Please enable JavaScript.
Coggle requires JavaScript to display documents.
Administración de Servicios RED (Control de Acceso) - Coggle Diagram
Administración de Servicios RED
(Control de Acceso)
Control de Acceso
Realizar control de acceso a la información significa seleccionar o filtrar los usuarios que pueden acceder a recursos informáticos
Clases
Por usuarios
Por características físicas (biométricas)
Ventajas
Intransferibles
No necesitan gestión
Accesos físicos y lógicos
Muy seguros
Desventajas
Electrónica adicional
Rechazo del usuario
Prejuicio moral
No son exactos
Sistemas actuales
Emisión de calor (termograma)
Huella digital
Reconocimiento de manos
Reconocimiento de caras
Reconocimiento de iris
Reconocimiento de retina
Reconocimiento de voz
Por secreto compartido (Contraseñas)
Se almacenan cifradas en ficheros
Dichos ficheros no pueden tener permisos de usuarios restringidos
El atacante solo tiene que descifrar las claves
Ataques a contraseñas
Con acceso al fichero
Diccionario
Fuerza bruta
Caballos de troya
Espías de red (sniffer)
Ingeniería Social
Defensas
Políticas de personal
Sistemas de contraseña de un solo uso (OTP)
Por posesión de objetos (cert. digitales)
Usuario
Clave privada
Certificado digital
Nombre y datos del usuario
Clave pública
Datos e informaciones generales
Firma digital de una tercera entidad
Autoridad de certifiación
Asegura que la clave pública es de quien dice ser
Ubicación
Servidor
La red
Organización
DAC (Discretionary Access Controls) permisos
MAC (Mandatory Access Controls) etiquetas
RBAC (Role based Access Control) Roles
Por máquinas
Control de Acceso por Máquinas
Tipos de identificación
Nº serie del procesador
Dirección MAC
Ventajas
Difícil de atacar
Filtrado muy rápido
Desventajas
Números difíciles de tratar
Entorno LAN
No discrimina entre servicios
Solo realizable desde filtros
Bidireccional
Nombre dominio/Dirección IP + Puerto
Permite control de servicios
Declaración en DNS
Unidireccional
Casos
Filtrado desde el servidor
TCP wrapers
Filtrados en red
Cortafuegos
Ataques
Spoofing
Denegación de Servicios
Ataque al DNS
Hijacking
Tunneling
Cortafuegos
Definiciones
Cortafuegos
Componente o conjunto de componentes que restringen el acceso entre una red protegida e internet
S.I. Bastión
Sistema vulnerable a ataques que es el punto de contacto entre la red interna e internet
Filtrado de paquetes
Acción que lleva a cabo un dispositivo para controlar selectivamente el flujo de datos entre la red interna e internet
Red Perimetral
Red añadida entre la red a proteger y la red externa (internet)
Servidor Proxy
Programa que trata con servidores externos en nombre de los clientes internos
Multihomed Host
Sistema informático conectado a dos o más redes
Red Privada Virtual
Una red privada cuyos paquetes viajan a través de red pública sin que esto sea visible a los sistemas de la red privada
Aproximaciones de diseño
Filtrado de paquetes
Cabecera
Dirección IP fuente
Dirección IP destino
Tipo de protocolo
Puerto TCP/UDP fuente
Puerto TCP/UDP destino
Tipo de mensaje ICMP
Además de conocer
La interfaz por la que llega
La interfaz por la que debe salir
Pueden bloquear servicios conociendo el protocolo y el puerto por el que operan
Ventajas
Ayuda a proteger la red completa
Es muy eficiente
Está ampliamente disponible
Desventajas
Limitaciones
Reduce la eficiencia del router
No identifica usuarios ni aplicaciones
Permite o bloque el paso de cierto tipo de paquetes de forma que refleje la política de seguridad de la red
Servicios Proxy
Servidores que se ejecutan en S.I. Multihomed o Bastion que recogen las solicitudes de acceso de los usuarios y las reenvían al S.I. de destino de forma acorde a la política de seguridad de la red
