Professional Documents
Culture Documents
Este mdulo describe algunas de las herramientas de filtrado ms comunes que se utilizan en una red organizacional para asegurar, y evitar algn ataque externo por personas ajenas; y se mencionan algunas preguntas de cmo detectar o cubrir una necesidad en el mbito de la seguridad perimetral. Al terminar este mdulo, ser capaz de disear una estrategia de seguridad efectiva a nivel global.
FILTRADO DE CONTENIDO. FIREWALL. IDP. MENSAJERA INSTANTNEA. PROXIES. PACKET SNIFFER. DMZ. ANTI-SPAM. ACTIVE DIRECTORY.
En la planeacin de cualquier red organizacional un punto importante es la seguridad, en la cual se debe de tener especial cuidado, ya que se debe de proteger de lo que esta fuera de ella; por lo tanto se tiene que estructurar de la manera ms adecuada. Para ello debemos de basarnos en las herramientas de filtrado, de las cuales se mencionan las siguientes:
FILTRADO DE CONTENIDO:
forma indirecta a travs de l. Cuando un equipo de la red desea acceder a una informacin o recurso
FIREWALL:
denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Tienen mltiples propsitos:
a. Restringir la entrada a usuarios. b. Prevenir los ataques. c. Restringir los permisos de los usuarios a puntos bien controlados.
IDP:
accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers que usan herramientas automticas. En el mercado existen diferentes versiones, de Hardware y de Software. El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, y/o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. Normalmente esta herramienta se integra con un firewall.
cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida.
Por lo tanto un Hardware o software dedicado a combatir este tipo de correos se le denomina anti-spam.
MENSAJERA INSTANTNEA:
programas que utilizan el protocolo TCP IP que sirven para enviar y recibir mensajes instantneos con otros usuarios conectados a Internet u otras redes, adems saber cundo estn disponibles para hablar. La mensajera instantnea (conocida tambin en ingls como IM) requiere el uso de un cliente informtico que realiza el servicio de mensajera instantnea y que se diferencia del correo electrnico en que las conversaciones se realizan en tiempo real. La mayora de los servicios ofrecen el "aviso de presencia", indicando cuando el cliente de una persona
en la lista de contactos se conecta o en qu estado se encuentra, si est disponible para tener una conversacin.
MECANISMOS DE TRANSPORTE
Un ataque puede utilizar uno o diversos mtodos para intentar propagarse entre sistemas informticos. Esta seccin proporciona informacin sobre algunos de los mecanismos de transporte que utiliza el Malware.
proporcion de un mecanismo para conectarse entre s mismas va una red, los programadores de Malware obtuvieron otro mecanismo de transporte, que tiene el potencial de exceder las capacidades de los medios removibles para propagar cdigo malicioso. La poca seguridad de los recursos compartidos de red producto un ambiente donde el Malware puede replicarse una gran cantidad de computadoras conectadas en red.
Escaneo de Red:
las redes en busca de computadoras vulnerables, o para atacar aleatoriamente direcciones IP. Por ejemplo, el mecanismo puede enviar un paquete que contiene un Exploit que utiliza un puerto especfico de la red a un rango de direcciones IP direcciones con el objetivo de encontrar una computadora vulnerable para ser atacada.
Redes Peer-to-Peer: Para que las transferencias de archivo por P2P sean posibles,
un usuario debe primero instalar un componente del cliente de P2P que utilizar uno de los puertos de la red que estn permitidos en el Firewall, por ejemplo el puerto 80. Las aplicaciones utilizan este puerto para conseguir atravesar el Firewall y transferir archivos de una computadora a otra. Estas aplicaciones pueden ser obtenidas fcilmente en
Correo Electrnico:
preferido para muchos ataques de Malware. La facilidad con la que millones de gente pueden ser alcanzados va E-mail sin la necesidad de autores de Malware dejen sus computadoras activas, ha hecho de este un transporte muy eficaz. Ha sido relativamente simple engaar a los usuarios para que abran los archivos adjuntos al correo (utilizando tcnicas de ingeniera social). Por lo tanto, muchos de los brotes ms prolficos de malware han utilizado el E-mail como su mecanismo de transporte. Hay dos tipos bsicos de malware que utilizan el E-mail como transporte:
Mass Mailer:
direcciones de E-mail, y entonces se enva masivamente a s mismo a esas direcciones, ya sea utilizando cualquier software de correo instalado en el anfitrin o con su propio motor incorporado de SMTP.
