Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Solución Preguntas Empresa ABC World Corp Ing.Gilbert Jair Sanchez Avila Gilbertjair21@yahoo.es Universidad Abierta y a Distancia UNAD Especialización en seguridad Informática Seguridad en Sistemas Operativos Resumen: En este informe daremos respuestas a dos interrogantes de la organización World Corp en materia de seguridad informática como parte del trabajo investigativo que hemos venido haciendo en la materia de seguridad informática en la primera parte nos pide investigar los tipos ataques mas recientes con su respectivo control o modo de disuadir amenazas para sus equipos Windows y Linux y en la segunda parte de este informe daremos respuesta o explicaremos en que consiste un sistema de detección de intrusos el cual es importante para la seguridad informática de la organización al informarnos que tipos de intrusos quiere acceder a nuestros sistemas y sabotear el desempeño de la organización. Palabras claves: Linux, Windows, IPS, IDS, Ataques Pregunta 1: ABC WorldCorp desea saber 5 ataques actuales y sus respectivos controles para sus dos principales Sistemas Operativos al interior. Se deben describir 5 ataques/controles para cada uno de los 2 sistemas operativos más utilizados en la compañía (Windows y Linux) ATAQUES, VULNERABILIDADES Y FORMA DE CONTROLARLAS EN EQUIPOS CON WINDOWS: 1) CONEXIONES O PUERTOS ABIERTOS: La vulnerabilidad o desventaja radica en que si hay puertos abiertos , algún usuario indebido puede “hackear” nuestro sistema o son puerta de entrada para los diversos tipos de malware existentes . Un puerto abierto no es necesariamente peligroso, estas en riesgo solo si el programa que usa el puerto tiene códigos dañinos. Un puerto no es abierto por el sistema operativo, es abierto por un programa específico queriendo usarlo. Para cerrar un puerto, usualmente solo es necesario cerrar el programa ó servicio que mantiene dicho puerto abierto. Así que no hay razón para cerrar todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, no funcionaría internet! MODO DE CONTROL: Una de las formas de controlarlo es en Windows abrir la consola o símbolo de sistema , en el cuadro de Windows donde dice buscar programas , escribes cmd y le das enter una vex allí en la consola escribes el comando NETSTAT , este comando nos muestra las conexiones entrantes en nuestro equipo ( En referencias colocare una página donde se explica mas detalladamente esto),también con el comando netstat-b , detecta las conexiones ocultas , para conocer los puertos abiertos podemos usar la siguiente orden: NETSTAT -an |find /i "listening", también se puede descargar la herramienta llamada currents ports , el cual muestra la información de los puertos permitiendo cerrar las conexiones indeseadas, cerrar los procesos, y guardar toda la información en un archivo, también marca con un color rosado los puertos sospechosos abiertos por conexiones sin identificar o también para cerrar un puerto, solo es necesario cerrar el mailto:Gilbertjair21@yahoo.es programa ó servicio que mantiene dicho puerto abierto. 2) ATAQUE DE DIA CERO es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto. Esto supone que aún no hayan sido arregladas Una de las formas de ataque es por medio de vulnerabilidades de que tienes los navegadores o también cuando nuestros programas no son actualizados con las últimas versiones. Hay momentos en las que los fallos de las aplicaciones permiten tomar el control remoto de un ordenador. Esto significa que, en el caso de que un computador tenga una versión vulnerable de un programa, se puede utilizar para manejarlo de forma remota. Permitiendo la ejecución de código o comandos no permitidos en situaciones normales, utilizando algún tipo de vulnerabilidad, las cuales pueden estar en los programas instalados. Es decir, estos ataques usan las vulnerabilidades para ejecutar código en el ordenador afectado. MODO DE CONTROL: Una de las recomendaciones más importantes es mantener