Técnicas y Herramientas de Seguridad Proactivas: Tema 4

Seguridad en Redes - MUSI
Manuel Sánchez Rubio
Tema 4:
Técnicas y Herramientas de
Seguridad Proactivas
Universidad Internacional de La Rioja

Semana 7
Tema 4 - 1
T4 - Seguridad en Redes 2
Índice
► Introducción
► Sistemas de detección y prevención de intrusiones
► Verificador de integridad de ficheros
► Sistemas trampa
► Escáner de vulnerabilidades
► Test de penetración (PenTest)
► Gestor de eventos de seguridad (SIEM)
Introducción
► Intrusión: Una secuencia de acciones realizadas por un atacante

que resulta en el compromiso de un sistema.
► Detección de intrusión: El proceso de identificación de intentos de

ataques. Como proceso que es, involucra tecnología, personas y
herramientas.
► IDS: Es un programa que permite detectar la posible intención de

generar una intrusión a nivel de equipo informático o de red.
► Anomalía: Comportamiento que se desvía del normal.
¿Qué tarea realiza un IDS?
► Monitorización de un recurso en busca de violaciones de la

política de seguridad establecida
► Recursos->Dentro de una máquina (ficheros), tráfico de una red

(paquetes), etc.
► ¿Por qué necesitamos un IDS?
► Los firewalls no son infalibles

► Protegen contra ataques que no detectan los firewalls
► Seguridad en profundidad (protege frente a fallos de otros
sistemas)
► Automatización (facilitan la gestión de la seguridad)
¿Qué ofrece un IDS?
► Mejora la seguridad interna
► Firewall protege el perímetro
► Gran parte de los ataques se producen desde el interior
(consciente o insconscientemente)
► Ofrece información sobre el uso de un Sistema
► Sniffer continuo de la red
► Estadísticas de uso
► Permite realizar el seguimiento de un ataque en curso
► El ataque mejor pararlo cuanto antes, pero si estamos
interesados en seguir las fases del ataque, el IDS nos puede
ayudar a “descubrir al culpable”
Tipos de sistemas de detección de intrusión
► IDS de host (HIDS): Funcionan a nivel de máquina, monitorizando

parámetros del sistema operativo.
► IDS de red (NIDS): Se sitúan en la red, capturando y monitorizando
su tráfico.
Host IDS
IDS de host (HIDS)
► Recogida de información
► Logs del Sistema: acceso, errores, etc
► Propia estructura de ficheros del SO: tamaño, fecha de modificación,
acceso, etc.
► Análisis de la información
► Búsqueda de patrones extraños (Ej: usuarios no autorizados)
► Búsqueda de modificaciones en el SO (un binario con un tamaño
diferente, por ejemplo)
► Respuesta
► Emisión de alarmas al administrador
► Ejecución de commandos (matar un proceso)
IDS de host (HIDS)
VENTAJAS INCONVENIENTES
► Detectan troyanos y modificaciones ► No detectan ataques de red (para eso
del Sistema con facilidad están los NIDS)
► Pueden tratar con tráfico cifrado ► Son vulnerables a ataques a las
(observan antes del cifrado/después fuentes de información (log)
del descifrado) ► El HIDS, al residir en el equipo,
► Pueden detectar ataques que no puede ser atacado (ej: intruso intenta
detecta un NIDS. Ej: accesos locales desactivarlo)
no autorizados (logs del Sistema) ► Es necesario poner uno en cada
equipo del Sistema
► Es complicado configurarlo de forma
correcta y eficiente
Network IDS
IDS de red (NIDS)
► Recogida de información
► Tráfico de la red: igual que sniffers, pero analiza.
► Búsqueda de patrones
► Ataques tienen estructura bien conocida: ej DoS con TCP SYN
► Tráfico de troyanos en propagación: patrones dentro de los paquetes
► Búsqueda de “tráfico extraño” (entrenando al sniffer con tráfico “normal”)
► Respuesta
► Emisión de alarmas
► Respuesta coordinada con un cortafuegos
► Ej: ataque DoS desde una IP determinada. IDS indica al
contafuegos que haga bloqueo
IDS de red (NIDS)
► Búsqueda de patrones
► Ataques tienen estructura bien conocida: ej DoS con TCP SYN
► Tráfico de troyanos en propagación: patrones dentro de los paquetes
► Búsqueda de “tráfico extraño” (entrenando al sniffer con tráfico “normal”)
IDS de red (NIDS)
IDS de red (NIDS)
IDS de red (NIDS)
VENTAJAS INCONVENIENTES
► Un solo NIDS puede proteger a varios ► Problemas con redes conmutadas (se
equipos (supervisa tráfico con origen comporta como un “sniffer”)
y destino a muchos equipos) ► Solución: switchs con puertos de
► Dispositivo pasivo (no consume análisis (mirroring ports)

