Upload File

seguridad en las redes

19
SEGURIDAD EN LAS REDES PRESENTADO POR: CARLOS ESCOBAR CRISTIAN COUSIN DENNIS ROMERO OCTAVIO GUTIERREZ STEFANIE CIBRIAN CATEDRATICO: ING HEGEL LÓPEZ CURSO: ADMINISTRACIÓN Y APICACIONES DE REDES

Upload: dennis-romero

Post on 23-Sep-2015

213 views

Category:

Documents


0 download

Report

DESCRIPTION

seguridad en las redes a traves de monitoreos CISCO

TRANSCRIPT

SEGURIDAD EN LAS REDES

PRESENTADO POR:

CARLOS ESCOBARCRISTIAN COUSIN DENNIS ROMEROOCTAVIO GUTIERREZSTEFANIE CIBRIAN

CATEDRATICO: ING HEGEL LPEZ

CURSO: ADMINISTRACIN Y APICACIONES DE REDES

SAN PEDRO SULA, CORTES HONDURAS, C.A.MAYO 2015

ndiceIntroduccin1Objetivo11.IDS Intrusion Detection System22.IDS Intrusion Detection System23.CISCO IPS24.Cisco IPS Management Products35.Cisco IPS Manager Express36.Cisco Security Manager47.Tcnicas de Evasin48.Seguridad59.Configurando Anlisis de Trafico Basico610.Sensores Virtuales711.Ventajas y Restricciones de la Virtualizacin.712.Cisco IPS713.Estadsticas de paquetes de control de TCP para TCP SYN.1014.Using Cisco Security Intelligence Operations11Bibliografa12

Introduccin

El presente informe presenta algunos servicios de monitore de redes privadas de internet, a traves de software especializados en seguridad computacional. Estos software y tipos de servicios descritos mas adelante pertenencen exclusivamente a la infraestructura y diseo de los equipos CISCO.

Objetivo

1. Estudiar distintos software de monitoreo de seguridad en redes privadas de Internet. 2. Estudiar distintos tipos de servicios que ofrece CISCO en la implentacion de una administracion segura con equipos CISCO en una red.

1. IDS Intrusion Detection System

Este es un control de seguridad o de contramedida que tiene la capacidad de detectar el mal uso y el abuso de, y el acceso no autorizado a los recursos de red. Un IDS, en la mayora de los casos, es un dispositivo dedicado que supervisa el trfico de red y detecta trfico maliciososo o anomalas en base a varios criterios:a. ataques a la capa de aplicaciones, tales como ataques de salto de directorio, desbordamientos de bfer, o formas-var pagars de inyeccin de comandos.b. barridos de red y exploraciones (indicativos de reconocimiento de red).c. Las inundaciones denegacin de servicio (DoS) ataques en forma de paquetes o largeamounts de (ICM) paquetes de protocolo de mensajes de control de Internet TCP SYN.

2. IDS Intrusion Detection System

Anomalas de red comunes en la mayora de interconexin de sistemas abiertos OSI) capas. Algunas de estas anomalas de red comunes detectados por un IDS de red incluyen los siguientes: datagramas IP no vlidos, paquetes TCP no vlidos, unidades de protocolo de capa de aplicacin con formato incorrecto.

Los administradores de seguridad de red supervisan estas alertas generadas por los IDS y decidir cmo reaccionar.

