Es fundamental implementar medidas adicionales para proteger los sistemas informáticos de las empresas, ya que las soluciones de seguridad estándar a menudo no son suficientes para evitar intrusiones.
La recogida de eventos de forma distribuida crea una cantidad masiva de información que debe ser analizada, en la mayoría de las situaciones, bajo durísimas restricciones de tiempo real.
Análisis descentralizado
Las primeras propuestas para extender la detección de ataques desde un equipo aislado hacia un conjunto de equipos tratan de unificar la recogida de información utilizando esquemas y modelos centralizados. Así, estas propuestas plantean la instalación de sensores en cada uno de los equipos que se desea proteger, configurados para poder retransmitir toda la información hacia un punto central de análisis.
Esquemas tradicionales
Un caso de interés especial dentro de los mecanismos de detección es el de la identificación de ataques distribuidos o coordinados. Un ejemplo de este tipo de ataques son las denegaciones de servicio basadas en modelos master-slave. Este tipo de ataques, que no pueden ser identificados buscando patrones de forma aislada, deben ser detectados a partir de la combinación de múltiples indicios encontrados en distintos equipos de una red monitorizada.
A continuación, veremos, las distintas propuestas que existen para poder poner en correspondencia los eventos recogidos en distintos equipos de la red, a fin de implementar una detección de ataques e intrusiones distribuida.
Detección de Ataques Distribuidos
Conmutadores híbridos
Sistemas cortafuegos a nivel de aplicaciónte
Conmutadores de nivel siete
Sistemas de detección en línea
Los sistemas de prevención de intrusos son el resultado de unir las capacidades de bloqueo de los mecanismos de prevención (encaminadores con filtrado de paquetes y pasarelas) con las capacidades de análisis y monitorización de los sistemas de detección de intrusos.
A continuación, los modelos existentes más relevantes para construir un sistema de prevención tal como acabamos de definir.
Sistema de Prevención de Intrusos
Los sistemas de decepción tratan de cambiar las reglas del juego, ofreciendo al administrador de la red la posibilidad de tomar la iniciativa. Los sistemas de decepción, en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.
Sistemas de Decepción
Escalabilidad.
Rendimiento.
Tolerancia en fallos.
Eficiencia.
Precisión.
En todos los Sistemas de Detección de Intrusos se tiene que cumplir con los siguientes requisitos:
Arquitectura General de un Sistema de Detección de Intrusos
• Fase de ocultación de huellas.
• Fase de explotación de servicio.
• Fase de vigilancia
Los primeros sistemas aparecieron en la década de los cincuenta, cuando la empresa norteamericana Bell Telephone System creo un grupo de desarrollo con el objetivo de analizar el uso de los ordenadores en empresas de telefonía. Este equipo estableció la necesidad de utilizar auditorias mediante el procesamiento electrónico de los datos, rompiendo con el anterior sistema basado en la realización de informes en papel. Este hecho provoco que a finales de los años 50 la Bell Telephone System se embarcara en el primer sistema a gran escala de facturación telefónica controlada por ordenadores.
Sistemas de Detección de Intrusos
Sin embargo, esta acción pueda que no sea suficiente para proteger los datos del Sistema, ya que un intruso (hacker) puede acceder a ella a través de las siguientes fases:
¿Porque es Necesario tomar Acciones Adicionales para proteger nuestros equipos?¿Porque es Necesario tomar Acciones Adicionales para proteger nuestros equipos?
A veces lo que catalogamos como una Seguridad Estandar para nuestro Sistema no es suficiente, es por ellos de debemos tomar acciones adicionales para mantener la seguridad en nuestro equipo. Proteger la Red de la Empresa con un Sistema Cortafuegos, que permite únicamente la entrada de peticiones HTTP, HTTPS y consultas de DNS, aceptando también la transmisión de las respuestas a las peticiones HTTP, HTTPS y DNS.
A veces lo que catalogamos como una Seguridad Estandar para nuestro Sistema no es suficiente, es por ellos de debemos tomar acciones adicionales para mantener la seguridad en nuestro equipo. Proteger la Red de la Empresa con un Sistema Cortafuegos, que permite únicamente la entrada de peticiones HTTP, HTTPS y consultas de DNS, aceptando también la transmisión de las respuestas a las peticiones HTTP, HTTPS y DNS.
Necesidad de Mecanismos Adicionales en la Prevención y Protección
Mecanismos para la Detección de Ataques e Intrusos
Todos los datos enviados y recibidos durante la sesión se transfieren por medio de encriptación de 128 bits, lo cual los hacen extremamente difícil de descifrar y leer.
El cliente transmite su información de autenticación al servidor usando una encriptación robusta de 128 bits.
Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor al que se conectó anteriormente.
Características de SSH
El protocolo SSH proporciona los siguientes tipos de protección:
es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptadas.
SSH está diseñado para reemplazar los métodos más viejos y menos seguros para registrarse remotamente en otro sistema a través de la shell de comando, tales como telnet o rsh. Un programa relacionado, el scp, reemplaza otros programas diseñados para copiar archivos entre hosts como rcp. Ya que estas aplicaciones antiguas no encriptan contraseñas entre el cliente y el servidor, evite usarlas mientras le sea posible. El uso de métodos seguros para registrarse remotamente a otros sistemas reduce los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.