todos nuestros programas actualizados y licenciados ya que este tipo de ataque se aprovecha de esa debilidad o falla instalando los respectivos parches de seguridad recomendados por Microsoft , tener un antivirus actualizado , el firewall configurado correctamente permitiendo el trafico minimo necesario , también se recomienda desinstalar programas que no se estén usando ya que hasta el momento no hay una solución definitiva en caso de que algún equipo quede infectado por medio de los ataques de dia cero 3) VULNERABILIDAD EN JAVA 7: Vulnerabilidad existe en Java 7 Actualización 10, que fue liberada en octubre del año pasado; cuando los usuarios que tienen Java en sus computadoras visitan un sitio web con el código malicioso, su sistema puede ser controlado por quien haya insertado dicho código. Supuestamente, una vez que el sistema está bajo el control del hacker, se le pedirá al usuario una cantidad de dinero para liberarlo; la probabilidad de que esto suceda a un amplio número de personas es alta, pues Java corre en millones de dispositivos de todo tipo, esta vulnerabilidad permite ejecutar ataques tipo botnet los cuales son diseñados para tomar el control de la computadora del usuario. MODO DE CONTROL: Por el momento se ha dicho que es recomendable desinstalar o desactivar JAVA , también se lanzo java 7 actualizacion 11 orientada a reparar este mal , si necesita desactivar JAVA darle clic al siguiente link: http://www.java.com/es/download/help/disabl e_browser.xml http://www.java.com/es/download/help/disable_browser.xml http://www.java.com/es/download/help/disable_browser.xml 4) PANTALLA AZUL: Por lo general cuando nos sale “la pantalla azul” en Windows se debe a daños en la memoria RAM ,fallo en el sector de arranque del disco duro ,daños en los componentes internos de la board o demás tarjetas integradas a veces por “picos” o subidas de voltajes , o ciertos virus que originan esta falla pero parece que hoy en día incluso con Windows 7 sale este falla: el envío de una petición de negociación de red deliberadamente incorrecto puede forzar a un sistema de Windows 7 a un error que pone en marcha el conocido "pantallazo azul", incluso sin la ayuda del usuario en el lanzamiento del código. El ataque afecta a 32-bit y 64-bit del sistema operativo. El fallo se deriva por rescribir la pila del protocolo heredado de Vista, que también ha sido descubierto como vulnerable al ataque. Este problema que ya había sido parcheado solucionado en Windows 2000 y XP, ahora regresa con Windows 7. MODO DE CONTROL: Microsoft nos recomienda mientras sale el “parche” o actualización de seguridad para este problema es desactivar el Server Message Block o SMB el cual es un Protocolo de red (que pertenece a la capa de aplicación en el modelo OSI) que permite compartir archivos e impresoras (entre otras cosas) entre nodos de una red. Es utilizado principalmente en ordenadores con Microsoft Windows y DOS. 5) ATAQUE ICMP El ICMP es el protocolo encargado de informar de errores y problemas en la red , Este protocolo esta siendo victima de una variedad de ataques llamados nuke( que consisten en hacer caer la conexión TCP/IP) , este tipo de ataque consiste en enviar al cliente o al servidor un paquete ICMP indicando que la conexión no puede continuar debido a uno de los siguientes errores: Host Unreachable Bad Protocol Network Unreachable Bad Port para detectar este ataque El cliente puede observando una inusitada actividad en sumódem o bien instalando software de traceo tal como el incluído en el paquete Winsock de Trumpet. MODO DE CONTROL: La protección más obvia consiste en utilizar puertos poco previsibles. Es decir, emplear un puerto diferente del 6667 en la conexión al servidor y un puerto aleatorio en nuestra máquina local . Un paquete ICMP es ignorado si no contiene los puertos correctos. Un cliente no puede protegerse salvo que instale un cortafuegos o una versión modificada de su pila TCP/IP. Un servidor puede protegerse con un cortafuegos