A n á l i s i s d e s i s t e m a s d e d e t e c c i ó n d e i n t r u s i o n e s

Tamaño: px
Comenzar la demostración a partir de la página:

Download "A n á l i s i s d e s i s t e m a s d e d e t e c c i ó n d e i n t r u s i o n e s"

Transcripción

1 A n á l i s i s d e s i s t e m a s d e d e t e c c i ó n d e i n t r u s i o n e s Proyecto Fin de Carrera Vanessa Viñes Sanjuan Tutor: Robert Rallo Moya Ingeniería Técnica en Informática de Sistemas

2 0. Índice 0. Índice Objetivos del Proyecto Definiciones Definiciones sobre los IDS... Error! Marcador no definido Definición de intrusión... Error! Marcador no definido Historia de los IDS Por que son necesarios los sistemas de detección de intrusiones Que es un IDS o sistema de detección de intrusos Definición de firmas y filtros Definición de eventos de interés (EOI) Tipos de ataques que puede detectar un IDS Que es un Honeypot? Que es un firewall? Tipos de sistemas de detección de instrusiones HIDS o IDS Host Based NIDS o IDS Network Based Híbridos Pasivos Activos Detección del mal uso Detección del uso anómalo Tipos de errores Elementos básicos de un IDS Protocolos de comunicación entre Sensor-Consola Arquitectura de los IDS Arquitectura general de un IDS Arquitecturas específicas de un IDS CIDF (Common Intrusion Detection Framework) DIDS (Distributed Intrusion Detection System) Arquitectura de los NIDS Caracterísitcas de los IDS Análisis de los datos obtenidos por un IDS Capacidades de los IDS Limitaciones de los IDS El ataque mitnick...33 Vanessa Viñes Sanjuan 2

3 4.5. Dónde colocar el IDS? Análisis de productos Productos comerciales Productos de libre distribución Actualidad en los IDS Proyectos de investigación Guía de diseño Aspectos genéricos Casos de estudio Implementación Análisis de una red del tipo I Análisis de una red del tipo II Análisis de una red del tipo III Análisis de una red del tipo IV Conclusiones Recursos utilizados Programas Información en Internet Bibliografía Vanessa Viñes Sanjuan 3

4 1. O b j e t i v o s d e l P r o y e c t o El proyecto trata de determinar, sobre una serie de casos, cual sería la mejor opción a seguir para poder conseguir que el sistema sea seguro y esté protegido contra intrusiones externas. Podemos diferenciar los puntos más importantes en: Determinar los componentes de un sistema de detección de intrusos. Diferenciar los tipos de sistemas de detección de intrusos conocidos. Determinar la arquitectura de un sistema de detección de intrusos. Análisis de los productos de mercado (de libre distribución y comerciales). Guía de diseño Aspectos genéricos Casos de estudio. Análisis económico de hardware y software. Vanessa Viñes Sanjuan 4

5 2. D e f i n i c i o n e s 2.1. Definiciones sobre los IDS Definición de intrusión Una intrusión es un conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de algún recurso de nuestro equipo Historia de los IDS Los primeros sistemas de detección de intrusiones fueron emergiendo a medida que el número de ordenadores crecía. Cuantos más ordenadores había mas aumentaba el número de eventos d sistema a analizar, era tal esta tarea que se volvió humanamente imposible de realizarla. Las autoridades militares de Norteamérica se dieron cuenta de que el uso cada vez más masivo de ordenadores en sus instalaciones requería algún mecanismo que facilitara la labor de sus auditores. James P. Anderson fue la primera persona capaz de documentar la necesidad de un mecanismo que automatizara la revisión de los eventos de seguridad. Describió el concepto de Monitor de referencias en un estudio encargado por las Fuerzas Aéreas de EEUU, y redactó un informe en 1980 que sería el primero de los futuros trabajos sobre la detección de intrusiones. Uno de los objetivos de este informe era la eliminación de información redundante o irrelevante en los registros de sucesos. Anderson propuso un sistema de clasificación que diferenciaba entre ataques internos y ataques externos, basado en si los usuarios tenían permiso de acceso o no al ordenador. Estos eran los principales objetivos de los mecanismos de auditoria de seguridad: - Debían proporcionar suficiente información para que los encargados de seguridad localizaran el problema, pero no para efectuar un ataque. - Debía ser capaz de obtener datos de distintos recursos del sistema. - Para evitar ataques internos, debía detectar usos indebidos o fuera de lo normal por parte de los usuarios. - El diseño del mecanismo de auditoria debía ser capaz de obtener la estrategia usada por el atacante para entrar en las cuentas. Ideó un sistema para dar solución al problema de los intrusos que se habían apoderado de cuentas basándose en patrones de uso, creados a partir de análisis de estadísticas de comportamiento de usuario. Los sistemas posteriores trabajarían con esa idea. El IDES o Intrusión Detection Expert System, desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann, fue un modelo que definía un sistema de detección de intrusiones en tiempo Vanessa Viñes Sanjuan 5

6 real. Este proyecto, fundado entre otros por la marina estadounidense, proponía una correspondencia entre actividad anómala y abuso, o uno indebido. Entendiendo por anómala, aquella actividad rara o inusual en un contexto estadístico. Usaba perfiles para describir a los sujetos del sistema, y reglas de actividad para definir las acciones que tenían lugar. Estos elementos permitían establecer mediante métodos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías. IDES era un sistema híbrido porque añadía un nivel de seguridad adicional, que minimizaba los efectos de un intruso que intentara eludir el detector de anomalías. En los años ochenta aparecieron numerosos sistemas de detección de intrusiones. Desde 1984 hasta 1985 un grupo de desarrollo en Sytek dirigió un proyecto denominado "Automated Audit Analysis". Utilizaba información recogida a nivel de interfaz de comandos ("shell") de un sistema UNIX, para posteriormente compararlos con una base de datos. Estos datos se analizaban estadísticamente para demostrar que se podían detectar comportamientos fuera de lo normal. Algunos investigadores del proyecto trabajaron más tarde en "SRI International". Discovery fue un sistema creado para detectar e impedir problemas en la base de datos de TRW. La novedad de Discovery radicaba en que monitorizaba una aplicación, no un sistema operativo. Utilizaba métodos estadísticos escritos en COBOL para detectar los posibles abusos. Su creador fue William Tener. El proyecto Haystack, del Centro de Soporte Criptológico las Fuerzas Aéreas de EEUU fue usado para ayudar a los oficiales a encontrar signos de ataques internos en los ordenadores principales de sus bases. Estas máquinas eran principalmente "mainframes" (servidores corporativos) que manejaban información no clasificada pero confidencial. El sistema estaba escrito en C ANSI y SQL. Examinaba los datos de forma periódica, recogiendo colas de eventos de forma periódica. Utilizaba dos fases de análisis para detectar las posibles anomalías. El principal responsable del proyecto fue Steve Smaha. Otro proyecto importante fue el "Multics Intrusion Detection and Alerting System" (MIDAS), creado por el National Computer Security Center (NCSC). Se utilizó para monitorizar el sistema NCSC's Dockmaster, un Honeywall DPS 8/70 en el que corría uno de los sistemas operativos más seguros de entonces, un Multics. Al igual que IDES, MIDAS utilizaba un sistema híbrido en el que combinaba tanto la estadística de anomalías como reglas de seguridad de un sistema experto. MIDAS usaba un proceso de análisis progresivo compuesto por cuatro niveles de reglas. Además de estas reglas, también contaba con una base de datos que usaba para determinar signos de comportamiento atípico. Fue uno de los primeros sistemas de detección de intrusiones conectados a Internet. Fue publicado en la red en 1989 y monitorizó el Mainframe Dockmaster en Contribuyó a fortalecer los mecanismos de autenticación de usuarios. Además, no sólo había contribuido a mejorar la seguridad contra ataques externos, sino que también seguía bloqueando intrusiones internas. "Network Audit Director and Intrusion Reporter" (NADIR) fue desarrollado en Laboratorio Nacional de Los Alamos, para monitorizar el "Integrated Computing Network" (ICN). Esta red estaba inicialmente compuesta por unos usuarios. NADIR usaba técnicas de detección similares a los sistemas de su tiempo como el IDES o MIDAS. Fue uno de los sistemas con más éxito de los años ochenta. La principal responsable de NADIR fue Kathleen Jackson. El "Network System Monitor" (NSM) fue desarrollado en la Universidad de California para trabajar en una estación UNIX de Sun. Fue el primer sistema de detección de intrusiones que monitorizaba el Vanessa Viñes Sanjuan 6

