obligatoria u opcional.

Descripción: Describe textualmente a la variable.

La MBI-1 define solo 126 objetos de administración, divididos en los siguientes grupos:

Grupo de Sistemas.

Se usa para registrar información del sistema el cual corre la familia de protocolos, por ejemplo:

Compañía fabricante del sistema.

Revisión del Software.

Tiempo que el sistema ha estado operando.

Grupo de Interfaces.

Registra la información genérica acerca de cada interface de red, como el número de mensajes erróneos en la entrada y salida, el número de paquetes transmitidos y recibidos, el número de paquetes de broadcast enviados, MTU del aparato, etc...

Grupo de traducción de dirección.

Comprende las relaciones entre direcciones IP y direcciones específicas de la red que deben soportar, como la tabla ARP, que relaciona direcciones IP con direcciones físicas de la red LAN.

Grupo IP.

Almacena información propia de la capa IP, como datagramas transmitidos y recibidos, conteo de datagramas erróneos, etc... También contiene información de variables de control que permite aplicaciones remotas puedan ajustar el TTL (Time To Live) de omisión de IP y manipular las tablas de ruteo de IP.

Grupo TCP

Este grupo incluye información propia del protocolo TCP, como estadísticas del número de segmentos transmitidos y recibidos, información acerca de conexiones activas como dirección IP, puerto o estado actual.

Grupo de ICMP y UDP.

Mismo que el grupo IP y TCP.

Grupo EGP.

En este grupo se requieren sistemas(ruteadores) que soporten EGP.

MIB-II.

La MIB -II pretende extender los datos de administración de red empleados en redes Ethernet y Wan usando ruteadores a una orientación enfocada a múltiples medios de administración en redes Lan y Wan. Además agrega dos grupos más:

Grupo de Transmisión.

Grupo que soporta múltiples tipos de medios de comunicación, como cable coaxial, cable UTP, cable de fibra óptica y sistemas TI/EI.

Grupo SNMP.

Incluye estadísticas sobre tráfico de red SNMP.

Cabe señalar que un elemento de red, solo necesita soportar los grupos que tienen sentido para él.

SEGURIDAD.

En redes de computadoras, como en otros sistemas, su propósito es de reducir riesgos a un nivel aceptable, con medidas apropiadas. La seguridad comprende los tópicos siguientes:

 Identificación: (ID) es la habilidad de saber quién es el usuario que solicita hacer uso del servicio.

 Autentificación: Es la habilidad de probar que alguien es quien dice ser; prueba de identidad. Por ejemplo un password secreto que solo el usuario debe conocer.

 Control de Acceso: una vez que se sabe y se puede probar que un usuario es quien es, es sistema decide lo que le permite hacer.

 Confidencialidad: Es la protección de la información para que no pueda ser vista ni entendida por personal no autorizado.

 Integridad: Es la cualidad que asegura que el mensaje es seguro, que no ha sido alterado. La integridad provee la detección del uso no autorizado de la información y de la red.

 No repudiación: La no repudiación es la prevención de la negación de que un mensaje ha sido enviado o recibido y asegura que el enviador del mensaje no pueda negar que lo envió o que el receptor niegue haberlo recibido. La propiedad de no repudiación de un sistema de seguridad de redes de cómputo se basa en el uso de firmas digitales.

FIRMA DIGITAL.

Es un método para verificar el origen y el contenido de un documento electrónico. Se basa en la idea que si el texto de un documento se procesa con un algoritmo de encripción, luego cualquier cambio en el documento original causará un cambio en la salida del proceso de encripción, el cual será fácilmente detectado. El mecanismo de encripción se llama algoritmo Hash, y la salida del proceso se denomina compendio. La creación del compendio del mensaje cuya llave solo es conocida para el enviador se llama firma digital.

La función del Hash se basa en el algoritmo de encripción de DES. Si se desea mantener secreto el mensaje original, puede encriptarse con una llave privada. Generalmente no se usa una llave pública porque este método es más lento que el método de encripción DES.