Aplicaciones Seguras
• Las tecnologías de encapsulamiento de protocolos que permiten que, en lugar de una conexión física dedicada para la red privada, se pueda utilizar una infraestructura de red pública, como Internet, para definir por encima de ella una red virtual.
• Las tecnologías de seguridad que permiten la definición de una red privada, es decir, un medio de comunicación confidencial que no puede ser interceptado por usuarios ajenos a la red.
Una red privada virtual (VPN) es una configuración que combina el uso de dos tipos de tecnologías:
Un método alternativo que no necesita modificaciones en los equipos de interconexión es introducir la seguridad en los protocolos de transporte. La solución más usada actualmente es el uso del protocolo SSL o de otros basados en SSL.
Redes Privadas Virtuales
Protección del Nivel de Transporte
La protección a nivel de red garantiza que los datos que se envíen a los protocolos de nivel superior, como TCP o UDP, se transmitirán protegidos. El inconveniente es que puede ser necesario adaptar la infraestructura de la red y, en particular los encaminadores (routers), para que entiendan las extensiones que es preciso añadir al protocolo de red (IP) para proporcionar esta seguridad.
Protección del Nivel de Red
Uno de los servicios de seguridad que se requiere en muchas aplicaciones es el de la autenticación. Este servicio permite garantizar que nadie ha falsificado la comunicación.
Sistemas de Autenticación
La parte más importante de las tareas que realizan los Sistemas Cortafuegos, la de permitir o denegar determinados servicios, se hacen en función de los distintos usuarios y su ubicación
Los Sistemas Cortafuegos manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estarían expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna.
El Sistemas Cortafuegos es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador será el responsable de la revisión de estos monitoreos.
Otra causa que ha hecho que el uso de Sistemas Cortafuegos se halla convertido en uso casi imperativo es el hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall.
Características Adicionales de Sistemas Cortafuegos
Es una zona insegura que se ubica entre la red interna de una organización y una red externa, generalmente en Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que en general las conexiones desde la DMZ solo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de correo electrónico, Web y DNS. Y es precisamente estos servicios alojados en estos servidores los únicos que pueden establecer tráfico de datos entre el DMZ y la red interna, por ejemplo, una conexión de datos entre el servidor web y una base de datos protegida situada en la red interna.
Zonas desmilitarizadas
es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o en una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar el cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.
Sistemas Cortafuegos
Los ataques que explotan deficiencias de programación mediante cadenas de formato se producen en el momento de imprimir o copiar una cadena de caracteres desde un buffer sin las comprobaciones necesarias.
Cadena de Formato
Un ataque de desbordamiento de buffer se basa en la posibilidad de escribir información más allá de los límites de una tupla almacenada en la pila de ejecución. A partir de esta tupla, asociada a una llamada a función dentro del programa, se puede conseguir corromper el flujo de la ejecución modificando el valor de regreso de la llamada a la función. Si este cambio en el flujo de ejecución es posible, se podrá llevar la ejecución a una dirección de memoria arbitraria (introducida en los datos de la pila a partir del mismo ataque) y ejecutar un código malicioso.
Desbordamiento de buffer
Analizaremos dos de los errores de programación más graves que podemos encontrar en aplicaciones de red como ejemplo del ultimo tipo de deficiencias asociadas al modelo de comunicaciones TCP/IP. En realidad, este tipo de deficiencias se deberían considerar como vulnerabilidades de seguridad a nivel de sistema más que como deficiencias de seguridad de la arquitectura de red TCP/IP. Aun así, se han incluido en este módulo didáctico puesto que son vulnerabilidades asociadas a los servicios proporcionados sobre TCP/IP y porque, en el caso de estar presentes en los servicios que ofrece la red, incrementaran´ el riesgo de vulnerar la seguridad de la misma.
Deficiencias En Programación
Un ataque de denegación de servicio es un incidente en el cual un usuario o una organización es privada de los servicios de un recurso que esperaba obtener. Normalmente, la perdida de servicio se corresponde con la imposibilidad de obtener un determinado servicio de red como, por ejemplo, el acceso a una página web.
Ataques de denegación de servicio
Exploracion de Puertos TCP
Exploracion de puertos
Busqueda de Huellas Identificadoras
Utilizacion de Herramientas de Administración
Previamente a la planificación de un posible ataque contra uno o más equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase, es decir, para obtener toda la información posible de la víctima, será necesario utilizar una serie de técnicas de obtención y recolección de información. Técnicas existentes que tanto los administradores de una red como los posibles atacantes, pueden utilizar para realizar la fase de recogida y obtención de información previa a un ataque.
Actividades Previas a la Realización del Ataque
Durante la década de los 60, dentro del marco de la guerra fría, la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se planteó la posibilidad de que un ataque afectara a su red de comunicaciones y financio equipos de investigación en distintas universidades con el objetivo de desarrollar una red de ordenadores con una administración totalmente distribuida. Como resultado de la aplicación de sus estudios en redes de conmutación de paquetes, se creó la denominada red ARPANET, de carácter experimental y altamente tolerable a fallos. Más adelante, a mediados de los 70, la agencia empezó a investigar en la interconexión de distintas redes, y en 1974 estableció las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en día como redes TCP/IP.