R.A.2.1 Y 2.3

Como siempre en Audea pensamos que la mejor defensa es la prevención, y aprovechamos para  recomendar nuestra solución Firewall UTM Netasq indispensable para restringir el acceso a nuestra red, y protegerla de las amenazas internas, y la dilatada experiencia de nuestros expertos técnicos que ajustan la herramienta a las necesidades de tráfico y seguridad su empresa!En la actualidad  la herramienta por excelencia de protección contra intrusiones en el perímetro de la red de nuestra empresa, está basada en la utilización de Firewall o cortafuegos.

Configuración de red de S.I.

Sin embargo, aunque es una medida necesaria, no podemos afirmar que la seguridad de la nuestra información está verdaderamente protegida, simplemente con la instalación de un Firewall. Sería (salvando las distancias) casi como asegurar que nuestra casa está protegida por tener puertas. ¿Por qué?Los cortafuegos proporcionan una primera barrera de defensa frente a amenazas externas. Sin embargo, bien una mala configuración del Firewall,  (por ejemplo reglas de filtrado mal parametrizadas), bien un error en su software o harware, puede volver completamente inútil su eficacia. Por ello, se vuelve necesaria la utilización de un IDS o sistema de detección de intrusos, que vigila la red en busca de comportamientos sospechosos. Asimilándolo al ejemplo anterior referente a la protección de nuestra casa, si un ladrón consigue atravesar la puerta (FireWall), por no ser suficientemente “robusta” (mala configuración), por estar estropeada (error de sw o hw), o porque ha sido forzada, tendríamos a un vigilante dentro que lo detectaría.Ahora bien, ¿qué actividades anómalas considera un IDS como intrusión? En general, las siguientes actividades:–          Reconocimiento: Los intrusos suelen hacer un reconocimiento previo de la red antes de intentar atacarla, utilizando técnicas francamente sencillas pero efectivas, como barridos ping, que permite realizar una exploración de puertos (por ej: TCP o UDP), identificar sistema operativo de una máquina, etc. Siguiendo con las diferencias antes comentadas, un Firewall  se limitaría a bloquear esos “sondeos”, el IDS hace saltar la alarma!http://www.audea.com/ids-la-seguridad-perimetral-mas-alla-del-firewall/

Configuración de red de S.I.

Configuración de red de S.I.

–          Exploración y ataque: Una vez los intrusos realizan el reconocimiento de la red, ya saben qué objetivo atacar, intentando utilizar brechas del sistema, y pudiendo dejar sin servicio una determinada máquina, haciendo por ejemplo un ataque de denegación de servicio. Una vez más, estos ataques pasarían completamente desapercibidos por el Firewall, el IDS haría saltas la alarma!  Pongamos un ejemplo. Un Firewall bien configurado bloquearía el acceso por puertos y protocolos de comunicaciones, excepto aquellos en los que se desea ofrecer ciertos servicios. Imaginemos que tenemos una empresa y vende sus productos a través de  la Web, para lo que necesitamos nuestro servidor Web. Para dar el servicio, sería necesario que el puerto TCP 80 estuviera abierto. ¿Primera limitación del Firewall? Un hacker tendría la posibilidad de atacar nuestro servidor Web a través de éste puerto permitido.  ¿Segunda limitación del Firewall?Normalmente las reglas, si no se ha configurado por personal experto en seguridad, bloquea el tráfico de entrada, no de salida.http://www.audea.com/ids-la-seguridad-perimetral-mas-alla-del-firewall/

14f5d5ca-4739-41c6-ae85-1ea50c2dc08b (image/jpg)

Caption: : ATAQUE

SISTEMA DE DETECCIÓN DE INTRUSOS.

