SERVICIOS DE SEGURIDAD

DETECCIÓN DE INTRUSOS

Las propiedades de gran valor necesitan ser protegidas de robo o destrucción potencial. Algunos hogares están equipados con sistemas de alarmas que pueden detectar ladrones, notificar a las autoridades cuando ocurre una entrada ilegal y hasta advertir a los dueños cuando sus hogares estan bajo fuego. Tales medidas son necesarias para asegurar la integridad de los hogares y la seguridad de sus dueños.

El mismo aseguramiento de la integridad y seguridad debería ser aplicado a los sistemas de computación y datos. La Internet ha facilitado el flujo de la información, desde personal hasta financiera. Al mismo tiempo, también ha promovido muchos peligros. Los usuarios maliciosos y crackers buscan objetivos vulnerables tales como sistemas no actualizados, sistemas infectados con troyanos y redes ejecutando servicios inseguros. Las alarmas son necesarias para notificar a los administradores y a los miembros del equipo de seguridad que ha ocurrido una entrada ilegal para que así estos puedan responder en tiempo real a la amenaza. Se han diseñado los sistemas de detección de intrusos como tales sistemas de notificación.

sistema de detección de intrusos

Un sistema de detección de intrusos (IDS) es un proceso o dispositivo activo que analiza la actividad del sistema y de la red por entradas no autorizadas y/o actividades maliciosas. La forma en que un IDS detecta las anomalías pueden variar ampliamente; sin embargo, el objetivo final de cualquier IDS es el de atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos.

Un IDS protege a un sistema contra ataques, malos usos y compromisos. Puede también monitorear la actividad de la red, auditar las configuraciones de la red y sistemas por vulnerabilidades, analizar la integridad de los datos y más. Dependiendo de los métodos de detección que seleccione utilizar, existen numerosos beneficios directos e incidentales de usar un IDS.

Tipos de IDS

Entender que es un IDS y las funciones que proporciona, es clave para determinar cuál será el tipo apropiado para incluir en una política de seguridad de computación. Esta sección discute los conceptos detrás de los IDSes, las funcionalidades de cada tipo de IDS y la aparición de los IDSes híbridos, que emplean varias técnicas de detección y herramientas en un sólo paquete.

Algunos IDSes están basados en conocimiento, lo que alerta a los administradores de seguridad antes de que ocurra una intrusión usando una base de datos de ataques comunes. Alternativamente, existen los IDS basados en comportamiento, que hacen un seguimiento de todos los recursos usados buscando cualquier anomalía, lo que es usualmente una señal positiva de actividad maliciosa. Algunos IDSes son servicios independientes que trabajan en el fondo y escuchan pasivamente la actividad, registrando cualquier paquete externo sospechoso. Otros combinan las herramientas de sistemas estándar, configuraciones modificadas y el registro detallado, con la intuición y la experiencia del administrador para crear un kit poderoso de detección de intrusos. Evaluando las diferentes técnicas de detección de intrusos lo ayudará a encontrar aquella que es adecuada para su organización.

Los tipos más importantes de IDSes mencionados en el campo de seguridad son conocidos como IDSes basados en host y basados en red. Un IDSes basado en host es el más completo de los dos, que implica la implementación de un sistema de detección en cada host individual. Sin importar en qué ambiente de red resida el host, estará protegido. Un IDS basado en la red filtra los paquetes a través de un dispositivo simple antes de comenzar a enviar a host específicos. Los IDSes basados en red a menudo se consideran como menos completos puestos que muchos host en un ambiente móvil lo hacen indisponible para el escaneo y protección de paquetes de red.

