Mecanismo de seguridad cuya función es establecer qué información puede fluir de y hacia una red.
El filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en: Dirección origen de la información Dirección destino de la información Protocolos como IP, UDP, TCP e ICMP Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros ICMP – echo request, echo replay, port unreachable Type of Service (Performance), banderas o flags en los paquetes de información.
12 Red de Perímetro Creando un Packet Filter
Para efectuar esta acción es necesario utilizar la directiva
ip access-group number [In?Out]
Number: Valor definido para una lista de control de acceso
In?Out: En qué dirección el filtro se aplicará para los paquetes entrantes o salientes.
EJEMPLO
interface serial 0 ip address 172.16.1.1 255.255.255.0 ip access-group 11 in
access-list 11 permit host 192.168.1.100 access-list 11 deny 192.168.1.0 0.0.0.255 access-list permit any
13 Red de Perímetro Creando un Packet Filter
EJEMPLO de lista de control de acceso EXTENDIDO
interface serial 0 ip access-group 100 in
access-list 100 permit tcp any any gt 1023 access-list 100 permit tcp any any eq 23
access-list 100 permit tcp any any gt 1023:
Permite todo paquete TCP a puertos mayores de 1023
access-list 100 permit tcp any any eq 23:
Permite paquetes telnet al puerto 23. Tráfico de otros protocolos al puerto 23 será bloqueado.
14 R.E.D.A.R en el Perímetro (Gp:) REGISTRO (Gp:) DETECCIÓN INTRUSOS (Gp:) AUDITORÍA (Gp:) PREPARACIÓN FORENSE DE REDES (Gp:) SINCRONIZACIÓN (Gp:) CORRELACIÓN (Gp:) SINCRONIZACIÓN (Gp:) AFINAMIENTO (Gp:) SIMULACIÓN Y PRUEBAS (Gp:) CONTROL DE EVIDENCIA
15 Red de Perímetro Aplicando R.E.D.A.R – Aspectos básicos a considerar
RE gistro
Algunos eventos que deben ser analizados en el perímetro Violaciones de las listas de control de acceso Violaciones de los filtros de paquetes configurados Sobrecargas de tráfico en la red
D ectección de Intrusos
Algunos eventos de interés Cambios en la configuración de las listas de control de acceso y filtros de paquetes Actualización del Sistema operacional del router Cambios en la configuración del router
AuditoRía
Algunos eventos de interés Advertencias de seguridad en routers Parches de seguridad
16 Red de Perímetro Aplicando R.E.D.A.R – Algunas Estrategias
RE gistro
Registro de la actividades del Router Utilizando SYSLOG Exportar eventos de interés a servidor remoto
D ectección de Intrusos
Alertas de Cambios Utilizar protocolo SNMP (actualizado a la última versión) para reporte acciones sobre el dispositivo. Alineado con estrategia de registro remoto.
AuditoRía
Pruebas de penetración Ataques simulados a vulnerabilidades conocidas Pruebas de stress y resistencia de tráfico.
17 R.E.D.A.R enRed de Perímetro Listas de control de acceso – CISCO
1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP: list 102 denied UDP 209.67.78.202 (3408) external.primary.dns (33434), 1 packet.
Rt1 – Hostname 3319 – No de secuencia 21:36:44 – Estampilla de tiempo %SEC-6-IPACESSLOGP Mnemónico que identifican de manera única el mensaje. list 102 No. lista de control de acceso contiene la regla evaluada. Denied Acción tomada por el router UDP Protocolo detectado 209.67.78.202 (3408) Dirección y puerto Origen external.primary.dns (33434) – Dirección y puerto Destino
18 Línea de Defensa
Generalmente compuesta por Sistemas de Detección de Intrusos y Firewalls.
IDS IDS FW TCP UDP ICMP URG SYN PSH Echo request ACK
19 Línea de Defensa Algunas generalidades sobre los FW
Qué puede hacer actualmente? Restringe el acceso a un punto cuidadosamente controlado. Restringe a las personas para que salgan en un punto cuidadosamente controlado. Evita que los posibles atacantes se acerquen más a sus demás defensas.
Qué NO puede hacer? Protegerlo contra atacantes internos Resguardarlo contra conexiones que no pasan por él Nuevas amenazas de seguridad: bug’s, configuraciones recientes de enrutadores, etc. Resguardarlo contra virus. Protegerlo contra ejecuciones de applets maliciosos de java. Control de paquetes fragmentados.
20 Línea de Defensa Intrusion Detection Systems Herramientas de administración de seguridad que: Recolectan información de una variedad de fuentes en un sistema Analiza esta información contra patrones de uso indebido o actividad inusual En algunos casos, responde automáticamente a la actividad detectada Reporta el resultado del proceso de detección Tomado de: Bace, R. (2000) An introduction to Intrusion Detection Assessment. ICSA.
