Sistema de Detección de Intrusos
Solución Snort
Snort es un sistema de detección de intrusos a la red capaz de realizar análisis de tráfico e ingreso de paquetes en la red IP en tiempo real. También puede realizar análisis de protocolo y búsquedas de contenido pudiendo ser utilizado para detectar distintos ataques e explorar como moderar shocks de overflow, prever escaneo de puertos, ataques de CGI, huellas de intento de intrusión al sistema operativo, y otras. Snort utiliza reglas flexibles en un lenguaje que describe el tráfico que debería ser admitido y cual no.
Tiene además un sistema de alerta en tiempo real incorporando mecanismos de syslog, a un archivo especificado por un usuario, un socket UNIX, o un mensaje popup a los clientes windows utilizando Samba.
Tiene también tres usos principales: como detector directo de paquetes como tcdump, como monitoreo de paquetes, o como un potente sistema de detección de intrusión a la red, también tiene la capacidad de ejecutar acciones basadas en eventos de detección.
SERVICIO DE RED PRIVADA VIRTUAL (VPN) Solución VPN
Introducción
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra red. VPN logra este objetivo mediante la conexión de los usuarios de distintas redes a través de un túnel que se construye sobre internet o sobre cualquier red pública.
VPN habilita a los usuarios para trabajar en sus hogares o en sus compañías conectadas de una forma segura con el servidor corporativo usando la infraestructura provista por la red pública (como internet). Desde el punto de vista del usuario, la VPN es una conexión entre el usuario y el servidor corporativo. La naturaleza de la interconexión que esta en el medio de los dos es transparente para el usuario ya que los datos le aparecen como si fueran enviados a través de su red LAN, como si estuviera en la empresa.
También habilita a las empresas a tener conectadas oficinas centrales con sus sucursales sobre cualquier red pública (como internet), mientras se mantienen conexiones seguras. La VPN se conecta a través de la red internet, formando una red WAN (Wide Area Network) entre los sitios conectados.
En ambos casos, la seguridad de la conexión a través de la red internet de forma lógica, aparece en el usuario como si fuera virtualmente una red privada tipo LAN. Pero trabajando sobre una red pública. Lo que genera el nombre de RED PRIVADA VIRTUAL.
Requerimientos de equipamiento para la implementación:
Para implementar la solución se requerirá instalar un equipo en la Casa Central que genere el túnel y actúe como firewall. En la sucursal se requerirá instalar un equipo que actúe como firewall y genere túneles encriptados para permitir establecer los vínculos de la red privada virtual.
Descripción del servicio:
La misma, esta relacionada a la configuración para accesos encriptados que permite que equipos remotos, que se encuentran fuera de la red local, puedan conectarse a un servidor central, siempre a través de Internet, pero haciéndolo de un modo seguro y privado.
La instalación de este paquete incluye las siguientes configuraciones:* Armado de núcleo para soporte de PPTP y/o IPSec * Armado de núcleo para soporte de túneles * Configuración de seguridad básica * Configuración de redirecciones * Documentación para la configuración de los equipos remotos (en Windows).
Servicios de RedDado que Linux es un sistema operativo orientado a redes, se lo puede configurar para que trabaje con múltiples protocolos y que ofrezca servicios de red de los más variados. Pueden realizarse cualquiera de estas configuraciones y poner a funcionar un servidor con cualquiera de todos los servicios que el sistema operativo ofrece. Estos son algunos de los servicios de red "tradicionales" que soporta Linux:
- Servidor web
- Servidor de impresión
- Servidor de archivos (para compartir archivos entre Windows, Mac, Novell, Unix y Linux)
- Servidor de correo
- Firewall
- Servidor de fax
- Servidor IRC
- Servidor FTP
- Servidor de bases de datos (Oracle, MySQL, etc)
- Servidor de desarrollo
Packet sniffer
Un packet sniffer es un programa de captura de las tramas de red .Generalmente se usa para gestionar la red con una finalidad por bien, aunque también puede ser utilizado con fines maliciosos.
Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varios ordenadores y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la MAC address de la tarjeta; así se puede obtenerse todo tipo de información de cualquier aparato conectado a la red como contraseñas, e-mails, conversaciones o cualquier otro tipo de información personal (por lo que son muy usados por crackers, aunque también suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal).