7 tráfico de red, utilizando los datos del propio tráfico como principal fuente de datos. Los anteriores sistemas utilizaban los eventos de sistema o registraban las pulsaciones de teclado. El funcionamiento del NSM, que muchos sistemas de detección de intrusiones de red utilizan hoy en día, se puede describir en estos pasos: - Ponía el dispositivo de red en modo promiscuo ("promiscuous mode"), de forma que monitorizara todo el tráfico que recibiera, incluido el que no iba dirigido al sistema. - Capturaba los paquetes de red. - Identificaba el protocolo utilizado para poder extraer los datos necesarios (IP, ICMP, etc.). - Utilizaba un enfoque basado en matrices para archivar y analizar las características de los datos, en busca tanto de variaciones estadísticas que revelaran un comportamiento anómalo como de violaciones de reglas ya preestablecidas. Una de las pruebas que se hicieron con el NSM duró dos meses. Monitorizó más de conexiones, y detectó correctamente más de 300 posibles intrusiones. Como dato significativo, y para enfatizar la necesidad del uso de este tipo de sistemas, hay que señalar que los administradores no llegaron a percibir ni el 1% de dichas intrusiones. Los principales responsables del NSM fueron Karl Levitt, Todd Heberlein, y Biswanath Mukherjee de la Universidad de California. El sistema "Wisdom and Sense" fue un detector de anomalías creado en el Laboratorio Nacional de Los Álamos en cooperación con el Laboratorio Nacional de Oak Ridge. Utilizaba técnicas no paramétricas ("nonparametric techniques"), que eran técnicas estadísticas que no hacían suposiciones sobre la distribución de los datos. Usaban este método para crear su propio conjunto de reglas. Luego analizaba los "logs" de las auditorias en busca de excepciones de esas reglas, las cuales estaban organizadas en "arrays" con forma de árbol. Definían lo que era el comportamiento normal desde un punto de vista cronológico de los datos de auditoria Por que son necesarios los sistemas de detección de intrusiones? Hoy en día las organizaciones tienen salida a las redes mundiales de información, por lo tanto tienen que asegurarse que no puedan robar los datos que son confidenciales. Algunas de las razones de usar un sistema de detección de intrusiones son: - Prevenir ataques que las otras medidas de seguridad no son capaces de detectar. - En caso de ataque poder saber por que se ha producido, y así evitar futuros ataques del mismo tipo. - Detectar y tratar las acciones previas a un ataque. Vanessa Viñes Sanjuan 7

8 - Recolectar información sobre los ataques, para después poder compartirla con el resto de gente. Así en el futuro será más complicado poder perpetrar las defensas de las organizaciones mundiales Que es un IDS o sistema de detección de intrusos? Es una herramienta de seguridad que nos proporciona un sistema para poder detectar o monitorizar eventos que ocurren en un sistema informático con conexión de red que comprometen la seguridad de dicho sistema. Los IDS buscan en nuestro equipo patrones que ye han estado previamente definidos y que impliquen cualquier tipo de actividad sospechosa sobre nuestra red. Un IDS es un sistema de prevención y de alerta anticipada, ya que realmente no son capaces de detener el ataque en si, lo único que nos puede proporcionar son una serie de respuestas ante diferentes eventos maliciosos. Básicamente lo que hacen estos sistemas es vigilar el tráfico de nuestra red, examinan los paquetes que entran, pueden detectar las primeras fases de un ataque y también pueden realizar barridos de puertos (de ahí que algunos también se puedan considerar como sniffers ). Los objetivos que ha de tener un buen sistema de detección de intrusos son los siguientes: Vigilar y analizar la actividad de los usuarios del sistema. Revisar las configuraciones del sistema y de las vulnerabilidades. Evaluar la integridad de los archivos críticos del sistema y de los datos. Reconocimiento de los modelos de la actividad que reflejan ataques conocidos. Análisis estadístico para los modelos anormales de la actividad. Gerencia del rastro de intervención del sistema operativo, con el reconocimiento de las violaciones de la actividad del usuario respecto a la política establecida. Vigilar el cumplimiento de políticas y procedimientos establecidos dentro de la organización Definición de firmas y filtros Definiremos una firma como, aquello que define o describe un patrón de interés en el tráfico de nuestra red. Definiremos un filtro como, la trascripción de una firma a un lenguaje comprensible por los sensores que monitorizan nuestra red. Las firmas nos permiten diferenciar entre todo el tráfico generado por las redes y obtener un subconjunto de éste lo suficientemente pequeño como para que sea tratable computacionalmente y lo suficientemente amplio como para poder detectar comportamientos anómalos en tiempo real. Vanessa Viñes Sanjuan 8