Remote Exploit:
particular en un servicio o aplicacin para replicarse. Este comportamiento es visto regularmente en gusanos; por ejemplo, el gusano Slammer se aprovech de una vulnerabilidad en Microsoft SQL Server 2000. El gusano gener un desbor damiento que permiti que una porcin de la memoria de sistema fuera sobre escrita con el cdigo, y que poda funcionar en el mismo contexto de seguridad que el servicio SQL Server. Un desbordamiento es el resultado de aadir ms informacin a un buffer de la que est diseado para soportar. Un atacante puede explotar esta vulnerabilidad para asumir el control un sistema. Microsoft identific y soluciono esta vulnerabilidad antes de que el virus Slammer fuera liberado, pero solo pocos sistemas haban sido actualizados, as que el gusano pudo propagarse.
MECANISMOS DISPARADORES.
Los mecanismos disparadores es una caracterstica del malware que el software malicioso utiliza para iniciar la replicacin del Payload. Los mecanismos disparadores tpicos son:
Ingeniera Social:
para ayudar a engaar a una vctima para que ejecute manualmente el cdigo malicioso. El acercamiento puede ser relativamente simple, por ejemplo los intentos utilizados en los envos masivos de gusanos donde el elemento de la ingeniera social se centra en seleccionar el texto en el tema del mensaje del E-mail que haga ms probable el ser abierto por una vctima potencial. Los programadores de Malware tambin pueden utilizar la tcnica de E-mail spoofing para procurar engaar a la vctima y hacerle creer que un Email viene de una fuente confiable. Spoofing es el acto de hacerse pasar por un sitio Web o una fuente de transmisin de datos aparentando ser genuina.
Ejecucin automtica:
manual. El malware ejecuta su ataque sin la necesidad de que una vctima ejecute el cdigo malicioso en la computadora.
Bomba de tiempo:
perodo. Este perodo puede ser un retraso entre la primera ejecucin de la infeccin o de cierta fecha programada. Por ejemplo, el gusano de MyDoom.B solamente comenzara sus rutinas de Payload contra el Web site de Microsoft.com el 3 de febrero de 2004, y contra el Web site del grupo de SCO el 1 de febrero de 2004. Entonces detendra toda su replicacin el 1 de marzo de 2004, aunque el componente backdoor de la bomba de tiempo an estara activa despus de este tiempo.
Condicional:
de entradas en el teclado, o el inicio de una aplicacin. Malware que utiliza este tipo de disparador es designado en algunas ocasiones como una bomba lgica.
MECANISMOS DE DEFENSA
Muchos malwares utilizan algn tipo de mecanismo de defensa para ayudar a reducir la probabilidad de ser detectados y removidos. Los siguientes son algunos ejemplos de estas tcnicas.
Armor: Este tipo de mecanismo de defensa emplea una tcnica que intenta bloquear el
anlisis de cdigo malicioso. Tales tcnicas incluyen la deteccin de la ejecucin de una rutina de depuracin, intentar evitar que opere correctamente, o agregar porciones de cdigo sin ningn sentido para hacer difcil el determinar el propsito del cdigo malicioso.
Stealth:
informacin y devolviendo datos falsos. Por ejemplo, un virus puede almacenar una imagen del sector de arranque no infectado y exhibirla siempre que se haga un intento de revisin al sector de arranque infectado. El virus informtico ms viejo conocido, llamado Brain, utiliz esta tcnica en 1986.
Oligomrfico:
mecanismo de defensa y puede cambiar la rutina del cifrado solamente un nmero fijo de ocasiones (generalmente un nmero pequeo). Por ejemplo, un virus que puede generar dos diversas rutinas de desciframiento sera clasificado como Oligomrfico.
