A n á l i s i s d e s i s t e m a s d e d e t e c c i ó n d e i n t r u s i o n e s

Tamaño: px
Comenzar la demostración a partir de la página:

Download "A n á l i s i s d e s i s t e m a s d e d e t e c c i ó n d e i n t r u s i o n e s"

Transcripción

1 A n á l i s i s d e s i s t e m a s d e d e t e c c i ó n d e i n t r u s i o n e s Proyecto Fin de Carrera Vanessa Viñes Sanjuan Tutor: Robert Rallo Moya Ingeniería Técnica en Informática de Sistemas

2 0. Índice 0. Índice Objetivos del Proyecto Definiciones Definiciones sobre los IDS... Error! Marcador no definido Definición de intrusión... Error! Marcador no definido Historia de los IDS Por que son necesarios los sistemas de detección de intrusiones Que es un IDS o sistema de detección de intrusos Definición de firmas y filtros Definición de eventos de interés (EOI) Tipos de ataques que puede detectar un IDS Que es un Honeypot? Que es un firewall? Tipos de sistemas de detección de instrusiones HIDS o IDS Host Based NIDS o IDS Network Based Híbridos Pasivos Activos Detección del mal uso Detección del uso anómalo Tipos de errores Elementos básicos de un IDS Protocolos de comunicación entre Sensor-Consola Arquitectura de los IDS Arquitectura general de un IDS Arquitecturas específicas de un IDS CIDF (Common Intrusion Detection Framework) DIDS (Distributed Intrusion Detection System) Arquitectura de los NIDS Caracterísitcas de los IDS Análisis de los datos obtenidos por un IDS Capacidades de los IDS Limitaciones de los IDS El ataque mitnick...33 Vanessa Viñes Sanjuan 2

3 4.5. Dónde colocar el IDS? Análisis de productos Productos comerciales Productos de libre distribución Actualidad en los IDS Proyectos de investigación Guía de diseño Aspectos genéricos Casos de estudio Implementación Análisis de una red del tipo I Análisis de una red del tipo II Análisis de una red del tipo III Análisis de una red del tipo IV Conclusiones Recursos utilizados Programas Información en Internet Bibliografía Vanessa Viñes Sanjuan 3

4 1. O b j e t i v o s d e l P r o y e c t o El proyecto trata de determinar, sobre una serie de casos, cual sería la mejor opción a seguir para poder conseguir que el sistema sea seguro y esté protegido contra intrusiones externas. Podemos diferenciar los puntos más importantes en: Determinar los componentes de un sistema de detección de intrusos. Diferenciar los tipos de sistemas de detección de intrusos conocidos. Determinar la arquitectura de un sistema de detección de intrusos. Análisis de los productos de mercado (de libre distribución y comerciales). Guía de diseño Aspectos genéricos Casos de estudio. Análisis económico de hardware y software. Vanessa Viñes Sanjuan 4

5 2. D e f i n i c i o n e s 2.1. Definiciones sobre los IDS Definición de intrusión Una intrusión es un conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de algún recurso de nuestro equipo Historia de los IDS Los primeros sistemas de detección de intrusiones fueron emergiendo a medida que el número de ordenadores crecía. Cuantos más ordenadores había mas aumentaba el número de eventos d sistema a analizar, era tal esta tarea que se volvió humanamente imposible de realizarla. Las autoridades militares de Norteamérica se dieron cuenta de que el uso cada vez más masivo de ordenadores en sus instalaciones requería algún mecanismo que facilitara la labor de sus auditores. James P. Anderson fue la primera persona capaz de documentar la necesidad de un mecanismo que automatizara la revisión de los eventos de seguridad. Describió el concepto de Monitor de referencias en un estudio encargado por las Fuerzas Aéreas de EEUU, y redactó un informe en 1980 que sería el primero de los futuros trabajos sobre la detección de intrusiones. Uno de los objetivos de este informe era la eliminación de información redundante o irrelevante en los registros de sucesos. Anderson propuso un sistema de clasificación que diferenciaba entre ataques internos y ataques externos, basado en si los usuarios tenían permiso de acceso o no al ordenador. Estos eran los principales objetivos de los mecanismos de auditoria de seguridad: - Debían proporcionar suficiente información para que los encargados de seguridad localizaran el problema, pero no para efectuar un ataque. - Debía ser capaz de obtener datos de distintos recursos del sistema. - Para evitar ataques internos, debía detectar usos indebidos o fuera de lo normal por parte de los usuarios. - El diseño del mecanismo de auditoria debía ser capaz de obtener la estrategia usada por el atacante para entrar en las cuentas. Ideó un sistema para dar solución al problema de los intrusos que se habían apoderado de cuentas basándose en patrones de uso, creados a partir de análisis de estadísticas de comportamiento de usuario. Los sistemas posteriores trabajarían con esa idea. El IDES o Intrusión Detection Expert System, desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann, fue un modelo que definía un sistema de detección de intrusiones en tiempo Vanessa Viñes Sanjuan 5

6 real. Este proyecto, fundado entre otros por la marina estadounidense, proponía una correspondencia entre actividad anómala y abuso, o uno indebido. Entendiendo por anómala, aquella actividad rara o inusual en un contexto estadístico. Usaba perfiles para describir a los sujetos del sistema, y reglas de actividad para definir las acciones que tenían lugar. Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías. IDES era un sistema híbrido porque añadía un nivel de seguridad adicional, que minimizaba los efectos de un intruso que intentara eludir el detector de anomalías. En los años ochenta aparecieron numerosos sistemas de detección de intrusiones. Desde 1984 hasta 1985 un grupo de desarrollo en Sytek dirigió un proyecto denominado "Automated Audit Analysis". Utilizaba información recogida a nivel de interfaz de comandos ("shell") de un sistema UNIX, para posteriormente compararlos con una base de datos. Estos datos se analizaban estadísticamente para demostrar que se podían detectar comportamientos fuera de lo normal. Algunos investigadores del proyecto trabajaron más tarde en "SRI International". Discovery fue un sistema creado para detectar e impedir problemas en la base de datos de TRW. La novedad de Discovery radicaba en que monitorizaba una aplicación, no un sistema operativo. Utilizaba métodos estadísticos escritos en COBOL para detectar los posibles abusos. Su creador fue William Tener. El proyecto Haystack, del Centro de Soporte Criptológico las Fuerzas Aéreas de EEUU fue usado para ayudar a los oficiales a encontrar signos de ataques internos en los ordenadores principales de sus bases. Estas máquinas eran principalmente "mainframes" (servidores corporativos) que manejaban información no clasificada pero confidencial. El sistema estaba escrito en C ANSI y SQL. Examinaba los datos de forma periódica, recogiendo colas de eventos de forma periódica. Utilizaba dos fases de análisis para detectar las posibles anomalías. El principal responsable del proyecto fue Steve Smaha. Otro proyecto importante fue el "Multics Intrusion Detection and Alerting System" (MIDAS), creado por el National Computer Security Center (NCSC). Se utilizó para monitorizar el sistema NCSC's Dockmaster, un Honeywall DPS 8/70 en el que corría uno de los sistemas operativos más seguros de entonces, un Multics. Al igual que IDES, MIDAS utilizaba un sistema híbrido en el que combinaba tanto la estadística de anomalías como reglas de seguridad de un sistema experto. MIDAS usaba un proceso de análisis progresivo compuesto por cuatro niveles de reglas. Además de estas reglas, también contaba con una base de datos que usaba para determinar signos de comportamiento atípico. Fue uno de los primeros sistemas de detección de intrusiones conectados a Internet. Fue publicado en la red en 1989 y monitorizó el Mainframe Dockmaster en Contribuyó a fortalecer los mecanismos de autenticación de usuarios. Además, no sólo había contribuido a mejorar la seguridad contra ataques externos, sino que también seguía bloqueando intrusiones internas. "Network Audit Director and Intrusion Reporter" (NADIR) fue desarrollado en Laboratorio Nacional de Los Alamos, para monitorizar el "Integrated Computing Network" (ICN). Esta red estaba inicialmente compuesta por unos usuarios. NADIR usaba técnicas de detección similares a los sistemas de su tiempo como el IDES o MIDAS. Fue uno de los sistemas con más éxito de los años ochenta. La principal responsable de NADIR fue Kathleen Jackson. El "Network System Monitor" (NSM) fue desarrollado en la Universidad de California para trabajar en una estación UNIX de Sun. Fue el primer sistema de detección de intrusiones que monitorizaba el Vanessa Viñes Sanjuan 6

