Portal para Investigadores y Profesionales

Encuentra más Cursos o Publica tu Contenido en ElPrisma.com



Seguridad Informática - Nociones


Enlaces Patrocinados




Navigation bar
  Start Previous page
 1 of 2 
 Next page End 1 2  

SEGURIDAD INFORMATICA
Apuntes desarrollados y enviados por:
Cristian
millonario_bmx@hotmail.com
Rosario, Argentina
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un
programa usado para detectar accesos desautorizados a una computadora o a una red. Estos accesos
pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener censores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede
obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos censores,
anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Existen tres tipos de sistemas de detección de intrusos los cuáles son:
HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no
promiscuo. La ventaja es que la carga de procesado es mucho menor. 
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red.
Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red. 
DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor compuesto por una
serie de NIDS (IDS de redes) que actúan como censores centralizando la información de
posibles ataques en una unidad central que puede almacenar o recuperar los datos de una
base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de
control especializándose para cada segmento de red. Es la estructura habitual en redes
privadas virtuales (VPN). 
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al
entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos,
como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de
tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los
ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con
funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del
IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y
pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico
normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
Sistemas pasivos y sistemas reactivos
En un sistema pasivo, el censor detecta una posible intrusión, almacena la información y manda una señal
de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad
sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante.
Implementación
Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible
optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de
introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico.
A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de
memoria, aspecto a tener en cuenta.
En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1
del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier
puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto
SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.
Soluciones de Seguridad
La seguridad es un tema muy importante para cualquier empresa, este o no conectada a una red pública.
No solamente es importante, sino que también puede llegar a ser compleja.
Los niveles de seguridad que se pueden implementar son muchos y dependerá del usuario hasta donde
quiera llegar.
La seguridad informática y de datos dista mucho de simplemente tener un Firewall. Se aborda un proceso
de seguridad recomendado a utilizar (al menos) las siguientes herramientas.
Un firewall o combinación de ellos. 
Proxies. 
Un sistema de detección de intrusos ó IDS. 
Sistemas de actualización automática de software. 
Sistemas de control de la integridad de los servidores, paquetes, etc.
Un sistema de administración y control para monitorear la seguridad. 
Kernel de Linux
Cuando se configura un firewall en Linux, esta configuración no se realiza en una aplicación que corre en el
equipo, sino en el mismo núcleo del sistema operativo.
La estabilidad y robustez que caracterizan a Linux la obtiene de su núcleo, este es uno de los pedazos de
software mejor programados que existen, por lo tanto utilizando un Linux como firewall se obtienen muchos
beneficios.
Velocidad - el núcleo es el que tiene mayor prioridad de procesamiento entre todos los procesos 
Mantenimiento de software hecho por miles de programadores - el núcleo de Linux lo mantienen
muchas personas, por lo que las actualizaciones del mismo (potenciales agujeros de seguridad o
"puertas traseras") son arregladas y publicadas con gran velocidad. 
Estabilidad - no es una aplicación ejecutándose en forma paralela 
Pocos requerimientos de hardware 
Sistema de Detección de Intrusos 
Solución Snort
Snort es un sistema de detección de intrusos a la red capaz de realizar análisis de tráfico e ingreso de
paquetes en la red IP en tiempo real. También puede realizar análisis de protocolo y búsquedas de
contenido pudiendo ser utilizado para detectar distintos ataques e explorar como moderar shocks de
overflow, prever escaneo de puertos, ataques de CGI, huellas de intento de intrusión al sistema operativo, y
otras. Snort utiliza reglas flexibles en un lenguaje que describe el tráfico que debería ser admitido y cual no.
Tiene
además un sistema de alerta en tiempo real incorporando mecanismos de syslog, a un archivo
especificado por un usuario, un socket UNIX, o un mensaje popup a los clientes windows utilizando Samba.
Tiene también tres usos principales: como detector directo de paquetes como tcdump, como monitoreo de
