Nosotros
al hablar sobre dispositivos de seguridad encontramos temas como: el SPAM, los
firewalls personales, los dispositivos de almacenamiento USB, organizaciones
criminales en internet, las crecientes regulaciones en el ámbito tecnológico,
entre otros, serán elementos importantes donde muchos cambios y actividades
tomarán lugar y generarán eventos que impactarán las organizaciones y la
operación de las mismas. Para evitar algún inconveniente o problema encontramos
los dispositivos de seguridad. Los cuales son poderosas herramientas que se
interponen entre un sistema informático y una cantidad de gusanos, virus y
otros intrusos maliciosos. Aunque dichos dispositivos pueden reparar el daño
que infligen las brechas de seguridad.
FILTRADO
Cuando hablamos de dispositivos de seguridad,
no estamos diciendo que hay que poner un policía enfrente de la PC las 24horas
sino que se implementa de una forma más sencilla, como el poder
"FILTRAR" información que no nos sirve, o que no es útil para nuestra
red.
Por ejemplo si solo tenemos un servidor el cual únicamente es útil y sirve para un determinado cliente, osea que servimos información para una determinada IP nada mas en todo el mundo, lo que deberíamos hacer es filtrar el resto de conexiones menos esa ip única que pertenece a nuestro cliente.. en "pseudocodigo" sería algo así:
"Aceptar únicamente conexión de ["IP-UNICA"] en determinado puerto y bloquear todo el resto de conexiones que no sean la de nuestro cliente"
Cuando hablamos del filtrado de información, deducimos "información" como "datos".
Algunos dispositivos de Seguridad que realizan estos filtros son:
[+] Los Firewalls principalmente (También llamados Cortafuegos) y pueden ser implementados tanto vía Hardware como Software.
De esta rama de Firewalls resaltan dos sistemas importantes:
* Los IDS (Sistemas de Detección de Intrusos).
* Los IPS ya sea mediante Hardware o Software (Sistema de Prevención de Intrusos).
[+] Una cosa para aclarar es que muchas de las empresas y organizaciones importantes (y serias sobre todo) usan más de una PC destinada a la seguridad de sus propias redes.
Recordemos que en lo que se respeta a la seguridad siempre, ya sea de forma virtual o forma física. Se implementa mediante CAPAS, imaginemos un anillo rodeado de otro anillo mas grande, y otro más grande, y otro mas y mas y mas... y cada anillo es una capa de seguridad por lo tanto que si desde el exterior queremos ingresar al centro del anillo tenemos que saltear varias capas.
Eso es lo que se hace con respecto a la Seguridad Informática, todo está empleado en capas como lo podremos observar en la siguiente imagen:
Por ejemplo si solo tenemos un servidor el cual únicamente es útil y sirve para un determinado cliente, osea que servimos información para una determinada IP nada mas en todo el mundo, lo que deberíamos hacer es filtrar el resto de conexiones menos esa ip única que pertenece a nuestro cliente.. en "pseudocodigo" sería algo así:
"Aceptar únicamente conexión de ["IP-UNICA"] en determinado puerto y bloquear todo el resto de conexiones que no sean la de nuestro cliente"
Cuando hablamos del filtrado de información, deducimos "información" como "datos".
Algunos dispositivos de Seguridad que realizan estos filtros son:
[+] Los Firewalls principalmente (También llamados Cortafuegos) y pueden ser implementados tanto vía Hardware como Software.
De esta rama de Firewalls resaltan dos sistemas importantes:
* Los IDS (Sistemas de Detección de Intrusos).
* Los IPS ya sea mediante Hardware o Software (Sistema de Prevención de Intrusos).
[+] Una cosa para aclarar es que muchas de las empresas y organizaciones importantes (y serias sobre todo) usan más de una PC destinada a la seguridad de sus propias redes.
Recordemos que en lo que se respeta a la seguridad siempre, ya sea de forma virtual o forma física. Se implementa mediante CAPAS, imaginemos un anillo rodeado de otro anillo mas grande, y otro más grande, y otro mas y mas y mas... y cada anillo es una capa de seguridad por lo tanto que si desde el exterior queremos ingresar al centro del anillo tenemos que saltear varias capas.
Eso es lo que se hace con respecto a la Seguridad Informática, todo está empleado en capas como lo podremos observar en la siguiente imagen:
Filtrado de Paquetes
Este es el filtrado más básico o el más fácil de realizar, este firewall se basa en la lectura de las cabeceras de los paquetes y compara con las reglas establecidas previamente. (se acuerdan el primer ejemplo en pseudocodigo que les mencione. Ese era una regla, claro en pseudocodigo, pero es básicamente lo que hace este firewall).
El firewall se enlaza con la capa de RED (ICMP/IP) y con la de TRANSPORTE (TCP/UDP).(CAPASDEMODELOOSI).
El firewall determina una regla de acceso mediante seis elementos o requisitos:
IP DE ORIGEN, IP DESTINO, PUERTO DE ORIGEN, PUERTO DESTINO, PROTOCOLO,ACCION.
IDS (Sistema de Detección de Intrusos)
Luego de terminar con algunas explicaciones a la hora de filtrar información, que incluso se pueden complementar una con otras. En diferentes capas para hacer mas difícil el trabajo de un supuesto cyberdelincuente. Ahora veremos algo más complejo que son los IDS.
Una cosa para aclarar es que un FIREWALL no es igual que un IDS. Generalmente la gente se equivoca y compara como si se tratase de lo mismo y en realidad son dos cosas diferentes, que se pueden complementar, en cuanto el firewall nos protege y el IDS nos vigila.