7 tráfico de red, utilizando los datos del propio tráfico como principal fuente de datos. Los anteriores sistemas utilizaban los eventos de sistema o registraban las pulsaciones de teclado. El funcionamiento del NSM, que muchos sistemas de detección de intrusiones de red utilizan hoy en día, se puede describir en estos pasos: - Ponía el dispositivo de red en modo promiscuo ("promiscuous mode"), de forma que monitorizara todo el tráfico que recibiera, incluido el que no iba dirigido al sistema. - Capturaba los paquetes de red. - Identificaba el protocolo utilizado para poder extraer los datos necesarios (IP, ICMP, etc.). - Utilizaba un enfoque basado en matrices para archivar y analizar las características de los datos, en busca tanto de variaciones estadísticas que revelaran un comportamiento anómalo como de violaciones de reglas ya preestablecidas. Una de las pruebas que se hicieron con el NSM duró dos meses. Monitorizó más de conexiones, y detectó correctamente más de 300 posibles intrusiones. Como dato significativo, y para enfatizar la necesidad del uso de este tipo de sistemas, hay que señalar que los administradores no llegaron a percibir ni el 1% de dichas intrusiones. Los principales responsables del NSM fueron Karl Levitt, Todd Heberlein, y Biswanath Mukherjee de la Universidad de California. El sistema "Wisdom and Sense" fue un detector de anomalías creado en el Laboratorio Nacional de Los Álamos en cooperación con el Laboratorio Nacional de Oak Ridge. Utilizaba técnicas no paramétricas ("nonparametric techniques"), que eran técnicas estadísticas que no hacían suposiciones sobre la distribución de los datos. Usaban este método para crear su propio conjunto de reglas. Luego analizaba los "logs" de las auditorias en busca de excepciones de esas reglas, las cuales estaban organizadas en "arrays" con forma de árbol. Definían lo que era el comportamiento normal desde un punto de vista cronológico de los datos de auditoria Por que son necesarios los sistemas de detección de intrusiones? Hoy en día las organizaciones tienen salida a las redes mundiales de información, por lo tanto tienen que asegurarse que no puedan robar los datos que son confidenciales. Algunas de las razones de usar un sistema de detección de intrusiones son: - Prevenir ataques que las otras medidas de seguridad no son capaces de detectar. - En caso de ataque poder saber por que se ha producido, y así evitar futuros ataques del mismo tipo. - Detectar y tratar las acciones previas a un ataque. Vanessa Viñes Sanjuan 7

8 - Recolectar información sobre los ataques, para después poder compartirla con el resto de gente. Así en el futuro será más complicado poder perpetrar las defensas de las organizaciones mundiales Que es un IDS o sistema de detección de intrusos? Es una herramienta de seguridad que nos proporciona un sistema para poder detectar o monitorizar eventos que ocurren en un sistema informático con conexión de red que comprometen la seguridad de dicho sistema. Los IDS buscan en nuestro equipo patrones que ye han estado previamente definidos y que impliquen cualquier tipo de actividad sospechosa sobre nuestra red. Un IDS es un sistema de prevención y de alerta anticipada, ya que realmente no son capaces de detener el ataque en si, lo único que nos puede proporcionar son una serie de respuestas ante diferentes eventos maliciosos. Básicamente lo que hacen estos sistemas es vigilar el tráfico de nuestra red, examinan los paquetes que entran, pueden detectar las primeras fases de un ataque y también pueden realizar barridos de puertos (de ahí que algunos también se puedan considerar como sniffers ). Los objetivos que ha de tener un buen sistema de detección de intrusos son los siguientes: Vigilar y analizar la actividad de los usuarios del sistema. Revisar las configuraciones del sistema y de las vulnerabilidades. Evaluar la integridad de los archivos críticos del sistema y de los datos. Reconocimiento de los modelos de la actividad que reflejan ataques conocidos. Análisis estadístico para los modelos anormales de la actividad. Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de las violaciones de la actividad del usuario respecto a la política establecida. Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización Definición de firmas y filtros Definiremos una firma como, aquello que define o describe un patrón de interés en el tráfico de nuestra red. Definiremos un filtro como, la trascripción de una firma a un lenguaje comprensible por los sensores que monitorizan nuestra red. Las firmas nos permiten diferenciar entre todo el tráfico generado por las redes y obtener un subconjunto de éste lo suficientemente pequeño como para que sea tratable computacionalmente y lo suficientemente amplio como para poder detectar comportamientos anómalos en tiempo real. Vanessa Viñes Sanjuan 8