que filtre las tramas ICMP. Dado que dichos paquetes son útiles en el diagnóstico de problemas en la red y resulta contraproducente filtrarlos todos y para todas las máquinas, se puede optar por filtrarsolo los ICMP (y solo los ICMP problemáticos) dirigidos al servidorIRC. ATAQUES, VULNERABILIDADES Y FORMA DE CONTROLARLAS EN EQUIPOS CON LINUX: 1) ATAQUES DOS POR FALLA EN EL KERNEL: Como sabemos DOS significa ataque de negación de servicios el cual hace que un recurso de un sistema sea inaccesible a los usuarios legítimos , debido a una sobrecarga en los recursos computacionales de la víctima o perdida del ancho de banda en sus conexiones y kernel es el núcleo de los sistemas operativos de Linux donde están los parámetros mas importantes del sistema. Se ha descubierto sobre una vulnerabilidad en el Kernel 2.4 de Linux, que puede ser explotado para causar un ataque de denegación de servicio. El Kernel o corazón de un sistema operativo, es el encargado de las funciones básicas del mismo. La falla se produce en la forma en que el Kernel de Linux maneja el caché de la información ruteada. La información fue aportada por la empresa consultora de seguridad de origen británico, Secunia. Inundando un sistema Linux con paquetes con direcciones falsas, el manejo de la "hash table" (se usa para rearmar los trozos en que se dividen los paquetes al transmitirlos por la red), puede consumir grandes cantidades de recursos del procesador. Para ello es necesario utilizar direcciones falsas cuidadosamente seleccionadas para que las mismas causen colisiones al intentar volver a armar cada paquete. MODO DE CONTROL: Una solución temporaria, podría ser filtrar el tráfico utilizando PREROUTING en lugar de INPUT en iptables, ya que PREROUTING actúa antes del caché de la tabla de rutas. Esto requiere un cambio menor en las reglas de filtrado. 2) ATAQUES DE NEGACION DE SERVICIO DISTRIBUIDO: Es muy similar al ataque de negación de servicios pero se diferencia en que no es una sola maquina la que hace este tipo de ataque sino que se ve ejecutando este tipo de ataque desde diversas maquinas del exterior de la red , para ello se usa las programas o virus botnet que como ya dijimos toman el control de una maquina y ejecutar diversas tareas o lo que quiera la persona o ente atacante en este caso se logra infectando ordenadores con pequeños programas que producen el ciberataque de forma simultanea contra el objetivo establecido. Casi siempre esto es de forma involuntaria, y los PCs y los dueños por consiguiente de los PCS atacantes, no saben que su Ordenador de forma zombi está siendo utilizado para realizar un ataque de denegación de servicio. MODO DE CONTROL: Una de las formas mas efectivas es usando la consola o terminal de Linux para ejecutar diversos comandos entre ellos : netstat -an | grep :80 | sort el cual Muestra sólo las conexiones activas de Internet al servidor en el puerto 80 , que es el puerto http y ordenar los resultados. Útil en la detección de una sola inundación (flood) por lo que permite reconocer muchas conexiones provenientes de una dirección IP. También si queremos saber los implicados en el ataque colocamos la siguiente orden en consola: netstat -n -p | grep SYN_REC | sort –u una vez sabemos cual direcciones ip son sospechosas procederemos a usar el firewall incorporado en Linux que es el iptables tecleando la siguiente orden : iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT donde dice $IPADRESS , borramos esa palabra y colocamos la direccion IP sospechosa Después de la colocar el comando anterior, tenemos que matar todas las conexiones httpd para limpiar su sistema y reiniciarlo posteriormente usando los siguientes comandos: killall -KILL httpd , este comando mata todas las conexiones httpd y luego para reiniciar : service httpd start # Para los sistemas de Red Hat /etc/init/d/apache2 restart # Para sistemas Debian En referencias colocare la pagina que nos indica como hacerlo de forma mas detallada por si tienen dudas. 