9 Las firmas utilizadas por los IDS, usualmente, son patrones que permiten detectar ataques ya conocidos. Su funcionamiento es el mismo que el de los antivirus, se basan en encontrar coincidencias de ataques ya conocidos en el tráfico actual de la red Definición de eventos de interés (EOI) Definiremos los eventos de interés como, el subconjunto mínimo de muestras que debemos analizar para considerar nuestra red como segura. Los aspectos a tener en cuenta son: - Criticidad: No todos los ordenadores tienen la misma función, o sea, no es lo mismo que ataquen a un servidor de DNS, o a un firewall, o a un PC de usuario. - Letalidad: Los diferentes ataques (exploits) no tienen siempre el mismo objetivo. Dependiendo de si simplemente tiene posibilidades de funcionar en algún sistema no parcheado a si se permite bloquear la máquina o ganar acceso como usuario simple o root, evaluaremos el ataque. - Contramedidas: Una vez detectado un ataque, o un inicio de ataque, nuestra capacidad de respuesta es otro factor a tener en cuenta Tipos de ataques que puede detectar un IDS La seguridad de un sistema informático se basa en que no se violen estos 3 principios básicos: - Confidencialidad: Que la información privada del propietario no pueda ser vista por nadie que no deba tener acceso a ella. - Integridad: Un atacante no puede alterar la información del sistema, ni provocar cambios de estado. - Disponibilidad: Un ataque no puede provocar la continuidad de la ejecución de algún proceso del sistema. A continuación se muestran algunos de los ataques que un sistema de detección de intrusos es capaz de detectar: - Escáneres: Podemos decir que un ataque de este tipo ha tenido lugar cuando, un atacante envía a una red o a un sistema distintos tipos de paquetes. Usando la respuesta a cada uno de estos paquetes enviados, el atacante puede llegar a Vanessa Viñes Sanjuan 9

10 conocer el sistema al que quiere atacar. A partir de aquí el atacante ya conoce las vulnerabilidades del sistema y puede entrar con mayor grado de éxito. Algunas herramientas que se pueden usar para realizar escáneres en los hosts pueden ser: network mappers, port mappers, network scanners, vulnerability scaners, - DoS (Ataque de denegación de servicio): El objetivo de este ataque es parar o entorpecer sistemas o servicios. Tenemos dos tipos de ataques DoS: el primero es el flau explotation (explotación de defectos) y el segundo es el flooding (inundación). La explotación de defectos consiste en aprovechar los defectos de la máquina a la que se quiere atacar, provocando una violación de disponibilidad, también se puede conseguir que, el servicio al que se le hace el ataque, acabe agotando los recursos de la máquina hasta que caiga o el servicio se quede bloqueado. El ataque por inundación consiste en, enviar más información de la que puede llegar a gestionar el sistema, con lo que conseguimos que el sistema atacado se quede sin recursos intentando gestionar todas las peticiones, hasta que se quede bloqueado. - Ataques de penetración: Estos intentan conseguir o alterar unos privilegios no autorizados dentro de un sistema. También se refieren a conseguir recursos o información de un sistema al que el atacante no esta autorizado para acceder. Vanessa Viñes Sanjuan 10

11 2.2. Que es un Honeypot? Son sistemas de información cuyo objetivo es simular vulnerabilidades en nuestro sistema por medio de algunas herramientas (p.e DTK, Specter), para atraer a los atacantes. Sin embargo el objetivo principal de estos sistemas poder conocer vulnerabilidades aún desconocidas. Existen dos tipos de Honeypots: Honeypots de producción: Utilizados para proteger una organización. Honeypots de investigación: Utilizados para aprender. Los Honeypots de producción son utilizados para ayudar a asegurar una organización mediante la detección de ataques, agregando un valor significativo a la infraestructura de seguridad y ayudando a mitigar riesgos. Los Honeypots de producción son más simples de implantar en comparación con los Honeypots de investigación, debido a que requieren menor funcionalidad. La cantidad de información que podemos obtener a partir de ellos es reducida, limitándose a los requerimientos de la organización. Los Honeypots de investigación tienen cómo objetivo, reunir información sobre la actividad maliciosa en la red, con la que podremos conocer las amenazas que las organizaciones podrán enfrentar, la manera de trabajar de los intrusos, qué tipo de herramientas utilizan y la manera de obtener dichas herramientas. Los Honeypots de investigación son más difíciles de implantar, por lo tanto requieren de más tiempo y esfuerzo en la administración. La diferencia entre un Honeypot de producción y uno de investigación consiste en cómo es utilizado y cual es el propósito de este; una organización podría estar interesada sólo en conocer las amenazas que existen en sus redes de producción y bloquear a todo atacante que pueda sacar provecho de las vulnerabilidades de la organización, sin embargo si utiliza un Honeypot de investigación, la organización podrá conocer mas sobre la actividad del atacante: qué herramientas se utiliza, de dónde se generó la intrusión y qué tipo de actividad había antes del incidente. Cuando son necesarios? Estos sistemas, generalmente, representan un coste adicional innecesario. Por esto no suelen ser un elemento común en redes convencionales. No obstante, a cierto tipo de organizaciones, este elemento se les presenta como indispensable, ya que el gran número de ataques que reciben a diario les hacen vulnerables. Los Honeypots, solo son útiles cuando la seguridad de le empresa es un elemento muy importante, como en empresas de seguridad, multinacionales, aseguradoras,. Vanessa Viñes Sanjuan 11

12 Ventajas: - Son fáciles de implementar. - La información que proporcionan es muy fiable. - No tienen coste de ejecución. - Permiten recoger la información necesaria del intruso, para poderle seguir a posteriori. - Permite saber el nivel de conocimientos que tiene el intruso. - Da tiempo a los administradores para poder actuar ante la intrusión, y que así esta no llegue a producirse nunca. Desventajas: - Asume que el atacante es un poco ignorante. - Muy raramente, un intruso experimentado, caerá en la trampa. - En muchas redes, es un coste innecesario. - Sólo es útil en una red grande que requiera de grandes medidas de seguridad. Vanessa Viñes Sanjuan 12

13 2.3. Que es un Firewall? Un cortafuegos o firewall (en inglés), es un mecanismo utilizado para prevenir algunos tipos de comunicaciones que se prohíben según las políticas de cada red. Estas políticas se fundamentan en las necesidades de los usuarios. Estos mecanismos funcionan usando unas técnicas de filtrado, con las cuales se puede evitar que algunos paquetes no deseados entren en nuestra red. Hay distintos tipos de firewall, como a continuación se indica: - Firewall de capa de red.- Funciona en el nivel de capa conocida como (TCP/IP), haciendo un filtrado de paquetes IP. Las acciones que realiza el cortafuegos evitan que los paquetes que no cumplan unas reglas predefinidas por el administrador del sistema (o aplicadas por defecto), puedan atravesar el muro y entrar en nuestro sistema. Otra posible configuración más permisiva podría permitir que cualquier paquete pase el filtro mientras que no cumpla con ninguna regla negativa de rechazo. - Firewall de capa de aplicación.- Este trabaja en el nivel de aplicación. Todo el tráfico de HTTP, (u otro protocolo), puede interceptar todos los paquetes que llegan o salen de una aplicación. En principio, los cortafuegos de aplicación pueden evitar que todo el tráfico externo indeseado alcance las máquinas protegidas. Ventajas: Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa si así se desea. Esto ayuda a reconfigurar rápida y fácilmente los parámetros de seguridad. Protección de información privada.- Permite el acceso solamente a quien tenga privilegios a la información de cierta área o sector de la red. Protección contra virus.- Evita que la red se vea infestada por nuevos virus que sean liberados. Podemos diferenciar entre dos políticas básicas de configuración de firewalls: - Permisividad máxima (allow everything): Esta configuración carece casi por completo de filtros. Esta política se usa en Intranets/LAN de universidades y organizaciones dónde la libertad del uso de aplicaciones es necesario para el funcionamiento ordinario del sistema. - Permisividad mínima (Deny everything): En este caso de niega el acceso a todos los servicios de red y se van permitiendo accesos a medida que se van necesitando. Cabe notar que este tipo de política requiere un gran esfuerzo ya que es poco flexible y en organizaciones con gran cantidad de usuarios con diferentes requerimientos puede llevar a tener que permitir tantos accesos cruzados que el sistema deje de ser práctico. Vanessa Viñes Sanjuan 13

