Descargar

Preparación de Redes – Un modelo de análisis (página 2)

Enviado por Pablo Turmero


Partes: 1, 2, 3
edu.red 11 Red de Perímetro Filtro de paquetes

Mecanismo de seguridad cuya función es establecer qué información puede fluir de y hacia una red.

El filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en: Dirección origen de la información Dirección destino de la información Protocolos como IP, UDP, TCP e ICMP Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros ICMP – echo request, echo replay, port unreachable Type of Service (Performance), banderas o flags en los paquetes de información.

edu.red 12 Red de Perímetro Creando un Packet Filter

Para efectuar esta acción es necesario utilizar la directiva

ip access-group number [In?Out]

Number: Valor definido para una lista de control de acceso

In?Out: En qué dirección el filtro se aplicará para los paquetes entrantes o salientes.

EJEMPLO

interface serial 0 ip address 172.16.1.1 255.255.255.0 ip access-group 11 in

access-list 11 permit host 192.168.1.100 access-list 11 deny 192.168.1.0 0.0.0.255 access-list permit any

edu.red 13 Red de Perímetro Creando un Packet Filter

EJEMPLO de lista de control de acceso EXTENDIDO

interface serial 0 ip access-group 100 in

access-list 100 permit tcp any any gt 1023 access-list 100 permit tcp any any eq 23

access-list 100 permit tcp any any gt 1023:

Permite todo paquete TCP a puertos mayores de 1023

access-list 100 permit tcp any any eq 23:

Permite paquetes telnet al puerto 23. Tráfico de otros protocolos al puerto 23 será bloqueado.

edu.red 14 R.E.D.A.R en el Perímetro (Gp:) REGISTRO (Gp:) DETECCIÓN INTRUSOS (Gp:) AUDITORÍA (Gp:) PREPARACIÓN FORENSE DE REDES (Gp:) SINCRONIZACIÓN (Gp:) CORRELACIÓN (Gp:) SINCRONIZACIÓN (Gp:) AFINAMIENTO (Gp:) SIMULACIÓN Y PRUEBAS (Gp:) CONTROL DE EVIDENCIA

edu.red 15 Red de Perímetro Aplicando R.E.D.A.R – Aspectos básicos a considerar

RE gistro

Algunos eventos que deben ser analizados en el perímetro Violaciones de las listas de control de acceso Violaciones de los filtros de paquetes configurados Sobrecargas de tráfico en la red

D ectección de Intrusos

Algunos eventos de interés Cambios en la configuración de las listas de control de acceso y filtros de paquetes Actualización del Sistema operacional del router Cambios en la configuración del router

AuditoRía

Algunos eventos de interés Advertencias de seguridad en routers Parches de seguridad

edu.red 16 Red de Perímetro Aplicando R.E.D.A.R – Algunas Estrategias

RE gistro

Registro de la actividades del Router Utilizando SYSLOG Exportar eventos de interés a servidor remoto

D ectección de Intrusos

Alertas de Cambios Utilizar protocolo SNMP (actualizado a la última versión) para reporte acciones sobre el dispositivo. Alineado con estrategia de registro remoto.

AuditoRía

Pruebas de penetración Ataques simulados a vulnerabilidades conocidas Pruebas de stress y resistencia de tráfico.

edu.red 17 R.E.D.A.R enRed de Perímetro Listas de control de acceso – CISCO

1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP: list 102 denied UDP 209.67.78.202 (3408) external.primary.dns (33434), 1 packet.

Rt1 – Hostname 3319 – No de secuencia 21:36:44 – Estampilla de tiempo %SEC-6-IPACESSLOGP Mnemónico que identifican de manera única el mensaje. list 102 No. lista de control de acceso contiene la regla evaluada. Denied Acción tomada por el router UDP Protocolo detectado 209.67.78.202 (3408) Dirección y puerto Origen external.primary.dns (33434) – Dirección y puerto Destino

edu.red 18 Línea de Defensa

Generalmente compuesta por Sistemas de Detección de Intrusos y Firewalls.

IDS IDS FW TCP UDP ICMP URG SYN PSH Echo request ACK

edu.red 19 Línea de Defensa Algunas generalidades sobre los FW

Qué puede hacer actualmente? Restringe el acceso a un punto cuidadosamente controlado. Restringe a las personas para que salgan en un punto cuidadosamente controlado. Evita que los posibles atacantes se acerquen más a sus demás defensas.