3) NO COLOCACION DE ANTIVIRUS EN LINUX Muchos usuarios de Linux creen que por que Linux no usa antivirus es seguro , como la mayoría de usuarios Linux piensan que por este tiene muchas distribuciones y su código es abierto y por que hay que tener ciertos conocimientos informáticos para modificar el kernel o nucleo de sistema operativo pues andan confiados , pero se equivocan por que resulta y pasa que usando backtrack que es la distribución de Linux enfocada a la seguridad informática se puede usar el siguiente xploit para acceder a Linux : auxiliary/server/browser_autopwn Este exploit lo que hace (a grandes rasgos) una vez configurado, es que carga diversos "módulos" que van a aprovechar las vulnerabilidades de los distintos navegadores (Internet Explorer, Firefox, Google Chrome, Opera, Safari, y otros...).para los usuarios de Windows basta con tener actualizado el antivirus y el sistema operativo. MODO DE CONTROL: Lomas recomendable seria obviamente instalarle algún antivirus dependiendo la versión que tengamos es mas por ejemplo avast ,bit defender ,AVG,NOD32 además de ser usados en Windows también tienen variantes para Linux , otros buenos también serian ClamAV está liberado bajo licencia GPLv2 (totalmente Open Source), y F-Prot se puede utilizar también grauitamente -aunque sea código cerrado- en máquinas con Linux. Esto evitaría ataques de xploit como el ya mencionado y demás tipos de malware reforzando la seguridad ya conocida en Linux. 4) ATAQUES SSH SSH (Secure Shell) es un protocolo de red de código abierto que se utiliza para conectar servidores Linux locales o remotos para transferir archivos, hacer copias de seguridad remotas, ejecución de comandos remotos y otras tareas relacionadas con la red mediante scp o sftp entre dos servidores que conectan a un canal seguro través de la red, previniendo ataques de fuerza bruta y de diccionario , un ataque de fuerza bruta consiste en probar todas las combinaciones de claves posibles para acceder a un sistema , en cambio un ataque de diccionario consiste en probar contraseñas de acuerdo a las palabras o terminologías de un diccionario ejemplo de este programa para hacer este tipo de ataques se llama john the ripper y también nos sirve para comprobar si los usuarios no usan claves fuertes o usan como claves palabras conocidas en sus passwords . MODO DE CONTROL: mostramos dos de los más populares programas para Linux que sirven para controlar este tipo de ataques: 1. DenyHosts: es un script de código abierto para la seguridad de prevención de intrusiones basada en registros de los servidores SSH fue escrito en el lenguaje de programación Python para administradores de sistemas Linux y usuarios para controlar y analizar los registros de acceso del servidor SSH y los intentos de conexión fallidos, conocidos como ataques basados en diccionario, y ataques de fuerza. El script funciona mediante la prohibición de direcciones IP después de un número determinado de intentos fallidos en la conexión y evitar que tales ataques puedan acceder al servidor. 2.Fail2Ban: es uno de los software más populares de código abierto para la detección / prevención de intrusiones. Escrito en lenguaje de programación Python. Funciona mediante el escaneo de los archivos de registro como /var/log/secure, /var/log/auth.log, /var/log/pwdfail, etc por demasiados intentos fallidos de inicio de sesión. Fail2ban utiliza para actualizar Netfilter / iptables o el archivo hosts.deny de TCP Wrapper, para rechazar la dirección IP de un atacante por una cantidad fija de tiempo. También cuenta con una capacidad para eliminar la prohibición de una dirección IP bloqueada durante un determinado período de tiempo establecido por los administradores. Sin embargo, ciertos actos sobre la prohibición, es más que suficiente para detener este tipo de ataques maliciosos. Pregunta 2. Desea conocer el funcionamiento de los diferentes sistemas de detección de intrusos, sus tipos, funcionamiento, características