Ventajas
Monitorización
Caché
Control de los Servicios
Autentificación de Usuarios
Desventajas
Retraso aparición
Servidores diferenciados
Modificación clientes
Traslación de Direcciones (NAT)
Ventajas
Refuerza el control sobre conexiones salientes
Restringe el tráfico entrante
Oculta la configuración de la red interna
Desventajas
Se requiere información del estado de las conexiones
Interfiere con algunos algoritmos de cifrado y autentificación
Dificulta el registro de eventos
Interfiere con el filtrado de paquetes
Arquitecturas de cortafuegos
S.I. dual-homed
Prestación de servicios
Proxy
Login de usuarios (no recomendado)
Utilización adecuada
Bajo tráfico a Internet
Tráfico no crítico
No se ofrecen servicios al exterior
Los datos a proteger no son altamente sensibles
S.I. Screened
Proporciona servicios internet desde un S.I. Bastion de la red interna utilizando un router
Filtrado de paquetes
Permite tráfico solo S.I Bastion - Internet
Permite trafico entre algunos S.I. de la red Interna para ciertos servicios
Subred Screened
Si el S.I. Bastion cae queda otra defensa para la red interna (Router interior)
No permite al atacante visualizar (sniffing) el tráfico de la red interna en caso de caía del S.I. Bastion
S.I. Bastión
Sirve como punto de contacto para la solicitud de servicios desde el exterior
Corro electrónico
Ftp
DNS
Servicios de Salida
Filtrado de paquetes en los routers
Proxy en el S.I. Bastión
Router Interior
Protege a la red interna de Internet y desde la red perimetral
Router Exterior
Protege tanto a la red interna como a la perimetral
Frecuentemente es un elemento no controlado por la organización
Subred Screened Dividida
Múltiples redes perimetrales
Variaciones
Múltiples S.I. Bastión
Se ubican los servicios internos en uno y los externos en otro
Separar los servicios entre ambos para balancear carga
Redundancia de seguridad
Mezclar router exterior e interior
Mezclar S.I. Bastión y router exterior
Múltiples router exteriores
Mezclar S.I. Bastión y Router Interior (NOOOOOOOOOOO)
Multiples Routers Interiores
(NOOOOOOOOOOO)
S.I. Bastión
Principios Generales
Mantenerlo lo más simple posible
Estar preparado para que pueda quedar comprometido
Clases especiales
S.I. dual-homed no enrutadores
Máquinas víctimas
S.I. Bastión interno
Localización en la red
Red perimetral
Conmutadores/Hub inteligentes en la red interna
Selección de servicios
No dar servicios que no vayan a ser utilizados hacia internet
Clases de Servicios
Inseguros susceptibles de asegurarse
Inseguros no susceptibles a asegurarse
No utilizados (solos o en internet)
Seguros
Agrupación de Servicios
Un servicio en cada máquina
Múltiples servicios
Agrupación de servicios por importancia
Agrupación de servicios por audiencia
Agrupación de servicios por seguridad
Agrupación de servicios por nivel de acceso
No permitir cuentas de usuario
Vulnerabilidad de las cuentas
Vulnerabilidad de los servicios necesarios para soportarlas
Estabilidad y fiabilidad reducida
Subversión de la seguridad por parte de los usuarios
Dificultad en la identificación de ataques
Construcción de un S.I. Bastión
Instalar o modificar los servicios que se desean proporcionar
Reconfigurar la máquina a su estado final
Reconfigurar y reconstruir el núcleo
Eliminar todos los programas innecesarios
Montar todos los sistemas de ficheros posibles en modo solo lectura
Ejecutar una auditoría de seguridad
Comprueba la seguridad final del sistema
Sirve de comparativo para futuras auditorías
Conectar la máquina a internet
Asegurar la máquina
Comenzar con una instalación mínima del S.O.
