lunes, 21 de mayo de 2012

Seguridad Informatica

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientasautomáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Existen tres tipos de sistemas de detección de intrusos los cuáles son:
HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.
NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
DIDS (DistributedIDS): sistema basado en la arquitecturacliente-servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructurahabitual en redes privadas virtuales (VPN).

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une lainteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de "firmas" de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
Sistemas pasivos y sistemas reactivos

En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante.
Implementación

Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.

En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modeloOSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.
Soluciones de Seguridad


La seguridad es un tema muy importante para cualquier empresa, este o no conectada a una red pública. No solamente es importante, sino que también puede llegar a ser compleja.
Los niveles de seguridad que se pueden implementar son muchos y dependerá del usuario hasta donde quiera llegar.

La seguridad informática y de datos dista mucho de simplemente tener un Firewall. Se aborda un proceso de seguridad recomendado a utilizar (al menos) las siguientes herramientas.
Un firewall o combinación de ellos.
Proxies.
Un sistema de detección de intrusos o IDS.
Sistemas de actualización automática de software.
Sistemas de control de la integridad de los servidores, paquetes, etc.
Un sistema de administración y control para monitorear la seguridad.
Kernel de Linux

Cuando se configura un firewall en Linux, esta configuración no se realiza en una aplicación que corre en el equipo, sino en el mismo núcleo del sistema operativo.
La estabilidad y robustez que caracterizan a Linux la obtiene de su núcleo, este es uno de los pedazos de software mejor programados que existen, por lo tanto utilizando un Linux como firewall se obtienen muchos beneficios.
Velocidad - el núcleo es el que tiene mayor prioridad de procesamiento entre todos los procesos
Mantenimiento de software hecho por miles de programadores - el núcleo de Linux lo mantienen muchas personas, por lo que las actualizaciones del mismo (potenciales agujeros de seguridad o "puertas traseras") son arregladas y publicadas con gran velocidad.
Estabilidad - no es una aplicación ejecutandose en forma paralela
Pocos requerimientos de hardware
Sistema de Detección de Intrusos

Solución Snort

Snort es un sistema de detección de intrusos a la red capaz de realizar análisis de tráfico e ingreso de paquetes en la red IP en tiempo real. También puede realizar análisis de protocolo y búsquedas de contenido pudiendo ser utilizado para detectar distintos ataques e explorar como moderar shocks de overflow, prever escaneo de puertos, ataques de CGI, huellas de intento de intrusión al sistema operativo, y otras. Snort utiliza reglas flexibles en unlenguaje que describe el tráfico que debería ser admitido y cual no.

Tiene además un sistema de alerta en tiempo real incorporando mecanismos de syslog, a un archivo especificado por un usuario, un socket UNIX, o un mensaje popup a los clienteswindows utilizando Samba.

Tiene también tres usos principales: como detector directo de paquetes como tcdump, como monitoreo de paquetes, o como un potente sistema de detección de intrusión a la red, también tiene la capacidad de ejecutar acciones basadas en eventos de detección.


SERVICIO DE RED PRIVADA VIRTUAL (VPN)
Solución VPN

Introducción

Una Red Privada Virtual (VPN) conecta los componentes de una red sobre otra red. VPN logra este objetivo mediante la conexión de los usuarios de distintas redes a través de un túnel que se construye sobre internet o sobre cualquier red pública.



VPN habilita a los usuarios para trabajar en sus hogares o en sus compañías conectadas de una forma segura con el servidor corporativo usando la infraestructura provista por la red pública (como internet).
Desde el punto de vista del usuario, la VPN es una conexión entre el usuario y el servidor corporativo. La naturaleza de la interconexión que esta en el medio de los dos es transparente para el usuario ya que los datos le aparecen como si fueran enviados a través de su red LAN, como si estuviera en laempresa.

También habilita a las empresas a tener conectadas oficinas centrales con sus sucursales sobre cualquier red pública (como internet), mientras se mantienen conexiones seguras. La VPN se conecta a través de la red internet, formando una red WAN (Wide Area Network) entre los sitios conectados.

En ambos casos, la seguridad de la conexión a través de la red internet de forma lógica, aparece en el usuario como si fuera virtualmente una red privada tipo LAN. Pero trabajando sobre una red pública. Lo que genera el nombre de RED PRIVADA VIRTUAL.

Requerimientos de equipamiento para la implementación:

Para implementar la solución se requerirá instalar un equipo en la Casa Central que genere el túnel y actúe como firewall.
En la sucursal se requerirá instalar un equipo que actúe como firewall y genere túneles encriptados para permitir establecer los vínculos de la red privada virtual.

Descripción del servicio:

La misma, esta relacionada a la configuración para accesos encriptados que permite que equipos remotos, que se encuentran fuera de la red local, puedan conectarse a un servidor central, siempre a través de Internet, pero haciéndolo de un modo seguro y privado.

La instalación de este paquete incluye las siguientes configuraciones:
* Armado de núcleo para soporte de PPTP y/o IPSec
* Armado de núcleo para soporte de túneles
* Configuración de seguridad básica
* Configuración de redirecciones
* Documentación para la configuración de los equipos remotos (en Windows).