Intrusión Detection Systems (IDS) Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el exterior-interior de un sistema informático.Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en: Host-Based IDS: operan en un host para detectar actividad maliciosa en el mismo. Network-Based IDS: operan sobre los flujos de información intercambiados en una red. Knowledge-Based IDS: sistemas basados en Conocimiento. Behavior-Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede ser detectada observando una desviación respecto del comportamiento normal o esperado de un usuario en el sistema. La idea central de este tipo de detección es el hecho de que la actividad intrusiva es un conjunto de actividades anómalas. Si alguien consigue entrar de forma ilegal al sistema, no actuará como un usuario comprometido; su comportamiento se alejará del de un usuario normal.

Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del agregado de otras actividades individuales que por sí solas no constituyen un comportamiento intrusivo de ningún tipo. Así las intrusiones pueden clasificarse en: Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema erróneamente indica ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema. No intrusivas pero anómalas:denominados Falsos Positivos (el sistema erróneamente indica la existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el sistema "decide" que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se ignorarán los avisos del sistema, incluso cuando sean acertados. No intrusiva ni anómala:son Negativos Verdaderos, la actividad es no intrusiva y se indica como tal. Intrusiva y anómala:se denominan Positivos Verdaderos, la actividad es intrusiva y es detectada. Los detectores de intrusiones anómalas requieren mucho gasto computacional, ya que se siguen normalmente varias métricas para determinar cuánto se aleja el usuario de lo que se considera comportamiento normal.

SISTEMA DE DETECCIÓN DE INTRUSOS.

Características de IDS Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en que esté basado, debería contar con las siguientes características: Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente fiable para poder ser ejecutado en background dentro del equipo que está siendo observado. Sin embargo, no debe ser una "caja negra" (debe ser examinable desde el exterior). Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del sistema. En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema puede monitorizarse a sí mismo para asegurarse de que no ha sido perturbado. Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la máquina, simplemente no será utilizado. Debe observar desviaciones sobre el comportamiento estándar. Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un patrón de funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos patrones. Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas aplicaciones al mismo. Debe ser difícil de "engañar".

SISTEMA DE DETECCIÓN DE INTRUSOS.

SISTEMA DE DETECCIÓN DE INTRUSOS.

Fortalezas de IDS Suministra información muy interesante sobre el tráfico malicioso de la red. Poder de reacción para prevenir el daño. Es una herramienta útil como arma de seguridad de la red. Ayuda a identificar de dónde provienen los ataques que se sufren. Recoge evidencias que pueden ser usadas para identificar intrusos. Es una "cámara" de seguridad y una "alarma" contra ladrones. Funciona como "disuasor de intrusos". Alerta al personal de seguridad de que alguien está tratando de entrar. Protege contra la invasión de la red. Suministra cierta tranquilidad. Es una parte de la infraestructura para la estrategia global de defensa. La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir (parcialmente) al descubrimiento automático de esos nuevos ataques. Son menos dependientes de los mecanismos específicos de cada sistema operativo. Pueden ayudar a detectar ataques del tipo "abuso de privilegios" que no implica realmente ninguna vulnerabilidad de seguridad. En pocas palabras, se trata de una aproximación a la paranoia: "todo aquello que no se ha visto previamente es peligroso". Menor costo de implementación y mantenimiento al ubicarse en puntos estratégicos de la red. Dificulta el trabajo del intruso de eliminar sus huellas.

SISTEMA DE DETECCIÓN DE INTRUSOS.

Debilidades de IDS No existe un parche para la mayoría de bugs de seguridad. Se producen falsas alarmas. Se producen fallos en las alarmas. No es sustituto para un buen Firewall, una auditoría de seguridad regular y una fuerte y estricta política de seguridad.

SISTEMA DE DETECCIÓN DE INTRUSOS.

Inconvenientes de IDS La alta tasa de falsas alarmas dado que no es posible cubrir todo el ámbito del comportamiento de un sistema de información durante la fase de aprendizaje. El comportamiento puede cambiar con el tiempo, haciendo necesario un re-entrenamiento periódico del perfil, lo que da lugar a la no disponibilidad del sistema o la generación de falsas alarmas adicionales. El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que el perfil de comportamiento contendrá un comportamiento intrusivo el cual no será considerado anómalo. http://www.segu-info.com.ar/proteccion/deteccion.htm

ebc305ca-e47d-4503-a0c5-3348e05519de (image/jpg)

Caption: : INTRUSO

Protocolos  IPSEC-http sobre ssl. 

