Otras Tecnologías

de Seguridad
 Otras Tecnologías de Seguridad

• Firewall
• IDS/IPS
• Honeypot
• Seguridad basado en
chips
 Firewall

• Internet es un recurso esencial en las

organizaciones, pero trae muchas
amenazas
• Firewall es una protección fundamental
– Ofrece una defensa perimetral
• Políticas de Acceso del Firewall
– Tipos de tráfico
• Rango de direcciones, protocolos,
aplicaciones y tipo de contenidos
– Las políticas deben estar de acuerdo con los
planes de seguridad de la empresa
– Basado en especificaciones concretas
 Firewall

• Beneficios del Firewall

– Punto singular de control
– Provee monitoreo de eventos de seguridad
centralizada
– Conveniente para combinar con funciones
como NAT y VPN
• Limitaciones
– No puede ver ataques que traspasan al
cortafuego
– No ofrece protección contra los ataques
internos
– No es adecuado para proteger WLAN
 Firewall
• ¿Qué detecta un Firewall?

Valores de Protocolos de Identidad de Actividad de Red

direcciones IP y Aplicación Usuario
protocolos

Este tipo de filtrado Este tipo de filtrado

es usado por es utilizado por los Se utiliza, por lo Controla el acceso
firewalls de filtrado gateways de nivel general, para en función de
de paquetes e de aplicación que usuarios internos consideraciones
inspección de monitorea los que se identifican como el tiempo o
estados. intercambios de mediante algún tipo solicitud, tasa de
información por de tecnología de solicitudes u otros
protocolos autenticación patrones de
Usados típicamente específicos de segura. actividad.
para limitar el acceso aplicación.
a servicios
específicos.
 Firewall: Tipos

Tipos de
Firewall

Cloud
Hardware Software Firewall
Firewall Firewall
(FWaaS)
 Firewall: Tipos

Tipos de
Firewall

Unified Threat
Stateful Circuit-level
Packet filtering Proxies NGFW Management
inspection Gateways
(UTM)
 Firewall: Tipos → Packet Filtering Firewall
• Forma más simple
• Utiliza información de la capa de red y transporte
– Dirección IP (fuente y destino)
– Cabecera de protocolo (TCP, UDP, ICMP, etc.)
– Puertos fuente y destino de TCP o UDP
– TCP Flags (SYN, ACK, FIN, RST, etc.)
• Típicamente se filtra en base a una lista de reglas
– Ejemplo: si la regla correcta, hacer forward/discard
 Firewall: Tipos → Packet Filtering Firewall

• Ventajas
– Son rápidos, económicos y efectivos.
• Desventajas
– La seguridad que dan es rudimentaria.
– No pueden protegerse contra los paquetes de datos
maliciosos que llegan de direcciones IP de origen
confiables porque no pueden inspeccionar el contenido de
los paquetes de datos.
– También están sujetos a enrutamiento de origen y
pequeños ataques de fragmentación porque no tienen
estado.
– Dificultad para configurar y administrar listas de control de
acceso.
 Firewall: Tipos → Proxy Firewall

• Punto control de tráfico de nivel de aplicación

– Usuarios contacta al Gateway con el nombre del host remoto
– Realiza autenticación
– El Gateway realiza el contacto y re-direcciona los segmentos TCP
entre el servidor y usuario
• Se debe tener un proxy para cada aplicación (p.ej.: SMTP,
DNS, HTTP)
– Algunos servicios puede que
no esté disponible
• Más seguro que los packet
filters
• Pero tiene más overhead
(sobrecarga)
 Firewall: Tipos → NGFW

• NGFW: Next Generation Firewall

• Según Gartner: "un firewall de inspección profunda de
paquetes que va más allá de la inspección y el bloqueo de
puertos/protocolos para agregar inspección a nivel de
aplicación, prevención de intrusiones y brindar inteligencia
desde fuera del firewall".
• Tienen una capacidad de:
– Reconocer aplicaciones para tráfico inteligente y análisis de recursos.
– Realizar inspecciones profundas de paquetes para detectar malware y otras anomalías.
– Detener los ataques DDoS.
– Incorporar otras soluciones de seguridad, como sistemas de prevención de intrusiones
(IPS) y antivirus, para brindar una seguridad de red más completa.
– Identificar a los usuarios y grupos de usuarios.
 Firewall: Tipos → NGFW

• Desventajas:
– Son más costosos que otros tipos de firewalls
– Los administradores de seguridad pueden necesitar conectarlos con otros sistemas de
seguridad, lo que puede ser un proceso difícil.
 Firewall: Tipos → UTM Firewalls

• UTM = Unified Threat Management

• Vienen en forma de una sola caja que se conecta a la
red
• Ofrecen una solución de seguridad casi completa para
las pequeñas y medianas empresas.
• Las funciones típicas de UTM incluyen:
– Un firewall tradicional
– Un sistema de detección de intrusos (IDS)
– Ocasionalmente, incluyen funciones de firewall de próxima
generación (NGFW) y firewall de aplicaciones web.
 Firewall: Tipos → Stateful Inspection Firewall
• Realizan una inspección de paquetes además de confirmar y
rastrear las conexiones establecidas para brindar una
seguridad más sólida y completa.
• Una vez que se establece una conexión, crean una tabla de
estado que comprende las direcciones IP de origen/destino,
los puertos de origen/destino.
• En lugar de depender de un conjunto de reglas codificadas basadas en este
conocimiento, desarrollan sus propias reglas dinámicamente para habilitar el
tráfico de red entrante previsto.
• Desventajas:
– Requieren una cantidad significativa de recursos del sistema y pueden reducir
significativamente la velocidad.
– Como resultado, son vulnerables a los ataques DDoS.
Firewall: Tipos → Stateful Inspection Firewall
Firewall: Ubicación de los Firewalls
IDS (Intrusion Detection System)

Ataque
Interno
 IDS: Conceptos

• Intrusión a la seguridad y su detección

(RFC 2828)
– Intrusión a la seguridad: uno o combinación de
eventos de seguridad que constituye un
incidente en el cual el intruso logra o intenta
lograr acceder a un sistema (o recurso del
sistema) sin tener la autorización
– Detección de intrusiones: un servicio de
seguridad que monitorea y analiza eventos de
sistemas para encontrar y proveer a tiempo real
(o casi tiempo real) alertas de intentos de
acceso a recursos del sistema de una manera
no autorizada.