9 Las firmas utilizadas por los IDS, usualmente, son patrones que permiten detectar ataques ya conocidos. Su funcionamiento es el mismo que el de los antivirus, se basan en encontrar coincidencias de ataques ya conocidos en el tráfico actual de la red Definición de eventos de interés (EOI) Definiremos los eventos de interés como, el subconjunto mínimo de muestras que debemos analizar para considerar nuestra red como segura. Los aspectos a tener en cuenta son: - Criticidad: No todos los ordenadores tienen la misma función, o sea, no es lo mismo que ataquen a un servidor de DNS, o a un firewall, o a un PC de usuario. - Letalidad: Los diferentes ataques (exploits) no tienen siempre el mismo objetivo. Dependiendo de si simplemente tiene posibilidades de funcionar en algún sistema no parcheado a si se permite bloquear la máquina o ganar acceso como usuario simple o root, evaluaremos el ataque. - Contramedidas: Una vez detectado un ataque, o un inicio de ataque, nuestra capacidad de respuesta es otro factor a tener en cuenta Tipos de ataques que puede detectar un IDS La seguridad de un sistema informático se basa en que no se violen estos 3 principios básicos: - Confidencialidad: Que la información privada del propietario no pueda ser vista por nadie que no deba tener acceso a ella. - Integridad: Un atacante no puede alterar la información del sistema, ni provocar cambios de estado. - Disponibilidad: Un ataque no puede provocar la continuidad de la ejecución de algún proceso del sistema. A continuación se muestran algunos de los ataques que un sistema de detección de intrusos es capaz de detectar: - Escáneres: Podemos decir que un ataque de este tipo ha tenido lugar cuando, un atacante envía a una red o a un sistema distintos tipos de paquetes. Usando la respuesta a cada uno de estos paquetes enviados, el atacante puede llegar a Vanessa Viñes Sanjuan 9

10 conocer el sistema al que quiere atacar. A partir de aquí el atacante ya conoce las vulnerabilidades del sistema y puede entrar con mayor grado de éxito. Algunas herramientas que se pueden usar para realizar escáneres en los hosts pueden ser: network mappers, port mappers, network scanners, vulnerability scaners, - DoS (Ataque de denegación de servicio): El objetivo de este ataque es parar o entorpecer sistemas o servicios. Tenemos dos tipos de ataques DoS: el primero es el flau explotation (explotación de defectos) y el segundo es el flooding (inundación). La explotación de defectos consiste en aprovechar los defectos de la máquina a la que se quiere atacar, provocando una violación de disponibilidad, también se puede conseguir que, el servicio al que se le hace el ataque, acabe agotando los recursos de la máquina hasta que caiga o el servicio se quede bloqueado. El ataque por inundación consiste en, enviar más información de la que puede llegar a gestionar el sistema, con lo que conseguimos que el sistema atacado se quede sin recursos intentando gestionar todas las peticiones, hasta que se quede bloqueado. - Ataques de penetración: Estos intentan conseguir o alterar unos privilegios no autorizados dentro de un sistema. También se refieren a conseguir recursos o información de un sistema al que el atacante no esta autorizado para acceder. Vanessa Viñes Sanjuan 10

11 2.2. Que es un Honeypot? Son sistemas de información cuyo objetivo es simular vulnerabilidades en nuestro sistema por medio de algunas herramientas (p.e DTK, Specter), para atraer a los atacantes. Sin embargo el objetivo principal de estos sistemas poder conocer vulnerabilidades aún desconocidas. Existen dos tipos de Honeypots: Honeypots de producción: Utilizados para proteger una organización. Honeypots de investigación: Utilizados para aprender. Los Honeypots de producción son utilizados para ayudar a asegurar una organización mediante la detección de ataques, agregando un valor significativo a la infraestructura de seguridad y ayudando a mitigar riesgos. Los Honeypots de producción son más simples de implantar en comparación con los Honeypots de investigación, debido a que requieren menor funcionalidad. La cantidad de información que podemos obtener a partir de ellos es reducida, limitándose a los requerimientos de la organización. Los Honeypots de investigación tienen cómo objetivo, reunir información sobre la actividad maliciosa en la red, con la que podremos conocer las amenazas que las organizaciones podrán enfrentar, la manera de trabajar de los intrusos, qué tipo de herramientas utilizan y la manera de obtener dichas herramientas. Los Honeypots de investigación son más difíciles de implantar, por lo tanto requieren de más tiempo y esfuerzo en la administración. La diferencia entre un Honeypot de producción y uno de investigación consiste en cómo es utilizado y cual es el propósito de este; una organización podría estar interesada sólo en conocer las amenazas que existen en sus redes de producción y bloquear a todo atacante que pueda sacar provecho de las vulnerabilidades de la organización, sin embargo si utiliza un Honeypot de investigación, la organización podrá conocer mas sobre la actividad del atacante: qué herramientas se utiliza, de dónde se generó la intrusión y qué tipo de actividad había antes del incidente. Cuando son necesarios? Estos sistemas, generalmente, representan un coste adicional innecesario. Por esto no suelen ser un elemento común en redes convencionales. No obstante, a cierto tipo de organizaciones, este elemento se les presenta como indispensable, ya que el gran número de ataques que reciben a diario les hacen vulnerables. Los Honeypots, solo son útiles cuando la seguridad de le empresa es un elemento muy importante, como en empresas de seguridad, multinacionales, aseguradoras,. Vanessa Viñes Sanjuan 11

12 Ventajas: - Son fáciles de implementar. - La información que proporcionan es muy fiable. - No tienen coste de ejecución. - Permiten recoger la información necesaria del intruso, para poderle seguir a posteriori. - Permite saber el nivel de conocimientos que tiene el intruso. - Da tiempo a los administradores para poder actuar ante la intrusión, y que así esta no llegue a producirse nunca. Desventajas: - Asume que el atacante es un poco ignorante. - Muy raramente, un intruso experimentado, caerá en la trampa. - En muchas redes, es un coste innecesario. - Sólo es útil en una red grande que requiera de grandes medidas de seguridad. Vanessa Viñes Sanjuan 12

13 2.3. Que es un Firewall? Un cortafuegos o firewall (en inglés), es un mecanismo utilizado para prevenir algunos tipos de comunicaciones que se prohíben según las políticas de cada red. Estas políticas se fundamentan en las necesidades de los usuarios. Estos mecanismos funcionan usando unas técnicas de filtrado, con las cuales se puede evitar que algunos paquetes no deseados entren en nuestra red. Hay distintos tipos de firewall, como a continuación se indica: - Firewall de capa de red.- Funciona en el nivel de capa conocida como (TCP/IP), haciendo un filtrado de paquetes IP. Las acciones que realiza el cortafuegos evitan que los paquetes que no cumplan unas reglas predefinidas por el administrador del sistema (o aplicadas por defecto), puedan atravesar el muro y entrar en nuestro sistema. Otra posible configuración más permisiva podría permitir que cualquier paquete pase el filtro mientras que no cumpla con ninguna regla negativa de rechazo. - Firewall de capa de aplicación.- Este trabaja en el nivel de aplicación. Todo el tráfico de HTTP, (u otro protocolo), puede interceptar todos los paquetes que llegan o salen de una aplicación. En principio, los cortafuegos de aplicación pueden evitar que todo el tráfico externo indeseado alcance las máquinas protegidas. Ventajas: Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa si así se desea. Esto ayuda a reconfigurar rápida y fácilmente los parámetros de seguridad. Protección de información privada.- Permite el acceso solamente a quien tenga privilegios a la información de cierta área o sector de la red. Protección contra virus.- Evita que la red se vea infestada por nuevos virus que sean liberados. Podemos diferenciar entre dos políticas básicas de configuración de firewalls: - Permisividad máxima (allow everything): Esta configuración carece casi por completo de filtros. Esta política se usa en Intranets/LAN de universidades y organizaciones dónde la libertad del uso de aplicaciones es necesario para el funcionamiento ordinario del sistema. - Permisividad mínima (Deny everything): En este caso de niega el acceso a todos los servicios de red y se van permitiendo accesos a medida que se van necesitando. Cabe notar que este tipo de política requiere un gran esfuerzo ya que es poco flexible y en organizaciones con gran cantidad de usuarios con diferentes requerimientos puede llevar a tener que permitir tantos accesos cruzados que el sistema deje de ser práctico. Vanessa Viñes Sanjuan 13