EJEMPLOS

IDS basados en Red

Los sistemas network-based actúan como estupendos detectores, es decir, ellos observan el tráfico en las capas del TCP/IP y buscan modelos conocidos de ataque, como los que generalmente realizan los hakers o los ataques al web server. Tales sistemas hacen frente a desafíos significativos, especialmente en los ambientes cambiantes donde los detectores no ven todo el tráfico en la red. Además, la mayoría de los sistemas network-based pueden buscar solamente los modelos de abuso que se asemejan al estilo de los ataques de los hackers, y esos perfiles están cambiando constantemente. Los sistemas network-based son también propensos a los positivos falsos. Por ejemplo, si el web server tiene sobrecarga de trabajo y no puede manejar todas las peticiones de conexión, los IDS quizá pueden detectar que el sistema está bajo un ataque, aunque en realidad, no lo sea. Típicamente, un sistema basado en red no va a buscar la otra actividad sospechosa, tal como que alguien de su entorno de trabajo, intente tener acceso a los datos financieros de su compañía. Por supuesto, los detectores de la red se pueden adaptar para buscar apenas sobre cualquier tipo de ataque, pero es un proceso laborioso. Los sistemas network-based son los más comunes, y examinan el paso del tráfico de la red para las muestras de la intrusión.

Los sistemas basados en red son un poco diferentes: se diseñan empleando una arquitectura de consola-sensor y suelen ser totalmente pasivos. Este tipo de detección integrada a la red "husmea" el cable y compara los patrones de tráfico, en vivo, con listas internas de "rúbricas" de ataque.

IDS basados en Host

Los sistemas host-based emplean un diverso procedimiento para buscar a los malos individuos. No característico de los detectores, los sistemas host-based dependen generalmente de los registros del sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red mientras que ocurren. En comparación con los IDS basados en red, estos sistemas obligan a definir lo que se considera como actividades ilícitas, y a traducir la política de la seguridad a reglas del IDS. Los IDS host-based se pueden también configurar para buscar tipos específicos de ataques mientras que no hace caso de otros. Pero otra vez, el proceso de templar un sensor puede ser desperdiciador de tiempo. Es decir, los sistemas host-based observan al usuario y la actividad del proceso en la máquina local para las muestras de la intrusión.

Los sistemas relacionados al host se despliegan de la misma forma que los escáners antivirus o las soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa una consola de gestión para generar informes.

Ambas formas de detección pueden reaccionar cuando identifican un ataque. Los dos enfoques tienen puntos fuertes y débiles. Los sistemas basados en red casi no se hacen notar y son independientes de la plataforma; se pueden desplegar con poco o ningún impacto sobre las redes de producción. Sin embargo, estos sistemas tienen que superar varios obstáculos importantes. Por ejemplo, la tecnología se basa en la capacidad del sensor para ver todo el tráfico de red. En un entorno conmutado, esta situación complica demasiado la vida, ya que es preciso utilizar espejos de puertos. Pocos sistemas basados en red pueden manejar una línea de 100 Mbps saturada, y ya no hablemos de velocidades de gigabits.

Los sistemas basados en host no tienen problemas de ancho de banda; no obstante sólo pueden reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores que usan un sistema operativo no reconocido, el administrador no habrá ganado nada. Sin embargo, las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen los sistemas basados en red, como verificación de integridad binaria, análisis sintáctico de logs y terminación de procesos no válidos.

DETECCIÓN DE VULNERABILIDADES

La seguridad de red es un asunto serio. Con la cantidad de datos seguros y personales que se transmiten a través de redes , es imperativo que las vulnerabilidades pueden identificar y corregir para que la información caiga en manos equivocadas. Afortunadamente , hay varias herramientas que hacen justamente eso, entre ellas estan:

Nmap Network Scanner

Nmap es un escáner de red que puede decir quién está en la red , las aplicaciones que se están ejecutando, qué tipo de cortafuegos está en uso, y mucho más . Puede ser utilizado para determinar si hay usuarios no autorizados de la red , así como si hay puertos abiertos en el cortafuegos de acogida que podrían ser explotadas para obtener acceso sin autorización.

Cain & Abel

en su esencia, Cain & Abel es una herramienta diseñada para recuperar contraseñas mediante el uso de la fuerza bruta o de criptoanálisis , entre otros métodos . Sin embargo , incluido en el software son algunas de las herramientas de red útiles como abril ( ARP Poison Routing) que se pueden usar para detectar la vulnerabilidad de una red tiene que "man - in-the- middle" y otras herramientas de red, como traceroute y el dedo .