recursos de otros equipos, y puede ► Pueden perder paquetes si trabajan en
hacerse invisible) redes muy saturadas)
► Son capaces de detectar ataques en ► No entienden el tráfico cifrado
tiempo real (respuesta coordinada) ► No saben detectar el éxito de un
ataque, solo que se ha producido
► Ej: ve tráfico de DoS pero, ¿han
conseguido colgar el servidor?
IDS de red (NIDS)
Un IDS de red se compone de:

► Sondas: Elementos recolectores
del sistema. Envían los eventos
generados al sistema gestor.
► Sistema gestor: Se encarga de
almacenar y gestionar los eventos
recibidos.
► Consola de administración:
Clasifica y muestra los eventos
recibidos.
► BD: Almacena el conocimiento del
sistema.
Tipos de IDS
reglas y anomalías
Tipos de Sistemas Detección de Intrusión
IDS basado en reglas: Buscan patrones, tanto en el tráfico como en el

comportamiento del usuario para identificar posibles ataques. BD de
ataques (firmas de ataques)
►Son conceptualmente sencillos.
►Cuando se descubren nuevos patrones de ataque son actualizados.
►(-) No detectan nuevos ataques que no hayan sido definidos
previamente en su base de reglas. Ataques día 0

►(-) Necesitan de un continuo ajuste de su base de reglas. ¡Ojo a la
sobrecarga!
►(-) Falsos positivos/negativos
Tipos de Sistemas Detección de Intrusión
IDS basado en anomalías: Generan un modelo del “comportamiento

normal” del sistema y buscan desviaciones del mismo.
► Su ventaja principal es que podrían detectar un tipo de ataque
desconocido.
► (-) Parten de la definición de un modelo de comunicaciones.
► (-) Los sistemas heterogéneos suponen un reto para estos sistemas.
► ¿Qué tráfico es normal?
Respuesta con IDS
► Los IDS son elementos completamente pasivos: Sólo detectan los

ataques.
► Las acciones correspondientes tendrán que llevarlas a cabo

personal humano.
► Con un volumen alto de eventos o mucha complejidad de los

mismos, el tiempo de reacción es alto.
► Pierde efectividad en la reducción del impacto
Sistemas de Prevención
De intrusiones (IPS)
Sistemas de Prevención de Intrusión (IPS)
► IPS: Es un caso especial de IDS al que se le ha añadido un

cortafuegos que permite el filtrado del tráfico. En este caso son
activos.
► Se colocan en línea en la red no en paralelo a esta.
► Problema con redes de alta velocidad.
Despliegue
Localización
Localización IDS/IPS
2 1
3
Conclusiones
► IDS es imprescindible en cualquier infraestructura de seguridad.
► Solución más equilibrada:

► Utilizar HIDS en las máquinas más críticas, como servidores de
producción, pasarelas VPN, etc…