14 Los cortafuegos tienen a menudo funcionalidad de traducción de direcciones de red (NAT) y es común utilizar el así llamado espacio de direcciones privado en las máquinas detrás de ella. Este espacio de direcciones privado se realiza como un intento (de eficacia discutible) de disfrazar las direcciones internas o red. Cabe notar que el simple uso de un firewall no nos garantiza que el sistema sea seguro, los cortafuegos no sirven de nada si no están correctamente configurados y se mantienen al día con sus actualizaciones de seguridad. Por otro lado estos sistemas son incapaces de detectar ataques más sofisticados (ataques DoS, por ejemplo), lo que hace necesario acompañarlos de otros sistemas de seguridad para poder aumentar el nivel de seguridad de nuestra red. La configuración correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor como herramienta de seguridad. Vanessa Viñes Sanjuan 14

15 2.4. Tipos de Sistemas de detección de intrusos Podemos clasificar los sistemas de detección de intrusos según: HIDS Fuentes de información NIDS Híbridos Sistemas de Detección de Intrusiones Análisis Detección del mal uso Detección del uso anómalo Respuesta Activos Pasivos Vanessa Viñes Sanjuan 15

16 HIDS o IDS Host-Based Este tipo protege contra un único servidor o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando también qué procesos o usuarios realizan determinada acción. Realizan un gran trabajo con los logs para su posterior investigación. Los sistemas Host-Based dependen generalmente de los registros del sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red mientras ocurren. En comparación con los NIDS, estos sistemas obligan a definir lo que se considera como actividades ilícitas y, a traducir la política de seguridad a reglas del IDS. Los sistemas relacionados al host se despliegan de la misma manera que los antivirus o las soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa una consola de gestión para generar informes. Los HIDS fueron los primeros sistemas que se desarrollaron en la comunidad informática. Estos sistemas no tienen ningún tipo de problema con el ancho de banda, no obstante solo pueden reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores que usan sistemas operativos no reconocidos, el administrador no habrá ganado nada. Sin embargo, las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen los NIDS, como verificación de integridad binaria, análisis sintáctico de logs y terminación de procesos no válidos. Ventajas Al trabajar sobre eventos locales, son capaces de detectar ataques que no pueden ser vistos por los NIDS. Pueden trabajar en entornos cifrados. No tiene dependencia de protocolos. Permite hacer un seguimiento de un usuario concreto. La calidad de información que proporcionan, es muy alta. Puede trabajar en entornos conmutados. Desventajas Son más costosos de administrar, que deben ser gestionados y configurados en cada host. Si la estación de análisis se encuentra dentro del host monitorizado, el IDS puede ser deshabilitado si un ataque logra tener éxito sobre la máquina. No son buenos para detectar ataques a toda una red, como los escaneos de puertos, ya que sólo ve los paquetes que le envían a él. Pueden ser deshabilitados por algunos ataques DoS. Usan una cantidad mayor de recursos que los IDS basados en red. Vanessa Viñes Sanjuan 16

17 NIDS o IDS Network-Based Estos, a diferencia de sus compañeros HIDS, se encargan de proteger a un sistema basado en red. Normalmente están formados por un conjunto de sensores localizados en varios puntos de la red. Muchos de estos sensores están diseñados para correr en modo oculto, de esta manera es mas difícil para los atacantes determinar la presencia y localización del sensor. Actúan sobre una red capturando y analizando los paquetes que circulan la capa TCP-IP. Posteriormente analizan todos los paquetes que han capturado buscando los modelos conocidos de ataque, como los que generalmente realizan los hackers o los ataques al Web Server. Si se les ubica correctamente son capaces de analizar redes grandes. Su gran ventaja es que su impacto en el tráfico de la red suele ser pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo. Analizan el tráfico de la red, normalmente, en tiempo real. No solo trabajan a nivel TCP/IP sino que también pueden hacerlo a nivel de aplicación. Los sistemas network-based son propensos a los positivos falsos (Explicado mas adelante en el punto de Tipos de errores en los IDS ). Por ejemplo, si el Web Server tiene sobrecarga de trabajo y no puede manejar todas las peticiones de conexión, los IDS quizá pueden detectar que el equipo esta bajo un ataque, aunque en realidad, no lo sea. Estos sistemas son los más comunes y son un poco diferentes: se diseñan empleando una arquitectura de consola-sensor y suelen ser totalmente pasivos. También cabe decir que este tipo de sistemas casi no se hacen notar y son independientes de la plataforma, se pueden desplegar con poco o ningún impacto sobre las redes de producción. Ventajas Estos IDS tienen un impacto mínimo en la red, normalmente son dispositivos pasivos que no interfieren en las operaciones habituales de la red. Son muy configurables, hasta el punto de hacerlos invisibles para el resto de la red. De este modo pueden ejecutar mejor tu trabajo. Tenemos un solo IDS que controla varios equipos de la red. Es independiente del sistema operativo de la red. Envían la información a un sistema de recolección de logs. (Bases de datos, etc.) Es capaz de predecir un ataque antes de que este se produzca, ya que intercepta los paquetes antes de que estos sean leídos por el equipo al que iban destinados. Desventajas Cuando el sistema es conmutado, es en extremo dificultoso la instalación de estos sistemas. Sería necesario instalar espejos de puerto. En redes de grandes velocidades y con un gran tráfico, un IDS de este tipo no sería capaz de proteger el sistema contra intrusiones. No analizan la información que se encuentra cifrada. Estos IDS no saben si el ataque producido tuvo, o no, éxito. Lo único que pueden saber es que se ha producido un ataque. Esto se traduce a que, después que el IDS detecte el Vanessa Viñes Sanjuan 17