Un ID no puede detener un ataque o trfico malicioso solo. Un control de seguridad y contramedidas que tiene la capacidad para detectar y prevenir el mal uso y el abuso de, y el acceso no autorizado a los recursos de red es un sistema de prevencin de intrusiones (IPS)

3. CISCO IPS

Las plataformas de sensores Cisco IPS integran en una variedad de topologas de red y arquitecturas. Las plataformas de sensores se dividen en los siguientes grupos principales:a. Aparatos Standalone IPS en forma de Cisco IPS sensores de la serie 4200 de Cisco b. AIM-IPS, NME-IPS de Cisco Integrated Services Routers Cisco Catalyst 6500 c. Serie del Sistema de Deteccin de Intrusos (IDSM-2) Mdulos d. integrado Cisco ASA 5500 Series de inspeccin avanzada y Seguridad Prevencin de Ser-vicios Mdulos (AIP SSC-5, AIP SSM-10, AIP SSM-20 y AIP SSM-40

Cisco Catalyst 6500 Series IDSM-2 Module

El Cisco Catalyst 6500 Series IDSM-2 est diseado especficamente para la direccin cambi ambientes mediante la integracin de la funcionalidad IPS directamente en theSWITCH. El IDSM-2 se ejecuta la misma imagen de software como los aparatos de sensores y puede ser configurado para llevar a cabo la prevencin de intrusiones. VLAN se utilizan en lugar de las interfaces porque no hay interfaces externas en la IDSM-2.

Interfaces de monitoreo y de mando se logran a travs de VLAN porque no hay una interfaz externa apoyada en la module.Global correlacin IDSM-2, deteccin de anomalas, firmas de los clientes, y hasta cuatro sensores virtuales son compatibles con el mdulo IDSM-2

4. Cisco IPS Management Products

Cisco IPS el Administrador de dispositivosEl Administrador de dispositivos Cisco IPS (IDM) es una aplicacin Java basada en la web que le permite configurar y administrar el sensor utilizando una interfaz grfica de usuario. IDM proporciona una gestin para un solo dispositivo iOS. El servidor web para la aplicacin Cisco IDM reside en el sensor de Cisco IPS.

5. Cisco IPS Manager Express

Es una aplicacin basada en Windows que permite configurar, administrar y supervisar el sensor. A continuacin se presenta una lista ms especfica de las funciones que el IME ofrece: Gestin de hasta diez dispositivos IPS. IME es una solucin ideal para implementaciones pequeas y sim-PLER. Gestin de todos los modelos de sensores disponibles en la actualidad para incluir IPS 4200 dispositivos de la serie, AIP SSC y AIP SSM, IDSM-2, y AIM-IPS y mdulos de NME-IPS. Integracin con IDM, proporcionando la misma interfaz para configurar las caractersticas del sensor. Incluye una base de datos en la que se puede tirar de eventos IPS de los sensores utilizando el SDEEprotocol travs de una conexin HTTPS.

6. Cisco Security Manager

El Administrador de seguridad de Cisco (CSM) es una parte integral de la Management Suite de Seguridad de Cisco.

CSM destaca en la gestin eficiente de redes de todos los tamaos utilizando poderosas tcnicas de gestin basados en polticas. Mltiples puntos de vista son proporcionados por CSM en la aplicacin para dar cabida a diferentes tareas y niveles de experiencia de usuario.

7. Tcnicas de Evasin

Una serie de mtodos para analizar los ataques, pero para analizar y elegir las contramedidas anti-evasin mejor, es importante tener en menores de soportar las diversas tcnicas de evasin utilizados por los atacantes. Atacantes red suelen utilizar tcnicas de evasin de red de IPS para tratar de eludir la deteccin de intrusiones, prevencin de intrusiones y funciones de filtrado de trfico proporcionada por la red IPS sensores. Algunos de red comnmente utilizado tcnicas de evasin IPS incluyen los siguientes: El cifrado y tunelizacin ataques de temporizacin agotamiento de recursosla fragmentacin de Trfico interpretacin errnea de nivel Protocolo sustitucin de Trfico y la insercinConsideraciones para el Despliegue de SensoresFundamentalmente, cuando se despliega una IDS o una IPS, se necesita considerar lo siguiente:

8. Seguridad

a. Modo de Prevencin o Modo de Deteccinb. Desempeoc. Requerimientos de Virtualizacin

Los administradores de seguridad normalmente despliegan un IPS o un IDS en los siguientes esenarios:En cualquier los lugar en la red.Cerca de cualquier recurso valiosoEn cualquier lugar en la infraestructura internaEn los permetros de la redEn un lugar de la red que la compaa o el proveedor nesecite identificar ataques o determinar amenazas

El modo de prevencin es utilizado para configurar respuestas agresivas (bloquear host, desechar paquetes, o ambas) a cualquier para alertar la actividad sospechosa

El modo de deteccin no usa respuestas agresivas, en su lugar alerta al administardor o captura trafico de red para proveer informacin acerca de actividad sospechosa en la red

Hay tres criterios comunes que el administrador debe tener en consideracin al desplegar el sensor:Conexiones por segundoRetrasoThroughput

Es importante para el administrador evaluar la virtualizacin. Los sensores IPS Cisco soportan virtualizacin en la forma de polticas de virtualizacin.

Al desplegar una IDS o una IPS, los siguientes modos son soportados por los sensores IPS de Cisco:Modo PromiscuoEmparejamiento de Interfaces en lneaEmparejamiento de Vlans en lneaAgrupacin de Vlans en lneaModo de anlisis selectivo en lnea

Todos los sensores IPS de Cisco son dispositivos de reenvio cuando desplegados en modo en linea. Uno de los mas sencillos y mas desplegados es el el de emparejamiento de interfaces en lnea. En este modo, los sensores usan un par de interfaces de red para interconectar fsica o lgicamente redes y esencialmente sirve como conexin entre los dos segmentos de red

En este modo, el sensor acta como un puerto troncal 802.11q y tambin como conexin, haciendo traslado de Vlan entre un par de Vlans en este Interfaz/Puerto troncal. Todo el trafico es analizado cuando es recibido en cada vlan en cada par, y luego puede ser enviado a la otra vlan o desechar el paquete si se detecta una amenaza de intrison es detectada.

9. Configurando Anlisis de Trafico Basico El motor de anlisis analiza paquetes y detecta alertas. Monitorea el trafico que fluye por interfaces especificadas. Uno crea sensores virtuales en el motor de anlisis. Cada sensor virtual tiene un nombre unico con una lista de interfaces. Cada sensor virtual tambin esta asociado con una nica definicin especficamente nombrada, reglas para eventos de accin, y configuracin de deteccin de anomalas. Paquetes de interfaces que no estan asignados a ningn sensor virtual son desechados de acuerdo con la configuracin de bypass.

10. Sensores Virtuales

El sensor puede recibir data de una o varias corrientes de data monitoreadas. Estas corrientes de data monitoreadas pueden ser puertos de interfaces fisicas o puertos de interfaces virtuales. Un sensor virtual es una coleccin de data que es definido por una serie de politicas de configuracion. El sensor virtual es aplicado a una serie de paquetes definidos por su componente de interfaz. El sensor puede monitorear multiples segmentos y se pued aplicar una politica diferente en cada sensor virtual dentro de un sensor fisico, tambin, se pueden asignar interfaces, pares de interfaces en linea o grupos VLAN.

11. Ventajas y Restricciones de la Virtualizacin.

Ventajasa. Se pueden aplicar diferentes configuraciones a diferentes trficos.b. Se puede monitorear dos redes con espacios IP traslapados con un solo sensor.c. Se puede monitorear dentro y fuera de un firewall o dispositivo NAT.

12. Cisco IPS Cisco IPS es una serie de reglas que un sensor utiliza para detectar actividades maliciosas y sospechosas. Un motor de firmas es una parte del sensor IPS y soporta una categora de firmas.Un sensor Cisco IPS puede reconfigurar dinmicamente un dispositivo remoto Cisco para bloquear la fuente de un ataque en tiempo real. Paquetes IP pueden ser capturados automtica o manualmente. Una anulacion de evento puede ser usada para cambiar las acciones asociadas al evento.El filtrado de eventos permite reducir el numero de falsas alarmas. Deteccin de intrusiones basado en Anomala Es un nuevo mtodo en la lucha contra la explotacin y el abuso.

Cuando se utiliza junto con una solucin eficaz de deteccin basada en firmas, la deteccin basada en anomalas es un medio viable y eficaz para la proteccin de su infraestructura de red y la capacidad de su empresa para hacer negocio.

La deteccin de intrusiones basado en anomalas activa una alarma en los IDS cuando algn tipo de comportamiento inusual se produce en su red. Incluye cualquier caso, el estado, el contenido, o comportamiento que se considera ser anormal por un estndar pre-definido.

El comportamiento "normal" puede ser programado en el sistema basado en lnea de aprendizaje y la investigacin o el sistema puede aprender el comportamiento "normal" en lnea al procesar el trfico de red.

El trfico HTTP en un puerto no estndar. (Anomala de protocolo)Servicio de puerta trasera en el puerto estndar conocido. (Anomala de protocolo y Anomala estadstica). Un segmento de cdigo binario en una contrasea de usuario. (Anomala de la aplicacin). El exceso de UDP en comparacin con el trfico TCP. (Anomala estadstica). Un mayor nmero de bytes procedentes de un navegador HTTP que se va a ella. (Anomala de la aplicacin y anomala estadstica)

Para la deteccin de intrusos basados en anomalas para ser eficaz, se debe tener un perfil robusto que caracteriza el comportamiento normal.Un perfil se compone de una lista completa de parmetros y valores que estn orientados especficamente a la meta siendo monitoreados.

Debe ser estable y consistente en el seguimiento del comportamiento normal de la entorno de destino. Debe ser sensible a ocurrencias de eventos que se consideran los problemas de seguridad.Implica la recoleccin de informacin sobre el comportamiento y la actividad actualmente considera aceptable en la red.

Patrones de ocurrencia de comandos especficos en sesiones de aplicacin.Asociacin de tipos de contenido con diferentes campos de protocolos de aplicacin.Patrones de conectividad entre los servidores protegidos y el mundo exterior.Tarifas y longitud de rfaga distribuciones para todos los tipos de trfico.

Los perfiles de adaptacin pueden aprender de los cambios normales de la red para evitar levantar falsas alarmas.

El autoaprendizaje es fundamental para garantizar la implementacin amplia y exitosa de los mecanismos de deteccin basados en anomalas.

Con el autoaprendizaje, el mecanismo de deteccin puede aprender el comportamiento normal de la corriente de trfico asignado y proporcionar una deteccin basada en el perfil aprendido.

a. Nuevos ataques de desbordamiento de bfer que llevan shellcode.b. Nuevas hazaas.c. Intencionalmente ataques furtivos.

Las variantes de ataques existentes en nuevos entornos.Cules son las zonas de proteccin aplicables?Al examinar la informacin recopilada por la deteccin de intrusiones basado en anomalas, el enfoque cambia a los efectos mensurables de el evento, en lugar de la mecnica de la ejecucin del evento.

Esto aplica en las reas de proteccin donde los efectos medibles son ms significativos y donde la deteccin de intrusos basados en anomalas es de gran ayuda. Para un protocolo estndar dado, alguien invoca funciones ya sea experimentales u obsoletas del protocolo.A veces, esto es un indicador de la actividad maliciosa, en otros casos, esto puede ser alguien dentro de su red de pruebas o investigacin realizando.

Un protocolo tambin puede ser mal utilizado cuando un atacante modifica con el fin de hacer un tnel a travs de un cortafuegos.Instalacin de puerta trasera los servicios en los puertos estndar bien conocidos es otro mal uso comn de los puertos de servicio.

Cuando un intruso malicioso crea un ataque usando un paquete IP diseado, la denegacin resultante de servicio (DoS) puede ocurrir en el ancho de banda de red, ciclos de CPU, los recursos de memoria, o la aplicacin de procesos / programas.

Ejemplos de este tipo de DoS incluye la tabla de procesos agotamiento, pila IP estrellarse, o una aplicacin Web "punto blando". El impacto observable de esta DoS ataque ser una anomala en la calidad del servicio.

Cuando los ataques han progresado ms all de la actividad del canal de control, deteccin de intrusos basados en anomalas es el nico fiable medios para la deteccin en el caso del ataque DoS que inunda la red con un gran volumen de trfico.Esto es porque sofisticado trfico de ataques puede no ser distinguible de trfico de red regular de forma individual y el paquete de ataque no se manifiesta una firma especfica que puede ser capturado por los mecanismos basados en firmas.

Por ejemplo, el siguiente patrn de anomalas de trfico pueden ser observados como consecuencia de la denegacin de servicio distribuido (DDoS):

13. Estadsticas de paquetes de control de TCP para TCP SYN.

Volmenes relativos de trfico TCP, UDP e ICMP para UDP o ICMP inundaciones.Using Cisco Security Intelligence Operations Cisco Security Intelligence Operations SIO es un servicio de nube que conecta las redes de forma global, para todos sus clientes (clientes cisco) en un entorno confiable de seguridad, prevencin, y vulnerabilidad. Informacin ms reciente amenaza: Contiene informacin sobre las amenazas de seguridad, alertas y brotes, incluyendo informes ciber-riesgo, boletines de defensa de amenazas IPS, e informacin de virus. Recursos: Esta seccin contiene tanto los recursos tcnicos y de negocio, que varan las practicas de reportes de seguridad, casos de estudio, y programas. Respuesta a Emergencias Cisco: provee informacin de los contactos que podran ser vulnerables.Alertas de Seguridad: son alertas dentro de la comunidad, a travs de valores, nombres de los dispositivos. Enlazados a links con detalles de informacin.

Este es un servicio que filtra a traves de multiples alertas, desde diferentes reportes escogidos estratgicamente, para el desarrollo de estrategias de proteccin. Este servicio consta de lo siguiente:Web Portal: Este es un portal de acceso para sus clientes, donde reciben la informacin en especificas horas de trabajo, sistemas y aplicaciones usadas en la organizacin.Inteligencia de Regreso: La infraestructura que conecta los datos tomados de un anlisis de vulnerabilidad a travs de procesos rigurosos de verificacin, y publicacin de procesos.

14. Using Cisco Security Intelligence Operations

Historial de Base de datos: es una extensin en el anlisis de vulnerabilidad incluida en los programas de sus clientes.Sistemas de seguimiento de trabajo en construccin: es un mecanismo que redimenciona las acciones. En los sistemas de IT se miran los estados de cada una de las conexiones y como estas se comportan, a traves de estados corrientes en el rendimiento de esfuerzo.

BibliografaDavis Burns, K. b. (2012). CCNP Securty IPS 642-627 (2nd Edition ed., Vol. 1). (D. Burns, Ed.) Indianapolis, United States of America: Cisco Press.

1


Seguridad de las redes

Ppt seguridad en las redes sociales

Seguridad en las redes sociales bp

La seguridad en las redes

Seguridad de las Redes Sociales

Seguridad de las redes sociales

Seguridad en las redes sociales

TEMA 1: REDES. SEGURIDAD INFORMÁTICAprofemjesus.webcindario.com/tico_2/1_redes_seguridad.pdf · TEMA 1: REDES. SEGURIDAD INFORMÁTICA 1.- Redes Informáticas. Las redes informáticas

SEGURIDAD EN LAS REDES SOCIALES BPRM

Seguridad en las redes sociales

La Seguridad en las Redes Sociales

Seguridad en las Redes Sociales

Las redes informáticas y su seguridad

Seguridad en las redes(expo 2)

Seguridad en Las Redes

Las redes y su seguridad

Seguridad de las redes sociales diapositiva

Las redes sociales. Seguridad