paquetes, o como un potente sistema de detección de intrusión a la red, también tiene la capacidad de
ejecutar acciones basadas en eventos de detección.
SERVICIO DE RED PRIVADA VIRTUAL (VPN)
Solución VPN 
Introducción
Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra red. VPN logra este objetivo
mediante la conexión de los usuarios de distintas redes a través de un túnel que se construye sobre internet
o sobre cualquier red pública.
VPN habilita a los usuarios para trabajar en sus hogares o en sus compañías conectadas de una forma
segura con el servidor corporativo usando la infraestructura provista por la red pública (como internet).
Desde el punto de vista del usuario, la VPN es una conexión entre el usuario y el servidor corporativo. La
naturaleza de la interconexión que esta en el medio de los dos es transparente para el usuario ya que los
datos le aparecen como si fueran enviados a través de su red LAN, como si estuviera en la empresa.
También habilita a las empresas a tener conectadas oficinas centrales con sus sucursales sobre cualquier
red pública (como internet), mientras se mantienen conexiones seguras. La VPN se conecta a través de la
red internet, formando una red WAN (Wide Area Network) entre los sitios conectados.
En ambos casos, la seguridad de la conexión a través de la red internet de forma lógica, aparece en el
usuario como si fuera virtualmente una red privada tipo LAN. Pero trabajando sobre una red pública. Lo que
genera el nombre de RED PRIVADA VIRTUAL.
Requerimientos de equipamiento para la implementación:
Para implementar la solución se requerirá instalar un equipo en la Casa Central que genere el túnel y actúe
como firewall.
En la sucursal se requerirá instalar un equipo que actúe como firewall y genere túneles encriptados para
permitir establecer los vínculos de la red privada virtual.
Descripción del servicio:
La misma, esta relacionada a la configuración para accesos encriptados que permite que equipos remotos,
que se encuentran fuera de la red local, puedan conectarse a un servidor central, siempre a través de
Internet, pero haciéndolo de un modo seguro y privado.
La instalación de este paquete incluye las siguientes configuraciones:
* Armado de núcleo para soporte de PPTP y/o IPSec
* Armado de núcleo para soporte de túneles
* Configuración de seguridad básica
* Configuración de redirecciones
* Documentación para la configuración de los equipos remotos (en Windows).
Servicios de Red
Dado que Linux es un sistema operativo orientado a redes, se lo puede configurar para que trabaje con
múltiples protocolos y que ofrezca servicios de red de los más variados.
Pueden realizarse cualquiera de estas configuraciones y poner a funcionar un servidor con cualquiera de
todos los servicios que el sistema operativo ofrece.
Estos son algunos de los servicios de red "tradicionales" que soporta Linux: 
Servidor web
Servidor de impresión
Servidor de archivos (para compartir archivos entre Windows, Mac, Novell, Unix y Linux)
Servidor de correo
Firewall
Servidor de fax
Servidor IRC
Servidor FTP
Servidor de bases de datos (Oracle, MySQL, etc)
Servidor de desarrollo
Packet sniffer
Un packet sniffer es un programa de captura de las tramas de red .Generalmente se usa para gestionar la
red con una finalidad por bien, aunque también puede ser utilizado con fines maliciosos.
Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP,
fibra óptica etc.) sea compartido por varios ordenadores y dispositivos de red, lo que hace posible que un
ordenador capture las tramas de información no destinadas a él. Para conseguir esto el sniffer pone la
tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de
datos no son descartadas las tramas no destinadas a la MAC address de la tarjeta; así se puede obtener
todo tipo de información de cualquier aparato conectado a la red como contraseñas, e-mails,
conversaciones o cualquier otro tipo de información personal (por lo que son muy usados por crackers,
aunque también suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo
legal).
Previous page Top Next page
Comparte ElPrisma.com en:    Facebook      Del.icio.us      Mister Wong 

Es política de El Prisma.com cumplir con las leyes nacionales y tratados internacionales que protegen la propiedad intelectual y los Derechos de Autor (Copyright). Los textos mostrados en esta página han sido enviados por nuestros usuarios que han declarado ser los autores de los mismos y han permitido su uso por parte de www.elprisma.com, si usted considera que la información contenida en esta página viola sus derechos de autor, por favor envíenos su notificación de infracción a sugerencias1[en]elprisma.com y removeremos los textos de nuestros servidores. Condiciones de Uso.
Administración de Empresas y Negocios, Economía y Finanzas, Mercadeo y Publicidad, Arquitectura, Diseño Gráfico, Diseño Industrial, Teología, Pedagogía, Ciencias Políticas, Derecho, Historia, Bellas Artes, Comunicación y Periodismo, Español y Literatura, Filosofía, Ingeniería Civil, Ingeniería de Minas y Petróleos, Ingeniería de Sistemas e Informática, Ingeniería Eléctrica y Electrónica, Ingeniería Industrial, Ingeniería Mecánica, Ingeniería Química, Biología, Física, Geografía, Matemáticas, Química, Medicina, Odontología, Psicología, Agronomía, Veterinaria, Zootecnia.