Post on 13-Oct-2015
SEGURIDAD DE REDES
Sistemas de decepcin
Buscan cambiar las reglas del juego
Los sistemas de decepcin, en vez de neutralizar
las acciones de los atacantes, utilizan tcnicas de
monitorizacin para registrar y analizar estas
acciones, tratando de aprender de los
atacantes.
Estrategias:
Equipos de decepcin
Celdas de aislamiento
Redes de decepcin
Equipos de decepcin
Tambin conocidos como tarros de miel o
honeypots, son equipos informticos conectados
que tratan de atraer el trafico de uno o mas
atacantes. De esta forma, sus administradores
podrn ver intentos de atacantes que tratan de
realizar una intrusin en el sistema y analizar
como se comportan los elementos de seguridad
implementados.
No solucionan ningn problema de seguridad.
Simulan ser sistemas vulnerables o dbiles a los ataques.
Recogen informacin sobre los atacantes y sus tcnicas.Conocer al enemigo
Permiten un examen en profundidad del atacante, durantey despus del ataque al honeypot.
Los atacantes juegan con los
archivos y conversananimadamente entre ellos sobre
todo los fascinantes programas
que encuentran, mientras el
personal de seguridad observa
con deleite cada movimiento quehacen.
Honeypots
Estos equipos deberan estar instalados detrs de sistemas
cortafuegos congurados para que se permitan conexionesde entrada al equipo de decepcin, pero limitando las
conexiones de salida (para evitar que el intruso pueda
atacar sistemas de produccin reales desde el equipo de
decepcin).
Ventajas
Generan un pequeo volumen de datos
Mnimos recursos requeridos: no consume ni ancho de banda ni memoria o CPU extra.
Inexistencia de falsas alarmas
Simplicidad
Reutilizacin
Desventajas
Equipos pasivos.
Fuente potencial de riesgo.
Finger print
Legalidad del uso de Honeypot en Ecuador
(Privacidad de Telecomunicaciones)
Las celdas de aislamiento tienen una metodologa muy similar a los
equipos de decepcin. Mediante el uso de un dispositivo intermedio
todo el trfico etiquetado como malicioso ser dirigido hacia un
equipo de decepcin.
Una celda de aislamiento ofrece al atacante un entorno
aparentemente idntico a un equipo real o de produccin.
No obstante, la celda estar protegida de tal manera que no pueda
poner en riesgo al resto de equipos de la red o del exterior.
Celdas de
Aislamiento
En la mayora de situaciones, estas celdas de aislamiento son copias exactas
de los sistemas de produccin reales hacia los que va dirigido el trfico
malicioso, proporcionando de esta forma un escenario ms creble.
.
Al igual que los equipos de decepcin, las celdas de aislamiento se pueden
utilizar para comprender mejor los mtodos utilizados por los intrusos.
Snort es una completa herramienta de seguridadbasada en cdigo abierto para la creacin de sistemas
de deteccin de intrusos en entornos de red.
Gracias a su capacidad para la captura y registro depaquetes en redes TCP/IP, Snort puede ser utilizado para
implementar desde un simple sniffer de paquetes para
la monitorizacin del trco de una pequea red, hastaun completo sistema de deteccin de intrusos en
tiempo real.
Snort se comporta como una autentica aspiradora deah su nombre de datagramas IP, ofreciendo diferentes
posibilidad en cuanto a su tratamiento.
Snort
Arquitectura de Snort
La arquitectura central de Snort se basa en los siguientes
cuatro componentes importantes.
Decodificador de paquetes o Sniffer Preprocesador Motor de deteccin Sistema de alertas e informes.
Siguiendo esta estructura, Snort permitir la captura y el
preprocesador del traco de la red a travs de los dosprimeros componentes (decodicador de paquetes ypreprocesador), realizando posteriormente un chequeo
contra ellos mediante el motor de deteccin (segn
el conjunto de reglas activadas) y generando, por parte del
ultimo de los componentes, las alertas y los informes
necesarios.
Redes de decepcin
Un enfoque ms avanzado que los anteriores
consiste en la construccin de todo un segmento de
red compuesto nicamente por equipos de
decepcin (tarros de miel o honeypots), preparados
todos ellos para engaar a los intrusos (permitiendo
su acceso sin demasiada dificultad).
Los equipos de este segmento ofrecern servicios
configurados de tal modo que puedan atraer la
atencin a toda una comunidad de intrusos con el
objetivo de registrar todos sus movimientos mediante
los equipos de la red de decepcin.
La siguiente figura muestra un posible esquema
para la construccin de este tipo de redes:
Todos los sistemas instalados dentro de la red dedecepcin tendrn debern ser sistemas dedecepcin y ofrecern sus servicios de la formams realista posible. Para ello, deberan ofrecerservicios reales, como los que podramosencontrar en cualquier equipo de produccin.
Al no haber en estos equipos de decepcinservicios simulados, todas las conclusionesextradas durante el anlisis de una intrusin sepodrn extrapolar directamente en la red deproduccin real. As, todas las deficiencias ydebilidades que se descubran dentro de la redde decepcin podrn servir para describir lasexistentes en la parte de produccin.
El funcionamiento de la red de decepcin se basa en un solo
principio: todo el trafico que entra en cualquiera de sus equipos se
debe considerar sospechoso.
A travs de los mecanismos de deteccin instalados en la pasarela
se realizar el proceso de monitorizacin, detectando ataques
basados en tendencias o estadsticas ya conocidas. Sin embargo,
las posibilidades de investigar toda la actividad de una red de
decepcin debera ayudar a detectar ataques desconocidos.
Las redes de decepcin se deben contemplar
como herramientas de anlisis para mejorar la
seguridad de las redes de produccin. Son una
solucin muy valiosa si una organizacin puede
dedicarle el tiempo y los recursos necesarios.