11
Red de Perímetro
Filtro de paquetes
Mecanismo de seguridad cuya función es establecer qué información puede fluir de y hacia una red.
El filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en:
Dirección origen de la información
Dirección destino de la información
Protocolos como IP, UDP, TCP e ICMP
Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros
ICMP – echo request, echo replay, port unreachable
Type of Service (Performance), banderas o flags en los paquetes de información.
12
Red de Perímetro
Creando un Packet Filter
Para efectuar esta acción es necesario utilizar la directiva
ip access-group number [In?Out]
Number: Valor definido para una lista de control de acceso
In?Out: En qué dirección el filtro se aplicará para los paquetes entrantes o salientes.
EJEMPLO
interface serial 0
ip address 172.16.1.1 255.255.255.0
ip access-group 11 in
access-list 11 permit host 192.168.1.100
access-list 11 deny 192.168.1.0 0.0.0.255
access-list permit any
13
Red de Perímetro
Creando un Packet Filter
EJEMPLO de lista de control de acceso EXTENDIDO
interface serial 0
ip access-group 100 in
access-list 100 permit tcp any any gt 1023
access-list 100 permit tcp any any eq 23
access-list 100 permit tcp any any gt 1023:
Permite todo paquete TCP a puertos mayores de 1023
access-list 100 permit tcp any any eq 23:
Permite paquetes telnet al puerto 23. Tráfico de otros protocolos al puerto 23 será bloqueado.
14
R.E.D.A.R en el Perímetro
(Gp:) REGISTRO
(Gp:) DETECCIÓN
INTRUSOS
(Gp:) AUDITORÍA
(Gp:) PREPARACIÓN
FORENSE DE
REDES
(Gp:) SINCRONIZACIÓN
(Gp:) CORRELACIÓN
(Gp:) SINCRONIZACIÓN
(Gp:) AFINAMIENTO
(Gp:) SIMULACIÓN Y PRUEBAS
(Gp:) CONTROL DE EVIDENCIA
15
Red de Perímetro
Aplicando R.E.D.A.R – Aspectos básicos a considerar
RE gistro
Algunos eventos que deben ser analizados en el perímetro
Violaciones de las listas de control de acceso
Violaciones de los filtros de paquetes configurados
Sobrecargas de tráfico en la red
D ectección de Intrusos
Algunos eventos de interés
Cambios en la configuración de las listas de control de acceso y filtros de paquetes
Actualización del Sistema operacional del router
Cambios en la configuración del router
AuditoRía
Algunos eventos de interés
Advertencias de seguridad en routers
Parches de seguridad
16
Red de Perímetro
Aplicando R.E.D.A.R – Algunas Estrategias
RE gistro
Registro de la actividades del Router
Utilizando SYSLOG
Exportar eventos de interés a servidor remoto
D ectección de Intrusos
Alertas de Cambios
Utilizar protocolo SNMP (actualizado a la última versión) para reporte acciones sobre el dispositivo.
Alineado con estrategia de registro remoto.
AuditoRía
Pruebas de penetración
Ataques simulados a vulnerabilidades conocidas
Pruebas de stress y resistencia de tráfico.
17
R.E.D.A.R enRed de Perímetro
Listas de control de acceso – CISCO
1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP:
list 102 denied UDP 209.67.78.202 (3408) external.primary.dns (33434), 1
packet.
Rt1 – Hostname
3319 – No de secuencia
21:36:44 – Estampilla de tiempo
%SEC-6-IPACESSLOGP Mnemónico que identifican de manera única el
mensaje.
list 102 No. lista de control de acceso contiene la regla
evaluada.
Denied Acción tomada por el router
UDP Protocolo detectado
209.67.78.202 (3408) Dirección y puerto Origen
external.primary.dns (33434) – Dirección y puerto Destino
18
Línea de Defensa
Generalmente compuesta por Sistemas de Detección de Intrusos y Firewalls.
IDS
IDS
FW
TCP
UDP
ICMP
URG
SYN
PSH
Echo request
ACK
19
Línea de Defensa
Algunas generalidades sobre los FW
Qué puede hacer actualmente?
Restringe el acceso a un punto cuidadosamente controlado.
Restringe a las personas para que salgan en un punto cuidadosamente controlado.
Evita que los posibles atacantes se acerquen más a sus demás defensas.
Qué NO puede hacer?
Protegerlo contra atacantes internos
Resguardarlo contra conexiones que no pasan por él
Nuevas amenazas de seguridad: bug’s, configuraciones recientes de enrutadores, etc.
Resguardarlo contra virus.
Protegerlo contra ejecuciones de applets maliciosos de java.
Control de paquetes fragmentados.
20
Línea de Defensa
Intrusion Detection Systems
Herramientas de administración de seguridad que:
Recolectan información de una variedad de fuentes en un sistema
Analiza esta información contra patrones de uso indebido o actividad inusual
En algunos casos, responde automáticamente a la actividad detectada
Reporta el resultado del proceso de detección
Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.
21
Línea de Defensa
Intrusion Detection Systems
Dentro de las funciones que pueden desarrollar están:
Monitorear y analizar las actividades del usuario y del sistema.