Servicios de Red
Dado que Linux es un sistema operativo orientado a redes, se lo puede configurar para que trabaje con múltiples protocolos y que ofrezca servicios de red de los más variados.
Pueden realizarse cualquiera de estas configuraciones y poner a funcionar un servidor con cualquiera de todos los servicios que el sistema operativo ofrece.
Estos son algunos de los servicios de red "tradicionales" que soporta Linux:
Servidor web
Servidor de impresión
Servidor de archivos (para compartir archivos entre Windows, Mac, Novell, Unix y Linux)
Servidor de correo
Firewall
Servidor de fax
Servidor IRC
Servidor FTP
Servidor de bases de datos (Oracle, MySQL, etc)
Servidor de desarrollo

Packet sniffer

Un packet sniffer es un programa de captura de las tramas de red .Generalmente se usa para gestionar la red con una finalidad por bien, aunque también puede ser utilizado con fines maliciosos.

Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varios ordenadores y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la MAC address de la tarjeta; así se puede obtenerse todo tipo de información de cualquier aparato conectado a la red como contraseñas, e-mails, conversaciones o cualquier otro tipo de información personal (por lo que son muy usados por crackers, aunque también suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal).

La cantidad de tramas que puede obtener un sniffer depende de la topología de red, del nodo donde esté instalado y del medio de transmisión.

Para redes con topologías en estrella, el mismo se podría instalar en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo que recibe a todos los nodos. Sin embargo en las redes modernas, en las que solo lo retransmite al nodo destino, el único lugar donde se podría ponerlo para que capturara todas las tramas sería el nodo central.

Para topologías en anillo y bus, el sniffer se podría instalar en cualquier nodo, ya que todos tienen acceso al medio de transmisión compartido.

Para las topologías en árbol, el nodo con acceso a más tramas sería el nodo raíz, aunque con los switches más modernos, las tramas entre niveles inferiores de un nodo viajarían directamente y no se propagarían al nodo raíz.

Es importante remarcar el hecho de que los sniffers sólo tienen efecto en redes que compartan el medio de transmisión como en redes sobre cable coaxial, cables de par trenzado (UTP, FTP o STP), o redes WiFi.

El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas únicamente a sus correspondientes destinatarios.

A éste pueden darle usos cómo:

Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por hackers para atacar sistemas a posteriori.

Conversión del tráfico de red en un formato entendible.

Análisis de fallos para descubrir problemas en la red, tales como por qué la PC 1 no puede establecer una comunicación con la PC 2.

Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.

Detección de intrusos, con el fin de descubrir hackers. Aunque para ello existen programas específicos llamados IDS (Intrusión Detection System, Sistema de Detección de intrusos), estos son prácticamente sniffers con funcionalidades específicas.

Creación de registros de red, de modo que los hackers no puedan detectar que están siendo investigados.

Existen packet sniffer para ethernet/LAN y algunos de ellos son (Ethereal ,WinPcap, Ettercap, TCPDump, WinDump, WinSniffer, Hunt, Darkstat, traffic-vis) y para Redes Inalámbricas (wireles):(Kismet, Network Stumbler).

La seguridad informática, generalmente consiste en asegurar que los recursos del sistema de información (material informático o programas) de unaorganización sean utilizados de la manera que se decidió.

Como seguridad una característica de cualquier sistema informático puede entenderse queindica que ese sistema está libre de peligro, daño o riesgo. Está comprendido como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Elconcepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro deben tomarse en cuenta:
Integridad
Confidencialidad
Disponibilidad

Dependiendo de las fuentes de amenazas, la seguridad puede dividirse en seguridad lógica y seguridad física.

Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivospropuestos.

Amenaza: evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Impacto: consecuencia de la materialización de una amenaza.

Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo, en un Dominio o en toda la Organización.

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.

Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para una operación normal.

Lo que debe hacer ésta seguridad lógica. Los objetivos:

Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.

Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisiónminuciosa).

Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.

Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.

Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.

Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o softwares empleados.

Para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por ello en lo referente a elaborar una política de seguridad, conviene antes que nada.

*elaborar reglas y procedimientos para cada servicio de la organización.

*definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión.

*sensibilizar los operadores con los problemas ligados con la seguridad de los sistemas informáticos.

Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben tenerse en cuenta los circunstancias no informáticas que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización, mediante una estructura de redes (en el caso de las comunicaciones).

*un operador: causa del mayor problema ligado a la seguridad de un sistema informático (por que no le importa, no se da cuenta o a propósito).

*programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware

*un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.)

*una mala manipulación o una malintención derivan a la pérdida del material o de los archivos.

*el personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

Técnicas de aseguramiento del sistema

*Codificar la información: Criptología, Criptografía y Criptociencia. Contraseñas difíciles de averiguar.

*Vigilancia de red.

*Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - anti-spyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.

Consideraciones de una red

*Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.

*Mantener al máximo el número de recursos de red en sólo en modo lectura impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.

*Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.

*Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, como se ha introducido el virus.

Organismos oficiales de seguridad informática

Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, centros de alertas y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.


Compartir:

Páginas vistas en hoy

Ultimas publicaciones

Articulo de hoy

Comparación entre sistema inquisitivo y el sistema acusatorio

Sistema inquisitivo En la historia del Derecho Procesal, encontramos dos sistemas importantes: El Acusatorio y el Inquisitivo que, con ...

Seguidores