14 Los cortafuegos tienen a menudo funcionalidad de traducción de direcciones de red (NAT) y es común utilizar el así llamado espacio de direcciones privado en las máquinas detrás de ella. Este espacio de direcciones privado se realiza como un intento (de eficacia discutible) de disfrazar las direcciones internas o red. Cabe notar que el simple uso de un firewall no nos garantiza que el sistema sea seguro, los cortafuegos no sirven de nada si no están correctamente configurados y se mantienen al día con sus actualizaciones de seguridad. Por otro lado estos sistemas son incapaces de detectar ataques más sofisticados (ataques DoS, por ejemplo), lo que hace necesario acompañarlos de otros sistemas de seguridad para poder aumentar el nivel de seguridad de nuestra red. La configuración correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor como herramienta de seguridad. Vanessa Viñes Sanjuan 14

15 2.4. Tipos de Sistemas de detección de intrusos Podemos clasificar los sistemas de detección de intrusos según: HIDS Fuentes de información NIDS Híbridos Sistemas de Detección de Intrusiones Análisis Detección del mal uso Detección del uso anómalo Respuesta Activos Pasivos Vanessa Viñes Sanjuan 15

16 HIDS o IDS Host-Based Este tipo protege contra un único servidor o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando también qué procesos o usuarios realizan determinada acción. Realizan un gran trabajo con los logs para su posterior investigación. Los sistemas Host-Based dependen generalmente de los registros del sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red mientras ocurren. En comparación con los NIDS, estos sistemas obligan a definir lo que se considera como actividades ilícitas y, a traducir la política de seguridad a reglas del IDS. Los sistemas relacionados al host se despliegan de la misma manera que los antivirus o las soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa una consola de gestión para generar informes. Los HIDS fueron los primeros sistemas que se desarrollaron en la comunidad informática. Estos sistemas no tienen ningún tipo de problema con el ancho de banda, no obstante solo pueden reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores que usan sistemas operativos no reconocidos, el administrador no habrá ganado nada. Sin embargo, las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen los NIDS, como verificación de integridad binaria, análisis sintáctico de logs y terminación de procesos no válidos. Ventajas Al trabajar sobre eventos locales, son capaces de detectar ataques que no pueden ser vistos por los NIDS. Pueden trabajar en entornos cifrados. No tiene dependencia de protocolos. Permite hacer un seguimiento de un usuario concreto. La calidad de información que proporcionan, es muy alta. Puede trabajar en entornos conmutados. Desventajas Son más costosos de administrar, que deben ser gestionados y configurados en cada host. Si la estación de análisis se encuentra dentro del host monitorizado, el IDS puede ser deshabilitado si un ataque logra tener éxito sobre la máquina. No son buenos para detectar ataques a toda una red, como los escaneos de puertos, ya que sólo ve los paquetes que le envían a él. Pueden ser deshabilitados por algunos ataques DoS. Usan una cantidad mayor de recursos que los IDS basados en red. Vanessa Viñes Sanjuan 16

17 NIDS o IDS Network-Based Estos, a diferencia de sus compañeros HIDS, se encargan de proteger a un sistema basado en red. Normalmente están formados por un conjunto de sensores localizados en varios puntos de la red. Muchos de estos sensores están diseñados para correr en modo oculto, de esta manera es mas difícil para los atacantes determinar la presencia y localización del sensor. Actúan sobre una red capturando y analizando los paquetes que circulan la capa TCP-IP. Posteriormente analizan todos los paquetes que han capturado buscando los modelos conocidos de ataque, como los que generalmente realizan los hackers o los ataques al Web Server. Si se les ubica correctamente son capaces de analizar redes grandes. Su gran ventaja es que su impacto en el tráfico de la red suele ser pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo. Analizan el tráfico de la red, normalmente, en tiempo real. No solo trabajan a nivel TCP/IP sino que también pueden hacerlo a nivel de aplicación. Los sistemas network-based son propensos a los positivos falsos (Explicado mas adelante en el punto de Tipos de errores en los IDS ). Por ejemplo, si el Web Server tiene sobrecarga de trabajo y no puede manejar todas las peticiones de conexión, los IDS quizá pueden detectar que el equipo esta bajo un ataque, aunque en realidad, no lo sea. Estos sistemas son los más comunes y son un poco diferentes: se diseñan empleando una arquitectura de consola-sensor y suelen ser totalmente pasivos. También cabe decir que este tipo de sistemas casi no se hacen notar y son independientes de la plataforma, se pueden desplegar con poco o ningún impacto sobre las redes de producción. Ventajas Estos IDS tienen un impacto mínimo en la red, normalmente son dispositivos pasivos que no interfieren en las operaciones habituales de la red. Son muy configurables, hasta el punto de hacerlos invisibles para el resto de la red. De este modo pueden ejecutar mejor tu trabajo. Tenemos un solo IDS que controla varios equipos de la red. Es independiente del sistema operativo de la red. Envían la información a un sistema de recolección de logs. (Bases de datos, etc.) Es capaz de predecir un ataque antes de que este se produzca, ya que intercepta los paquetes antes de que estos sean leídos por el equipo al que iban destinados. Desventajas Cuando el sistema es conmutado, es en extremo dificultoso la instalación de estos sistemas. Sería necesario instalar espejos de puerto. En redes de grandes velocidades y con un gran tráfico, un IDS de este tipo no sería capaz de proteger el sistema contra intrusiones. No analizan la información que se encuentra cifrada. Estos IDS no saben si el ataque producido tuvo, o no, éxito. Lo único que pueden saber es que se ha producido un ataque. Esto se traduce a que, después que el IDS detecte el Vanessa Viñes Sanjuan 17