¿Qué es IPSec? Según Wikipedia, IPSec (Internet Protocol Security) es “un conjunto de protocolos cuya función es asegurar las comunicaciones sobre la suite de protocolos TCP/IP autenticando y/o cifrando cada paquete IP en un flujo de datos.”IPSec funciona encriptando la información contenida en los datagramas IP mediante encapsulamiento. Esto a su vez proporciona integridad, confidencialidad, autenticación y protección ante repetición. También se puede utilizar para proteger conexiones remotas.

Protocolos  IPSEC-http sobre ssl.

Algunas de las funcionalidades que provee son:Autenticación: una firma digital es utilizada para verificar la identidad del remitente. IPSec puede utilizar certificados digitales, Kerberos o una clave compartida previamente.Integridad: un algoritmo de hash es utilizado para garantizar que la información no ha sido modificada en transito. A partir del paquete original, se calcula un HMAC (Hash Message Authentication Code). Confidencialidad: se utilizan algoritmos de cifrado para asegurar que la información transmitida, aunque interceptada, no pueda ser descifrada. Anti-repetición: previene que un atacante reenvíe paquetes en un intento de acceder a la red. No repudio: se utilizan firmas digitales para garantizar que el remitente no pueda negar el envío. Claves dinámicas: las claves pueden ser creadas durante la sesión en forma dinámica, protegiendo distintos segmentos de la información con diferentes claves. Regeneración de claves: el algoritmo de intercambio de claves Diffie-Hellman se utiliza para habilitar que dos equipos intercambien una clave de cifrado. Filtrado de paquetes IP: es posible filtrar e incluso bloquear tipos de tráficos específicos, basado en cualquier combinación de dirección IP, protocolo y puerto.

Protocolos  IPSEC-http sobre ssl.

IPSec posee dos modos de operación, túnel y transporte.Modo TransporteEn este modo de trabajo, solamente la información del paquete es cifrada y/o autenticada. La información de enrutamiento, o encabezamiento no es alterada.Modo TúnelEn este modo, todo el paquete es cifrado, lo cual incluye la información de encabezamiento.Considerando todas las facilidades que provee IPSec, es sensato primeramente determinar cuales métodos de seguridad son necesarios implementar.

Permisos para carpetas y archivos compartidas

Los permisos de recurso compartido se aplican a los usuarios que se conectan a una carpeta compartida a través de la red. Estos permisos no afectan a los usuarios que inician sesión localmente o mediante Escritorio remoto.Para establecer permisos para los usuarios que se conectan localmente o mediante Escritorio remoto, utilice las opciones de la ficha Seguridad en lugar de la ficha Permisos de los recursos compartidos. Se establecerán permisos en el nivel del sistema de archivos NTFS. Si se establecen tanto permisos de recurso compartido como permisos de sistema de archivos para una carpeta compartida, se aplicarán los permisos más restrictivos al conectarse a la carpeta compartida.

Por ejemplo, para conceder a los usuarios de un dominio acceso de lectura a una carpeta compartida, en la ficha Permisos de los recursos compartidos, establezca permisos a Control total para el grupo Todos. En la ficha Seguridad, especifique un acceso más restrictivo estableciendo permisos de acceso de lectura para el grupo Usuarios del dominio. El resultado es que un usuario que es miembro del grupo Usuarios del dominio cuenta con acceso de solo lectura a la carpeta compartida, tanto si el usuario se conecta a través de un recurso compartido de red, como si lo hace a través de Escritorio remoto o si inicia sesión localmente.https://technet.microsoft.com/es-es/library/cc726004.aspx

125164ab-6db6-46b7-89ef-3106a65d3cc2 (image/jpeg)

Caption: : permisos

Permisos para carpetas y archivos compartidas

Implementación de acciones correctivas en la configuración y ejecución de herramientas de seguridad informática.Planes de contingencia Definición y características Alternativas de solución Escalamiento de problemas Actualización de software y de equipo de seguridad.