y algunas aplicaciones y soluciones que podrían implementar en su compañía. Listas 5 posibles soluciones software y/o hardware con su respectiva descripción 5) ENVENENAMIENTO DE LAS TABLAS ARP(ARP SPOOFING) El ARP Spoofing o envenenamiento de tablas ARP, es una técnica de hacking usada para infiltrarse en una red, con el objetivo de que un atacante pueda husmear los paquetes de datos que pasan por la LAN (red de área local), modificar el tráfico, o incluso detenerlo. Mediante este tipo de ataques, se puede obtener información sensible de una víctima que esté en la misma red que el atacante, como nombres de usuario, contraseñas, cookies, mensajes de correo y mensajería instantánea, conversaciones VoIP, etc. El envenenamiento de las tablas ARP consiste básicamente en inundar la red con paquetes ARP indicando que la nuestra es la MAC asociada a la IP de nuestra víctima y que nuestra MAC está también asociada a la IP del router (puerta de enlace) de nuestra red. De este modo, todas las máquinas actualizaran sus tablas con esta nueva información maliciosa. Así cada vez que alguien quiera enviar un paquete a través del router, ese paquete no será recogido por el router, sino por nuestra máquina, pues se dirige a nuestra dirección MAC, y cada vez que el router u otra máquina envíe un paquete a nuestra víctima sucederá lo mismo. MODO DE CONTROL: Unas herramientas o programas que podemos usar para evitar esto son: 1-ARP Watch (linux) ARP Watch es una herramienta para sistemas Linux que nos puede ayudar a detectar el envenenamiento ARP en nuestro sistema operativo. con esta herramienta podemos comprobar la correspondencia entre pares (IP/MAC). en el caso en que se este provocando un ataque ARP Watch manda un correo de notificación a la cuenta administrador del sistema. Tambien puede detectar nuevos host en la red(si alguien falsifica su IP/MAC para hacer un ataque de envenenamiento ARP) 2-ARP Guard (hardware) ARP guard es un hardware que nos permite reconocer las amenazas de un posible ataque de enevenenamiento ARP.esta constantemente observando los paquetes ARP y si detecta alguna anomalia manda un mensaje a el administrador de la redcon el origen del ataque. O también podemos dar asignación estatica en la tabla de entradas ARP, para evitar este problema. Pregunta 2. Desea conocer el funcionamiento de los diferentes sistemas de detección de intrusos, sus tipos, funcionamiento, características y algunas aplicaciones y soluciones que podrían implementar en su compañía. Listas 5 posibles soluciones software y/o hardware con su respectiva descripción. CONCEPTO IDS o sistema de detección de intrusos, también va complementado con un IPS o sistema de prevención de intrusos , esto nos proteje de amenazas externas en la red o redes que estemos conectados , como accesos no autorizados a la internet u otras redes externas denegando las transmisiones y vigilando los puertos de la red , también ocultan la IP y puertos de nuestra red , también monitorean la red impidiendo ataques de negación de servicios y ataques de servicios distribuidos y llevan a cabo un análisis entiempo real de las conexiones y los protocolos para determinar si se está produciendo o se va a producir un incidente. Son herramientas utilizadas para detectar y prevenir accesos no autorizados a un equipo o a una red, es decir hay IPS/IDS de equipo y de red, ambos monitorizan el tráfico para determinar y prevenir comportamientos sospechosos. Se integran con frecuencia con cortafuegos que realizan la función de bloquear el tráfico sospechoso. TIPOS DE IDS El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. Existen dos claras familias importantes de IDS: El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red. El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host. Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro. El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix etc. El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos http://es.kioskea.net/contents/internet/ip.php3 malignos o ataques de desbordamiento de búfer). COMO FUNCIONA UN IDS Los principales métodos utilizados por N-IDS para informar y bloquear intrusiones son: Reconfiguración de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y así poder bloquear una intrusión. Esta reconfiguración es posible a través del envío de datos que expliquen la alerta (en el encabezado del paquete). Envío de una trampa SNMP a un hipervisor externo: Envío de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa como HP Open View Tivoli, Cabletron, Spectrum, etc. Envío de un correo electrónico a uno o más usuarios: Envío de un correo electrónico a uno o más buzones de correo para informar sobre una intrusión seria. Registro del ataque: Se guardan los detalles de la alerta en una base de datos central, incluyendo información como el registro de fecha, la dirección IP del intruso, la dirección IP del destino, el protocolo utilizado y la carga útil. Almacenamientode paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta. Apertura de una aplicación: Se lanza un programa externo que realice una acción específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora). Envío de un "ResetKill": Se construye un paquete de alerta TCP para forzar la finalización de una conexión (sólo válido para técnicas de intrusión que utilizan el protocolo de transporte TCP). Notificación visual de una alerta: Se muestra una alerta en una o más de las consolas de administración. CARACTERISTICAS IPS cada vez resuena más el término IPS (Sistema de prevención de intrusiones) que viene a sustituir al IDS "tradicional" o para hacer una distinción entre ellos. Un IPS es un sistema de prevención/protección para defenderse de las intrusiones y no sólo para reconocerlas e informar sobre ellas, como hacen la mayoría de los IDS. Hay dos características principales que distinguen a un IDS (de red) de un IPS (de red): El IPS se sitúa en línea dentro de la red IPS y no sólo escucha pasivamente a la red como un IDS (tradicionalmente colocado como un rastreador de puertos en la red). El IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa que el IPS puede filtrar y bloquear paquetes en modo nativo (al utilizar técnicas como la caída de una conexión, la caída de paquetes ofensivos, el bloqueo de un intruso, etc.). ALGUNOS PRODUCTOS IDS/IPS 1) Producto: Enterasys Dragon IDS-IPS Proveedor: ENTERASYS NETWORKS Página Web: www.enterasys.com Descripción: Enterasys Dragon IDS/IPS permite realizar la detección y prevención de intrusiones. Es capaz de trabajar bloqueando ataques en el perímetro pero su mayor ventaja competitiva reside en la capacidad de detectar amenazas y mal uso también dentro de la red interna. Una vez detectada la amenaza se procede a localizar el equipo causante del problema pudiendo aislarlo a un segmento de red de cuarentena de cara a evitar que comprometa o infecte a otros equipos de la red interna y solucionar sus problemas. 2)Producto: HP ProCurve Threat Management Services zl Module Proveedor: HP PROCURVE NETWORKING Página Web: www.procurve.eu Descripción: El módulo de servicio para la gestión de amenazas es un dispositivo de seguridad multifunción para las gamas de switches HP ProCurve 5400 zl y 8212zl. El módulo ofrece funcionalidades de Firewall (cortafuegos) dinámico, sistema de detección/prevención de intrusiones (IDS/IPS) y VPN. Permite a los administradores de red segmentar el trafico por departamentos, proteger a la red de software malicioso y proveer una conectividad segura en conexiones remotas y entre sedes. 3)Producto:IDS/IPS Proveedor: CISCO SYSTEMS Página Web: www.cisco.es Descripción: Un software de Detección y Prevención de Intrusos, IDS/IPS, monitoriza redes y equipos en tiempo real en busca de comportamientos sospechosos no susceptibles de ser detectados por dispositivos de seguridad convencionales. De esta manera, se pretende detectar intrusiones o accesos no autorizados o maliciosos a recursos o servicios. Mediante los sistemas IDS/IPS se previenen ataques y se recoge información útil para la protección de los Sistemas de Información conforme a políticas de seguridad establecidas. 