18 ataque, debe ser el administrador el que se encargue de investigar si el intento de penetración tuvo realmente éxito. No puede controlar ciertos comportamientos de los usuarios dentro de los hosts. Requiere de hardware adicional, por ejemplo, una máquina que haga de IDS Híbridos Es una combinación de ambos sistemas con el objetivo de mejorar sus capacidades. Estos sistemas híbridos combinan las mejores características de ambos en una configuración del sensor del IDS, no obstante, sus características son inferiores a la suma de cada IDS por separado. Estos sistemas pueden ser más útiles en redes pequeñas en las que interesan sistemas más económicos y menos distribuidos. Real Secure de Internet Security Sistems (ISS), CyberCop de Network associates (NAI), son algunos ejemplos de soluciones que han adoptado un comportamiento híbrido. Ventajas Son más económicos que los HIDS o los NIDS. Aumenta el nivel de seguridad del Host. Tenemos más centralizado el sistema de seguridad. Pocos problemas de compatibilidad con el registro del sistema. Desventajas Si la seguridad del Host ha sido comprometida, los registros también son comprometidos. Compartimos la potencia del sistema entre los servicios del sistema y el IDS Pasivos Son aquellos que notifican al administrador del sistema mediante alertas, etc. Pero no actúan directamente sobre el ataque o atacante Activos Este tipo de respuestas son acciones automáticas que se toman cuando cierto tipo de intrusiones son detectados. Podemos diferenciarlos en dos categorías: Recogida de información adicional: consiste en incrementar el nivel de sensibilidad de los sensores para obtener más pistas del posible ataque. Vanessa Viñes Sanjuan 18

19 Cambio de entorno: Parar el ataque, por ejemplo: cerrar una sesión TCP activa o filtrar en el router de acceso o en el firewall la dirección del atacante, para evitar intrusiones futuras Detección del mal uso Este tipo de detección puede incluir los intentos de un usuario por ejecutar programas sin permiso, como por ejemplo los sniffers. Estos modelos se implementan observando como se pueden explotar los puntos débiles de los sistemas, describiéndolos mediante unos patrones o una secuencia de eventos o datos que serán interpretados por el IDS Detección del uso anómalo La detección de actividades anómalas se apoya en estadísticas tras comprender cual es el tráfico normal en la red del que no lo es. Un claro ejemplo de actividad anómala sería la detección de tráfico fuera de horario de oficina o el acceso repetitivo desde una máquina remota (rastreo de puertos). Este modelo de detección se realiza detectando cambios en los patrones de utilización o comportamiento del sistema. Esto se consigue realizando un modelo estadístico que contenga una métrica definida y compararlo con los datos reales analizados en busca de desviaciones estadísticas significantes. Vanessa Viñes Sanjuan 19

20 2.5. Tipos de errores Tenemos básicamente dos tipos de errores que puedan ocurrir en un sistema de detección de intrusos, se pueden categorizar como: - Falsos positivos: Es un término aplicado a un fallo de detección en un sistema de alertas. Sucede cuando se detecta la presencia de una intrusión en el sistema que realmente no existe. - Falsos negativos: es un término que hace referencia a un fallo en el sistema de alertas. Sucede cuando un intruso intenta acceder a nuestro sistema y se le es permitida la entrada por el sistema de alertas. La familia de los falsos positivos la podemos agrupar en cinco tipos, dependiendo de la naturaleza de su origen: - Reactionary traffic alarms: Se detecta un comportamiento sospechoso como consecuencia de tráfico generado anteriormente. Por ejemplo, la detección de muchas respuestas procedentes de un router porque el equipo destino no se encuentra operativo en esos momentos. - Equipment-related alarms: Las alarmas del NIDS detectan paquetes dentro del tráfico de la red que identifica como no usuales. - Protocol Violations: Estos avisos se producen por software mal programado o que implementan de forma incorrecta algunas partes de los protocolos de Internet. - True False Positives: Todos aquellos falsos positivos que no se encuadren en ninguna de las categorías anteriores. - Non Malicious Alarms: Alarmas producidas al detectar rastros de comportamientos maliciosos pero que en ese contexto determinado no lo son. Los ejemplos de falsos negativos son más difíciles de detectar, generalmente suelen producirse por: - Configuración deficiente de los recursos de la red: Por muchos elementos de seguridad que posea la red, esto no implica que sea segura. Si estos elementos están mal configurados, no podemos asegurar la red. - Ataques desde dentro: Para intentar evitar eso se tendrían que tener controles internos para poder detectar a este tipo de atacantes. - Equipos no parcheados y víctimas de los últimos exploits : Se tiene que intentar tener el equipo totalmente actualizado, de lo contrario el sistema será propenso a ser atacada. Vanessa Viñes Sanjuan 20

Semana 3: Con Con r t o r l de Acceso

Semana 3: Con Con r t o r l de Acceso Semana 3: Control de Acceso Intrusiones Aprendizajes esperados Contenidos: Verificación de la seguridad Detección de Intrusiones Métodos de ataque Qué es una INTRUSIÓN? Vamos a dfii definir INTRUSIÓN como

Más detalles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA INTRODUCCIÓN A LA SEGURIDAD EN REDES MAG. ELEONORA PALTA VELASCO (Director Nacional) ZONA CENTRO-SUR (CEAD

Más detalles

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos.

Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Tema 41.- Medidas de seguridad en conectividad de redes: Cortafuegos, IDS, IPS, filtro de contenidos. Introducción...1 1 Cortafuegos Firewall-... 3 1.1 Políticas de control de acceso... 4 1.2 Órganización

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU VIVIANA ISABEL ESPINOSA PEÑA 1150017 ANA KATERINE MONTESINOS GELVEZ 1150013 PROFESOR: JEAN POLO CEQUEDA MATERIA: SEGURIDAD INFORMATICA UNIVERSIDAD

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

CAPITULO 1 INTRODUCCIÓN

CAPITULO 1 INTRODUCCIÓN CAPITULO 1 INTRODUCCIÓN La seguridad en las redes de comunicaciones se ha convertido en un aspecto de importancia para los proveedores del Internet y para los clientes debido a la prioridad que ha tomado

Más detalles

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3

1) Proxy, Cortafuegos, que son? Pág.2. 2) Funcionamiento de un proxy Pág.3. 3) Proxy NAT / Enmascaramiento Pág.3 Indice 1) Proxy, Cortafuegos, que son? Pág.2 2) Funcionamiento de un proxy Pág.3 3) Proxy NAT / Enmascaramiento Pág.3 4) Servidores proxy / Servidores de Sockets Pág.4 5) Proxy de web / Proxy cache de

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN

LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN LINEAMIENTOS DE ESQUEMAS DE SEGURIDAD DE LA INFORMACIÓN 1 OBJETIVO Describir los lineamientos aplicados a la gestión y administración de los equipos de seguridad instalados en la salida a internet y en

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes

Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes 01/04/2013 Ingelan Control de Cambios y Audit Trail Rastreo de eventos críticos y cambios relevantes No es suficiente con cumplir la normativa GMP. Para que sea eficaz, debe ser creíble La normativa obliga

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

Bitácora del sistema - Introducción

Bitácora del sistema - Introducción Bitácora del sistema M A T E R I A : A R Q U I T E C T U R A A V A N Z A D A P R O F E S O R : J U A N J O S E M U Ñ O Z A L U M N O : F E D E R I C O D I B E N E D E T T O M A T R I C U L A : 7 6 5 6

Más detalles

Revisión práctica de IDS. por Sacha Fuentes

Revisión práctica de IDS. por Sacha Fuentes por Sacha Fuentes Análisis forense El objetivo es la reconstrucción de los hechos que tienen lugar desde que el sistema estaba íntegro hasta que se ha detectado el acceso no autorizado Deberemos intentar

Más detalles

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.