18 ataque, debe ser el administrador el que se encargue de investigar si el intento de penetración tuvo realmente éxito. No puede controlar ciertos comportamientos de los usuarios dentro de los hosts. Requiere de hardware adicional, por ejemplo, una máquina que haga de IDS Híbridos Es una combinación de ambos sistemas con el objetivo de mejorar sus capacidades. Estos sistemas híbridos combinan las mejores características de ambos en una configuración del sensor del IDS, no obstante, sus características son inferiores a la suma de cada IDS por separado. Estos sistemas pueden ser más útiles en redes pequeñas en las que interesan sistemas más económicos y menos distribuidos. Real Secure de Internet Security Sistems (ISS), CyberCop de Network associates (NAI), son algunos ejemplos de soluciones que han adoptado un comportamiento híbrido. Ventajas Son más económicos que los HIDS o los NIDS. Aumenta el nivel de seguridad del Host. Tenemos más centralizado el sistema de seguridad. Pocos problemas de compatibilidad con el registro del sistema. Desventajas Si la seguridad del Host ha sido comprometida, los registros también son comprometidos. Compartimos la potencia del sistema entre los servicios del sistema y el IDS Pasivos Son aquellos que notifican al administrador del sistema mediante alertas, etc. Pero no actúan directamente sobre el ataque o atacante Activos Este tipo de respuestas son acciones automáticas que se toman cuando cierto tipo de intrusiones son detectados. Podemos diferenciarlos en dos categorías: Recogida de información adicional: consiste en incrementar el nivel de sensibilidad de los sensores para obtener más pistas del posible ataque. Vanessa Viñes Sanjuan 18

19 Cambio de entorno: Parar el ataque, por ejemplo: cerrar una sesión TCP activa o filtrar en el router de acceso o en el firewall la dirección del atacante, para evitar intrusiones futuras Detección del mal uso Este tipo de detección puede incluir los intentos de un usuario por ejecutar programas sin permiso, como por ejemplo los sniffers. Estos modelos se implementan observando como se pueden explotar los puntos débiles de los sistemas, describiéndolos mediante unos patrones o una secuencia de eventos o datos que serán interpretados por el IDS Detección del uso anómalo La detección de actividades anómalas se apoya en estadísticas tras comprender cual es el tráfico normal en la red del que no lo es. Un claro ejemplo de actividad anómala sería la detección de tráfico fuera de horario de oficina o el acceso repetitivo desde una máquina remota (rastreo de puertos). Este modelo de detección se realiza detectando cambios en los patrones de utilización o comportamiento del sistema. Esto se consigue realizando un modelo estadístico que contenga una métrica definida y compararlo con los datos reales analizados en busca de desviaciones estadísticas significantes. Vanessa Viñes Sanjuan 19

20 2.5. Tipos de errores Tenemos básicamente dos tipos de errores que puedan ocurrir en un sistema de detección de intrusos, se pueden categorizar como: - Falsos positivos: Es un término aplicado a un fallo de detección en un sistema de alertas. Sucede cuando se detecta la presencia de una intrusión en el sistema que realmente no existe. - Falsos negativos: es un término que hace referencia a un fallo en el sistema de alertas. Sucede cuando un intruso intenta acceder a nuestro sistema y se le es permitida la entrada por el sistema de alertas. La familia de los falsos positivos la podemos agrupar en cinco tipos, dependiendo de la naturaleza de su origen: - Reactionary traffic alarms: Se detecta un comportamiento sospechoso como consecuencia de tráfico generado anteriormente. Por ejemplo, la detección de muchas respuestas procedentes de un router porque el equipo destino no se encuentra operativo en esos momentos. - Equipment-related alarms: Las alarmas del NIDS detectan paquetes dentro del tráfico de la red que identifica como no usuales. - Protocol Violations: Estos avisos se producen por software mal programado o que implementan de forma incorrecta algunas partes de los protocolos de Internet. - True False Positives: Todos aquellos falsos positivos que no se encuadren en ninguna de las categorías anteriores. - Non Malicious Alarms: Alarmas producidas al detectar rastros de comportamientos maliciosos pero que en ese contexto determinado no lo son. Los ejemplos de falsos negativos son más difíciles de detectar, generalmente suelen producirse por: - Configuración deficiente de los recursos de la red: Por muchos elementos de seguridad que posea la red, esto no implica que sea segura. Si estos elementos están mal configurados, no podemos asegurar la red. - Ataques desde dentro: Para intentar evitar eso se tendrían que tener controles internos para poder detectar a este tipo de atacantes. - Equipos no parcheados y víctimas de los últimos exploits : Se tiene que intentar tener el equipo totalmente actualizado, de lo contrario el sistema será propenso a ser atacada. Vanessa Viñes Sanjuan 20

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA INTRODUCCIÓN A LA SEGURIDAD EN REDES MAG. ELEONORA PALTA VELASCO (Director Nacional) ZONA CENTRO-SUR (CEAD

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Semana 3: Con Con r t o r l de Acceso

Semana 3: Con Con r t o r l de Acceso Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU VIVIANA ISABEL ESPINOSA PEÑA 1150017 ANA KATERINE MONTESINOS GELVEZ 1150013 PROFESOR: JEAN POLO CEQUEDA MATERIA: SEGURIDAD INFORMATICA UNIVERSIDAD

Más detalles

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado

Más detalles

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3 Indice 1) Proxy, Cortafuegos, que son? Pág.2 2) Funcionamiento de un proxy Pág.3 3) Proxy NAT / Enmascaramiento Pág.3 4) Servidores proxy / Servidores de Sockets Pág.4 5) Proxy de web / Proxy cache de

Más detalles

Tema 1: Introducción a la gestión y planificación de redes

Tema 1: Introducción a la gestión y planificación de redes Tema 1: Introducción a la gestión y planificación de redes 1. Introducción general 2. Objetivos de la gestión de redes 3. Objetivos de la planificación de redes 4. Sistemas de gestión de red Gestión de

Más detalles

Revisión práctica de IDS. por Sacha Fuentes

Revisión práctica de IDS. por Sacha Fuentes por Sacha Fuentes Análisis forense El objetivo es la reconstrucción de los hechos que tienen lugar desde que el sistema estaba íntegro hasta que se ha detectado el acceso no autorizado Deberemos intentar

Más detalles

Bitácora del sistema - Introducción

Bitácora del sistema - Introducción Bitácora del sistema M A T E R I A : A R Q U I T E C T U R A A V A N Z A D A P R O F E S O R : J U A N J O S E M U Ñ O Z A L U M N O : F E D E R I C O D I B E N E D E T T O M A T R I C U L A : 7 6 5 6

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011 Sistemas de Detección y Prevención de Intrusos Estado del Arte Charles Ware cware@uy.ibm.com Agosto 2011 Agenda Concientización y estate del arte Historia Detección de Intrusos Prevención de Intrusos IDPS

Más detalles

Santini System Group / Esparza Santini. Conceptos de Seguridad

Santini System Group / Esparza Santini. Conceptos de Seguridad Santini System Group / Esparza Santini Conceptos de Seguridad Agenda Descripción del problema Ataques de seguridad en red Protocolos de administración Firewalls Redes privadas virtuales VPN s IDS Vs IPS

