1
Agenda
Introducción
Definiciones básicas
Presentación del Modelo – R.E.D.A.R
Arquitectura de Análisis
Red de perímetro
Linea de Defensa
Zona Controlada
Red de perímetro – Routers
Línea de defensa – Firewalls
Zona Controlada – Servidores y conexiones
Preparación Forense de Redes en Contexto
Conclusiones
Referencias
2
Introducción
Las estadísticas del CERT en el año 2001, muestran aumento de más del 150% en incidentes de seguridad reportados.
De acuerdo con la investigación adelantada por KPMG en el 2001, “2001 Global e-Fr@ud Survey” :
Cuando ocurre un incidente de seguridad
No se adelantan acciones legales
Inadecuado uso de los recursos legales
Falta de evidencia
El 50% de los encuestados identificó a los Hackers y la pobre implementación de políticas de seguridad como los factores fundamentales de los incidentes de seguridad.
Los ejecutivos se encuentran desinformados acerca del estado actual de las vulnerabilidades de la su red.
Bajo o pobre entrenamiento de los administradores de sistemas
Mientras que un ataque de un sitio puede tomar dos (2) horas, el análisis forense completo puede alcanzar las treinta (30) horas! (Forensic Challenge Project)
3
Definiciones básicas
Conceptos
Sistemas de detección de intrusos.
Orientado a Host
Orientado a Red
Orientado a Firmas
Estadísticas
Honeypot
Configuración de una máquina con servicios activos, atractivos y aislados, como una estrategia para seguir y capturar intrusos dentro de sistemas de computación.
Honeynet
Configuración de una red con servicios activos, atractivos y aislados, como una estrategia para analizar y aprender de los intrusos y sus acciones.
Red de perímetro
Es una red agregada a fin de proporcionar una capa adicional de seguridad. Generalmente se le conoce como red desmilitarizada (DMZ)
4
Definiciones básicas
Conceptos
Firewall
Componente o conjunto de componentes (Hw y Sw) que restringen el acceso entre una red protegida e internet, o entre otros conjuntos de redes.
Tradicionales
Stealth
Evidencia digital
Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4)
Computación forense
Es la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich 2000, pag.243)
5
Presentación del Modelo R.E.D.A.R
Justificación
Es necesario desarrollar una estrategia formal para atender incidentes de seguridad y su posterior documentación y análisis
Se cuentan con diversas estrategias de registro de eventos, pero no se posee la cultura de análisis de las pistas.
La mayoría de los administradores de sistemas actualmente no son conscientes de la necesidad de contar con evidencia digital.
La seguridad informática y la administración de sistemas de observan como actividades diferentes, cuando en realidad son complementarias
R.E.D.A.R – Vocablo que significa: “Echar las redes”
RE gistro
Establecimiento de los diferentes métodos y herramientas para mantener el adecuado registro de eventos relevantes en las redes.
D ectección de intrusos
Desarrollo de alertas y análisis de las posibles fallas de seguridad aprovechadas por los atacantes.
A uditoRia
Evaluación, seguimiento y análisis de los mecanismos y herramientas actuales de seguridad, que conduzcan al afinamiento permanente de la seguridad de la red.
6
R.E.D.A.R
(Gp:) REGISTRO
(Gp:) DETECCIÓN
INTRUSOS
(Gp:) AUDITORÍA
(Gp:) PREPARACIÓN
FORENSE DE
REDES
(Gp:) SINCRONIZACIÓN
(Gp:) CORRELACIÓN
(Gp:) SINCRONIZACIÓN
(Gp:) AFINAMIENTO
(Gp:) SIMULACIÓN Y PRUEBAS
(Gp:) CONTROL DE EVIDENCIA
7
Arquitectura de análisis
Internet
Exterior
ZONA CONTROLADA
LÍNEA DE
DEFENSA
RED
PERÍMETRO
8
Red de Perímetro
Generalmente compuesta por enrutadores
La seguridad y control de este segmento de la red, en la mayoría de los casos, se basa en:
Listas de control de acceso
Filtro de paquetes
172.16.1.0
192.168.1.0
200.16.2.3
10.16.1.0
9
Red de Perímetro
Lista de Control de Acceso
Lista de control de acceso Standard
Definida por un rango numérico entre 1-99
Sólo verifica el IP ORIGEN, luege se hace el filtro de manera rápida.
Lista de control de acceso Extendida
Definida por un rango numérico entre 100-199
Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP, Tipos ICMP en secuencia.
El filtro de paquetes se torna más lento
Lista de Control de Acceso Reflexiva
Utiliza listas de control de acceso dinámica, semejantes a la tabla de estados de un FW, para mantener las conexiones aseguradas.
Mecanismo nuevo en CISCO.
10
Red de Perímetro
Formato de una Lista de Control de Acceso Estandard
access-list number action source [Wild Card] ? any
Number: 0-99 para listas de control de acceso estándard
Action: Permit o Deny – Permitir o Negar
Source: Dirección IP para comparar
Wild Card:
Determina que parte de la dirección IP será comparada y cual no.
Any: Cualquier dirección
EJEMPLO:
access-list 20 permit 192.168.1.0 0.0.0.255
Página siguiente |