Please enable JavaScript.
Coggle requires JavaScript to display documents.
Seguridad en Redes - Tema 4, MAISFLORO, Screen Shot 2020-06-12 at 10.38.13…
Seguridad en Redes - Tema 4
IDS - Sistema de detección de intrusos
Programa que permite detectar
accesos no autorizados
a un equipo informático o una red.
Permiten
detección de ataques
de exploración de red o de un sistema (S.O., versiones de sw, host activos) o ataques (DoS o DDoS).
Basados en equipo - HIDS (Host Intrusion Detection System) :
Programas instalados en los equipos afectados por un ataque y se hace un reporte de sus conclusiones.
Basados en red - NIDS (Network Intrusion Detection System):
Accesos no deseados en la red. Generalmente incorporan analizador de paquetes de red
(sniffer)
. :warning: OJO, La interfaz debe estar en modo promiscuo para capturar todo el tráfico que circula por la red.
<< TAP MODE >> :
Se despliega en modo escucha. Se debe usar un equipo con
2
interfaces de red. 1 para el monitoreo, la otra para tareas de gestión y de administración.
La interfaz de monitoreo se conecta a un
network-tap
(dispositivo de escucha) para capturar el tráfico de red. La interfaz tiene asignada una dirección IP para reducir probabilidades de que el atacante la descubra.
Basados en firmas:
Disponen bases de datos de firmas de ataques conocidos que se utilizan para la detección de los mismos.
Basados en anomalías:
Disponen de un baseline frente al que comparan el tráfico de red o el comportamiento de un sistema para detectar posibles anomalias que representen un ataque.
:warning:
LOS IDS DEBEN ACTUALIZARSE PERIODICAMENTE
IPS - Sistema de prevención de intrusos
Es un caso
"especial"
de IDS al que se le ha añadido un cortafuegos que permite el filtrado de tráfico.
Son capaces de
prevenir
ataques
Se sitúa como un puente entre la red a proteger y el resto.
Control de tráfico total sobre el tráfico
Dispone al menos de 3 interfaces de red: 1. Recibir el tráfico exterior - 2. Redirigir el tráfico a la red interna y el 3. para tareas de gestión y administración.
Dispositivos a los que sumándoles un cortafuegos pueden ofrecer funcionalidad de IPS
:check:
SWITCH (Nivel de aplicación):
Analizan información de aplicación (DNS, HTTP, FTP) para realizar
tareas de balanceo de carga
entre varios servidores. Algunos incluyen funcionalidades de ataques de denegación de servicio.
:check:
IP's de HOST (Nivel de aplicación):
Trabaja en la capa 7 del modelo OSI. Se instalan sobre el sistema final a proteger y analizan elementos como la gestión de memoria, llamadas al sistema o intentos de conexión de una aplicación.
:check:
*Conmutador híbrido:
Hibrido entre switches e IP de HOST.
VERIFICADOR DE INTEGRIDAD DE FICHEROS
Herramienta que puede usarse como
complemento
de un sistema de detección de intrusiones.
Utiliza funciones criptográficas de tipo resumen
(hash)
o código de verificación
(checksum)
para calcular valores correspondientes y compararlos con valores de referencia con la intención de encontrar diferencias en los ficheros.
Los intrusos pueden modificar o borrar ficheros que oculten su actividad y huellas que haya podido dejar.
(puerta trasera)
Solo se detecta si el atacante modificó algún archivo.
SISTEMAS TRAMPA
Buscan atraer al atacante en vez de atacarlo!
:check:
HONEYPOT
Simulación de un sistema débil o vulnerable a ataques
Generalmente se sitúan detrás del cortafuegos
Diseñados para captar la atención del atacante y poder recopilar información sobre sus métodos y actividades
:check:
HONEYNET
Tipo especial de honeypots ->
red entera diseñada para ser atacada
Aquí se usan equipos reales (físicos o virtuales) con sistemas operativos reales y corriendo aplicaciones reales. (Pero no sistemas productivos)
Se usan para la investigación de nuevas técnicas de ataque y comprobar modus operandi de los intrusos
:check:
PaddedCell
Funcionan con un sistema IDS. Cuando se detecta tráfico malicioso se envía al PaddedCell.
Simula un entorno real
Se usa un
bait & switch
utiliza el IDS Snort.
TEST DE PENETRACION - PenTest
Evalua la seguridad de un sistema o red llevando a cabo un ataque para intentar descubrir posibles vulnerabilidades y proponer contramedidas necesarias para evitarlo.
Se lleva a cabo en las siguientes fases:
:check:
Evaluación:
Detección manual y automática de vulnerabilidades y evaluación del riesgo.
:check:
Intrusión:
Intento de acceso al sistema.
:check:
Exploración:
Escaneo telefónico, identificación de la tipología de la red
:check:
Informe:
Documentación sobre todo el proceso y las contramedidas que deben llevarse a cabo
:check:
Descubrimiento:
Recolección de información
Gestores de eventos de seguridad (SIEM)
Permiten el análisis y la correlación en tiempo real de los eventos e incidentes de seguridad identificados por todos los elementos de la infraestructura de seguridad desde una única herramienta.
Son muy potentes. Permiten tener una visión global de cada uno de los elementos de seguridad.
MAISFLORO
Escáner de vulnerabilidades
Herramienta para realizar pruebas sobre un sistema o red para encontrar debilidades y fallos de seguridad de los mismos.
Ventajas:
Reduce de manera eficaz los fallos de seguridad mas frecuentes en un sistema y permite detectar cambios en las configuraciones de los sistemas.
Desventajas:
Solo detecta los fallos en el lapso de tiempo que se ejecuta. Y solo se encuentran vulnerabillidades que estén en su base de datos (Debe actualizarse constantemente).
El análisis
se divide en 3 fases:
1. Muestreo de un conjunto específico
de atributos del sistema y almacenamiento de los datos de un recipiente de datos seguro.
2. Comparación de los resultados
con un conjunto de referencia. Puede ser una plantilla de configuración ideal o una imagen de la configuración anterior del sistema.
3. Generación de un informe
con las diferencias encontradas en la comparación de los datos
Dependiendo de la localización hay
Análisis de vulnerabilidades basados en...
...En máquina:
Buscan contenidos de ficheros, ficheros de configuración, permisos erróneos, contraseñas débiles. Están muy ligados al
sistema operativo
que evaluan.
...En red:
Obtienen la información necesaria a través de conexiones de red. Realizan ataques y registran las respuestas obtenidas.
:explode:
Prueba por explotación:
Lanzar ataques devolviendo si la operación fue exitosa o no. Es una técnica muy agresiva.
:question:
Métodos de interferencia:
Encuentra indicios de ataques realizados, comprueba versiones de software para determinar si hay vulnerabilidades asociadas a la versión, comprobar el estado de los puertos.