Más detalles

Experiencia 5 : Firewall

Experiencia 5 : Firewall Experiencia 5 : Firewall 1 Material para utilizar: Cable de red (patch cord) construído en el laboratorio. Switch Cisco, modelo Catalyst 2912XL Router Cisco, modelo 2600 PC con FreeBSD 2 Firewalls 2.1

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Actualidad de la tecnología de detección de intrusos en las redes

Actualidad de la tecnología de detección de intrusos en las redes VIII Evento Internacional de Redes y Telecomunicaciones CITMATEL 2003 Actualidad de la tecnología de detección de intrusos en las redes MSc. Walter Baluja García walter@tesla.cujae.edu.cu Dpto. Telemática

Más detalles

Qué es un firewall? cortafuegos firewall

Qué es un firewall? cortafuegos firewall FIREWALL Qué es un firewall? Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

DETECCION DE INTRUSOS.

DETECCION DE INTRUSOS. DETECCION DE INTRUSOS. Presentado por: Maury l. González Deivy m. escobar Christian a. herrera Yoiner cordoba Marlon Góngora. Sistema de detección de intrusos: Un sistema de detección de intrusos (o IDS

Más detalles

1. TÍTULO: Modelo de gestión de seguridad con soporte a SNMP.

1. TÍTULO: Modelo de gestión de seguridad con soporte a SNMP. 1. TÍTULO: Modelo de gestión de seguridad con soporte a SNMP. 2. INVESTIGADORES: Nicolás Botero A. Ing. Edgar Enrique Ruiz. 3. OBJETIVO GENERAL: Crear un modelo de gestión de seguridad de red que por medio

Más detalles

GATEWAYS COMO FIREWALLS

GATEWAYS COMO FIREWALLS GATEWAYS COMO FIREWALLS Ricardo Sánchez Q. Estudiante Ingeniería Telemática Aunque las empresas que han experimentado un ataque a su red por mano de usuarios no deseados, son recientes a hablar sobre sus

Más detalles

3-ANÁLISIS DE VULNERABILIDADES

3-ANÁLISIS DE VULNERABILIDADES 3-ANÁLISIS DE VULNERABILIDADES Es la tercera fase del ciclo de auditoria del tipo Hacking Ético, y tiene como objetivo el identificar si un sistema es débil o susceptible de ser afectado o atacado de alguna

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu Firewall Y Proxy Integrantes: Héctor Duran Katherine Zumelzu Fecha: 15/04/2015 Índice Qué es un firewall?... 3 Tipos de Firewall... 4 -Nivel de aplicación de Pasarela:... 4 -Circuito a nivel de Pasarela:...

Más detalles

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts

Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts Índice de contenido Seguretat en xarxes. Tallafocs, IDS, IPS, filtrat de continguts...1 Licencia...1 Cortafuegos...1 Sin estado...2 Con estado

Más detalles

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. 1 Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow. Descripción del problema. Generalmente las herramientas de seguridad como los antivirus, firewalls, IDS

Más detalles

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source

Inteligencia Artificial y Seguridad Informática. en plataformas Open Source Inteligencia Artificial y Seguridad Informática en plataformas Open Source Jornadas de Software Libre y Seguridad Informática Santa Rosa La Pampa 4 y 5 de Diciembre de 2009 AGENDA Primera Parte Definiciones

Más detalles

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente

Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente Capítulo 4. Requisitos del modelo para la mejora de la calidad de código fuente En este capítulo definimos los requisitos del modelo para un sistema centrado en la mejora de la calidad del código fuente.

Más detalles

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS

CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS Capítulo 2 Sistemas de Detección de Intrusos 7 CAPÍTULO 2: SISTEMAS DE DETECCIÓN DE INTRUSOS En este capítulo se definen los sistemas de detección de intrusos y su relación con los ataques basados en el

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011 Sistemas de Detección y Prevención de Intrusos Estado del Arte Charles Ware cware@uy.ibm.com Agosto 2011 Agenda Concientización y estate del arte Historia Detección de Intrusos Prevención de Intrusos IDPS

Más detalles

Un comité de la organización ANSI (American National Standards Institute) aborda la problemática del almacenamiento de datos para su procesamiento en

Un comité de la organización ANSI (American National Standards Institute) aborda la problemática del almacenamiento de datos para su procesamiento en 15/05/2012 1 Un comité de la organización ANSI (American National Standards Institute) aborda la problemática del almacenamiento de datos para su procesamiento en aplicaciones informáticas en 1975. 2 Como

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Prácticas y Tecnologías de Seguridad Informática

Prácticas y Tecnologías de Seguridad Informática El estado del arte actual Iván Arce І ivan.arce@corest.com Prácticas y Tecnologías Agenda El estado actual: Prácticas Penetration Tests El estado actual: Herramientas Vulnerability Scanners Intrusion Detection

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY 1. Generalidades FAQs Qué tipo de amenazas ponen en peligro la infraestructura de mi PC? Cómo Aranda 360 protege la infraestructura de mi PC? Puedo usar Aranda 360 sin un antivirus? Puedo usar Aranda 360

Más detalles

Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal

Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal Firewall (Hardware): Es una aparato que se utiliza en la redes (por lo general WAN o MAN) para la protección de las mismas. Este tiene como principal función la protección de toda la Red, ya sea LAN, WAN

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

NEXT GENERATION FIREWALL

NEXT GENERATION FIREWALL NEXT GENERATION FIREWALL Los modelos NG1000-A y NG5000-A han sido diseñados para proteger servidores de comercio electrónico de alto tráfico, redes universitarias dinámicas o cualquier otro entorno en

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes.

Especificación de la secuencia de mensajes que se han de intercambiar. Especificación del formato de los datos en los mensajes. SISTEMAS DISTRIBUIDOS DE REDES 2.- MODELOS ORIENTADOS A OBJETOS DISTRIBUIDOS 2.1. Tecnologías de sistemas distribuidos Para la implementación de sistemas distribuidos se requiere de tener bien identificados

Más detalles

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN.

CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN. Finalmente en este último capítulo se conocen los resultados, las pruebas y las conclusiones finales de la aplicación Web para el monitoreo

Más detalles

CAPITULO V. IMPLEMENTACIÓN DE UNA HERRAMIENTA INTEGRADA DE RED

CAPITULO V. IMPLEMENTACIÓN DE UNA HERRAMIENTA INTEGRADA DE RED CAPITULO V. IMPLEMENTACIÓN DE UNA HERRAMIENTA INTEGRADA DE RED En el presente capitulo se presenta una aplicación que aborda una herramienta de monitoreo de redes para soportar estudios de disponibilidad.