► Combinar con NIDS en el resto de la red.
► Indispensable su mantenimiento y revisión.
Ejemplo 1 SCAN
Ejemplo 2 DoS
Ejemplo 3 BRUTE FORCE
muchas
gracias
www.unir.net
T4 - Seguridad en Redes
Semana 9
Tema 4 - 3
Índice
► Introducción
► Sistemas de detección y prevención de intrusiones
► Verificador de integridad de ficheros
► Sistemas trampa
► Escáner de vulnerabilidades
► Test de penetración (PenTest)
► Gestor de eventos de seguridad (SIEM)
Verificador
De integridad
Verificador de integridad de ficheros
► Es una herramienta que puede usarse como complemento de un

sistema de detección de intrusiones.
► Utiliza funciones criptográficas de tipo resumen (hash) o código de

verificación (checksum) para calcular los valores correspondientes y
compararlos con valores de referencia con la intención de encontrar
diferencias en los ficheros.
Sistemas
Trampa
HoneyPots
► Se trata de sistemas simulados que imitan la

conducta de servicios reales
► FUNCIONES
► Distracción: Atraer los ataques
► Deben presentar vulnerabilidades muy conocidas (no deben
estar actualizados)
► Detección: Peticiones a servicios de red que no existen (que son
simulados) son calificados de posibles ataques
► Análisis: Recopilar el máximo de información del atacante y sus
técnicas
► Investigación – Machine Learning – Reglas
Tipos de señuelos
► Baja interacción
► [+] Simulan servicios, aplicaciones y sistemas operativos.
► [+] Suponen un riesgo bajo y son fáciles de implantar y mantener.
► [-] Son fácilmente detectables por atacantes con experiencia.
► [-] Capturan una cantidad de información limitada.
► Alta interacción
► [+/-] Servicios, aplicaciones y SO’s reales.
► [+] Capturan mucha información.
► [-] Suponen un alto riesgo (pueden ser utilizadas como plataformas
para nuevos ataques) y son más difíciles de mantener.
Localización de HoneyPots
HoneyNets
► Tipo especial de honeypots que consiste en una red entera

diseñada para ser atacada.
► Se usan equipos reales (físicos o virtuales) con sistemas operativos

reales y corriendo aplicaciones reales.
► Su objetivo también es recopilar el máximo de información del

atacante y sus técnicas.
► Sistemas difíciles de configurar.

► SO reales con servicios reales. Los datos son ficticios.
Despliegue
HoneyNet
Padded Cell (Célula de aislamiento)
► Combinan un IPS con un sistema trampa (Honeypot o Honeynet).
► El IPS redirige el tráfico potencialmente de ataque al Padded Cell

para ser estudiado.
► Requiere un nivel alto de conocimiento del administrador.
Padded Cell (Célula de aislamiento)
Ejemplos
► MHN (Modern Honey Network)

► https://threatstream.github.io/mhn/
► https://github.com/threatstream/mhn
► T-Pot
► http://dtag-devsec.github.io/mediator/feature/2019/04/01/tpot-
1903.html
► https://github.com/dtag-dev-sec/tpotce/releases
► Incluyen, entre otros:

► Kippo (SSH)
► Glastopf (WEB)
► Dionaea (Busqueda Malware en FTP, SMB, HTTP, ...)
Ejemplos ► Para probar T-Pot: https://cyber-99.co.uk/t-pot-
honeypot-framework-installation
Test de
Penetración
Test de Penetración
► Descubrimiento: Recolección de información acerca del sistema.
► Exploración: Escaneo telefónico, identificación de la topología de la

red.
► Evaluación: detección manual y automática de vulnerabilidades y

evaluación del riesgo.
► Intrusión: intento de acceso al sistema.
► Informe: Documentación sobre todo el proceso y las contramedidas

que deben llevarse a cabo.
SIEM
SIEM (Security Information & Event Management)
SIEM (Security Information & Event Management)
Despliegue
Localización
Localización IDS/IPS
2 1
3
muchas
gracias
www.unir.net
T4 - Seguridad en Redes

