Curso Seguridad Informatica 1/2

Curso Seguridad Informatica (desde el 1º-4to capitulo) (1/2)
Hola que tal, antes que nada me presento, soy ConfusedMind..si bien en este foro no postie nunca, soy lector hace tiempo largo...y bueno nada queria agradecer a todos aquellos que gastan de su valioso tiempo en leer estos papers. He recibido buenas criticas desde otros lados sobre como esta empleado y explicado los temas, y realmente animan a crear mas y mas notas. Creo que no hay otra forma de aprender y practicar sin que primero tengamos que leer, pero no solo basta leer cualquier texto, sino realmente que se nos quede en la cabeza, disfrutar de lo que leemos y ademas que no sea tan tecnico aunque aveces es inevitable, sino que sea legible y se entienda lo que uno trata de decir. 
Espero que esto siga asi por mi parte de escritor y bueno sigan leyendo sin aburrirse. 

Voy a comenzar con una serie de nuevos papers sobre lo que respecta a seguridad informatica, y sobre todo va destinado a aquellas personas que se vean interesadas y deseen ser administradores de verdad, responsabilizandono s de la seguridad de los datos. 
Antes que nada aclarar que es a lo que me dedico por el momento y estudio, el dia de mañana espero poder ejercer profesionalmente en alguna empresa grande y disfrutar de mi trabajo como lo hago al escribir (creo que es lo que todos en este mundo deseamos, hacer lo que realmente nos gusta). 

Hagamos de cuenta que somos un futuro Administrador de Seguridad Informatica, que esta entusiasmado en aprender y aprender, y arranca desde cero. 
Lo primero es aprender conceptos basicos, y voy a tratar de orientar y recorrer los distintos pasos que una persona que se dedica a la seguridad informatica podria afrontar situaciones y planeamientos en un puesto importante, en una empresa grande. 
Ya que al hablar de seguridad informatica no estamos hablando solamente de hackers sino que abarca mucho mas que eso y se expande fuera de una pc tambien. 

############################################################# 
# [-] Conceptos: SEGURIDAD INFORMATICA. 
# [-] La Tríada C.I.A: Tres Pilares Fundamentales de la Seguridad. 
# [-] Lo opuesto a C.I.A. 
# [-] ¿Que es lo que queremos Proteger?. 
# [-] Creando un Plan de Seguridad. 
# [-] Creando grupo de trabajo y determinando Responsabilidades. 
############################################################# 

# Conceptos: SEGURIDAD INFORMATICA. 

Bueno lo primero es saber que significa la palabra SEGURIDAD para tener un concepto nocivo sobre como emplearla luego. Un profesor llamado Zeballos definio de forma interesante el concepto de seguridad: 

SEGURIDAD: "Es un estado de alto contenido subjetivo, que nos hace sentir adecuadametne exentos de riesgos reales o potenciales, dentro de un marco lógico de euilibrio psíquico." Interesante no?. 
INFORMATICA: "Es la ciencia que estudia el fenomeno de la informacion, los sistemas aplicados a ella y su utilizacion, principalmente, aunque no necesariamente con la ayuda de computadores y sistemas de telecomuniaciones como instrumentos, en beneficio de la humanidad." 
Entonces podriamos dar el concepto final de SEGURIDAD INFORMATICA: "Es el conjunto de medidas preventivas, de deteccion y correccion destinadas a proteger la integridad, confidencialidad y disponibilidad de los recursos informaticos." 

Una de las cosas que siempre tenemos que tener en mente es que la seguridad no es para nada "ABSOLUTA". Y esto es algo que tenemos que tener en cuenta, que la seguridad intenta prevenir y minimizar el impacto o riesgo. 
Esto se debe a que lamentablemente aunque nos gustara, no podemos impedir y eliminar de por vida el factor riesgo y miedo. 
Pero si podemos disminuir ese riesgo y miedo, si aumentamos la seguridad. 
Nosotros como especialistas en el tema, debemos intentar llevar esa prevencion a un nivel alto y para ello necesitamos una efectiva organizacion las cuales las basaremos en 3 pilares fundamentales de la SI (Seguridad Informatica desde ahora SI). 

# La Tríada C.I.A: Tres Pilares Fundamentales de la Seguridad. 

Las tecnicas o metodos que se utilizan para tener una correcta organizacion estan basadas en estos pilares que vienen del inglés: ("Confidentiality, Integrity, Availability" que significan [Confidencialidad, Integridad y Disponibilidad]. 