Cibergrafia

- See more at: http://www.safenet-inc.es/data-protection/network-security/#sthash.KlK7SW5Q.dpuf

http://www.safenet-inc.es/data-protection/network-security/

http://www.cisco.com/web/ES/solutions/es/information_security/index.html

http://documentacion.nexun.org/mediawiki/index.php/3._Seguridad_en_redes_cableadas

http://mistock.lcompras.biz/index.php?option=com_content&view=article&id=3482:lexyac2011-spam-y-ejemplos-de-filtros-antispam&catid=38:compiladors&Itemid=61

http://recursostic.educacion.es/observatorio/web/es/software/software-general/1040-introduccion-a-la-seguridad-informatica?showall=1

http://es.wikipedia.org/wiki/Administrador_de_red

http://www.infosecuritymag.com/newsletter/

http://www.guardiacivil.org/kio/seg/sld001.htm

http://www.idsdetection.com/

www.icsa.net

http://www.cisco.com/warp/public/cc/cisco/mkt/security/nranger/index.shtml.

http://www.finanzas.com/noticias/empleo/20140731/seguridad-social-crea-nuevos-2726202.html

http://www-935.ibm.com/services/co/es/it-services/servicios-para-la-seguridad-de-los-datos.htm

www.microsoft.com/es-xl/security/resources/antivirus-whatis.aspx

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-host.html

http://windows.microsoft.com/es-co/windows/what-is-firewall#1TC=windows-7

http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)

http://es.wikipedia.org/wiki/Antispam

http://www.ehowenespanol.com/ejemplos-contrafuegos-fisicos-sobre_50074/

http://www.segu-info.com.ar/proteccion/deteccion.htm

http://bscsa.info/index.php?option=com_content&view=article&id=99&Itemid=138

jueves, 31 de julio de 2014

SEGURIDAD EN RESDES DE DATOS

Recomendaciones generales de seguridad de redes inalámbricas

Use una clave de seguridad de red.

Nota Se recomienda usar WPA2, si es posible. No es recomendable usar WEP para la seguridad de red. WPA o WPA2 son más seguros. Si prueba WPA o WPA2 y no funcionan, se recomienda que actualice el adaptador de red a uno que sea compatible con WPA o WPA2.

Cambie el nombre y la contraseña de administrador predeterminados del enrutador o el punto de acceso

Cambie el SSID predeterminado.

Elija cuidadosamente la ubicación del enrutador o el punto de acceso.

Seguridad en redes cableadas

SEGURIDAD DE LA INFORMACIÓN / SEGURIDAD INFORMÁTICA

Seguridad de la información: modelo PDCA

Bases de la Seguridad Informática

Fiabilidad

Confidencialidad

Integridad

Disponibilidad

Autenticación

Autorización

Administración

Auditoría y registro

Mantenimiento de la integridad

Vulnerabilidad: definición y clasificación

Vulnerabilidades conocidas

Herramientas

¿De qué queremos proteger el sistema informático?

¿Cómo podemos proteger el sistema informático?

Políticas de seguridad

Clasificación de las amenazas

Naturaleza de las amenazas

Amenazas provocadas por personas

Amenazas físicas

Tipos de amenazas físicas

Descripcion de algunas amenazas físicas

Amenazas lógicas

Algunas amenazas lógicas

Detección de spam

Técnicas de usuarios finales

Address munging u ocultación de direcciones[

Evitar responder al spam

Formularios electrónicos de contacto

Desactivar HTML en correo electrónico

Tener disponibles varias direcciones de correo electrónico

Contraseñas buenas

Denunciar el spam

Tipos de cortafuegos

Circuito a nivel de pasarela

Cortafuegos de capa de red o de filtrado de paquetes

Cortafuegos de capa de aplicación

Cortafuegos personal[

Tipos

Desventaja

Prevención/Solución

Advertencia

Fortalezas de IDS

Inconvenientes de IDS

9.2. IDS basados en host

9.2.1. Tripwire

9.2.2. RPM como un IDS

9.2.3. Otros IDSes basados en host

Tipos de vacunas

Copias de seguridad (pasivo)

Consideraciones de la red

Funciones

No hay comentarios.:

Publicar un comentario