4)Producto: SEINHE PyIDS Proveedor: SEINHE Página Web:www.seinhe.com Descripción: Este sistema de detección de intrusiones le permite monitorizar sus servidores con el objetivo de detectar cualquier intento de intrusión. Se desarrollo con las premisas de ser fiable, ligero y cuidadoso con la privacidad de los usuarios de los sistemas dónde está instalado. Este IDS se centra en la detección de cambios en los ficheros del sistema, detección de conexiones no autorizadas, intentos de acceso vía SSH, monitorización de logs, consumo de recursos y procesos no autorizados 5)Producto: IPS-1 Proveedor: CHECKPOINT SOFTWARE TECHNOLOGIES Página Web: www.checkpoint.com Descripción: IDS / IPS en formatos appliance y software. CONCLUSIONES: Básicamente dos conclusiones podemos sacar de este informe: La primera conclusión es que como encargados de la seguridad informática de una organización debemos estar actualizados todos los días sobre las amenazas constantes que salen , procurar leer los boletines mas actualizados de las empresas de seguridad informática por ejemplo las empresas que hacen antivirus entregan muchos reportes al públicos sobre las principales amenazas , en este informe la primera parte se hizo basado en lo que circula en la internet sobre ataques y amenazas igual en referencias dejaremos los links para que profundicen un tema por si tiene una duda. La segunda conclusión es que el IDS para que tenga mas efectividad en su labor de detectar intrusión debe ir de la mano funcionando de un IPS , que es el encargado de prevenir intrusiones ajenas , por que por ejemplo es como si en un negocio colocáramos cámaras de seguridad y no colocáramos vigilante lo cual en este caso pues ladrones se meterían a robar y no hubiera alguien para evitarlo , solo la cámara los filmaría y se sabrían quien fue pero no se contrarrestaría el robo , entonces lo mismo decimos del IDS ayuda a detectar intrusos y en ciertos casos los bloquea pero con el IPS se prevendrían que accedieran a nuestros sistemas , entonces mi recomendación es que estos dos dispositivos trabajen de la mano para mayor seguridad. REFERENCIAS: 1. Intrusiones de red, disponible en:http://norfipc.com/articulos/intr usiones-red.html 2. concepto de ataque de dia cero, disponible en :http://es.wikipedia.org/wiki/Ataqu e_de_d%C3%ADa_cero 3. ataque de día cero,disponible en :http://www.omicrono.com/2013/02 /que-es-un-ataque-de-dia-cero-en- informatica/ 4. vulnerabilidad en java 7,disponible en : http://www.unocero.com/2013/01/1 4/vulnerabilidad-en-java-permite- ataques-a-mac-linux-y-windows/ 5. ataques de pantallazo azul, disponible en :http://www.fayerwayer.com/2009/ 09/windows-7-permite-ataques- remotos-que-provocan-un- pantallazo-azul-bsod/ 6. SMB, disponible en:http://es.wikipedia.org/wiki/Serv er_Message_Block 7. Ataques de Nuke, disponible en :http://www.sarrio.org/sockets/ataq ues.htm 8. Vulnerabilidad en el kernel de Linux ,disponible: http://www.vsantivirus.com/vul- linux-kernel-dos.htm 9. detectar ataques con netstat en Linux, disponible en :http://blog.desdelinux.net/netstat- detectar-ataques-ddos/ 10. que es un ataque de negación de servicio distribuido, disponible en::http://www.xatakaon.com/segur idad-en-redes/que-es-un-ddos-o- un-ataque-distribuido-de- denegacion-de-servicio 11. detectar ataques en Linux, disponible en :http://blog.desdelinux.net/netstat- detectar-ataques-ddos/ 12. vulnerabilidades en Linux , disponible en : http://itxpertsmx.blogspot.com/201 2/10/gnulinux-si-es-vulnerable- ataques.html 13. antivirus para Linux ,disponible en:http://www.muylinux.com/2009/ 12/08/antivirus-para-linux 14. ataques shh, disponible en :http://www.linux- party.com/index.php/55- redhat/8970-por-terminar- denyhosts-para-bloquear-ataques- ssh-server-en-rhel-centos-fedora# 15. Envenenamiento