Polimrfico:
para evitar la deteccin, tpicamente cifrndose a s mismo con una rutina, y despus proporcionando diversas llaves de desciframiento para cada mutacin. As, el malware polimrfico utiliza un nmero ilimitado de rutinas de cifrado para prevenir la deteccin. En las rplicas del malware, una porcin de cdigo de desciframiento se modifica. Dependiendo del cdigo especfico del malware, el Payload u otras acciones realizadas pueden o no utilizar el cifrado. Tpicamente, hay un motor de mutacin, que es un componente autnomo del malware que genera y selecciona rutinas de cifrado al azar. Ambos, motor y malware son entonces cifrados, y la nueva llave de desciframiento se pasa junto con ellas.
TIPOS DE PAYLOAD
(Se refiere a la parte de un virus informtico que realiza una accin malicios)
ataque de negacin del servicio. Un ataque de DOS es un asalto automatizado lanzado por un atacante para sobrecargar o parar un servicio de red, tal como un web server o un servidor de archivos. Los ataques de DOS apuntan simplemente a hacer que un servicio particular quede inutilizable por un perodo de tiempo.
equipos infectados que generalmente no son conscientes de su papel en tal ataque. Un ataque de DDoS es un tipo ataque de negacin de servicio en el cual un atacante utiliza cdigo malicioso instalado en varias computadoras para atacar una sola. Un atacante utiliza este mtodo para tener el mayor efecto posible en el equipo atacado, a diferencia de los efectos que podra tener con una sola computadora. La semntica de cmo un ataque sucede varan entre un tipo de ataque y otro, pero generalmente implica enviar grande cantidades de datos a un equipo o a un Web site particular, esto hace que deje de responder (o llegar a ser incapaz responder) al trfico legtimo. Esto inunda el ancho de banda disponible hacia la vctima y toma con eficacia el sitio fuera de lnea. Este tipo de ataque puede ser extremadamente duro de defender, debido a que los equipos responsables de los ataques son de hecho vctimas involuntarias. Los ataques de DDoS son conducidos generalmente por bots, programas que realizan tareas repetitivas), por ejemplo los Internet Relay Chat (IRC), Eggdrop bots, los cuales puede utilizar un hacker para controlar las computadoras de la vctima va un canal del IRC. Una vez que sean esas computadoras estn bajo control del hacker se denominan zombis, equipos que pueden afectar a una vctima bajo las ordenes del atacante sin el conocimiento de los dueos de las computadoras. Ambos ataques ya sea DOS y de DDoS pueden implicar un diverso nmero de tcnicas de ataque, incluyendo:
Apagados de Sistema:
puede tener xito en la interrupcin de uno o ms servicios. Atacar un equipo requiere que el malware encuentre una debilidad en alguna aplicacin o en el sistema operativo que cause que el sistema pueda ser apagado.
travs de una conexin de red con ancho de banda limitada, que provee conexin hacia equipos clientes. Si un escritor de malware puede entregar un Payload que llene este ancho de banda con trfico falso de red, es posible producir un ataque de DOS simplemente impidiendo que los clientes puedan conectarse al servicio.
disponibles a los equipos locales. Recursos tales como capacidad del microprocesador y de memoria son sobrecargados por ataques de SYN Flood, donde un atacante utiliza un programa enviar una inundacin de peticiones TCP SYN para llenar la cola de conexiones pendientes en el servidor y denegar trfico legtimo desde y hacia el equipo cliente. Los ataques de Bombardeo de E-mails tambin saturan recursos de almacenamiento para crear un ataque de DOS en el cual enva una excesiva cantidad de mensajes de correo, con el objetivo de impedir que el recipiente de correo pueda recibir mensajes legtimos.
Interrupcin del Servicio: Este tipo de Payload tambin puede causar un ataque de
DOS. Por ejemplo, si un ataque a un servidor de Domain Name System (DNS) inhabilita el servicio del DNS, esta tcnica de ataque de DOS habra sido exitosa. Sin embargo, el resto de los servicios en el sistema pueden seguir operando sin ser afectados.