Confidencialidad: Esta caracteristica asegura que los usuarios que no sean autorizados no tienen acceso a determinados datos a menos que estos se autorizen. 
Integridad: Cuando nos referimos a esta palabra significa que estamos seguros de que la informacion de la que disponemos no ha sido borrada, ni modificada ni copiada. 
Disponibilidad: Es la caracteristica que asegura que determinados recursos de un sistema e informacion, estaran disponibles a los usuarios autorizados siempre que estos sean requeridos. 
Siguiendo estas caracteristicas o reglas por decirlo de una forma indirecta, podemos organizar y fundamentar mejor nuestra seguridad. 

# Lo opuesto a C.I.A 
Siempre debemos estar preparado para lo peor y saber muy bien que hay polos opuestos para todo. 
En este caso ante un ataque con exito nuestro archivo que era confidencial puede revertirse mediante la "REVELACION" por lo tanto nuestro archivo que pensabamos que estaba plenamente seguro ahora ha sido alterado y por lo tanto lo contrario a integridad seria "MODIFICACION" y ese archivo que brindaba informacion y era un recurso disponible para usuarios de todo el mundo ya no esta debido a la "DESTRUCCION". Por lo tanto estas tres acciones son las que tenemos que prevenir al maximo nivel que podamos siendo administradores de un sistema es el peor riesgo que puede pasar con nuestros archivos. 

# ¿Que es lo que queremos Proteger? 
Bien, esta es una pregunta que todos los administradores de sistemas, tendrian que hacerse. 
Estamos bajo el mando de una pc o red, como Admin de Seguridad Informatica, y ahora ¿que hacemos? ¿que protegemos?. 
Tenemos mucho por proteger pero dependiendo el lugar, la empresa, el ambiente y area en el que estemos debemos planificar que proteger y como. 

1. Hardware 




2. Software 



3. Datos 



4. Elementos Consumibles 





Con lo que respecta a Seguridad Informatica tenemos 4 categorias numeradas arriba, de las cuales la mas importante al momento de proteger es la de los DATOS. 
Un hardware como puede ser un disco rigido, puede ser cambiado o reemplazado por otro. Inclusive comprado nuevamente. 
Un Software puede ser borrado, y luego puede ser instalado nuevamente. 
Los elementos consumibles como papeles para el fax y la impresora, tinta para imprimir o escanear, y demas cosas pueden ser cambiadas y compradas. 

Pero los datos no. Debido a que estos van modificandose mediante el paso del tiempo, y son resultados de quizas un trabajo extenso realizado. Por eso es necesario para un Administrador, emplear determinadas politicas de seguridad con esos datos, como sincronizar horarios para realizar determinados Backups, archivar estos datos en diferentes lugares para que esten disponibles en caso de que sufra un percanse el original, ponerlo de forma privada y confidencial mediantes cifrados, etc. 

# Creando un Plan de Seguridad 

Como habiamos dicho antes, para crear un plan de seguridad efectivo hay que ir paso a paso. 
Claro esta y remarque que la politica de seguridad que adopte cada Admin es relativo a cada empresa ya que cada una tiene sus prioridades. 


1] Para iniciar el armado de la politica de seguridad hay que preguntarse ¿Que es lo que vamos a proteger?. 

2] El segundo paso es preguntarnos de ¿quien hay que protegerse?. Dependiendo de que tan importante sea la empresa y la informacion valiosa que posea podremos darnos una idea paranoica del nivel de riesgo al que nos enfrentamos. 
En este paso ponemos en practica lo que llamaremos "RESTRICCIONES", por ejemplo: a un grupo de empleados determinados les restringimos el acceso a internet y el modo de ejecuccion y escritura en los archivos, que simplemente tengan permisos para abrirlos. Esto es por dar un ejemplo, se pueden aplicar diferentes restricciones dependiendo la funcion del usuario o empleado. 

3] El tercer paso es el del factor "RIESGO" Es necesario adoptar ciertas responsabilidades y no solo informaticamente hablando, es sin mas palabras, al "pedo" matarnos protegiendo la base de datos de clientes si a estos no les demostramos que tan segura es nuestra empresa. 

4] Este es el paso en el cual mediante implementaciones de medidas de seguridad combinadas con software podremos aumentar la seguridad y asi proteger los recursos de la empresa. La implementacion de las medidas de seguridad consta en una combinacion de: Firewalls, IDS, Restricciones a usuarios, Caducaciones de Contraseñas, Archivos cifrados mediante criptografia, etc. 

5] El ultimo paso seria el de Actualizar el sistema, la gente no se da cuenta que tan importante es actualizar un sistema. Por preferencias de comodidad con versiones anteriores o de acostumbramiento con estas, abren una brecha de inseguridad terrible. 
Tambien hay que decir que no todo lo nuevo, es para mejor, y mas seguro. 
Pero generalmente es para mejor, una actualizacion de un firewall, que quizas repara algunas vulnerabilidades o fallas de versiones anteriores. 
Por eso debemos crear una enumeracion de los programas que tenemos instalados y luego verificar sus versiones, para posteriormente buscar actualizaciones. Esto generalmente se chequea en un periodo de cada 10 a 15 dias. 