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY 1. Generalidades FAQs Qué tipo de amenazas ponen en peligro la infraestructura de mi PC? Cómo Aranda 360 protege la infraestructura de mi PC? Puedo usar Aranda 360 sin un antivirus? Puedo usar Aranda 360

Más detalles

CAPITULO 2 SISTEMAS PARA DETECCIÓN DE INTRUSOS

CAPITULO 2 SISTEMAS PARA DETECCIÓN DE INTRUSOS CAPITULO 2 SISTEMAS PARA DETECCIÓN DE INTRUSOS En este capítulo se explica la importancia de los sistemas de seguridad que se emplean para las redes de comunicaciones tales como los IDS junto con los Firewall

Más detalles

HERRAMIENTAS DE SEGURIDAD

HERRAMIENTAS DE SEGURIDAD Seguridad Informática I M.C. Cintia Quezada Reyes HERRAMIENTAS DE SEGURIDAD Siempre es conveniente instalar herramientas de seguridad y es aconsejable que éstas sean las que se consideren necesarias después

Más detalles

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source Inteligencia Artificial y Seguridad Informática en plataformas Open Source Jornadas de Software Libre y Seguridad Informática Santa Rosa La Pampa 4 y 5 de Diciembre de 2009 AGENDA Primera Parte Definiciones

Más detalles

DETECCION DE INTRUSOS.

DETECCION DE INTRUSOS. DETECCION DE INTRUSOS. Presentado por: Maury l. González Deivy m. escobar Christian a. herrera Yoiner cordoba Marlon Góngora. Sistema de detección de intrusos: Un sistema de detección de intrusos (o IDS

Más detalles

VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL. AUTOR: Alejandro Ramos Fraile

VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL. AUTOR: Alejandro Ramos Fraile VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL AUTOR: Alejandro Ramos Fraile Tiger Team Manager (SIA Company), Security Consulting (CISSP, CISA) Hola, bienvenidos a intypedia. Hoy vamos a explicar

Más detalles

Actualidad de la tecnología de detección de intrusos en las redes

Actualidad de la tecnología de detección de intrusos en las redes VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 Actualidad de la tecnología de detección de intrusos en las redes MSc. Walter Baluja García walter@tesla.cujae.edu.cu Dpto. Telemática

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 6. Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 6. Actualización Página 1 de 17 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 6 Situación Contraste externo Actualización

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

Prácticas y Tecnologías de Seguridad Informática

Prácticas y Tecnologías de Seguridad Informática El estado del arte actual Iván Arce І ivan.arce@corest.com Prácticas y Tecnologías Agenda El estado actual: Prácticas Penetration Tests El estado actual: Herramientas Vulnerability Scanners Intrusion Detection

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles

DESCRIPCIÓN GENERAL DE

DESCRIPCIÓN GENERAL DE DESCRIPCIÓN GENERAL DE 1. Introducción OSSIM (Open Source Security Information Management System) agrupa más de 15 programas de código abierto proporcionando todos los niveles tecnológicos necesarios para

Más detalles

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos ENDPOINT PROTECTION STANDARD Para empresas con más de 25 equipos 2 ESET Endpoint Protection Standard Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Seguridad en redes: Herramientas de seguridad (i) Ramón Hermoso y Matteo Vasirani Universidad Rey Juan Carlos Curso 2012/2013 Bibliografía Richard Bejtlich. The Tao Of Network Security

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes

Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes 01/04/2013 Ingelan Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes No es suficiente con cumplir la normativa GMP. Para que sea eficaz, debe ser creíble La normativa obliga

Más detalles

VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003

VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 Título: Actualidad de la tecnología de detección de intrusos en las redes. Autor: MSc. Walter Baluja García Dpto. Telemática.CUJAE.

Más detalles

Sistemas de detección de intrusos: un enfoque práctico. Antonio Villalón Huerta

Sistemas de detección de intrusos: un enfoque práctico. Antonio Villalón Huerta Sistemas de detección de intrusos: un enfoque práctico Antonio Villalón Huerta avillalon@s2grupo.com Abril, 2003 This is 100% Microsoft free Contenidos Introducción. Detección en el cortafuegos. Detección

Más detalles

Unicenter Asset Management versión 4.0

Unicenter Asset Management versión 4.0 D A T A S H E E T Unicenter Asset Management versión 4.0 Unicenter Asset Management es una completa solución para gestionar los activos TI de su entorno empresarial de forma activa. Proporciona funciones

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

Agenda. Alerta temprana DeepSight. Honey Pots ManTrap

Agenda. Alerta temprana DeepSight. Honey Pots ManTrap Agenda Seguridad Symantec Daniel Arnanz Visión global Appliances Introducción a los IDS IDS de Symantec Visión global de la seguridad Symantec Enterprise Security Alerta temprana de nuevas amenazas Aviso

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Tema 6. Firewalls. SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección. http://ccia.ei.uvigo.es/docencia/ssi. 20 de abril de 2009

Tema 6. Firewalls. SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección. http://ccia.ei.uvigo.es/docencia/ssi. 20 de abril de 2009 Tema 6. Firewalls SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección http://ccia.ei.uvigo.es/docencia/ssi 20 de abril de 2009 FJRP, FMBR 2008 ccia SSI 6.1 Conceptos básicos Cortafuegos: Mecanismo de control

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

CAPITULO 2 DESCRIPCION GENERAL DE LOS SISTEMAS DE DETECCION DE INTRUSOS

CAPITULO 2 DESCRIPCION GENERAL DE LOS SISTEMAS DE DETECCION DE INTRUSOS CAPITULO 2 DESCRIPCION GENERAL DE LOS SISTEMAS DE DETECCION DE INTRUSOS En este capitulo se hace una descripción de manera general sobre los sistemas de detección de intrusos, se describen los tipos que

Más detalles

Política y Procedimiento del uso de Firewalls

Política y Procedimiento del uso de Firewalls Fecha de aprobación: 27/mayo/2008 Página: 2 de 11 Control de Cambios Fecha Versión Descripción Autor 14/Enero/2008 1.0 Comenzando el desarrollo de las secciones Roberto García 21/Febrero/2008 1.0 Revisión

Más detalles

Daniel Gutierrez Cerón

Daniel Gutierrez Cerón Daniel Gutierrez Cerón OBJETIVOS JUSTIFICACION IMPORTANCIA DE LA SEGURIDAD INFORMATICA DESCRIPCION DE UN NAC ANALISIS Y DISEÑO DEL PROYECTO PACKETFENCE IMPLEMENTACION DEL PROYECTO Implementar una solución

Más detalles

Monitorización de red como elemento esencial en el concepto de seguridad de TI

Monitorización de red como elemento esencial en el concepto de seguridad de TI Monitorización de red como elemento esencial en el concepto de seguridad de TI White Paper Autor: Daniel Zobel, Head of Software Development, Paessler AG Publicación: julio 2013 PÁGINA 1 DE 8 Contenido

Más detalles

Panda Managed Office Protection Visita a la Consola web de Administración

Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita Guiada a la Consola Web de Administración Centralizada Marzo 2009 Tabla de contenidos 1.

