Descargar

Preparación de Redes – Un modelo de análisis

Enviado por Pablo Turmero

Partes: 1, 2, 3

    edu.red 1 Agenda Introducción Definiciones básicas Presentación del Modelo – R.E.D.A.R Arquitectura de Análisis Red de perímetro Linea de Defensa Zona Controlada Red de perímetro – Routers Línea de defensa – Firewalls Zona Controlada – Servidores y conexiones Preparación Forense de Redes en Contexto Conclusiones Referencias

    edu.red 2 Introducción Las estadísticas del CERT en el año 2001, muestran aumento de más del 150% en incidentes de seguridad reportados. De acuerdo con la investigación adelantada por KPMG en el 2001, “2001 Global e-Fr@ud Survey” : Cuando ocurre un incidente de seguridad No se adelantan acciones legales Inadecuado uso de los recursos legales Falta de evidencia El 50% de los encuestados identificó a los Hackers y la pobre implementación de políticas de seguridad como los factores fundamentales de los incidentes de seguridad. Los ejecutivos se encuentran desinformados acerca del estado actual de las vulnerabilidades de la su red. Bajo o pobre entrenamiento de los administradores de sistemas Mientras que un ataque de un sitio puede tomar dos (2) horas, el análisis forense completo puede alcanzar las treinta (30) horas! (Forensic Challenge Project)

    edu.red 3 Definiciones básicas Conceptos Sistemas de detección de intrusos. Orientado a Host Orientado a Red Orientado a Firmas Estadísticas Honeypot Configuración de una máquina con servicios activos, atractivos y aislados, como una estrategia para seguir y capturar intrusos dentro de sistemas de computación. Honeynet Configuración de una red con servicios activos, atractivos y aislados, como una estrategia para analizar y aprender de los intrusos y sus acciones. Red de perímetro Es una red agregada a fin de proporcionar una capa adicional de seguridad. Generalmente se le conoce como red desmilitarizada (DMZ)

    edu.red 4 Definiciones básicas Conceptos Firewall Componente o conjunto de componentes (Hw y Sw) que restringen el acceso entre una red protegida e internet, o entre otros conjuntos de redes. Tradicionales Stealth Evidencia digital Es un tipo de evidencia física. Esta construida de campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.(Casey 2000, pág.4) Computación forense Es la aplicación legal de métodos, protocolos y técnicas para obtener, analizar y preservar evidencia digital relevante a una situación en investigación. (Kovacich 2000, pag.243)

    edu.red 5 Presentación del Modelo R.E.D.A.R Justificación Es necesario desarrollar una estrategia formal para atender incidentes de seguridad y su posterior documentación y análisis Se cuentan con diversas estrategias de registro de eventos, pero no se posee la cultura de análisis de las pistas. La mayoría de los administradores de sistemas actualmente no son conscientes de la necesidad de contar con evidencia digital. La seguridad informática y la administración de sistemas de observan como actividades diferentes, cuando en realidad son complementarias

    R.E.D.A.R – Vocablo que significa: “Echar las redes” RE gistro Establecimiento de los diferentes métodos y herramientas para mantener el adecuado registro de eventos relevantes en las redes. D ectección de intrusos Desarrollo de alertas y análisis de las posibles fallas de seguridad aprovechadas por los atacantes. A uditoRia Evaluación, seguimiento y análisis de los mecanismos y herramientas actuales de seguridad, que conduzcan al afinamiento permanente de la seguridad de la red.

    edu.red 6 R.E.D.A.R (Gp:) REGISTRO (Gp:) DETECCIÓN INTRUSOS (Gp:) AUDITORÍA (Gp:) PREPARACIÓN FORENSE DE REDES (Gp:) SINCRONIZACIÓN (Gp:) CORRELACIÓN (Gp:) SINCRONIZACIÓN (Gp:) AFINAMIENTO (Gp:) SIMULACIÓN Y PRUEBAS (Gp:) CONTROL DE EVIDENCIA

    edu.red 7 Arquitectura de análisis Internet Exterior ZONA CONTROLADA LÍNEA DE DEFENSA RED PERÍMETRO

    edu.red 8 Red de Perímetro Generalmente compuesta por enrutadores La seguridad y control de este segmento de la red, en la mayoría de los casos, se basa en: Listas de control de acceso Filtro de paquetes

    172.16.1.0 192.168.1.0 200.16.2.3 10.16.1.0

    edu.red 9 Red de Perímetro Lista de Control de Acceso

    Lista de control de acceso Standard Definida por un rango numérico entre 1-99 Sólo verifica el IP ORIGEN, luege se hace el filtro de manera rápida.

    Lista de control de acceso Extendida Definida por un rango numérico entre 100-199 Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP, Tipos ICMP en secuencia. El filtro de paquetes se torna más lento

    Lista de Control de Acceso Reflexiva Utiliza listas de control de acceso dinámica, semejantes a la tabla de estados de un FW, para mantener las conexiones aseguradas. Mecanismo nuevo en CISCO.

    edu.red 10 Red de Perímetro Formato de una Lista de Control de Acceso Estandard

    access-list number action source [Wild Card] ? any

    Number: 0-99 para listas de control de acceso estándard

    Action: Permit o Deny – Permitir o Negar

    Source: Dirección IP para comparar

    Wild Card: Determina que parte de la dirección IP será comparada y cual no.

    Any: Cualquier dirección

    EJEMPLO: access-list 20 permit 192.168.1.0 0.0.0.255

    Partes: 1, 2, 3
    Página siguiente