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

RECETA ELECTRÓNICA Informe de Seguridad

RECETA ELECTRÓNICA Informe de Seguridad RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Dispositivos de Red Hub Switch

Dispositivos de Red Hub Switch Dispositivos de Red Tarjeta de red Para lograr el enlace entre las computadoras y los medios de transmisión (cables de red o medios físicos para redes alámbricas e infrarrojos o radiofrecuencias para redes

Más detalles

Gestión de energía Solución integrada basada en la Web para el control de aplicaciones de energía convencional distribuida Modelo Em 2 -Server

Gestión de energía Solución integrada basada en la Web para el control de aplicaciones de energía convencional distribuida Modelo Em 2 -Server Gestión de energía Solución integrada basada en la Web para el control de aplicaciones de energía convencional distribuida Modelo Em 2 -Server Solución software con base de datos incorporada y servidor

Más detalles

Arquitectura de Redes y Sistemas de Telecomunicación

Arquitectura de Redes y Sistemas de Telecomunicación Práctica 0 Arquitectura de Redes y Sistemas de Telecomunicación Introducción al Wireshark Fundamentos del analizador de protocolos Wireshark. Objetivos En esta introducción se pretenden adquirir las capacidades

Más detalles

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red

SIE - Firewall DMZ. Protección perimetral para su red local. 1. Importancia de los firewalls. 2. Arquitectura de la red Protección perimetral para su red local por ALBA Software SIE Firewall es un sistema pensado para proteger la red de su empresa de posibles ataques de Internet. El firewall actua de barrera separando la

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Santini System Group / Esparza Santini. Conceptos de Seguridad

Santini System Group / Esparza Santini. Conceptos de Seguridad Santini System Group / Esparza Santini Conceptos de Seguridad Agenda Descripción del problema Ataques de seguridad en red Protocolos de administración Firewalls Redes privadas virtuales VPN s IDS Vs IPS

Más detalles

Seguridad en Redes (Monitoreo y Control)

Seguridad en Redes (Monitoreo y Control) Seguridad en Redes (Monitoreo y Control) Problema Las Redes de computadores estan diseñadas para lograr el maximo de conectividad. Por lo generar una red corporativa provee un conjunto de servicios criticos

Más detalles

Tema 1: Introducción a la gestión y planificación de redes

Tema 1: Introducción a la gestión y planificación de redes Tema 1: Introducción a la gestión y planificación de redes 1. Introducción general 2. Objetivos de la gestión de redes 3. Objetivos de la planificación de redes 4. Sistemas de gestión de red Gestión de

Más detalles

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia

Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Funciones Avanzadas de los Firewalls. Ing. Camilo Zapata czapata@udea.edu.co Universidad de Antioquia Con el tiempo a los firewalls se les ha agregado mas características: Autenticación de Usuarios VPN

Más detalles

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Facultad de Ingeniería Redes de Datos Práctica 10 Capa 5 Modelo OSI

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO Facultad de Ingeniería Redes de Datos Práctica 10 Capa 5 Modelo OSI PRÁCTICA 10 Filtrado de puertos TCP/UDP mediante un firewall 1.- Objetivo de Aprendizaje El alumno: Al finalizar la práctica el alumno comprenderá algunos conceptos de la Capa 5 del Modelo OSI. Manejará

Más detalles

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e intercambian. En este último capítulo vamos a abordar los sistemas

Más detalles

4. La instantánea se pone en línea y está listo para su uso.

4. La instantánea se pone en línea y está listo para su uso. 1 er RESUMEN TRADUCIDO. Las instantáneas de SQL Server 2005. Una vista de DBA en SQL 2005 instantáneas de base de datos Las instantáneas de bases de datos son un instrumento nuevo Enterprise Edition sólo,

Más detalles

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos Criptografía y Seguridad de Datos Protección de redes: Cortafuegos Carlos Figueira. Carlos Figueira. Universidad Simón Bolívar Basado en láminas del Profesor Henric Johnson (http://www.its.bth.se/staff/hjo/

Más detalles

Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos. Unidad didáctica 1: Fase de análisis de requisitos Modelo E/R

Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos. Unidad didáctica 1: Fase de análisis de requisitos Modelo E/R índice Módulo A Unidad didáctica 1: Introducción a las Bases de Datos Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos 3 19 Módulo B Unidad didáctica 1: Fase de análisis de requisitos Modelo

Más detalles

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition)

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) Boletín de Producto 11 de Marzo de 2010 Versión 2.6 ESET NOD32 Antivirus 4 Todos los usuarios necesitan contar con una protección completa

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Práctica de Seguridad en Redes

Práctica de Seguridad en Redes Práctica de Seguridad en Redes Juan Boubeta Puig y Antonio García Domínguez Seguridad y Competencias Profesionales Departamento de Ingenieria Informatica Universidad de Cadiz Curso 2012-2013 1. Descripción

Más detalles

Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas.

Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas. Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas. Los delincuentes aprovechan esta situación, y envían más de 100.000 ataques nuevos cada día a a través de Internet,

Más detalles

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla

Linux, Solaris, http://www.ossec.net monitorear y controlar sus sistemas. Se mezcla Marco Teórico SIM/SIEM: Security Information and Event Management. Un Administrador de eventos de seguridad (SEM) (siglas SIEM y SIM) es una herramienta informática utilizada en la empresa de redes de

Más detalles

Que es el CopV? Todo esto y mucho más es posible si utiliza nuestro sistema CopV en la red de su empresa o negocio!!

Que es el CopV? Todo esto y mucho más es posible si utiliza nuestro sistema CopV en la red de su empresa o negocio!! Que es el CopV? El CopV es un software de monitoreo en Redes producido por nuestra empresa, usted puede monitorear desde cualquier PC las actividades de todas las demás computadoras de la red de su empresa

Más detalles

Panda Managed Office Protection Visita a la Consola web de Administración

Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita Guiada a la Consola Web de Administración Centralizada Marzo 2009 Tabla de contenidos 1.

Más detalles

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Base de Datos ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Una base de datos es un conjunto de elementos de datos que se describe a sí mismo, con relaciones entre esos elementos, que presenta

Más detalles

Monitoreo de red. Inventario de hardware y software. Monitoreo actividad del usuario. Soporte a usuarios. Protección contra fuga de datos.

Monitoreo de red. Inventario de hardware y software. Monitoreo actividad del usuario. Soporte a usuarios. Protección contra fuga de datos. nvision Es una solución modular que permite gestionar la red, llevar el control y cumplimiento de licencias inventario de hardware y software de equipos Windows, monitorear la actividad que realizan diariamente

Más detalles

SOLUCIONES PARA EMPRESA

SOLUCIONES PARA EMPRESA SOLUCIONES PARA EMPRESA 2 Soluciones para empresa Tanto si acabas de montar tu empresa como si ya lleva tiempo establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario.