Copyright © by Profe Sang (www.profesang.com)

 IDS: Requerimientos

Correr Ser tolerante a

continuamente fallos Resistir ataques

Configuración Adaptación a los

Mínima
acorde a las cambios de
sobrecarga en
políticas de sistemas y
los sistemas
seguridad usuarios

Escalabilidad
para monitorear
muchos sistemas

Copyright © by Profe Sang (www.profesang.com)

 IDS: Principios
• Suposición: la conducta del intruso difiere de usuarios legítimos (usa datos
históricos)

Usuarios válidos
Intrusos no identificados
Identifcados como intrusos
(falso negative)
(falso positive)

Copyright © by Profe Sang (www.profesang.com)

 IDS: Técnicas de Detección

• Detección de Threshold (Umbrales)

– Verifica ocurrencias exageradas de eventos
– Verifica umbrales e intervalos de tiempo
– Es posible muchos falsos positivos/falsos negativos
• Basados en Perfiles
– Se caracteriza comportamientos pasados de usuarios/grupos
– Detección de desviaciones significativos
– Basados en análisis de registros de auditoría (generación de métricas)
• Ejemplo de métricas:
– Contadores (p.ej: # de logins o ejecución de comandos durante un tiempo)
– Medición de red (p.ej: # de mensajes de salida)
– Intervalo de tiempo (p.ej: tiempo de duración de dos eventos)
– Utilización de recursos
– Medias y desviación estándar

Copyright © by Profe Sang (www.profesang.com)

 IDS: Técnicas de Detección (continuación)

• Detección basado en signature

– Usa un conjunto de patrones de ataques o reglas de ataque
– También conocido como detección de misuse (mal uso)
– Puede identificar solamente ataque con patrones o reglas (signature)
• Muy similar a antivirus (requiere de actualizaciones frecuentes)
• Ejemplos
– Usuarios no debe tener más de una sesión
– Usuarios no debe copiar los archivos de contraseñas
– Usuarios no deben leer/escribir directorios de otros usuarios
– Los horarios de inicio de sesión de usuarios son similares cada día

• Detección basado en inteligencia artificial

– Utiliza los algoritmos de inteligencia artificial
– Realiza su propio aprendizaje
– Puede detectar nueva anomalías

Copyright © by Profe Sang (www.profesang.com)

 IDS: Tipos

• IDS basado en Host • IDS basado en Red

– Monitorea las actividades de un host
– Interfaz en modo no promiscuo
– Ventaja: la carga de procesamiento es
menor
– Monitorea el tráfico de la red
– Interfaz en modo promiscuo (captura
todo el tráfico)
IDS

IDS
IDS IDS

Copyright © by Profe Sang (www.profesang.com)

 IDS: Tipos

• Distribuido o híbrido
– Combina información de un
número de sensores
(comúnmente combinando host * Host agent
* LAN agent (analyzes LAN traffic)
y red) en un analizador central * Central manager
• Sensores: colectan datos
• Analizadores: determina si una
intrusión ha ocurrido
• Interfaz de usuario: muestra o
permite controlar al sistema

Copyright © by Profe Sang (www.profesang.com)

IDS: Implementación de Sensores

2. Monitoro de
paquetes antes del
filtrado
3. Protección de backbones
(monitorear ataques
internos y externos)

1. Monitoreo desde afuera (ver

ataques a servidores)

4. Protección adicional
para sistemas críticos
(ej.: Sistema bancario)

Copyright © by Profe Sang (www.profesang.com)

 Sistema de Prevención de Intrusiones (IPS)

• IDS que puede bloquear tráfico

(no solo detecta sino actúa)
– Adición de funcionalidades de IDS a
firewalls
• Usa algoritmos de IDS para poder
bloquear o rechazar paquetes
como firewall

Copyright © by Profe Sang (www.profesang.com)

 Honeypots
• Sistemas Señuelos (Carnada)
– Implementado con monitores de eventos (logs)
– Aleja a potenciales atacantes de los sistemas críticos
– Recolecta información acerca de las actividades de los
hackers
– Motiva a los atacantes a quedarse más tiempo en el sistema
• Inicialmente sistemas simples
• Actualmente, puede simular redes enteras
• Honeypot de Baja Interacción
– Consiste en paquetes de software que emula un particular
sistema o servicio de TI
– Provee un ambiente menos realístico
• Honeypot de Alta Interacción
– Sistema real con sistema operativo completo, servicios y
aplicaciones

Copyright © by Profe Sang (www.profesang.com)

 Implementación de Honeypot

1. Sigue los rastros

de conexiones desde
afuera (no sirve para
ataques internos)

3. Honeypot interno

2. En la DMZ, para
seguir rastros de
servidores con
servicios basado en la
Web (Internet)

Copyright © by Profe Sang (www.profesang.com)