Más detalles

Monitorización y gestión de dispositivos, servicios y aplicaciones

Monitorización y gestión de dispositivos, servicios y aplicaciones Monitorización y gestión de dispositivos, servicios y aplicaciones Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefa del Servicio de Informática - Secretaría General Técnica

Más detalles

Para empresas con más de 25 equipos

Para empresas con más de 25 equipos Para empresas con más de 25 equipos 2 Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario. En ESET pensamos

Más detalles

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 25 CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC153_3 Versión 5 Situación RD 1087/2005 Actualización Competencia general

Más detalles

1. Título ENTORNO DE SEGURIDAD PARA SERVIDORES

1. Título ENTORNO DE SEGURIDAD PARA SERVIDORES 1. Título ENTORNO DE SEGURIDAD PARA SERVIDORES 2. Introducción El sistema se desarrolló en el marco del trabajo práctico de la asignatura Sistemas Operativos 2 correspondiente al 7mo semestre de la carrera

Más detalles

Qué es un firewall? cortafuegos firewall

Qué es un firewall? cortafuegos firewall FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

Más detalles

Seminario Seguridad en desarrollo del Software. Tema: Panorama general de la seguridad informática. Autor: Leudis Sanjuan

Seminario Seguridad en desarrollo del Software. Tema: Panorama general de la seguridad informática. Autor: Leudis Sanjuan Seminario Seguridad en desarrollo del Software Tema: Panorama general de la seguridad informática Autor: Leudis Sanjuan Qué es la seguridad informática? Existen muchas definiciones para este término, pero

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES

SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES SEGURIDAD INFORMATICA HERRAMIENTAS PARA LA SEGURIDAD EN REDES DE COMPUTADORES Defensa equipo a equipo INTERNET Redes Externas Defensa perimetral Cliente Herramientas para la seguridad en Firewall Servicios

Más detalles

3. Acceso granular a su información. 4. Información no estructurada. 5. Privilegios de accesos granulares. 6. Almacenamiento de conocimiento

3. Acceso granular a su información. 4. Información no estructurada. 5. Privilegios de accesos granulares. 6. Almacenamiento de conocimiento ÍNDICE 1. Introducción 2. Análisis Forense 3. Acceso granular a su información 4. Información no estructurada 5. Privilegios de accesos granulares 6. Almacenamiento de conocimiento 7. Patrones de comportamiento

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Tema 6. Seguridad Perimetral Parte 1. Cortafuegos

Tema 6. Seguridad Perimetral Parte 1. Cortafuegos Tema 6. Seguridad Perimetral Parte 1. Cortafuegos Seguridad en Sistemas Informáticos Octubre-2012 Contenido 1 básicos 2 Tipos de cortafuegos Cortafuegos de filtrado de paquetes Pasarelas de nivel de aplicación

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla Marco Teórico SIM/SIEM: Security Information and Event Management. Un Administrador de eventos de seguridad (SEM) (siglas SIEM y SIM) es una herramienta informática utilizada en la empresa de redes de

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

Monitorización de sistemas y servicios

Monitorización de sistemas y servicios Monitorización de sistemas y servicios Contenidos Contenidos... 1 Resumen ejecutivo... 2 Arquitectura de la plataforma de monitorización... 2 Monitorización y alarmas... 3 Monitorización... 3 Servicios

Más detalles

4. La instantánea se pone en línea y está listo para su uso.

4. La instantánea se pone en línea y está listo para su uso. 1 er RESUMEN TRADUCIDO. Las instantáneas de SQL Server 2005. Una vista de DBA en SQL 2005 instantáneas de base de datos Las instantáneas de bases de datos son un instrumento nuevo Enterprise Edition sólo,

Más detalles

Experiencia 5 : Firewall

Experiencia 5 : Firewall Experiencia 5 : Firewall 1 Material para utilizar: Cable de red (patch cord) construído en el laboratorio. Switch Cisco, modelo Catalyst 2912XL Router Cisco, modelo 2600 PC con FreeBSD 2 Firewalls 2.1

Más detalles

SEGURIDAD EN SISTEMAS INFORMÁTICOS

SEGURIDAD EN SISTEMAS INFORMÁTICOS Universidad Pública de Navarra Grupo de Redes, Sistemas y Servicios Telemáticos SEGURIDAD EN SISTEMAS INFORMÁTICOS Práctica 4 Escáneres y Honeypots Introducción En la última práctica adquirimos las nociones

Más detalles

AUDITORÍA DE SISTEMAS. Líneas de Profundización III

AUDITORÍA DE SISTEMAS. Líneas de Profundización III AUDITORÍA DE SISTEMAS 1 I Auditoría de Redes 2 Usar la jerga Modelo OSI Modelo TCP/IP Tecnologías de Red 3 Vulnerabilidades en Redes 4 Alteración de bits Alteración de secuencia Ausencia de paquetes 5

Más detalles

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València

Autor: Angel Alonso Párrizas Director: Santiago Felici Castell. Ingeniería informática Universitat de València Propuesta de una arquitectura de sistemas de detección de intrusos con correlación. Autor: Angel Alonso Párrizas Director: Santiago Felici Castell Noviembre 2005 Haga clic TABLA para cambiar DE CONTENIDOS

Más detalles

Lección 5: Seguridad Perimetral

Lección 5: Seguridad Perimetral Lección 5: Seguridad Perimetral Alejandro Ramos Fraile aramosf@sia.es Tiger Team Manager (SIA company) Security Consulting (CISSP, CISA) Madrid, España, febrero 2011 Video intypedia005es intypedia 2011

Más detalles

SISTEMA DETECCIÓN DE INTRUSOS (IDS)

SISTEMA DETECCIÓN DE INTRUSOS (IDS) SISTEMA DETECCIÓN DE INTRUSOS (IDS) ARMANDO BECERRA RODRÍGUEZ CÓD. 1150439 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER PLAN DE ESTUDIOS DE INGENIERÍA DE SISTEMAS FACULTAD DE INGENIERÍA SAN JOSÉ DE CÚCUTA

Más detalles

Sistemas de Detección de Intrusos

Sistemas de Detección de Intrusos Tema S11 Actualizado 10-05-2011 Sistemas de Detección de Intrusos Álvaro Alesanco alesanco@unizar.es Criptografía y Seguridad en Redes de Comunicaciones Índice! Introducción! Usos de un IDS! Tipos de IDS!