Fijar todos los bugs conocidos
Utilizar una lista de comprobación
Asegurar los registros (logs) del sistema
Para comprobar que todos los servicios funcionan correctamente
Para detectar la intrusión de un atacante
Copias
Logs por conveniencia
Logs para caso de catástrofe
Sincronizar la hora del sistema
Elegir bien lo que se registra
Desactivar servicios no utilizados
En el momento de arranque
Bajo demanda
Servicios no recomendados
Todos los que no se necesiten
Los que no se conocen
Los relacionados con NFS
Los relacionados con NIS/YP
Servicios de aranque
Los servicios r
Servicios de routing
Servicios de información
Otros servicios
Desactivación de encaminamiento
Sistema de Detección de Intrusos (IDS)
Desventaja Cortafuegos
Si se traspasa, la red queda totalmente desprotegida
No protege las máquinas ubicadas en la red perimetral
No protege contra ataques internos
No protege contra fallos en las aplicaciones que implementan servicios
Intrusión
Conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso de la red
NECESIDAD DE LOS SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Los intrusos intentan utilizar debilidades en la arquitectura de los sistemas para superar el proceso normal de autentificación
La detección se puede llevar a cabo a partir de la caracterización anómala del comportamiento y del uso que hacen de los recursos del sistema
Posibilidad de ataque
Penetración externa
Penetración interna
Abuso de recursos
Premisa
La actividad intrusiva es un subconjunto de las actividades anómalas
Actividades
Intrusivas pero no anómalas (falsos negativos)
No Intrusivas pero anómalas (falsos positivos)
Ni intrusivas ni anómalas (negativos verdaderos)
Intrusivas y anómalas (positivos verdaderos)
Los IDS actuales basan su funcionamiento en la recolección y análisis de información de diferentes fuentes
Función
Alertar al administrador y/o tomar acciones
Clasificación de los IDS
Método de Detección
Detección de Usos Indebidos (basado en firmas)
Se establecen patrones de los ataques
Caracteres
Estructura de Datos
Permite centralizar las labores de detección
Detección de Anomalías
Supone que una intrusión es una anomalía de nuestro sistema
Monitoriza el sistema para detectar cambios en los patrones de utilización o comportamiento del mismo
Sistema complejo con los siguientes inconvenientes
Falsas alarmas en caso cambio repentino del ambiente
Si un atacante cambia lentamente su comportamiento no es detectado
Análisis de Protocolos con Estado
Tipo de Monitorización
IDS basados en red
Monitoriza los paquetes que circulas por la red en busca de elementos (firmas) que denoten un ataque, a nivel de aplicación, contra alguno de los sistemas de la misma
IDS inalámbricos
Analiza el tráfico de red inalámbrico para identificar una posible utilización sospechosa de los protocolos
IDS de Análisis de Comportamiento de la RED (NBA)
Examina el tráfico de la red para identificar amenazas que generan un flujo de tráfico inusual
IDS basados en la máquina
Buscan eventos que puedan indicar un intento de intrusión
Componentes
Sensor o Agente
Servidor de Administración
Servidor de Base de Datos
Consola
Arquitectura de red
Red única (VLAN)
Red de Gestión
Características deseables de un IDS
Debe poder ejecutarse sin supervisión
Debe ser confiable
Debe ser tolerante a fallos
Debe ser capaz de automonitoriarse
Debe ser ligero
Debe observar desviaciones del comportamiento estándar
Debe poder adaptarse a los cambios del sistema
Debe ser difícil de engañar
Metodología para la detección de intrusos
Pasos a seguir para la detección
Examinar los archivos logs
Buscar en el sistema archivos ocultos o no usuales
Buscar en el sistema archivos set-uid
Revisar los binarios para comprobar que no han sido sustituidos
Revisar todos los archivos que se ejecutan bajo cron o at
Examinar el archivo inetd.conf
Examinar archivos del sistema y de configuración en busca de cambios
Examinar todos los computadores de la red en busca de indicios que nos indiques que estén comprometidos
Examinar el archivo /etc/passwd en busca de cambios
Pasos a seguir cuando se detecta una intrusión
Si el intruso está online intentar hablar con él (talk)
Si el intruso está online cambiarle la clave y desconectarlo
Intentar obtener información de la actividad que ha realizado en la máquina
Intentar averiguar desde que sistema provino el ataque
Desconectar el ordenador de la red
Hacer una copia de seguridad del disco
Realizar un análisis detallado del sistema
Alteración del /etc/passwd
Excesivo consumo de memoria
Directorios y/o archivos sospechosos
Alteración de la configuración
Procesos sospechosos
Conexiones no usuales
Serie de repeticiones de conexión al mismo puerto
Conexión de usuarios en horas/días poco usuales