# Creando grupo de trabajo y determinando Responsabilidades. 

Bien nuestro Administrador, ha avanzado bastante, y ya dispone de suficiente experiencia como para hacerse cargo de una red grande en su empresa importante, y solo le falta crearse un grupo de trabajo y determinar las responsabilidades para cada uno. 

Todo lo que se planea generalmente repercute en el futuro, para eso se logra un plan, para prevenir lo que viene o podria venirse, o para realizar una determinada accion. Por este motivo es necesario realizar una politica de seguridad pensada y con experiencia que avalen este tema. 
Realizar un plan de seguridad informatica en una pc donde se utilize para jugar puede resultar algo sencillo. Pero crear un plan de seguridad para una empresa la cual tiene mas de 100 pcs en red con salida a internet puede ser algo delicado y complejo. 
Y mas sabiendo que no todos los empleados que utilizan esa computadora entienden 100% de computacion, incluyendo los jefes que aunque ellos tengan la culpa si pasa algo, la van a echar ante nosotros y no podremos decirles nada porque siguen siendo nuestros jefes . 

La clave esta en dividir tareas, y elegir un grupo efectivo para llevar a cabo la tarea de planeamiento. Este grupo tiene que estar integrado por personas dedicadas a auditar las redes. 
Cada persona que integre el grupo debe tener una responsabilidad acorde con el plan que se vaya a realizar. Una persona dedicada a la seguridad fisica de las pcs no se va a dedicar tambien a problemas de red. 
Es por eso que se dividen las tareas en las empresas, y es muy comun crear un organigrama. 

+ Seguridad Informatica Capitulo Dos: (Diseñando Redes Seguras) 

#############################################################

# [-] Conceptos: Internet, Intranet, Extranet.


# [-] ¿Que es una DMZ? 


# [-] Uso de VLANs - (Virtual LAN).


# [-] ¿Que es una VPN? y ¿Porque Usarlas?.


# [-] Tipos de VPN.


# [-] Seguridad en las VPN.


############################################


Que tal, continuamos con el segundo capitulo y en este paper vamos a intentar ayudar a que nuestro admin novato, ahora no tanto ya que en el capitulo uno, entendimos varios conceptos de seguridad, de como planificar una politica de seguridad y demas medidas a implementar. 
En este capitulo nuestro admin ya tiene todo listo para implementar una red, pero de que modo?, de que forma? y como implementar una red sino tiene conceptos de las diferentes formas que puede adoptar una red. Pues Veamoslo.. 

# Conceptos: Internet, Intranet, Extranet. 

Estos conceptos basicos son necesarios saberlos y son requeridos a la hora de armar una red. 

Como bien sabemos, no es lo mismo una pc conectada en red a otra que esta al lado en el mismo espacio fisico, en la misma habitacion, que una pc que se comunica mediante red a otra pc en otra provincia, pais u otro continente. Las diferencias y distancias son abismales. 
En cuanto a distancias geografias se refiere, podemos decir que existen dos areas importantes. 
la LAN y la WAN. 

LAN: Es una red de area corta ("Local Area Network", es decWAN: Es una red de area extensa (Wide Area  una distancia de entre 100km a 1000km 

Bien era una aclaracion que queria hacer para dar pie a los siguientes conceptos. 

INTERNET: Creo que a esta altura todos los que se interesan por seguridad informatica tendrian que saber cual es el concepto de internet, pero por si algun dormilon o despistado no sabe diriamos que INTERNET es una gran red que une muchas redes. 

INTRANET: Es como una INTERNET pero en una red privada, LAN mayormente, aunque WAN tambien puede ser. Cuya funcion es detallar documentos, instrucciones y servicios a los empleados de una empresa. Depende la importancia de la empresa la intranet sera mas grande o mas chica. 

EXTRANET: Son redes de acceso externo, aplicadas por proveedores o asociados a la empresa. 

!# Me he salteado las topologias de red porque ya las he profundizado en la seccion Redes Informaticas y no seria comodo repetir todo y hacerlo tan extenso porque hay que hablar demasiado. Link directo a tres capitulos de redes http://confused.vndv.com/redinfo.html

# ¿Que es una DMZ?.                          




Creo que muchos de los que leen este paper han oido hablar sobre la DMZ, es un importante concepto de seguridad a nivel diseño de red. 
Significa la ZONA DESMILITARIZADA y es una zona aparte en la cual colocaremos nuestros servidores los cuales se acceden mediante la Extranet. 
Los firewalls (que por cierto mas adelante hablaremos) incluyen una interfaz ademas de sus internas y externas, extra para ubicar nuestra DMZ. 