Definición y características

Las herramientas informáticas (tools, en inglés), son programas, aplicaciones o simplemente instrucciones usadas para efectuar otras tareas de modo más sencillo.Como vemos el concepto está muy ligado al significado de uso común: del mismo modo que usamos un martillo para clavar un clavo, para realizar tareas determinadas en el ordenador o cualquier otro dispositivo informático, usamos también herramientas. En un sentido amplio del término, podemos decir que una herramienta es cualquier programa o instrucción que facilita una tarea, pero también podríamos hablar del hardware o accesorios como herramientas.... Fuente http://www.mastermagazine.info/termino/5234.php Es muy importante usar las herramientas adecuadas para cada tarea. En ese aspecto cada herramienta se crea y diseña para una o varias funciones determinadas, y por tanto podemos hablar de muy diversos tipos de herramientas informáticas según el campo al que se dediquen. Tenemos asi herramientas de sistema, de limpieza, generales, ortográficas, de gestión, de mantenimiento, herramientas web, de programación, de desarrollo, de seguridad, ofimáticas, de edición... y un larguísimo etcétera.Existen herramientas multifunción, también llamadas multipropósito cuando tienen muchas funcionalidades, o bien pueden ser específicas. Una suite sería un ejemplo de las primeras, pues incluye diversos programas de utilidad en un solo paquete, con muchas funciones. La mayor parte de los programas contienen varias herramientas aunque sólo tengan un objetivo, para facilitar cada uno de los procesos que se llevan a cabo.... Fuente http://www.mastermagazine.info/termino/5234.php

Alternativas de solución

No rebelar su contraseña a nadie Cambiar de contraseñas cara cierto tiempo. Disminuir la cantidad de correos basuras. No responder a cadenas. Mantener las soluciones activadas y actualizadas. Evitar realizar operaciones comerciales en computadoras de uso público. Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda. Usar Penetration Testing (método para probar la seguridad en la red)

Escalamiento de problemas

Una vulnerabilidad en el proceso de autenticación de SUDO, reportado en marzo pasado, está ganando popularidad con el lanzamiento de un nuevo módulo de Metasploitque hace realmente fácil explotar dicha vulnerabilidad en Mac OS.La vulnerabilidad identificada como CVE-2013-1775, consiste en saltar las restricciones de tiempo y mantener los privilegios administrativos, reajustando el reloj del sistema (UNIX Epoch) al 1 de enero de 1970. No se limita a OS X, y también se puede encontrar en 1.8.6p7 y 1.7.10p7.De acuerdo a un artículo de Dan Goodin en Ars Technica, las versiones OS X 10.7 a 10.8.4 siguen siendo vulnerables.Es importante destacar que la vulnerabilidad solo puede aprovecharse si el atacante ya tiene acceso a una consola física o remota de la víctima pero HD Moore remarca que “esta vulnerabilidad permite que cualquier usuario del sistema se convertierta en root”.Nota: el módulo Metasploit fallará silenciosamente si el usuario no es un administrador (sudoer), o si el usuario no ha ejecutado nunca el comando SUDO.

Similar al uso que se le da a los parches para reparar agujeros en la ropa, los parches para software reparan huecos de seguridad en los programas o sistemas operativos.Las actualizaciones tienen como objetivo reparar problemas específicos de vulnerabilidades que se presentan en un programa. Algunas veces, en lugar de liberar un sólo parche o actualización, los distribuidores publican una versión actualizada de su software, aunque podrían referirse a ésta como un parche.

Actualización de software y de equipo de seguridad.