GFI LANgaurd

GFI LANgaurd es una herramienta que puede escanear todos los equipos de la red y determinar si un equipo plantea un problema de seguridad debido a la falta de parches de seguridad . También puede aplicar automáticamente los parches faltantes , si el administrador desea . LANgaurd viene con una amplia gama de herramientas de red que van desde la básica , como la detección de puntos de acceso wirelesss abiertas , a avanzado , como un escáner de registro remoto.

QualysGaurd

QualysGaurd es diferente de las otras herramientas en esta lista , ya que no es un programa autónomo , sino más bien , un servicio que los clientes se conectan a través de Internet . Se elimina la molestia de despliegue y mantenimiento de software gestión de la vulnerabilidad, y al cierre de esta edición , analiza en busca de más de 5000 diferentes vulnerabilidades. El sistema se actualiza diariamente, y puede entregar un informe sobre las amenazas a medida que se descubren .

PRINCIPALES TAREAS DE UN ADMINISTRADOR DE RED

Los términos administrador de red, especialista de red y analista de red se designan a aquellas posiciones laborales en las que los ingenieros se ven involucrados en redes de computadoras, o sea, las personas que se encargan de la administración de la red.

Los administradores de red son básicamente el equivalente de red de los administradores de sistemas: mantienen el hardware y software de la red.

Esto incluye el despliegue, mantenimiento y monitoreo del engranaje de la red: switches, routers, cortafuegos, etc. Las actividades de administración de una red por lo general incluyen la asignación de direcciones, asignación de protocolos de ruteo y configuración de tablas de ruteo así como, configuración de autenticación y autorización de los servicios.

Frecuentemente se incluyen algunas otras actividades como el mantenimiento de las instalaciones de red tales como los controladores y ajustes de las computadoras e impresoras. A veces también se incluye el mantenimiento de algunos tipos de servidores como VPN, sistemas detectores de intrusos, etc.

Los analistas y especialistas de red se concentran en el diseño y seguridad de la red, particularmente en la Resolución de problemas o depuración de problemas relacionados con la red. Su trabajo también incluye el mantenimiento de la infraestructura de autorización a la red.

FUNCIONES

Algunas funciones de administración de re d incluyen:

proporcionar servicios de soporte
asegurarse de que la red sea utilizada eficientemente, y
asegurarse que los objetivos de calidad de servicio se alcancen

Un administrador de red sirve a los usuarios: crea espacios de comunicación, atiende sugerencias; mantiene las herramientas y el espacio requerido por cada usuario, a tiempo y de buena forma (piense si usted fuera usuario como le gustaría que fuera el administrador); mantiene en buen estado el hardware y el software de los computadores y la(s) red(es) a su cargo; mantiene documentación que describe la red, el hardware y el software que administra; respeta la privacidad de los usuarios y promueve el buen uso de los recursos. A cambio de tantas responsabilidades la recompensa es el buen funcionamiento de la red como un medio que vincula personas y de los computadores y programas como herramientas para agilizar algunas labores que dan tiempo y dar tiempo para realizar otras.

Encargado del buen funcionamiento de los sistemas, servidores y recursos de red existentes..

El administrador de red debe conocer las reglas de la guerra root de las máquinas que administra. Desde esa cuenta puede configurar servicios y establecer políticas que afectarán a todos los usuarios. Algunas de las labores que sólo pueden hacerse desde esta cuenta son:

Nombre de la cuenta que permite administrar un sistema Linux.
Apagar el equipo (aunque por defecto en Debian esta operación la puede realizar cualquier usuario).
Configurar los programas que se inician junto con el sistema.
Administrar cuentas de usuarios.
Administrar los programas y la documentación instalada.
Configurar los programas y los dispositivos.
Configurar la zona geográfica, fecha y hora.
Administrar espacio en discos y mantener copias de respaldo.
Configurar servicios que funcionarán en red.
Solucionar problemas con dispositivos o programas. Labor que resulta en ocasiones la más dispendiosa, pero que se facilitará entre más aprenda del sistema y la red a su cargo.