ARPhttp://linuxgnublog.org/envena miento-de-las-tablas-arp-arp- spoofing 16. Evitar ataques de envenamiento ARP,disponible en:http://foro.infiernohacker.com/i ndex.php?topic=7022.0 17. Seguridad perimetral, disponible en:http://www.inteco.es/extfrontint eco/img/File/demostrador/monogra fico_catalogo_seguridad_perimetra l.pdf 18. Características IDS,disponible en : http://es.kioskea.net/contents/162- sistema-de-deteccion-de-intrusiones-ids 19. Características IPS,disponible en: http://es.kioskea.net/contents/163- sistema-de-prevencion-de- intrusiones-ips http://norfipc.com/articulos/intrusiones-red.html http://norfipc.com/articulos/intrusiones-red.html http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero http://es.wikipedia.org/wiki/Ataque_de_d%C3%ADa_cero http://www.omicrono.com/2013/02/que-es-un-ataque-de-dia-cero-en-informatica/ http://www.omicrono.com/2013/02/que-es-un-ataque-de-dia-cero-en-informatica/ http://www.omicrono.com/2013/02/que-es-un-ataque-de-dia-cero-en-informatica/ http://www.omicrono.com/2013/02/que-es-un-ataque-de-dia-cero-en-informatica/ http://www.unocero.com/2013/01/14/vulnerabilidad-en-java-permite-ataques-a-mac-linux-y-windows/ http://www.unocero.com/2013/01/14/vulnerabilidad-en-java-permite-ataques-a-mac-linux-y-windows/ http://www.unocero.com/2013/01/14/vulnerabilidad-en-java-permite-ataques-a-mac-linux-y-windows/ http://www.fayerwayer.com/2009/09/windows-7-permite-ataques-remotos-que-provocan-un-pantallazo-azul-bsod/ http://www.fayerwayer.com/2009/09/windows-7-permite-ataques-remotos-que-provocan-un-pantallazo-azul-bsod/ http://www.fayerwayer.com/2009/09/windows-7-permite-ataques-remotos-que-provocan-un-pantallazo-azul-bsod/ http://www.fayerwayer.com/2009/09/windows-7-permite-ataques-remotos-que-provocan-un-pantallazo-azul-bsod/ http://es.wikipedia.org/wiki/Server_Message_Block http://es.wikipedia.org/wiki/Server_Message_Block http://es.wikipedia.org/wiki/Server_Message_Block http://www.sarrio.org/sockets/ataques.htm http://www.sarrio.org/sockets/ataques.htm http://www.sarrio.org/sockets/ataques.htm http://www.vsantivirus.com/vul-linux-kernel-dos.htm http://www.vsantivirus.com/vul-linux-kernel-dos.htm http://blog.desdelinux.net/netstat-detectar-ataques-ddos/ http://blog.desdelinux.net/netstat-detectar-ataques-ddos/ http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio http://www.xatakaon.com/seguridad-en-redes/que-es-un-ddos-o-un-ataque-distribuido-de-denegacion-de-servicio http://blog.desdelinux.net/netstat-detectar-ataques-ddos/ http://blog.desdelinux.net/netstat-detectar-ataques-ddos/ http://itxpertsmx.blogspot.com/2012/10/gnulinux-si-es-vulnerable-ataques.html http://itxpertsmx.blogspot.com/2012/10/gnulinux-si-es-vulnerable-ataques.html http://itxpertsmx.blogspot.com/2012/10/gnulinux-si-es-vulnerable-ataques.html http://www.muylinux.com/2009/12/08/antivirus-para-linux http://www.muylinux.com/2009/12/08/antivirus-para-linux http://www.muylinux.com/2009/12/08/antivirus-para-linux http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora http://www.linux-party.com/index.php/55-redhat/8970-por-terminar-denyhosts-para-bloquear-ataques-ssh-server-en-rhel-centos-fedora http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing http://linuxgnublog.org/envenamiento-de-las-tablas-arp-arp-spoofing http://foro.infiernohacker.com/index.php?topic=7022.0 http://foro.infiernohacker.com/index.php?topic=7022.0 http://foro.infiernohacker.com/index.php?topic=7022.0 http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf http://www.inteco.es/extfrontinteco/img/File/demostrador/monografico_catalogo_seguridad_perimetral.pdf http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids http://es.kioskea.net/contents/162-sistema-de-deteccion-de-intrusiones-ids http://es.kioskea.net/contents/163-sistema-de-prevencion-de-intrusiones-ips http://es.kioskea.net/contents/163-sistema-de-prevencion-de-intrusiones-ips http://es.kioskea.net/contents/163-sistema-de-prevencion-de-intrusiones-ips
Compartir