Como ya dijimos el papel de nuestro querido Administrador novato va a ser proteger la informacion ¿verdád? que se encuentra en nuestra LAN. 
Entonces explicare el porque aislamos la red, en realidad no es que protegemos la DMZ por los intrusos en si, sino para que nuestra LAN no se vea afectada. 

Ya que sino la aislamos podrian usarla de puente para ingresar a la LAN que es donde tenemos nuestra informacion valiosa. 
En caso de no aislarla, esto provocaria que si se llega vulnerar nuestros servicios, tienen acceso directo a la LAN, por eso se creo la DMZ para poder separarla de nuestra red LAN mediantes interfaces fisicas o subredes, restringiendo que si ingresan a nuestra Extranet/Internet no entran en nuestra LAN. 

# Uso de VLANs (Virtual LAN). 

Al momento de crear una red los administradores planifican segun el potencial de la empresa y sus dimensiones que seria mas conveniente. Y muchos eligen aplicar el uso de Vlans. 
Esta es una forma mas compleja y mas segura sin duda para casi cualquier tipo de topologia. 

Esto se debe al uso de routers y switchs de capa nivel 3. Lo positivo es que mediante los routers se puede nivelar el trafico de banda ancha, por lo tanto se puede configurar una restriccion de maximo de velocidad especifica usada y asi mejorar el rendimiento de la banda ancha para la LAN. 
Otra de las caracteristicas de los Switch y Routers es el poder armar una VLAN. 

Las Virtual LAN son algo asi como segmentos logicos de la misma LAN. Su funcionamiento sirve para mejorar la seguridad y el poder de filtrar trafico entre segmentos. 

# ¿Que es una VPN? y ¿Porque Usarlas? 

Las VPN significan Redes Privadas Virtuales. 
Que es eso de virtuales? bien.. digamos que existe dicha virtualidad porque a veces las distancias geograficas impiden que las redes sean de forma FISICA, entonces mediante la tecnologia logramos virtualizarlas y hacer que se conecten remotamente. 
La informacion como vemos en la imagen.. que va desde por ejemplo MI OFICINA claramente vemos como para llegar a destino pasa por internet, y en internet hay de todo, gente husmeando, espias por demas, pero gracias a una tunelizacion que realizan las VPN se envia encriptada la informacion hasta llegar a destino como podria ser a los SERVIDORES. 

Para utilizar una VPN solo basta tener una conexion de banda ancha. Nos ahorramos cablerios, debido a que no podemos conectar una pc punto a punto si la otra pc esta en la china y nosotros en argentina. 
Como dije los datos pueden cifrarse de varias formas y nos conectamos a la red de una manera muy facil como si estuvieramos en la misma red fisica. Sin duda es una solucion mas en el mundo de Internet. 

Para resumir el concepto si lo que necesitamos es que nuestra empresa se comunique con otras sucursales, o nuestros proveedores con nosotros, la VPN es una excelente metodologia de comunicacion. 

# Tipos de VPN 
Bien nuestro administrador novato de a poco se va profundizando mas en el tema de las VPN, y necesita un poco mas de informacion acerca de como trabajan, veremos que hay dos tipos de VPN. Las Site-to-site y las Client-to-site. 

Site-to-site [ sitio a sitio ]: Generalmente las pcs que se van a interconectar dependen de una IP fija, esto se debe a que los cortafuegos trabajan mediante IP y no por host. 
Las redes se conectan entre si mediante firewalls, routers u otro dispositivo especifico. 
No esta de mas aclarar que sea cual fuese el dispositivo usado, necesitaremos la IP del otro. 
Abajo dejo un diagrama muy malo pero es para ejemplificar mejor esto... [no se rian soy malo en diseño grafico . ] 

Client-to-site [ Cliente a sitio ]: Bien como el nombre lo dice es de cliente a sitio, porque logicamente deducimos que solo con un software que trabaje como cliente, autentificando nuestro user & password, practicamente estariamos conectados. 
Y asi es, generalmente es usado para empleados de las empresas que estan lejos de la oficina e incluso es muy comun y lo he visto por conocidos, Administrar la Seguridad Informatica de una red en otro lugar del continente. 

Otra cosa a tener en cuenta, el software es quien se encarga a la hora de conectarnos al sitio mediante la creacion de un tunel vpn, el cual encapsula toda la informacion y la encripta. 

NOTA A TENER EN CUENTA: Algo interesante lei en un libro sobre VPNs, y era que en caso de que no se posea una IP FIJA y se requiere hacer un Tunel Continuo al estilo site-to-site, se podria improvisar de forma "media bruta" un constante trafico mediante "ping" para que el time out no haga caer el tunel. 
Interesante... aunque no lo he probado. 