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/ Hugo

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes.

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes. SISTEMAS DISTRIBUIDOS DE REDES 2.- MODELOS ORIENTADOS A OBJETOS DISTRIBUIDOS 2.1. Tecnologías de sistemas distribuidos Para la implementación de sistemas distribuidos se requiere de tener bien identificados

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

Detección de Intrusos. Qué es un IDS?

Detección de Intrusos. Qué es un IDS? Detección de Intrusos Roberto Gómez Cárdenas ITESM-CEM rogomez@itesm.mx Lámina 1 Qué es un IDS? Intrusion Detection System Software específicamente diseñado para reconocer los patrones de un comportamiento

Más detalles

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls EL64E Alberto Castro Rojas 1 Agenda Las redes locales y su conexión a distancias Dirección MAC y dirección IP Equipos de interconexión Los protocolos

Más detalles

Propuesta de modelo para un Sistema Inteligente de Detección de Intrusos en Redes Informáticas (SIDIRI)

Propuesta de modelo para un Sistema Inteligente de Detección de Intrusos en Redes Informáticas (SIDIRI) 1 Propuesta de modelo para un Sistema Inteligente de Detección de Intrusos en Redes Informáticas (SIDIRI) Arroyave, Juan David., Herrera, Jonathan y Vásquez, Esteban. {ifjuar, ifjoher, ifesvas}@eia.edu.co

Más detalles

LOOKWISE ENTERPRISE MANAGER NOVEDADES RELEASE 5.1

LOOKWISE ENTERPRISE MANAGER NOVEDADES RELEASE 5.1 LOOKWISE ENTERPRISE MANAGER NOVEDADES RELEASE 5.1 LOOKWISE ENTERPRISE MANAGER NOVEDADES RELEASE 5.1 página 2 de 17 S21sec - Pamplona, 2015 La información facilitada en este documento es propiedad de S21sec,

Más detalles

Webinar Gratuito Hacking Ético

Webinar Gratuito Hacking Ético Webinar Gratuito Hacking Ético V. 2 Alonso Eduardo Caballero Quezada Consultor en Hacking Ético, Informática Forense & GNU/Linux Sitio Web: http://www.reydes.com e-mail: ReYDeS@gmail.com Jueves 30 de Octubre

Más detalles

TALLER MANUEL ARROYAVE HENAO PRESENTADO A:

TALLER MANUEL ARROYAVE HENAO PRESENTADO A: TALLER DESCUBRIENDO OTRAS HERRAMIENTAS DE SW AUDITORIA MANUEL ARROYAVE HENAO JHON FREDY GIRALDO PRESENTADO A: CARLOS HERNAN GÓMEZ INGENIERO DE SISTEMAS UNIVERSIDAD DE CALDAS FACULTAD DE INGENIRIAS INGENIERIA

Más detalles

Seguridad en Redes (Monitoreo y Control)

Seguridad en Redes (Monitoreo y Control) Seguridad en Redes (Monitoreo y Control) Problema Las Redes de computadores estan diseñadas para lograr el maximo de conectividad. Por lo generar una red corporativa provee un conjunto de servicios criticos

Más detalles

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira -

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira - Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira - 1 ÍNDICE 1.- Qué es un firewall 2.- Tecnologías de Firewall Filtros de paquetes Puertas de enlace de aplicación

Más detalles

Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad. Admon de Redes de Pc: Cristian Mutis Caez

Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad. Admon de Redes de Pc: Cristian Mutis Caez Introducción a los Sistemas de detección de Intrusos (IDS) y monitoreo de Seguridad Admon de Redes de Pc: Cristian Mutis Caez Contenido de la charla Parte I Fundamentos de IDS Conceptos fundamentales de

Más detalles

Multi Traffic Routing Grapher (MRTG)

Multi Traffic Routing Grapher (MRTG) UNIVERSIDAD CENTROCCIDENTAL LISANDRO ALVARADO DECANATO DE CIENCIAS Y TECNOLOGÍA COORDINACIÓN DE POST-GRADO Maestría en Ciencias de la Computación- Mención Redes de Computadoras Multi Traffic Routing Grapher

Más detalles

Beneficios estratégicos para su organización. Beneficios

Beneficios estratégicos para su organización. Beneficios La solución ideal para controlar la totalidad de su infraestructura IT mediante un inventario automatizado, control remoto y Gestión de activos informáticos. Beneficios Características Inventario actualizado

Más detalles

1. OBJETIVOS DEL PROYECTO... 4 2. ALCANCE DEL PROYECTO... 6 3. ESTADO DEL ARTE... 8 3.1. SISTEMAS DE DETECCION DE INTRUSOS... 8

1. OBJETIVOS DEL PROYECTO... 4 2. ALCANCE DEL PROYECTO... 6 3. ESTADO DEL ARTE... 8 3.1. SISTEMAS DE DETECCION DE INTRUSOS... 8 1. OBJETIVOS DEL PROYECTO... 4 2. ALCANCE DEL PROYECTO... 6 3. ESTADO DEL ARTE... 8 3.1. SISTEMAS DE DETECCION DE INTRUSOS... 8 3.1.1. SEGURIDAD PERIMETRAL... 10 3.1.2. CLASIFICACIÓN DE IDS... 14 3.1.3.

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

De Wikipedia, la enciclopedia libre

De Wikipedia, la enciclopedia libre Proxy De Wikipedia, la enciclopedia libre En el contexto de las redes informáticas, el término proxy hace referencia a un programa o dispositivo que realiza una acción en representación de otro. Su finalidad

Más detalles

TEMA 29 LOS PROTOCOLOS DE GESTIÓN. TCP/IP Y SNMP. OSI Y CMIS/CMIP. RMON.

TEMA 29 LOS PROTOCOLOS DE GESTIÓN. TCP/IP Y SNMP. OSI Y CMIS/CMIP. RMON. TEMA 29 LOS PROTOCOLOS DE GESTIÓN. TCP/IP Y SNMP. OSI Y CMIS/CMIP. RMON. Introducción... 1 TCP/IP Y SNMP... 2 Administración...3 Seguridad...3 Ventajas de SNMP...3 Desventajas de SNMP...3 Las versiones

Más detalles

Técnico en Seguridad en Redes Locales

Técnico en Seguridad en Redes Locales Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad en Redes Locales Duración: 300 horas Precio: 200 * Modalidad: Online * Materiales didácticos, titulación y gastos de envío incluidos.

Más detalles

Ciber Seguridad en Redes Industriales. Jhon Jairo Padilla Aguilar, PhD.

Ciber Seguridad en Redes Industriales. Jhon Jairo Padilla Aguilar, PhD. Ciber Seguridad en Redes Industriales Jhon Jairo Padilla Aguilar, PhD. El problema La conectividad expone las redes industriales críticamente seguras a una gran cantidad de problemas del Internet. Debido

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles