Este documento presenta conceptos básicos sobre seguridad perimetral, incluyendo firewalls, UTM, IDS e IPS. Explica que un firewall es un sistema que impone una barrera entre redes para dividir ambientes seguros de aquellos abiertos. Describe los diferentes tipos de firewalls como filtrado de paquetes, inspección de estado e intermediarios de aplicaciones. También define IDS como herramientas para detectar actividad no autorizada mediante la recolección y análisis de datos de redes o sistemas host.
4. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
Firewall
¿Qu´e es un Firewall?
Definici´on
Sistema o una combinaci´on de sistemas que impone una barrera
entre dos o m´as redes que por lo regular forman una divisi´on entre
un ambiente seguro y una abierto, como Internet.
Figura: El Firewall y los ambientes de seguridad
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.
6. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
Firewall
Visi´on global de los sistemas de seguridad
Dua, Sumeet & Du, Xian. Data Mining and Machine Learning in Cybersecurity, Taylor & Francis, P 3.
14. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
UTM
Conceptos
Definici´on
UTM (en ingl´es: Unified Threat Management) o Gesti´on Unificada
de Amenazas, son firewalls de red que engloban m´ultiples
funcionalidades en una misma caja.1
El t´ermino fue utilizado por primera vez por Charles Kolodgy,
de International Data Corporation (IDC), en 2004.
Algunas funcionalidades:
VPN, Antispam, Antiphishing, Antispyware Filtro de
contenidos, Antivirus, Detecci´on/Prevenci´on de Intrusos
(IDS/IPS)
1
http://es.wikipedia.org/wiki/Unified Threat Management
15. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
UTM
UTM (2)
Ventajas:
Se pueden sustituir varios sistemas independientes por uno solo
facilitando su gesti´on
Desventajas:
Se crea un punto ´unico de fallo y un cuello de botella, es decir
si falla este sistema la organizaci´on queda desprotegida
totalmente.
Tiene un costo fijo peri´odico.
18. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
¿Qu´e es una intrusi´on?
Definici´on
Secuencia de eventos relacionados que deliberadamente tratan de
causar da˜no, como hacer un sistema indisponible, acceder a
informaci´on no autorizada o manipular dicha informaci´on.
Esta definici´on aplica tanto para intentos fallidos, como para los
exitosos
19. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
¿Qu´e son los Sistemas de Detecci´on de Intrusos?
Detecci´on de Intrusos
Proceso de vigilar y analizar eventos que ocurren en un sistema
de c´omputo o red para buscar signos que indiquen problemas de
seguridad (violaciones a pol´ıticas).
Sistema de Detecci´on de Intrusos
Herramientas, m´etodos y recursos que ayudan a detectar,
identificar y reportar actividad no autorizada en un servidor o una
red.
Los sistemas:
Ejecutan funciones de centinela
Alertan y activan alarmas a partes
responsables cuando ocurren actos
de inter´es
Los IDS’s realmente no detectan
intrusos, detectan tr´afico en la red
que puede o no, ser una intrusi´on
20. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Funciones de un IDS
Registrar indicadores de actividad de intrusos .
Activar las alertas correspondientes.
Puede buscar ataques provenientes de fuera de la red.
Monitorear las actividades desde la red interna .
Algunos IDS’s tambi´en buscan actividades an´omalas.
Requiere configuraci´on adaptada a peculiaridades de la red que
se busca defender.
El IDS puede tomar acciones autom´aticas cuando ocurren
ciertas condiciones.
Ejemplo: enviar mensaje de radio al administrador del sistema.
Muchos IDS’s pueden configurarse para atacar
autom´aticamente a los sospechosos.
Otros se optimizan para recoger informaci´on para an´alisis
forense en tiempo real.
22. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
http://wiki.hill.com/wiki/
index.php?title=Intrusion detection system
Fuente de Datos
Proporciona el flujo de registros de
eventos
Motor de An´alisis
Encuentra indicadores de intrusi´on
Componente de Respuestas
Genera reacciones basadas en el
resultado arrojado por el motor de
an´alisis
23. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Fuente de Datos del IDS
Cuatro tipos
Host
Red
Aplicaci´on
Objetivo
El “monitor” o sensor:
Recolecta informaci´on de una fuente de datos y la pasa al
motor de an´alisis
24. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Fuente de Datos del IDS (2)
Monitores basados en host
Recogen datos de fuentes internas a una computadora (usual:
nivel de S.O.)
Estas fuentes pueden incluir registros de auditor´ıa del S.O. y
bit´acoras del mismo
Monitores basados en red
Recogen paquetes que pasan por la red
Frecuente: uso de dispositivos de red configurados en modo
promiscuo
25. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Fuente de Datos del IDS (3)
Monitores basados en aplicaciones
Obtienen informaci´on de aplicaciones en ejecuci´on
Las fuentes son bit´acoras de aplicaciones y otros registros
internos de ellas
Monitores basados en objetivo
Generan sus propios datos
Usan criptograf´ıa de hash para detectar alteraciones a objetos
del sistema
Comparan alteraciones con una pol´ıtica
26. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Motor de An´alisis
Definidas las fuentes de informaci´on, se debe determinar el
“motor de b´usqueda”
Este toma informaci´on de las fuentes y la examina para
detectar s´ıntomas de ataques o violaciones a la pol´ıtica de
seguridad.