# Seguridad en las VPN 
La seguridad en las VPN es algo relativo dependiendo que tipo de vpn es. 
Con respecto al Cifrado que hay cuando se concreta la conexion, podemos decir que hay disponibles varios algoritmos, como el AES, 3DES, DES comun, y no se si otros... pero estos son los principales. 

En el caso de site-to-site el Protocolo usado es el IPSec, que tiene varios mecanismos de seguridad, demostrando que posee la suficiente confianza con respecto a confidencialidad, integridad y autenticidad. 
El protocolo IPSec posee una IKE -Internet Key Exchange- que permite intercambiar informacion entre los dispositivos como los firewalls routers etc, tambien estos son conocidos como -peer- (negociadores). 
La cabecera de los datagramas esta compuesta por: 

* AH (Authentication Header): Protege parte de la cabecera IP, como las direcciones de origen y destino. 
* ESP (Encapsulating Security Payload): Este elemento se ocupa de la confidencialidad de los datos, osea protegiendo al paquete que sigue a la cabecera. 

En el caso de client-to-site no hay un protocolo default o alguno que sea muy frecuente, hay varios como el L2TP (Layer 2 Tunneling Protocol) usado generalmente en Windows XP y creo que 2000. Es muy superior el L2TP a diferencia del PPTP (Point to Point Tunneling Protocol) que se encuentra en todas las versiones de Windows. 

Seguridad Informatica. Capitulo Trés: (Dispositivos de Seguridad) 

############################################################# 
[-] * Implementando seguridad mediante los distintos tipos de Firewalls. 
[-] * Filtrado de Paquetes. 
[-] * Firewall de Enlace de Aplicaccion o de Servidor Proxy. 
[-] * Analisis de paquetes con estado SPI. 
[-] * ¿Donde implementarlos dependiendo de las plataformas?. 
[-] * (IDS) Sistema de Deteccion de Intrusos. 
[-] * Diferentes tipos de IDS, el NIDS & HIDS. 
[-] * (IPS) Sistema de Prevencion de Intrusos. 
#############################################################
 

Buenas, nuevamente tipeando este tercer paper de Seguridad Informatica, 
quiero agradecer por los buenos comentarios obtenidos. 
Asique sin dar mas vueltas arranquemos con esta tercera edicion 
Nuestro novato Administrador ha evolucionado mucho desde el primer y segundo paper, 
aprendiendo conceptos, creando un diseño de red seguro, etc.. 
En este tercero trataremos de que aprenda lo necesario sobre como establecer "Filtros" no solo rigurosos sino tambien necesarios. 
Ok, comencemos.... 

# Implementando seguridad mediante FILTRADOS. 
Una vez que armamos nuestra red, diseñamos cada detalles, viene el toque final que es el mas importante de todo, y es el fin en si de nuestro trabajo, IMPLEMENTAR SEGURIDAD. 
Como hacemos esto?, pues bien, tenemos varias formas independientes, que si las fusionamos se complementan formando la seguridad de la red total. 

Cuando hablamos de implementar seguridad, no estamos diciendo que hay que poner un policia o un grupo swat enfrente de la pc las 24hs sino que se implementa de una forma mas sencilla, como el poder "FILTRAR" informacion que no nos sirve, o que no es util para nuestra red. 
Por ejemplo si solo tenemos un servidor el cual unicamente es util y sirve para un determinado cliente, osea que servimos informacion para una determinada IP nada mas en todo el mundo, lo que deberiamos hacer es filtrar el resto de conexiones menos esa ip unica que pertenece a nuestro cliente.. en "pseudocodigo" seria algo asi: 

"Aceptar unicamente conexion de ["IP-UNICA"] en determinado puerto y bloquear todo el resto de conexiones que no sean la de nuestro cliente" 

Cuando hablamos del filtrado de informacion, deducimos "informacion" como "datos". 
Algunos dispositivos de Seguridad que realizan estos filtros son: 

? Los Firewalls principalmente (Tambien llamados Cortafuegos) y pueden ser implementados tanto via Hardware como Software. 

De esta rama de Firewalls resaltan dos sistemas importantes: 

* Los IDS (Sistemas de Deteccion de Intrusos). 
* Los IPS ya sea mediante Hardware o Software (Sistema de Prevencion de Intrusos). 

? Una cosa a aclarar es que muchas de las empresas y organizaciones importantes (y serias sobre todo) usan mas de una pc destinada a la seguridad de sus propias redes. 

Recordemos que en lo que respecta a la seguridad siempre, ya sea de forma virtual o forma fisica. Se implementa mediante CAPAS, imaginemos un anillo rodeada de otro anillo mas grande, y otro mas grande, y otro mas y mas y mas... y cada anillo es una capa de seguridad por lo tanto que si desde el exterior queremos ingresar al centro del anillo tenemos que saltear varias capas. 
Eso es lo que se hacen con respecto a la Seguridad Informatica, todo esta empleado en capas. 


# Filtrado de Paquetes 
Es el filtrado mas basico, este firewall se basa en la lectura de las cabeceras de los paquetes y compara con las reglas establecidas previamente. (se acuerdan el primer ejemplo en pseudocodigo que di? bueno...esa era una regla, claro en pseudocodigo, pero es basicamente lo que hace este firewall). 

El firewall se enlaza con la capa de RED (ICMP/IP) y con la de TRANSPORTE (TCP/UDP). (en caso de perderse, re-leer capas de MODELO OSI). 
El firewall determina una regla de acceso mediante seis elementos o requisitos: 

IP DE ORIGEN IP DESTINO PUERTO DE ORIGEN PUERTO DESTINO PROTOCOLO ACCION 

Bien, veamos un ejemplo de como se ve una regla de acceso en un firewall. (Puede que varie en el de ustedes la sintaxis pero el fin es el mismo). 


Esto seria basicamente una regla de un firewall. Asi de sencillo, con la practica se ira haciendo casi de forma automatica el tipeo.. no hay mejor forma de aprender que con la practica!. 
Pasemos a explicar el recuadro: 

1- En la primer linea vemos como en ip de origen figura ANY, esto quiere decir "cualquiera/alguno" Pero en este caso se usa como Cualquiera (reglas del querido inglés). 

Entonces estamos diciendo que CUALQUIER IP, que se conecte a NUESTRA IP (IP DESTINO) desde CUALQUIER PUERTO (PUERTO DE ORIGEN, generalmente no es importante el p.origen) hacia un PUERTO QUE TENEMOS ABIERTO (PUERTO DESTINO) (que en este caso es un servicio de proxy ya que el protocolo y puerto nos manifiestan esto), entonces la ACEPTAMOS. 

2- En la segunda linea vemos como bloqueamos una determinada IP en este caso 24.232.2.2 si intenta ingresar a nuestro servicio ftp que estamos corriendo. Automaticamente el firewall denegaria el acceso. 

# Firewall de Enlace de Aplicacion o de Servidor Proxy 
Veamos las caracteristicas de este siguiente firewall.. es logicamente algo mas complejo que la simple filtracion de paquetes. 
Este firewall como indica el nombre se enlaza con las capas de arriba de todo, las de aplicacion que son las que los usuarios tenemos contactos constantemente. 
Basicamente el cortafuegos de aplicacion lo que hace es dividir las dos redes...permitiendo que la LAN se comunique con la WAN, y viceversa. 

Tiene puntos ventajosos y en contras como todo software, su seguridad es quizas simple pero es bastante confiable, su autenticacion es mediante IP. 
Tiene ventajas como la de guardar informacion en cache, lo cual impica una menor carga, se puede restringir acceso a los usuarios o a determinado recursos que estos quieran acceder. 
Un usuario puede autenticarse mediante Telnet, FTP, etc, y una vez que se autoriza se muestran todos las posibilidades de accesos a servicios, que realmente no se ven cuando se carece del usuario y contraseña. 

DESVENTAJAS 

* Si hablamos de Vulnerabilidades puede que cuente con algunos puntos en cuanto a este sistema, que esta basado en las capas superiores por lo tanto no puede interactuar de la misma forma que otros cortafuegos, osea que puede recibir ataques de inundacion de SYN, Spoofing, no advierte de programas que pueden instalarse y editar registros o incluso borrarlos, etc. 

* El uso de hardware es importante, ya que emplea muchos recursos, por lo que es preferencial, solamente emplearlo en un pc dedicado a este proposito. 

# Analisis de paquetes con estado SPI 
Deje para el final esta explicacion porque es quien generalmente se gana la atencion. 
Sin dudas es el tipo de firewall que se lleva todos los premios y confianza, su complejidad es muy robusta. Su trabajo es compatible en casi todas las capas del modelo TCP/IP, lo que lo hace ser muy inteligente comparandolo con otros patrones de filtracion. 

Con SPI se compara una tabla que se crea con las conexiones ya establecidas, es muy importante esto ya que un spoofing algo basico no daria los mismos resultados. 
(a diferencia de la "filtracion de paquetes" que se comparaba mediante el estado del bit SYN) 
Segun sea el protocolo, el Firewall SPI tambien puede analizar por dentro del paquete recibido con el objetivo de intentar detectar acciones maliciosas. 
El estado de las conexiones en la tabla, puede guardar para uso posterior multiples datos que son definidos a traves del firewall, como la ip origen, ip destino, puertos, tiempo de conexion, etc 

# ¿Donde implementarlos, dependiendo de las plataformas? 

Bueno una vez que nuestro administrador ya va aprendiendo mas cosas, y en este caso aprendio a reconocer tres tipos de firewalls que funcionan con patrones diferentes tiene que aprender y pensar en DONDE PODER IMPLEMENTAR ESTOS FIREWALLS dependiendo de las diferentes situaciones y plataformas que se le presente. 
El primero que voy a arrancar nombrando es el firewall hogareño debido a que es el mas basico, y es el mas conocido por todos nosotros. (Quizas tambien lo reconozcan por el nombre "domestico" es exactamente lo mismo...) 