Técnicas y Herramientas de Seguridad Proactivas: Tema 4

Cargado por

Copyright:

Formatos disponibles

Técnicas y Herramientas de Seguridad Proactivas: Tema 4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Técnicas y Herramientas de Seguridad Proactivas: Tema 4

Cargado por

Copyright:

Formatos disponibles

Seguridad en Redes - MUSI

Manuel Sánchez Rubio

Universidad Internacional de La Rioja

► Intrusión: Una secuencia de acciones realizadas por un atacante

► Detección de intrusión: El proceso de identificación de intentos de

► IDS: Es un programa que permite detectar la posible intención de

► Anomalía: Comportamiento que se desvía del normal.

► Monitorización de un recurso en busca de violaciones de la

► Recursos->Dentro de una máquina (ficheros), tráfico de una red

► ¿Por qué necesitamos un IDS?

► Los firewalls no son infalibles

► IDS de host (HIDS): Funcionan a nivel de máquina, monitorizando

► Propia estructura de ficheros del SO: tamaño, fecha de modificación,

► Búsqueda de modificaciones en el SO (un binario con un tamaño

diferente, por ejemplo)

► Ejecución de commandos (matar un proceso)

► Ataques tienen estructura bien conocida: ej DoS con TCP SYN

► Tráfico de troyanos en propagación: patrones dentro de los paquetes

► Búsqueda de “tráfico extraño” (entrenando al sniffer con tráfico “normal”)

► Respuesta coordinada con un cortafuegos

► Ej: ataque DoS desde una IP determinada. IDS indica al

contafuegos que haga bloqueo

► Ataques tienen estructura bien conocida: ej DoS con TCP SYN

► Tráfico de troyanos en propagación: patrones dentro de los paquetes

► Búsqueda de “tráfico extraño” (entrenando al sniffer con tráfico “normal”)

► Dispositivo pasivo (no consume análisis (mirroring ports)

conseguido colgar el servidor?

Un IDS de red se compone de:

IDS basado en reglas: Buscan patrones, tanto en el tráfico como en el

►Cuando se descubren nuevos patrones de ataque son actualizados.

►(-) No detectan nuevos ataques que no hayan sido definidos

previamente en su base de reglas. Ataques día 0

IDS basado en anomalías: Generan un modelo del “comportamiento

► Los IDS son elementos completamente pasivos: Sólo detectan los

► Las acciones correspondientes tendrán que llevarlas a cabo

► Con un volumen alto de eventos o mucha complejidad de los

► IPS: Es un caso especial de IDS al que se le ha añadido un

► Problema con redes de alta velocidad.

► IDS es imprescindible en cualquier infraestructura de seguridad.

► Solución más equilibrada:

producción, pasarelas VPN, etc…

► Indispensable su mantenimiento y revisión.

► Es una herramienta que puede usarse como complemento de un

► Utiliza funciones criptográficas de tipo resumen (hash) o código de

► Se trata de sistemas simulados que imitan la

► [+] Suponen un riesgo bajo y son fáciles de implantar y mantener.

► [-] Son fácilmente detectables por atacantes con experiencia.

► [-] Capturan una cantidad de información limitada.

► [+] Capturan mucha información.

► [-] Suponen un alto riesgo (pueden ser utilizadas como plataformas

para nuevos ataques) y son más difíciles de mantener.

► Tipo especial de honeypots que consiste en una red entera

► Se usan equipos reales (físicos o virtuales) con sistemas operativos

► Su objetivo también es recopilar el máximo de información del

► Sistemas difíciles de configurar.

► Combinan un IPS con un sistema trampa (Honeypot o Honeynet).

► El IPS redirige el tráfico potencialmente de ataque al Padded Cell

► Requiere un nivel alto de conocimiento del administrador.

► MHN (Modern Honey Network)