Auditar la configuración del sistema y sus vulnerabilidades
Evaluación de la integridad de los sistemas críticos y los archivos de datos
Reconocimiento de patrones de actividad que reflejen ataques
Análisis estadístico de patrones de actividad anormal
Auditoría de la administración del S.O, con reconocimiento de actividades relativas a la violación de políticas.
22
Línea de Defensa en detalle
(Gp:) Internet
Firewall
Enrutador
Externo
Enrutador
Interno
Anfitrión
Bastión
Red Interna
Monitoreo de tráfico
– Conexiones a servicios y puertos específicos
* WEB, DNS
* MAIL
* Puertos menores a 1023
Monitoreo de tráfico
– Conexiones
* Aplicaciones internas
* Niñeras
* Traducción de direcciones
23
R.E.D.A.R en Defensa
(Gp:) REGISTRO
(Gp:) DETECCIÓN
INTRUSOS
(Gp:) AUDITORÍA
(Gp:) PREPARACIÓN
FORENSE DE
REDES
(Gp:) SINCRONIZACIÓN
(Gp:) CORRELACIÓN
(Gp:) SINCRONIZACIÓN
(Gp:) AFINAMIENTO
(Gp:) SIMULACIÓN Y PRUEBAS
(Gp:) CONTROL DE EVIDENCIA
24
Línea de Defensa
Aplicando R.E.D.A.R – Aspectos básicos a considerar
RE gistro
Algunos eventos que deben ser analizados en la Defensa
Violaciones de las reglas del FW
Tráfico Fuera de lo Normal
Patrones de Bypass de IDS
D ectección de Intrusos
Algunos eventos de interés
Alertas de posibles ataques conocidos
Tráfico anormal y manipulación de protocolos
violación de permisos e integridad en la máquina FW e IDS
AuditoRía
Algunos eventos de interés
Configuración de la máquina FW y sus protocolos
Parches de seguridad
25
Línea de Defensa
Aplicando R.E.D.A.R – Algunas Estrategias
RE gistro
Algunos aspectos a considerar en la Defensa
Exportar y analizar registros del FW
Exportar y analizar registros del IDS
D ectección de Intrusos
Alertas de Cambios
Reglas en el FW y en el IDS
Control de permisos en las máquinas – Integridad del software y reglas
AuditoRía
Pruebas de penetración
Reglas y tráfico de red malicioso
Simulación de ataques e incidentes.
26
LOG FIREWALL – Checkpoint FW-1
Características del log
14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;comp1;200.0.241.42;http;4689;48;70;comp_X;200.0.241.42;46556;http;;;;;;;;;;;;;;;;
Otros campos: resource;icmp-type;icmp-code;reason:;agent;orig_from;orig_to;reason;srckeyid;dstkeyid;user;scheme:;methods:;from;to;sys_msgs
Análisis detallado del log
num – 14 src – comp1
date – 2Feb2001 dst – 200.0.241.42
time – 11:30:02 service – http
orig – FW s_port – 4689
type – Log len – 48
action – accept rule – 70
alert – “Vacio” xlatesrc – comp_X
i/f_name – qfe1 xlatedst – 200.0.241.42
i/f_dir – inbound xlatesport – 46
proto – tcp xlatedport – 556
R.E.D.A.R enLínea de Defensa
27
Zona Controlada
Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos más críticos asociados con la organización.
IDS
FW
28
Zona Controlada
Consideraciones en la zona controlada
Sólo debe fluir el tráfico autorizado por el FW tanto desde el interior como desde el exterior de la organización
Los servicios y datos residentes en esta zona requieren mecanimos de autenticación fuertes
Las acciones “de actualización de datos o configuraciones” requiere registro y análisis formal
Si existe un cambio en el direccionamiento hacia la zona controlada en la línea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticación, registro y control de la zona controlada.
El manejo de excepciones de acceso a la zona, tanto de tráfico como de actualización de datos deben estar claramente monitoreados. de enrutadores, etc.
29
R.E.D.A.R en Zona Controlada
(Gp:) REGISTRO
(Gp:) DETECCIÓN
INTRUSOS
(Gp:) AUDITORÍA
(Gp:) PREPARACIÓN
FORENSE DE
REDES
(Gp:) SINCRONIZACIÓN
(Gp:) CORRELACIÓN
(Gp:) SINCRONIZACIÓN
(Gp:) AFINAMIENTO
(Gp:) SIMULACIÓN Y PRUEBAS
(Gp:) CONTROL DE EVIDENCIA
30
Zona Controlada
Aplicando R.E.D.A.R – Aspectos básicos a considerar
RE gistro
Algunos eventos que deben ser analizados en la Zona Controlada
Registro de autenticación y control de acceso
Protocolos y servicios permitidos
Tráfico de red sobre servicios ofrecidos
D ectección de Intrusos
Algunos eventos de interés
Alertas de posibles ataques conocidos
Tráfico anormal y manipulación de protocolos
violación de permisos e integridad de las máquinas
AuditoRía
Algunos eventos de interés
Vulnerabilidades de segiuridad de los servicios ofrecidos
Fallas en los mecanismos de seguridad utilizados
Fallas procedimentales y de uso.
Página anterior | Volver al principio del trabajo | Página siguiente |