Más detalles

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida Módulo Nº 7 Aspectos de Seguridad en Redes de Área Extendida Bibliografía W. Stalling, Fundamentos de seguridad en redes, 2º edición, Prentice Hall. A. V. Herta, Seguridad en Unix y Redes, Versión 1.2

Más detalles

Identificar los problemas y las soluciones... 3. Tipos de registros de eventos... 4 Cómo ver los detalles de un evento... 5

Identificar los problemas y las soluciones... 3. Tipos de registros de eventos... 4 Cómo ver los detalles de un evento... 5 Tabla de Contenido 1. La administración de log de eventos... 1 2. Uso significativo de Event Logs... 3 Identificar los problemas y las soluciones... 3 3. Event Viewer... 4 Tipos de registros de eventos...

Más detalles

Técnico en Seguridad en Redes Locales

Técnico en Seguridad en Redes Locales Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad en Redes Locales Duración: 300 horas Precio: 200 * Modalidad: Online * Materiales didácticos, titulación y gastos de envío incluidos.

Más detalles

Monitorización de sistemas y servicios

Monitorización de sistemas y servicios Monitorización de sistemas y servicios Contenidos Contenidos... 1 Resumen ejecutivo... 2 Arquitectura de la plataforma de monitorización... 2 Monitorización y alarmas... 3 Monitorización... 3 Servicios

Más detalles

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) Sistema Unificado de Control en Tiempo Real - SUCTR: El sistema unificado de control en tiempo real, en adelante SUCTR, es un sistema de administración

Más detalles

HERRAMIENTAS DE SEGURIDAD

HERRAMIENTAS DE SEGURIDAD Seguridad Informática I M.C. Cintia Quezada Reyes HERRAMIENTAS DE SEGURIDAD Siempre es conveniente instalar herramientas de seguridad y es aconsejable que éstas sean las que se consideren necesarias después

Más detalles

SEGURIDAD EN SISTEMAS INFORMÁTICOS

SEGURIDAD EN SISTEMAS INFORMÁTICOS Universidad Pública de Navarra Grupo de Redes, Sistemas y Servicios Telemáticos SEGURIDAD EN SISTEMAS INFORMÁTICOS Práctica 4 Escáneres y Honeypots Introducción En la última práctica adquirimos las nociones

Más detalles

Beneficios estratégicos para su organización. Beneficios. Características V.2.0907

Beneficios estratégicos para su organización. Beneficios. Características V.2.0907 Herramienta de inventario que automatiza el registro de activos informáticos en detalle y reporta cualquier cambio de hardware o software mediante la generación de alarmas. Beneficios Información actualizada

Más detalles

SISTEMA DE GESTIÓN DE INCIDENCIAS Y REQUERIMIENTOS MESA DE AYUDA SINAT MANUAL DE USUARIO

SISTEMA DE GESTIÓN DE INCIDENCIAS Y REQUERIMIENTOS MESA DE AYUDA SINAT MANUAL DE USUARIO SISTEMA DE GESTIÓN DE INCIDENCIAS Y REQUERIMIENTOS MESA DE AYUDA SINAT MANUAL DE USUARIO 1 Objetivo del Manual Elaborado por: Revisado por: Aprobado por: Fecha: 13/08/2015 Difusión: Información del Manual

Más detalles

Lección 5: Seguridad Perimetral

Lección 5: Seguridad Perimetral Lección 5: Seguridad Perimetral Alejandro Ramos Fraile aramosf@sia.es Tiger Team Manager (SIA company) Security Consulting (CISSP, CISA) Madrid, España, febrero 2011 Video intypedia005es intypedia 2011

Más detalles

Antivirus PC (motor BitDefender) Manual de Usuario

Antivirus PC (motor BitDefender) Manual de Usuario Antivirus PC (motor BitDefender) Manual de Usuario Índice 1. Introducción... 3 2. Qué es Antivirus PC?... 3 a. Eficacia... 3 b. Actualizaciones... 4 3. Requisitos técnicos... 4 a. Conocimientos técnicos...

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

Unidad 1: Conceptos generales de Sistemas Operativos.

Unidad 1: Conceptos generales de Sistemas Operativos. Unidad 1: Conceptos generales de Sistemas Operativos. Tema 3: Estructura del sistema operativo. 3.1 Componentes del sistema. 3.2 Servicios del sistema operativo. 3.3 Llamadas al sistema. 3.4 Programas

Más detalles

La seguridad informática en las empresas. El reto y su solución

La seguridad informática en las empresas. El reto y su solución Sage Security Center Seguridad SaaS para todos tus PCs, portátiles y servidores: La solución ligera, segura y fácil. La seguridad informática en las empresas. El reto y su solución Los delitos informáticos,

Más detalles

Arquitectura y seguridad

Arquitectura y seguridad En el desarrollo del SIGOB nos hemos enfrentado a diversos problemas que nos han llevado a investigar y desarrollar nuestras propias tecnologías. En este documento presentamos cada uno de los desarrollos

Más detalles

SAQQARA. Correlación avanzada y seguridad colaborativa_

SAQQARA. Correlación avanzada y seguridad colaborativa_ SAQQARA Correlación avanzada y seguridad colaborativa_ Tiene su seguridad 100% garantizada con su SIEM?_ Los SIEMs nos ayudan, pero su dependencia de los eventos y tecnologías, su reducida flexibilidad

Más detalles

Práctica 2. Montaje de Redes Locales. Parte III

Práctica 2. Montaje de Redes Locales. Parte III Práctica 2. Montaje de Locales. Parte III 2º Informática Curso 2003/2004 1 Conceptos Adicionales Qué son las? Cómo funciona un router? Qué es y cómo funciona un firewall? Qué es el servicio DNS? Qué es

Más detalles

VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL. AUTOR: Alejandro Ramos Fraile

VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL. AUTOR: Alejandro Ramos Fraile VÍDEO intypedia005es LECCIÓN 5: SEGURIDAD PERIMETRAL AUTOR: Alejandro Ramos Fraile Tiger Team Manager (SIA Company), Security Consulting (CISSP, CISA) Hola, bienvenidos a intypedia. Hoy vamos a explicar

Más detalles

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. NOMBRE DEL ÁREA Gerencia de Desarrollo. INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 2. RESPONSABLE DE LA EVALUACIÓN Amado Zumaeta Vargas 3. CARGO Analista 4. FECHA 20/07/2011 5. JUSTIFICACIÓN AGROBANCO

Más detalles

UD 4: Instalación y configuración de cortafuegos

UD 4: Instalación y configuración de cortafuegos UD 4: Instalación y configuración de cortafuegos Cortafuegos software y hardware Luis Alfonso Sánchez Brazales 1 Cortafuegos software integrados en los sistemas operativos Un firewall gratuito es un Software

Más detalles