Es el software mas conocido por los usuarios finales, en la actualidad se escucha hablar mucho de estos firewalls, los cuales se implementan en una pc hogareña y para ese unico fin de proteger ese determinado host. 
Los firewalls mas modernos, o en su defecto, en versiones FULL, o PRO, ademas del motor de cortafuegos, vienen con complementos adicionales como pueden ser un Antivirus, un Anti-Spam, Anti-Phishing, Anti-Spyware, etc etc.. 
Algunos ejemplos de estos son: Zone Alarm (en foto arriba), Comodo Firewall, BlackICE, etc. 
Como ya aclare arriba, si vos te dedicas a sentarte, escuchar musica, navegar y navegar, este dispositivo es el indicado para tu plataforma. (siempre que hablemos de windows). 

# Firewall de Servidores. 
Esta es otro dispositivo bastante eficaz que se ve comunmente instalado 
en medianas empresas. Se basa en instalar un software que ejecute funciones de un firewall dentro de un determinador servidor, mediante el cual asegura toda la red y el mismo equipo. 
Una de las mas conocidas a momento de hablar del sistema "Windows" es el ISA (Internet Security and Acceleration Server) es un gateway integrado de seguridad perimetral. El cual permite proporcionar seguridad a los usuarios mediante un acceso remoto seguro a todas las aplicaciones de la empresa. 

# Firewall en los Routers. 
Seguimos nombrando dispositivos, y este es uno de los mas conocidos y baratos.. 
Cisco fue quien resalto en lo que respecta de routers, creo su sistema operativo PIX, agrego opciones a toda la gama de routers para que funcionen como firewalls, este se lalamo el Firewall Feature Set, esto se agrega al sistema operativo del router cirsco. 
Si hablamos de que tan dinamico puede ser, es proporcional a la configuracion que nosotros los admins le demos, segun las caracteristicas del hardware que poseemos podemos decir que puede ser mas flexible o menos... Tiene varias funciones de seguridad como la de analisis de transacciones de protocolos, permite logearse como syslog, puede bloquear java, etc etc.. 

# IDS (Sistema de Deteccion de Intrusos) 
Luego de terminar con las explicaciones de algunas variantes a la hora de filtrar informacion, que incluso se pueden complementar una con otras.. en diferentes capas para hacer mas dificil el trabajo de un supuesto cyberdelincuente.. Ahora veremos algo mas complejo que son los IDS. 
Una cosa a aclarar desde el vamos, es que un FIREWALL no es igual que un IDS. Generalmente la gente se equivoca y compara como si se tratase de lo mismo y en realidad son dos cosas diferentes, que se pueden comlementar, en cuanto el firewall nos protege y el ids nos vigila. 

Estos dispositivos de Deteccion de Intrusos estan a cargo de alertar de posibles instrusiones al sistema de nuestro querido enemigo el cyberdelincuente. 
Algunas caracteristicas que poseen los IDS, es el envio de alertas mediante correo electronico, mensajes de texto, mediante un programa, etc. 

# Diferentes tipos de IDS, el NIDS & HIDS. 
En este sector de Sistemas de Deteccion de Intrusos, podemos dividir la situacion en dos grandes caminos que ayudan a complementar conjuntamente la seguridad en nuestro servidor. 
Por un lado tenemos el "NIDS", que es el Sistema de Deteccion de Intrusos en una Red 
como el nombre lo indica es capas de analizar la red y comparar paquete por paquete en una base de datos de ataques o blacklist, y alerta en caso de que sea positivo. 
Hay que aclarar que el funcionamiento es basicamente un "Sniffing" al momento de captar todos los paquetes de la red. 
Es muy usado por empresas de mediano y alto nivel, de esta manera podemos no solo asegurar un equipo sino la red entera. 

Por otro lado tenemos el HIDS, Sistema de Deteccion de Intrusos en un Host. 
Este sistema de lo contrario al NIDS, solo analiza el trafico en un determinado host. 
Simplemente se instalan en equipos puntuales independientes, puede analizar a usuarios y hacer un seguimiento ya sea el acceso a ficheros o carpetas no permitidas, borrado de archivos criticos que pongan en peligro el sistema. 