21 Línea de Defensa Intrusion Detection Systems Dentro de las funciones que pueden desarrollar están: Monitorear y analizar las actividades del usuario y del sistema. Auditar la configuración del sistema y sus vulnerabilidades Evaluación de la integridad de los sistemas críticos y los archivos de datos Reconocimiento de patrones de actividad que reflejen ataques Análisis estadístico de patrones de actividad anormal Auditoría de la administración del S.O, con reconocimiento de actividades relativas a la violación de políticas.
22 Línea de Defensa en detalle (Gp:) Internet
Firewall Enrutador Externo Enrutador Interno Anfitrión Bastión Red Interna Monitoreo de tráfico – Conexiones a servicios y puertos específicos * WEB, DNS * MAIL * Puertos menores a 1023 Monitoreo de tráfico – Conexiones * Aplicaciones internas * Niñeras * Traducción de direcciones
23 R.E.D.A.R en Defensa (Gp:) REGISTRO (Gp:) DETECCIÓN INTRUSOS (Gp:) AUDITORÍA (Gp:) PREPARACIÓN FORENSE DE REDES (Gp:) SINCRONIZACIÓN (Gp:) CORRELACIÓN (Gp:) SINCRONIZACIÓN (Gp:) AFINAMIENTO (Gp:) SIMULACIÓN Y PRUEBAS (Gp:) CONTROL DE EVIDENCIA
24 Línea de Defensa Aplicando R.E.D.A.R – Aspectos básicos a considerar
RE gistro
Algunos eventos que deben ser analizados en la Defensa Violaciones de las reglas del FW Tráfico Fuera de lo Normal Patrones de Bypass de IDS
D ectección de Intrusos
Algunos eventos de interés Alertas de posibles ataques conocidos Tráfico anormal y manipulación de protocolos violación de permisos e integridad en la máquina FW e IDS
AuditoRía
Algunos eventos de interés Configuración de la máquina FW y sus protocolos Parches de seguridad
25 Línea de Defensa Aplicando R.E.D.A.R – Algunas Estrategias
RE gistro
Algunos aspectos a considerar en la Defensa Exportar y analizar registros del FW Exportar y analizar registros del IDS
D ectección de Intrusos
Alertas de Cambios Reglas en el FW y en el IDS Control de permisos en las máquinas – Integridad del software y reglas
AuditoRía
Pruebas de penetración Reglas y tráfico de red malicioso Simulación de ataques e incidentes.
26 LOG FIREWALL – Checkpoint FW-1 Características del log 14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;comp1;200.0.241.42;http;4689;48;70;comp_X;200.0.241.42;46556;http;;;;;;;;;;;;;;;; Otros campos: resource;icmp-type;icmp-code;reason:;agent;orig_from;orig_to;reason;srckeyid;dstkeyid;user;scheme:;methods:;from;to;sys_msgs Análisis detallado del log num – 14 src – comp1 date – 2Feb2001 dst – 200.0.241.42 time – 11:30:02 service – http orig – FW s_port – 4689 type – Log len – 48 action – accept rule – 70 alert – “Vacio” xlatesrc – comp_X i/f_name – qfe1 xlatedst – 200.0.241.42 i/f_dir – inbound xlatesport – 46 proto – tcp xlatedport – 556 R.E.D.A.R enLínea de Defensa
27 Zona Controlada
Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos más críticos asociados con la organización.
IDS FW
28 Zona Controlada Consideraciones en la zona controlada
Sólo debe fluir el tráfico autorizado por el FW tanto desde el interior como desde el exterior de la organización
Los servicios y datos residentes en esta zona requieren mecanimos de autenticación fuertes
Las acciones “de actualización de datos o configuraciones” requiere registro y análisis formal
Si existe un cambio en el direccionamiento hacia la zona controlada en la línea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticación, registro y control de la zona controlada.
El manejo de excepciones de acceso a la zona, tanto de tráfico como de actualización de datos deben estar claramente monitoreados. de enrutadores, etc.
29 R.E.D.A.R en Zona Controlada (Gp:) REGISTRO (Gp:) DETECCIÓN INTRUSOS (Gp:) AUDITORÍA (Gp:) PREPARACIÓN FORENSE DE REDES (Gp:) SINCRONIZACIÓN (Gp:) CORRELACIÓN (Gp:) SINCRONIZACIÓN (Gp:) AFINAMIENTO (Gp:) SIMULACIÓN Y PRUEBAS (Gp:) CONTROL DE EVIDENCIA
30 Zona Controlada Aplicando R.E.D.A.R – Aspectos básicos a considerar
RE gistro
Algunos eventos que deben ser analizados en la Zona Controlada Registro de autenticación y control de acceso Protocolos y servicios permitidos Tráfico de red sobre servicios ofrecidos
D ectección de Intrusos
Algunos eventos de interés Alertas de posibles ataques conocidos Tráfico anormal y manipulación de protocolos violación de permisos e integridad de las máquinas
AuditoRía
Algunos eventos de interés Vulnerabilidades de segiuridad de los servicios ofrecidos Fallas en los mecanismos de seguridad utilizados Fallas procedimentales y de uso.
Página anterior | Volver al principio del trabajo | Página siguiente |