La cantidad de tramas que puede obtener un sniffer depende de la topología de red, del nodo donde esté instalado y del medio de transmisión.
Para redes con topologías en estrella, el mismo se podría instalar en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo que recibe a todos los nodos. Sin embargo en las redes modernas, en las que solo lo retransmite al nodo destino, el único lugar donde se podría ponerlo para que capturara todas las tramas sería el nodo central.
Para topologías en anillo y bus, el sniffer se podría instalar en cualquier nodo, ya que todos tienen acceso al medio de transmisión compartido.
Para las topologías en árbol, el nodo con acceso a más tramas sería el nodo raíz, aunque con los switches más modernos, las tramas entre niveles inferiores de un nodo viajarían directamente y no se propagarían al nodo raíz.
Es importante remarcar el hecho de que los sniffers sólo tienen efecto en redes que compartan el medio de transmisión como en redes sobre cable coaxial, cables de par trenzado (UTP, FTP o STP), o redes WiFi.
El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas únicamente a sus correspondientes destinatarios.
A éste pueden darle usos cómo:
Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por hackers para atacar sistemas a posteriori.
Conversión del tráfico de red en un formato entendible.
Análisis de fallos para descubrir problemas en la red, tales como por qué la PC 1 no puede establecer una comunicación con la PC 2.
Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.
Detección de intrusos, con el fin de descubrir hackers. Aunque para ello existen programas específicos llamados IDS (Intrusión Detection System, Sistema de Detección de intrusos), estos son prácticamente sniffers con funcionalidades específicas.
Creación de registros de red, de modo que los hackers no puedan detectar que están siendo investigados.
Existen packet sniffer para ethernet/LAN y algunos de ellos son (Ethereal ,WinPcap, Ettercap, TCPDump, WinDump, WinSniffer, Hunt, Darkstat, traffic-vis) y para Redes Inalámbricas (wireles):(Kismet,
Network Stumbler).
La seguridad informática, generalmente consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió.
Como seguridad una característica de cualquier sistema informático puede entenderse queindica que ese sistema está libre de peligro, daño o riesgo. Está comprendido como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. El concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro deben tomarse en cuenta:
- Integridad
- Confidencialidad
- Disponibilidad
Dependiendo de las fuentes de amenazas, la seguridad puede dividirse en seguridad lógica y seguridad física.
Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: consecuencia de la materialización de una amenaza.
Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en toda la Organización.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para una operación normal.
Lo que debe hacer ésta seguridad lógica. Los objetivos:
Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o softwares empleados.
Para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por ello en lo referente a elaborar una política de seguridad, conviene antes que nada.
*elaborar reglas y procedimientos para cada servicio de la organización.
*definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión.
*sensibilizar los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben tenerse en cuenta los circunstancias no informáticas que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización, mediante una estructura de redes (en el caso de las comunicaciones).
*un operador: causa del mayor problema ligado a la seguridad de un sistema informático (por que no le importa, no se da cuenta o a propósito).
*programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware
*un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.)
*una mala manipulación o una malintención derivan a la pérdida del material o de los archivos.
*el personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.
Técnicas de aseguramiento del sistema
*Codificar la información: Criptología, Criptografía y Criptociencia. Contraseñas difíciles de averiguar.
*Vigilancia de red.
*Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos – anti-spyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
Consideraciones de una red
*Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como
portátiles.
*Mantener al máximo el número de recursos de red en sólo en modo lectura impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
*Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.
*Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, como se ha introducido el virus.
Organismos oficiales de seguridad informática
Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, centros de alertas y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.
TRABAJO PARA LA COMUNIDAD
País y ciudad de nacimiento del autor: Argentina, Rosario Santa Fe
Título, país, ciudad y fecha correspondientes al trabajo realizado: Seguridad Informática. 30 de agosto de 2006
Bibliografía y notas utilizadas: de trabajos anteriores y cursos.
Biografía del autor: Estudios secundarios terminados reparación de PC, operador, armado, Redes, Diseñador web.
Cristian
| Página siguiente |