Qué NO puede hacer? Protegerlo contra atacantes internos Resguardarlo contra conexiones que no pasan por él Nuevas amenazas de seguridad: bug’s, configuraciones recientes de enrutadores, etc. Resguardarlo contra virus. Protegerlo contra ejecuciones de applets maliciosos de java. Control de paquetes fragmentados.

edu.red 20 Línea de Defensa Intrusion Detection Systems Herramientas de administración de seguridad que: Recolectan información de una variedad de fuentes en un sistema Analiza esta información contra patrones de uso indebido o actividad inusual En algunos casos, responde automáticamente a la actividad detectada Reporta el resultado del proceso de detección Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.

edu.red 21 Línea de Defensa Intrusion Detection Systems Dentro de las funciones que pueden desarrollar están: Monitorear y analizar las actividades del usuario y del sistema. Auditar la configuración del sistema y sus vulnerabilidades Evaluación de la integridad de los sistemas críticos y los archivos de datos Reconocimiento de patrones de actividad que reflejen ataques Análisis estadístico de patrones de actividad anormal Auditoría de la administración del S.O, con reconocimiento de actividades relativas a la violación de políticas.

edu.red 22 Línea de Defensa en detalle (Gp:) Internet

Firewall Enrutador Externo Enrutador Interno Anfitrión Bastión Red Interna Monitoreo de tráfico – Conexiones a servicios y puertos específicos * WEB, DNS * MAIL * Puertos menores a 1023 Monitoreo de tráfico – Conexiones * Aplicaciones internas * Niñeras * Traducción de direcciones

edu.red 23 R.E.D.A.R en Defensa (Gp:) REGISTRO (Gp:) DETECCIÓN INTRUSOS (Gp:) AUDITORÍA (Gp:) PREPARACIÓN FORENSE DE REDES (Gp:) SINCRONIZACIÓN (Gp:) CORRELACIÓN (Gp:) SINCRONIZACIÓN (Gp:) AFINAMIENTO (Gp:) SIMULACIÓN Y PRUEBAS (Gp:) CONTROL DE EVIDENCIA

edu.red 24 Línea de Defensa Aplicando R.E.D.A.R – Aspectos básicos a considerar

RE gistro

Algunos eventos que deben ser analizados en la Defensa Violaciones de las reglas del FW Tráfico Fuera de lo Normal Patrones de Bypass de IDS

D ectección de Intrusos

Algunos eventos de interés Alertas de posibles ataques conocidos Tráfico anormal y manipulación de protocolos violación de permisos e integridad en la máquina FW e IDS

AuditoRía

Algunos eventos de interés Configuración de la máquina FW y sus protocolos Parches de seguridad

edu.red 25 Línea de Defensa Aplicando R.E.D.A.R – Algunas Estrategias

RE gistro

Algunos aspectos a considerar en la Defensa Exportar y analizar registros del FW Exportar y analizar registros del IDS

D ectección de Intrusos

Alertas de Cambios Reglas en el FW y en el IDS Control de permisos en las máquinas – Integridad del software y reglas

AuditoRía

Pruebas de penetración Reglas y tráfico de red malicioso Simulación de ataques e incidentes.

edu.red 26 LOG FIREWALL – Checkpoint FW-1 Características del log 14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;comp1;200.0.241.42;http;4689;48;70;comp_X;200.0.241.42;46556;http;;;;;;;;;;;;;;;; Otros campos: resource;icmp-type;icmp-code;reason:;agent;orig_from;orig_to;reason;srckeyid;dstkeyid;user;scheme:;methods:;from;to;sys_msgs Análisis detallado del log num – 14 src – comp1 date – 2Feb2001 dst – 200.0.241.42 time – 11:30:02 service – http orig – FW s_port – 4689 type – Log len – 48 action – accept rule – 70 alert – “Vacio” xlatesrc – comp_X i/f_name – qfe1 xlatedst – 200.0.241.42 i/f_dir – inbound xlatesport – 46 proto – tcp xlatedport – 556 R.E.D.A.R enLínea de Defensa

edu.red 27 Zona Controlada

Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos más críticos asociados con la organización.

IDS FW

edu.red 28 Zona Controlada Consideraciones en la zona controlada

Sólo debe fluir el tráfico autorizado por el FW tanto desde el interior como desde el exterior de la organización

Los servicios y datos residentes en esta zona requieren mecanimos de autenticación fuertes

Las acciones “de actualización de datos o configuraciones” requiere registro y análisis formal

Si existe un cambio en el direccionamiento hacia la zona controlada en la línea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticación, registro y control de la zona controlada.

El manejo de excepciones de acceso a la zona, tanto de tráfico como de actualización de datos deben estar claramente monitoreados. de enrutadores, etc.

edu.red 29 R.E.D.A.R en Zona Controlada (Gp:) REGISTRO (Gp:) DETECCIÓN INTRUSOS (Gp:) AUDITORÍA (Gp:) PREPARACIÓN FORENSE DE REDES (Gp:) SINCRONIZACIÓN (Gp:) CORRELACIÓN (Gp:) SINCRONIZACIÓN (Gp:) AFINAMIENTO (Gp:) SIMULACIÓN Y PRUEBAS (Gp:) CONTROL DE EVIDENCIA

edu.red 30 Zona Controlada Aplicando R.E.D.A.R – Aspectos básicos a considerar

RE gistro

Algunos eventos que deben ser analizados en la Zona Controlada Registro de autenticación y control de acceso Protocolos y servicios permitidos Tráfico de red sobre servicios ofrecidos

D ectección de Intrusos

Algunos eventos de interés Alertas de posibles ataques conocidos Tráfico anormal y manipulación de protocolos violación de permisos e integridad de las máquinas

AuditoRía

Algunos eventos de interés Vulnerabilidades de segiuridad de los servicios ofrecidos Fallas en los mecanismos de seguridad utilizados Fallas procedimentales y de uso.

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente