Técnicas y herramientas de seguridad

proactivas
[4.1] ¿Cómo estudiar este tema?

[4.2] Introducción

[4.3] Sistemas de detección y prevención de intrusiones

[4.4] Verificador de integridad de ficheros

[4.5] Sistemas trampa

[4.6] Escáner de vulnerabilidades

[4.7] Test de penetración (PenTest)

[4.8] Gestores de Eventos de Seguridad (SIEM)

TEMA
 Esquema

TEMA 4 – Esquema
Técnicas y herramientas de seguridad proactivas

Sistemas de prevención Escáner de Verificador de

Sistemas trampa
de instrusiones (IDS) vulnerabilidades integridad de ficheros

NIDS modo “in-line” Análisis de Honeypot

2
vulnerabilidades
basados en máquina
Switch de nivel de Honeynet
aplicación
Análisis de
vulnerabilidades Padded cell
Cortafuegos / IDS de
basados en re d
aplicación

Conmutador híbrido

© Universidad Internacional de La Rioja (UNIR)

Seguridad en Redes
 Seguridad en Redes

Ideas clave

4.1. ¿Cómo estudiar este tema?

Para estudiar este tema, además de las Ideas clave, lee el capítulo 4 «Complementos y
casos especiales» del libro Sistemas de Detección de Intrusiones de Diego González
Gómez, disponible en: http://www.dgonzalez.net/papers/ids/html/cap04.htm

Esta unidad pretende introducir al alumno principalmente en los conceptos de sistema

de detección de intrusiones y sistemas señuelo. Este tipo de sistemas no ofrecen una
protección a los sistemas como tal pero son de gran utilidad para los administradores
de los mismos ya que proporcionan una información muy valiosa a la hora de
proteger los equipos y las redes.

Prácticamente todas las organizaciones disponen de sistemas de protección perimetral

de sus redes tales como cortafuegos y zonas desmilitarizadas. Sin embargo, son escasas
las que cuentan con sistemas de detección de intrusiones, sistemas señuelo o escáneres
de vulnerabilidades.

Hoy en día, el uso de sistemas de detección de intrusiones y sistemas señuelo pueden

mejorar de manera considerable la seguridad de una red. Estos sistemas
permiten a los administradores de sistemas aprender el modus operandi de los
atacantes y actuar en consecuencia. Por otro lado, los escáneres de vulnerabilidades
informan de posibles agujeros de seguridad que puedan ser explotados por
atacantes, que normalmente van ligados a ciertas versiones de un software o de un
sistema operativo, y las posibles acciones a llevar a cabo para proteger el sistema.

Este tema tiene como objetivo introducirte en los mecanismos existentes que permiten
garantizar la seguridad de una red como complemento de los mecanismos
mencionados en temas anteriores:

» Uso de sistemas de detección y prevención de intrusiones.

» Verificación de la integridad de ficheros.
» Utilización de sistemas señuelo para estudiar el comportamiento de posibles
atacantes.
» Comprensión de la utilidad de los escáneres de vulnerabilidades.

TEMA 4 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

4.2. Introducción

Debido a la gran interconexión de redes que existe a través de Internet, las redes
internas de las organizaciones se encuentran cada vez más expuestas a posibles
ataques. Es por ello que no es suficiente con asegurar el perímetro de una red,
utilizando los mecanismos vistos en el tema anterior, sino que también es necesario el
uso de otros mecanismos de seguridad.

El mejor complemento a la seguridad perimetral son los mecanismos de

detección de intrusiones.

Un sistema de detección de intrusiones (IDS) permite detectar actividades incorrectas,

inapropiadas o anómalas en un sistema. Los sistemas de detección de intrusiones
pueden trabajar en conjunto con un cortafuegos para incrementar el nivel de seguridad
dando lugar a los sistemas de prevención de intrusiones (IPS).

4.3. Sistemas de detección y prevención de intrusiones

Sistema de detección de intrusos (IDS)

Es un programa que permite detectar accesos no autorizados a un equipo
informático o a una red.

Los sistemas IDS permiten la detección de ataques de exploración de red o de un

sistema (sistema operativo de los equipos, versiones de software, hosts activos, escáner
de vulnerabilidades, topología de la red…), ataques de denegación de servicio (DoS o
DDoS) o ataques de acceso a sistemas.

En función de la fuente de la que obtengan los datos utilizados para esta detección de
ataques se pueden clasificar los IDS en dos tipos:

» Sistemas de detección de intrusos basados en equipo (Host Intrusion

Detection System — HIDS): Utilizan programas instalados en los equipos para
intentar detectar modificaciones en equipos afectados por un ataque, y hace un
reporte de sus conclusiones.

TEMA 4 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

» Sistemas de detección de intrusos basados en red (Network Intrusion

Detection System — NIDS): Detecta accesos no deseados a la red. Este tipo de
IDS suele incorporar un analizador de paquetes de red (sniffer) con los que el
núcleo del NIDS puede obtener información sobre el tráfico que circula por la red.
Mediante el análisis del tráfico capturado el IDS detecta anomalías que pueden
ser indicio de la presencia de ataques o falsas alarmas. Su interfaz debe funcionar
en modo promiscuo para capturar todo el tráfico que circula por la red.

Los NIDS suelen desplegarse en modo escucha («Tap mode») utilizando la arquitectura
descrita en la Ilustración 1. Para poder utilizar este modo es necesario contar con un
equipo que tenga dos interfaces de red. Una de la interfaces se encargará de
monitorizar el tráfico de la red mientras que la otra se encargará de tareas de gestión y
administración.

Ilustración 1: NIDS en modo escucha.

La interfaz de monitorización está conectada a un dispositivo de escucha («network-

tap») que permite capturar el tráfico de la red. Esta interfaz no tiene asignada una
dirección IP con el fin de reducir las posibilidades de que el atacante la descubra.

Los sistemas IDS también pueden clasificarse en función de la técnica de detección de

ataques utilizada:

» Sistemas de detección de intrusos basados en firmas: Disponen de una

base de datos de firmas de ataques conocidos que utilizan para la detección de los
mismos.

TEMA 4 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

» Sistemas de detección de intrusos basados en anomalías: Disponen de un

patrón de comportamiento normal («baseline») frente al que comparan el tráfico de
red o el comportamiento de un sistema para detectar posibles anomalías que
representen un ataque.

Para que un sistema IDS sea efectivo debe actualizarse periódicamente.

Sistema de prevención de intrusiones (IPS)

Es un caso especial de IDS al que se le ha añadido un cortafuegos que
permite el filtrado del tráfico.

Los IPS ofrecen nuevas funcionalidades con respecto a los IDS ya que además de
permitir la detección de ataques son capaces de prevenirlos.

Los IPS suelen desplegarse en modo en línea («in-line mode») utilizando la

arquitectura descrita en la Ilustración 2. El propio IPS se sitúa como un puente entre la
red a proteger y el resto. Dispone de al menos tres interfaces de red: una para recibir
tráfico del exterior, otra para redirigir el tráfico a la red interna y el último para tareas
de gestión y administración.

Ilustración 2: IPS en modo en línea.

Esta arquitectura hace posible tener un control total sobre el tráfico que atraviesa
la red. Para que un sistema IPS sea efectivo debe actualizarse periódicamente.

Se muestran a continuación algunos ejemplos de dispositivos, además del ya

comentado IDS + Cortafuegos, que ofrecen funcionalidades de IPS.

TEMA 4 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Switch de nivel de aplicación

Normalmente un switch trabaja en la capa dos del modelo OSI, pero debido a la
necesidad de trabajar con grandes anchos de banda cada vez son más comunes los
conmutadores de nivel de aplicación, capa siete del modelo OSI.

Estos dispositivos analizan la información de aplicación (DNS, HTTP, FTP…) para

realizar tareas de balanceo de carga entre varios servidores. Además, algunos
conmutadores incorporan capacidades que proporcionan protección frente a
ataques de denegación de servicio (DoS o DDoS).

IPS de host a nivel aplicación

Al igual que los switches a nivel de aplicación, estos sistemas trabajan en la capa siete
del modelo OSI. Estas herramientas se instalan sobre el sistema final a proteger y
analizan elementos como la gestión de la memoria, llamadas al sistema o intentos de
conexión de una aplicación.

Para funcionar necesita que el administrador defina unos perfiles en los que se realiza
una fase de entrenamiento que permite establecer un modelo de comportamiento
normal de las aplicaciones y se definen unas políticas de seguridad (IPS basado en
anomalías). Todas las acciones que no estén definidas en el perfil se considerarán un
intento de intrusión y serán bloqueadas por el sistema.

Conmutador híbrido

Estos dispositivos pueden ser considerados un híbrido entre los switches de nivel de
aplicación y los IPS de host a nivel aplicación, ya que se instalan de la misma manera
que los primeros pero funcionan a través de la definición de políticas de seguridad
como los segundos. Tiene conocimiento tanto del tipo de servidor que protege como de
las aplicaciones concretas que estás corriendo sobre ellos.

Estos dispositivos tienen la ventaja de que pueden ser configurados mediante la

importación de datos obtenidos mediante un escáner de vulnerabilidades ejecutado
sobre el sistema a proteger. Puede utilizarse en conjunto con un switch de nivel de
aplicación que le redirija únicamente el tráfico que considere malicioso para reducir la
carga de trabajo.

TEMA 4 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

4.4. Verificador de integridad de ficheros

Verificador de integridad de ficheros

Es una herramienta que puede usarse como complemento de un sistema de
detección de intrusiones.

Utiliza funciones criptográficas de tipo resumen (hash) o código de verificación

(checksum) para calcular los valores correspondientes y compararlos con valores de
referencia con la intención de encontrar diferencias en los ficheros.

Los intrusos pueden modificar o borrar ficheros que oculten su actividad y eliminen las
huellas que hayan podido dejar. También podrían dejar una puerta trasera por la que
volver a acceder al sistema.

Este tipo de sistemas solo pueden detectar intrusiones si el atacante ha modificado

algún fichero.

4.5. Sistemas trampa

Los sistemas trampa presentan como novedad respecto a los sistemas tradicionales que
buscan atraer al atacante en lugar de evitarlo.

Honeypot

Honeypot es un sistema cuyo objetivo es atraer atacantes simulando ser un sistema

débil o vulnerable a ataques. Estos sistemas están diseñados para captar la atención
del atacante y así poder recopilar información sobre sus métodos y actividades. Para
que el sistema sea efectivo el atacante no debe notar en ningún momento que está
siendo engañado o monitorizado. Los Honeypots suele situarse detrás de un
cortafuegos aunque también es posible situarlos delante.

TEMA 4 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Ilustración 3: Honeypot.

Estos sistemas no registran un gran número de datos pero los que se registran tienen
un gran valor. Son sistemas bastante simples que pueden ser de gran ayuda al
administrador de la red. Por otro lado, si un atacante logra acceder con éxito a un
honeypot podrá utilizarlo como medio para acceder al resto de sistemas de la red a la
que pertenezca.

Honeynet

Una honeynet es un tipo especial de honeypots que consiste en una red entera
diseñada para ser atacada y recabar más información sobre posibles atacantes. A
diferencia de los honeypots donde los servicios son emulados, en las honeynets se usan
equipos reales (físicos o virtuales) con sistemas operativos reales y corriendo
aplicaciones reales. Las honeynets se usan principalmente para la investigación de
nuevas técnicas de ataque y para comprobar el modus-operandi de los intrusos.

TEMA 4 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Ilustración 4: Honeynet.

Las honeynets ayudan a descubrir nuevos tipos de ataques y permiten mejorar los
motores de los sistemas de detección de intrusiones, así como la incorporación de
nuevos patrones de ataque. Los sistemas atacados para extraer la información no son
sistemas reales por lo que no existe riesgo.

La principal desventaja de estos sistemas es que es necesario tener un nivel alto de

conocimientos y experiencia en redes y seguridad para poder instalar una
honeynet de utilidad.

TEMA 4 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Padded cell (Célula de Aislamiento)

Este tipo de sistemas funcionan conjuntamente con un sistema IDS. Cuando el sistema
IDS detecta tráfico malicioso lo redirige hacía el sistema padded cell. Un sistema
padded cell simula un entorno real que atraiga a los atacantes y en el que no puedan
causar daño. Al igual que honeypot y honeynet, los sistemas padded cell son utilizados
para comprender los métodos de ataque de los intrusos.

Para instalar en un entorno real un sistema padded cell puede utilizarse un sistema
«Bait and Switch». «Bait and Switch» utiliza el IDS Snort para detectar los ataques y
se instala en un sistema que tenga al menos tres interfaces de red de manera que
cuando detecta tráfico malicioso, lo redirecciona hacía el sistema padded cell
sin que el atacante se dé cuenta.

Ilustración 5: Bait and Switch.

Los sistemas padded cell permiten conocer la forma en la que actúan los atacantes
potenciales facilitando la tarea de proteger la red al administrador.

La principal desventaja de estos sistemas es que el administrador debe tener un nivel

alto de conocimientos y experiencia en redes y seguridad para poder instalar el
sistema.

TEMA 4 – Ideas clave 11 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

4.6. Escáner de vulnerabilidades

Escáner de vulnerabilidades
Es una herramienta que permite realizar un conjunto de pruebas sobre un
sistema o red para encontrar las debilidades y/o fallos de seguridad de los
mismos.

Los escáneres de vulnerabilidades son herramientas de seguridad muy útiles que deben
utilizarse como complemento de otros sistemas de prevención. Algunas de sus ventajas
son que reducen de manera eficaz los fallos de seguridad más frecuentes en un sistema
y que permiten detectar cambios en las configuraciones de los sistemas. Las principales
desventajas de esta herramienta son que solo es capaz de detectar fallos de seguridad
durante los lapsos de tiempo en los que se ejecuta, y que solo puede encontrar las
vulnerabilidades que contenga su base de datos por lo que esta debe actualizarse
constantemente para incluir nuevas amenazas.

El proceso de análisis de un escáner de vulnerabilidades puede dividirse

principalmente en tres fases:

» Muestreo de un conjunto específico de atributos del sistema y almacenamiento

de los datos en un recipiente de datos seguro.

» Comparación de los resultados con un conjunto de referencia. El conjunto de

referencia puede ser una plantilla de configuración ideal o una imagen de la
configuración anterior del sistema.

» Generación de un informe con las diferencias encontradas en la comparación de

los datos.

Este proceso puede ser optimizado ejecutando motores de comparación en paralelo y

utilizando métodos criptográficos como funciones resumen para detectar cambios en
los objetos monitorizados.

Según la localización desde la que se obtienen los datos se pueden

clasificar los análisis en dos tipos:

Análisis de vulnerabilidades Análisis de vulnerabilidades

basados en máquina basados en red

TEMA 4 – Ideas clave 12 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Análisis de vulnerabilidades basados en máquina

Los análisis de vulnerabilidades basados en máquina buscan en elementos del

sistema como contenidos de ficheros, ficheros de configuración, permisos erróneos,
contraseñas débiles… Este tipo de análisis están muy ligados al sistema operativo
que evalúan, por lo que su mantenimiento en entornos heterogéneos es difícil y costoso.

Análisis de vulnerabilidades basados en red

Los análisis de vulnerabilidades basados en red obtienen la información necesaria a

través de las conexiones de red que establecen con el objetivo a analizar. Este tipo de
análisis realizan ataques y registran las repuestas obtenidas.

Existen dos tipos de técnicas para efectuar este tipo de análisis:

Prueba por explotación

Métodos de inferencia
(“Testing by exploit”)

Este método no explota vulnerabilidades

Consiste en lanzar ataques contra el
del sistema. Su objetivo es encontrar
objetivo devolviendo si la operación ha
indicios de ataques realizados, comprobar
resultado exitosa o no. Es una técnica muy
las versiones de software para determinar
agresiva, sobre todo si se prueban ataques
si existen vulnerabilidades asociadas a la
de denegación de servicio (Denial of
versión, comprobar el estado de los
Servide - DoS).
puertos…

4.7. Test de Penetración (PenTest)

Un test de penetración o pentest permite evaluar la seguridad un sistema o red

llevando a cabo un ataque para intentar descubrir posibles vulnerabilidades que un
atacante podría explotar, y proponer las contramedidas necesarias para evitarlo.

Para ello, durante un test de penetración se llevan a cabo las siguientes fases:

» Descubrimiento: Recolección de información acerca del sistema.

» Exploración: Escaneo telefónico, identificación de la topología de la red.

» Evaluación: Detección manual y automática de vulnerabilidades y evaluación del

riesgo.

TEMA 4 – Ideas clave 13 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

» Intrusión: Intento de acceso al sistema.

» Informe: Documentación sobre todo el proceso y las contramedidas que deben

llevarse a cabo.

Los test de penetración son un complemento perfecto al análisis de vulnerabilidades y

permiten tener una visión de la seguridad de una red desde el punto de vista de un
atacante.

4.8. Gestores de Eventos de Seguridad (SIEM)

Los gestores de eventos de seguridad (SIEM) permiten el análisis y la correlación en

tiempo real de los eventos e incidentes de seguridad identificados por todos los
elementos de una infraestructura de seguridad desde una única herramienta.

Los SIEM son sistemas muy potentes y complejos que permiten tener una visión global
y en tiempo real de la seguridad una red a través de los eventos generados por cada uno
de los elementos de seguridad que la componen (cortafuegos, IDS/IPS,
honepots/honeynets, escáner de vulnerabilidades, etc.).

TEMA 4 – Ideas clave 14 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Lo + recomendado

Lecciones magistrales

Técnicas y herramientas de seguridad proactivas

En esta lección veremos las diferentes técnicas y herramientas de seguridad

proactivas, que pretenden limitar el impacto que puedan tener los ataques. El tiempo
es un factor muy importante a la hora de detectar un ataque.

La clase magistral está disponible en el aula virtual.

No dejes de leer…

Seguridad en redes y sistemas informáticos

Huidobro, J. M. (2004). Seguridad en redes y sistemas informáticos. Madrid:

Paraninfo.

En este capítulo se tratan los aspectos necesarios para conocer

tanto los tipos de sistemas de detección de intrusión, como las
arquitecturas más adecuadas para ellos.

TEMA 4 – Lo + recomendado 15 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

No dejes de ver…

DefCamp 2015 - IDS Evasion Techniques

En esta conferencia se describen diferentes técnicas de evasión de IDS.

Accede al vídeo a través de la siguiente dirección web:

https://www.youtube.com/watch?v=aQH0DZnJ240

Y los contenidos de la presentación:

https://def.camp/wp-content/uploads/dc2015/tudordamian-idsevasiontechniques-
151123083756-lva1-app6892.pdf

TEMA 4 – Lo + recomendado 16 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

+ Información

A fondo

Guide to Intrusion Detection and Prevention Systems (IDPS)

Esta publicación realizada para el National Institute of Standards and Technology

(NIST) por Karen Scarfone y Peter Mell contiene una guía en la que se describen las
características principales de las tecnologías de los sistemas de detección y prevención
de intrusiones y se reúnen una serie de recomendaciones sobre como diseñar,
implementar, configurar, asegurar, monitorizar y mantener este tipo de sistemas.

Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf

Computer Security: Principles and Practice, capítulos 8 and 9

Stallings, W. y Brown, L. (2018). Computer Security: Principles and Practice, 4th

Edition. Pearson.

Este libro es considerado un manual de referencia en el ámbito de la

seguridad en computadores. En los capítulos 8 y 9 en particular se
tratan en mayor profundidad los mecanismos de defensa de redes
explicados en la unidad.

TEMA 4 – + Información 17 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Webgrafía

CERT Coordination Center

Web que contiene información sobre amenazas a la seguridad en Internet,

vulnerabilidades y estadísticas de los ataques.

Accede a la página web desde el aula virtual o a través de la siguiente dirección web
http://www.cert.org/certcc.html

Honeypot Project

Web que realiza estudios sobre las técnicas de ataque de los hackers y desarrolla
implementaciones de productos honeypot.

Accede a la página web desde el aula virtual o a través de la siguiente dirección web
http://www.projecthoneypot.org/

Snort.org

Web del IDS Snort.

TEMA 4 – + Información 18 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Accede a la página a través de la siguiente dirección web

https://www.snort.org/

TEMA 4 – + Información 19 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

Test

1. Los analizadores de paquetes de red:

A. Son elementos fundamentales de los sistemas de detección de intrusión.
B. Pueden recibir comunicaciones dirigidas a otros destinatarios.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

2. Los IDS y los IPS:

A. Se parecen en las técnicas que emplean para la recopilación de la información.
B. Se diferencian en las acciones que pueden llevar a cabo.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

3. Los sistemas NIDS:

A. Su interfaz de red debe funcionar en modo promiscuo para capturar todo el
tráfico que circula por la red.
B. Pueden colocarse en equipos de usuarios para mejorar el rendimiento de la
red.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

4. Un switch a nivel de aplicación:

A. Se emplean para poder manejar grandes volúmenes de información.
B. Se emplean para poder realizar tareas de balanceo de carga.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

5. IDS de aplicación:
A. No pueden operar en base a informaciones del nivel de red.
B. Solo pueden operar en base a información de aplicación (nivel 7).
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

TEMA 4 – Test 20 © Universidad Internacional de La Rioja (UNIR)

 Seguridad en Redes

6. Los conmutadores híbridos:

A. Suponen un avance en cuanto a su facilidad de configuración.
B. Permiten la definición de políticas de alto nivel.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

7. El escáner de vulnerabilidades:
A. Permite prevenir la aparición de nuevas vulnerabilidades de seguridad.
B. Se basa en debilidades y fallos de seguridad que han sido descubiertas
previamente.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

8. El empleo del escáner de vulnerabilidades es fundamental si:

A. Permite detectar vulnerabilidades en nuestro propio sistema de información.
B. Permite detectar vulnerabilidades en los sistemas de información de los
atacantes.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

9. Los sistemas trampa y los sistemas señuelos:

A. Deben emplearse para la identificación de amenazas de seguridad no recogidas
en los sistemas de detección de vulnerabilidades.
B. Deben utilizarse solo si no se aplican periódicamente herramientas de
detección de vulnerabilidades.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

10. Un sistema padded cell:

A. Sirve rechazar ataques de red.
B. Sirve para proteger las comunicaciones web.
C. Las respuestas A y B son correctas.
D. Ninguna de las anteriores.

TEMA 4 – Test 21 © Universidad Internacional de La Rioja (UNIR)