3. Prevención de Intrusiones Intrusión: Acción y efecto de intrusarse (RAE) Intrusarse: Apropiarse, sin razón ni derecho, de un cargo, una autoridad, una jurisdicción, etc. (RAE) Intruso: Que se ha introducido sin derecho (RAE) Prevención: Acción y efecto de prevenir (RAE) Prevenir: Preparar, aparejar y disponer con anticipación lo necesario para un fin. ■ Prever, ver, conocer de antemano o con anticipación un daño o perjuicio. ■ Precaver, evitar, estorbar o impedir algo (RAE) Léxico Básico
4. Procesar Intrusiones Requiere tiempo .- El proceso de captura de evidencia, análisis y elaboración de conclusiones requiere tiempo Comparta información .- El análisis de eventos con intrusos se beneficia extraordinariamente cuando el caso se comparte con expertos del área Demanda registrar datos detalladamente .- Un buen proceso de captura, procesamiento y análisis de intrusiones requiere que se lleven registros formales de lo que se haga Prevención de Intrusiones
5. Procesar Intrusiones En general 4 tipos de IDPS .- Basados en Red .- Basados en Host .- Analíticos sobre el comportamiento de la red .- Inalámbricos En la práctica se combinan varios de estos tipos en diversos sistemas para reforzar la detección También asisten en el mejoramiento de las políticas de seguridad, reconocer amenazas a la organización y disuadir a algunos de cometer infracciones a la normativa de seguridad Prevención de Intrusiones
12. Ingeniería de la Seguridad Anatomía de una regla en Snort alert tcp !10.1.1.0/24 any -> 10.1.1.0 any (flags: SF; msg: “SYN-FIN scan”;) Encabezado de la regla Opciones de la regla Se emite una regla cuando se captura cualquier tráfico originado en la red 10.1.1.X bajo cualquier puerto y que va dirigido a cualquier equipo en la red 10.1.1.X y cualquier puerto destino. Las opciones de la regla indica que se buscarán en las opciones de paquetes SYN y FIN. En caso de que se detecten ambas, se emitirá la alerta. Los dos flags juntos son una anomalía
13. Ingeniería de la Seguridad Arquitecturas de Firewalls Un firewall es un sistema que tradicionalmente se coloca en fronteras y actúa como un filtro, separando datos que tratan de cruzar de un lado hacia otro Generalmente el Firewall tiene como propósito defender un perímetro (LAN) y asume que, los sistemas a quienes protege son confiables y que los que son externos a esa área (WAN), son de quienes debe desconfiar
14. Ingeniería de la Seguridad Múltiples Firewalls Arquitecturas de Firewalls
15. Ingeniería de la Seguridad Arquitecturas de Firewalls “ Pero un firewall es un sistema de reducción de riesgos, no es un sistema de mitigación de riesgos –esto significa que, siempre habrá algún peligro de que en ocasiones algo puedan ir fatalmente mal con cualquier cosa construida por humanos” Marcus Ranum
16. Ingeniería de la Seguridad Arquitecturas de Firewalls Firewall Simple .- Un sistema anfitrión con doble interfaces y capacidad de control de acceso. Puede ser un servidor proxy de doble acceso, un anfitrión bastión o un enrutador exterior .- Un conmutador con capacidad de filtrado en capa 3 (puede ser visto como un enrutador interior)
18. Ingeniería de la Seguridad Software de Firewalls que no son personales Software Abierto .- Iptables® .- Freestone® .- Bulldog Firewall .- Dante .- ftpproxy Software Propietario .- Screend (se incorpora a sistemas Unix/ incluido en True64Unix®) .- TIS FWTK® (facilita construir filtrados) .- SOCKS® (permite desarrollar proxy) .- Gauntlet® .- Firewall-1® .- Raptor®
19. Ingeniería de la Seguridad Elementos Básicos en las tecnologías Firewalls 1.- Directivas de seguridad en coherencia con la política de seguridad corporativa 2.- Sistema de Autenticación Avanzado 3.- Diseño de los dominios de redes y DMZ 4.- Filtrado de Paquetes 5.- Pasarelas de Aplicación Proxies Servicios Habilitados 6.- Mantenimiento continuo
20. Ingeniería de la Seguridad Evaluación de Firewalls Probar tráfico .- Muchas herramientas para generar tráfico de red