Estos dispositivos de Detección de Intrusos están a cargo de alertar de posibles instrucciones al sistema de nuestro querido enemigo el cyberdelincuente.
Algunas características que poseen los IDS, es el envío de alertas mediante correo electrónico, mensajes de texto, mediante un programa, etc.
Diferentes tipos de IDS, el NIDS & HIDS.
En este sector de Sistemas de Detección de Intrusos, podemos dividir la situación en dos grandes caminos que ayudan a complementar conjuntamente la seguridad en nuestro servidor.
Por un lado tenemos el "NIDS", que es el Sistema de Detección de Intrusos en una Red
como el nombre lo indica es capas de analizar la red y comparar paquete por paquete en una base de datos de ataques o blacklist, y alerta en caso de que sea positivo.
Hay que aclarar que el funcionamiento es básicamente un "Sniffing" al momento de captar todos los paquetes de la red.
Es muy usado por empresas de mediano y alto nivel, de esta manera podemos no solo asegurar un equipo sino la red entera. De pronto con esta imagen nos quede un poco más claro el concepto o la idea:
Por
otro lado tenemos el HIDS, Sistema
de Detección de Intrusos en un Host.
Este sistema es lo contrario al NIDS, solo analiza el trafico en un determinado host.
Simplemente se instalan en equipos puntuales independientes, puede analizar a usuarios y hacer un seguimiento ya sea el acceso a ficheros o carpetas no permitidas, borrado de archivos críticos que pongan en peligro el sistema.
Este sistema es lo contrario al NIDS, solo analiza el trafico en un determinado host.
Simplemente se instalan en equipos puntuales independientes, puede analizar a usuarios y hacer un seguimiento ya sea el acceso a ficheros o carpetas no permitidas, borrado de archivos críticos que pongan en peligro el sistema.
Los IDS tienen dos formas de reconocer un ataque producido por nuestro enemigo el "cyberdelincuente".
El primero:
Es mediante las tan conocidas FIRMAS que lógicamente
se trabaja mediante la "COMPARACION".
Una vez que el paquete pasa por el IDS, este lo compara con unas reglas predeterminadas que comentan supuestos ataques.
Un ejemplo de un IDS, es el SNORT este IDS implementa un lenguaje de creación de reglas flexibles que lo hace bastante potente y sencillo.
El SNORT avisa cuando se produce un ataque, desde que ip se produce hacia que ip, puertos utilizados, es muy veloz y no necesita procesar información.
El Segundo:
Una vez que el paquete pasa por el IDS, este lo compara con unas reglas predeterminadas que comentan supuestos ataques.
Un ejemplo de un IDS, es el SNORT este IDS implementa un lenguaje de creación de reglas flexibles que lo hace bastante potente y sencillo.
El SNORT avisa cuando se produce un ataque, desde que ip se produce hacia que ip, puertos utilizados, es muy veloz y no necesita procesar información.
El Segundo:
Se llama Análisis de Protocolo, el cual se
divide en dos mecanismos, el primero puede crear estadísticas mediante un
determinado aprendizaje, en determinado cantidad de tiempo. Digo lo del tiempo
porque el ids va a analizar el trafico "x" tiempo, la rutina de
nuestro trafico de red, cuanto mayor tiempo tiene de aprendizaje, menos falsos
positivos nos entregara.
El segundo mecanismo es de forma manual, simplemente nosotros debemos ingresar la información para que nuestro IDS quede configurado.
El segundo mecanismo es de forma manual, simplemente nosotros debemos ingresar la información para que nuestro IDS quede configurado.
Algunas recomendaciones:
· Snort
· Manhunt
· NID
IPS (Intrusion Prevention System)
Este mecanismo es realmente complejo. Su funcionamiento tiene como objetivo la Detección, el Análisis y el Bloqueo de ataques.
Este dispositivo puede inspeccionar los flujos de datos con el fin de detectar los ataques que pueden ser explotados mediante vulnerabilidades desde el nivel 2 (control de acceso) del modelo OSI hasta la capa 7 (la de aplicación).
Una característica que resalta este mecanismo es la de la inspección a fondo, en la cual los paquetes pueden ser clasificados y analizados en su totalidad mediante todos los filtros que posee.
Esa clasificación de paquetes se basa en la conocida configuración de cabecera de los paquetes, direcciones origen y destino, etc.
Si hablamos de los filtros que posee podemos decir que están formados por un conjunto de reglas que definen determinadas condiciones que son necesarias cumplirse para informar si un paquete es o no es dañino.
Lo bueno de los IPS es que no solo detectan la vulnerabilidad sino que mediante el Análisis de Protocolo lo transforma en algo así como un sistema inteligente, el cual permite detectar y tomar acciones sobre una vulnerabilidad que todavía no ha sido anunciada. Con esta imagen de pronto queden aclaradas algunas dudas:
Para resumir el funcionamiento de un IPS podemos señalarlo con 4 puntos fundamentales:
* El
paquete que entra es clasificado por la cabecera y la información de flujo que
se asociada.
* Según la función de como se clasifique el paquete, se aplicaran determinados filtros.
* Los filtros relevantes se aplican en paralelo, y si hay un positivo, se etiqueta como sospechoso.
* Si es sospechoso, se desecha y se actualiza la base de estado sobre el flujo relacionado para descartar restos de dicho flujo entrante.
Algunas recomendaciones:
·
RealSecure
·
Netscreen
·
ProventiaG
·
Defense Pro