Mayor´ıa de casos: se recurre a tres tipos de an´alisis:
Detecci´on basada en Firmas
Detecci´on basada en Anomal´ıas
Mezcla de los dos
27. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Motor de An´alisis (2)
Detecci´on de Abusos:
Se busca ocurrencia de algo definido como “malo”
Para ello, se filtran eventos buscando patrones de actividad
coincidentes con ataques o violaci´on a pol´ıtica de seguridad
Usa t´ecnicas de coincidencia de patrones
General: sistemas comerciales usan esta t´ecnica
Detecci´on de Anomal´ıas:
Se busca algo raro o inusual
Se analizan eventos del sistema usando t´ecnicas estad´ısticas
Para hallar patrones de actividad aparentemente anormales
Mixto
Detecci´on de anomal´ıas permite identificar ataques nuevos o
desconocidos
Detecci´on de abusos protege contra ataques conocidos
29. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Respuestas
Identificada la ocurrencia, el IDS debe determinar la acci´on a
ejecutar
No limitada a acci´on contra sospechoso: disparar alarmas de
diferentes tipos
Se pueden incluir mensajes a consola del administrador de la
red
Env´ıo de mensaje al localizador del administrador
Otra respuesta es modificar el IDS o el sistema vigilado
Modificaci´on en IDS puede incluir cambio en el tipo de an´alisis
que se hace
En el caso de los sistemas vigilados:
Cambios en configuraci´on
Modificaciones a privilegios de acceso
Respuesta com´un:
Registrar resultados del an´alisis en bit´acora usada para generar
reportes
30. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Caracter´ısticas deseables en IDS’s
Efectividad:
Requerimiento m´as importante: IDS’s deben detectar de forma
exacta y consistente los ataques, o patrones definidos
Facilidad de uso:
Expertos en seguridad dif´ıciles y caros
Necesario manejo por no expertos en seguridad
Adaptabilidad:
IDS debe adaptarse a diferentes plataformas, ambientes y
pol´ıticas
Mayor´ıa de ambientes no son homog´eneos
IDS capaz de entender entradas de otros sistemas
31. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Caracter´ısticas deseables en IDS’s (2)
Robustez:
IDS suficientemente confiable
Tener mecanismos redundantes y caracter´ısticas que permitan
operar en caso de fallas
Rapidez:
Ser capaz de ejecutar vigilancia
Reportar eventos en momento de ocurrencia
Eficiencia:
Uso ´optimo de recursos de c´omputo, almacenamiento, y ancho
de banda
Afectaci´on m´ınima al desempe˜no del sistema vigilado
32. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Caracter´ısticas deseables en IDS’s (3)
Seguridad:
Contar con caracter´ısticas que eviten utilizaci´on por personal
no autorizado
Escalabilidad:
Componentes con interfaces est´andar bien documentadas
Estas interfases deben soportar los mecanismos de
autenticaci´on apropiados.
Equilibrio:
Permitir a usuarios mantener balance entre necesidades de
administraci´on y de seguridad
33. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Sistemas de Detecci´on de Intrusos en Red
NIDS
Network Intrusion Detecction
System, son un conjunto de
herramientas, m´etodos y
recursos que ayudan a
detectar, identificar y reportar
actividad no autorizada en una
red.
34. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Fuente de Datos
Port mirroring (spanning): Copias de los paquetes de entrada
y salida son enviados a un puerto especial donde pueden ser
analizados.
Network taps: Dispositivos que son colocados en el medio
f´ısico por donde pasa el tr´afico.
35. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Desventajas con IDS’s en basados en red
Velocidad del canal
No pueden hacer frente a todo el volumen de datos que fluye
en la red
En ambientes con switches: IDS debe colocarse de tal modo
que la carga pase por un puerto de escucha
Cifrado
Ning´un IDS puede revisar paquetes cifrados, porque no tiene
las llaves. Esto permite perpetrar ataques ocultos en
conexiones cifradas
36. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IDS
Algunos IDS’s basados en red
Snort
NIKSUN NetDetector
Sax2
IBM Proventia Network
Intrusion Prevention System
(IPS)
Bro
Cisco Secure IDS (NetRanger)
Cyclops
Shoki
SecureNet IDS/IPS
SecurityMetrics
Enterasys Intrusion Prevention
System
Juniper Networks ISG Series
Integrated Security Gateway
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html
38. imagenes/logoUn
Seguridad Perimetral
Conceptos B´asicos de Seguridad Perimetral
IPS
¿Qu´e es una IPS?
Definici´on
Software que ejerce el control de acceso en una red inform´atica
para proteger a los sistemas computacionales de ataques y abusos.
2
No es una extensi´on de los sistemas de detecci´on de intrusos
(IDS).
Su mecanismos asemeja mas a un firewall.
2
https://es.wikipedia.org/wiki/Sistema de Prevenci%C3%B3n de Intrusos