[Bien para dar un repaso mas por arriba de esto, porque la idea no es en si explicar el TODO de todo los detalles... sino asimilar conocimientos, para que nuestro querido admin, eliga, sepa de que estamos hablando, y luego se enfoque su pensamiento en expandir el conocimiento para implementar un determinado sistema por cuenta suya] 

Los IDS tienen dos formas de reconocer un ataque producido por nuestro enemigo el "cyberdelincuente". 

El primero es mediante las tan conocidas FIRMAS que logicamente se trabaja mediante la "COMPARACION". 
Una vez que el paquete pasa por el IDS, este lo compara con unas reglas predeterminadas que comentan supuestos ataques. 
Un ejemplo de un IDS, es el SNORT (Para mas informacion ingresar a la web principal http://www.snort.org) este IDS implementa un lenguaje de creacion de reglas flexibles que lo hace bastante potente y sencillo. 
El SNORT avisa cuando se produce un ataque, desde que ip se produce hacia que ip, puertos utilizados, es muy veloz y no necesita procesar informacion, pero como dije la idea no es adentrarnos en cada dispositivo y explicarlo detalladamente eso lo dejo a el que intente implementar algun dispositivo como estos.. 

El Segundo se llama Analisis de Protocolo, el cual se divide en dos mecanismos, el primero puede crear estadisticas mediante un determinado aprendizaje, en determinado cantidad de tiempo. Digo lo del tiempo porque el ids va a analizar el trafico "x" tiempo, la rutina de nuestro trafico de red, cuanto mayor tiempo tiene de aprendizaje, menos falsos positivos nos entregara. 
El segundo mecanismo es de forma manual, simplemente nosotros debemos ingresar la informacion para que nuestro IDS quede configurado. 

Esta bastante piola esto de los IDS, ya que podemos rebuscarnolas y buscar por internet ayuda, o consejos de como implementar reglas propias, incluso gente en el ambito profesional y tecnico sube su gran "base de datos" de reglas o tips para intentar permitir estar al dia en lo que respecta a seguridad y a las ultimas vulnerabilidades. 

Algunas recomendaciones: 
# Snort 
# Manhunt 
# NID 

# IPS (Intrusion Prevention System) 
Para ir cerrando este paper que bastante largo me salio... vamos a hablar de lo que para mi respecta y para la mayoria tambien je, la evolucion del IDS. 
Este mecanismo es realmente complejo, o lo intenta ser. Su funcionamiento tiene como objetivo la Deteccion, el Analisis y el Bloqueo de ataques. 

Este dispositivo puede inspeccionar los flujos de datos con el fin de detectar los ataques que pueden ser explotados mediante vulnerabilidades desde el nivel 2 (control de acceso) del modelo OSI hsata la capa 7 (la de aplicaccion). 

Una caracteristica resaltadora es la de la inspeccion a fondo, en la cual los paquetes pueden ser clasificados y analizados en su totalidad mediante todos los filtros que posee. 
Esa clasificacion de paquetes se basa en la conocida configuracion de cabecera de los paquetes, direcciones origen y destino, etc. 
Si hablamos de los filtros que posee podemos decir que estan formados por un conjunto de reglas que definen determinadas condiciones que son necesarias cumplirse para informar si un paquete es o no es dañino. 

Lo bueno de los IPS es que no solo detectan la vulnerabilidad sino que mediante el Analisis de Protocolo que comente mas arriba, lo transforma en algo asi como un sistema inteligente, el cual permite detectar y tomar acciones sobre una vulnerabilidad que todavia no ha sido anunciada. 

Para resumir el funcionamiento de un IPS podemos señalarlo con 4 puntos fundamentales: 

* El paquete que entra es clasificado por la cabecera y la info de flujo que se asocia. 
* Segun la funcion de como se clasifique el paquete, se aplicaran determinados filtros. 
* Los filtros relevantes se aplican en paralelo, y si hay un positivo, se etiqueta como sospechoso. 
* Si es sospechoso, se desecha y se actualiza la base de estado sobre el flujo relacionado para descartar restos de dicho flujo entrante. 

Algunas recomendaciones: 
# RealSecure 
# Netscreen 
# Proventia G 
# Defense Pro 




Segunda Parte:

http://www.identi.li/index.php?topic=357861
Curso Seguridad Informatica 1/2
8 Puntos Score: 2/10
Visitas: 5715 Favoritos: 25
Ver los usuarios que votaron...
7 Comentarios Curso Seguridad Informatica 1/2
Parece buen post pero ser?
animos te deje puntos!!
Muchas Gracias ! ! ! ! !
ya es un poco tarde para leer (lo leo despues) siempre es bueno aprender un poquito m?
Se agradece tu aportacion  
Para dejar un comentario Registrate! o.. eres ya usuario? Accede!