CONCEPTOS DE SEGURIDAD OBJETIVO.

Este mdulo describe algunas de las herramientas de filtrado ms comunes que se utilizan en una red organizacional para asegurar, y evitar algn ataque externo por personas ajenas; y se mencionan algunas preguntas de cmo detectar o cubrir una necesidad en el mbito de la seguridad perimetral. Al terminar este mdulo, ser capaz de disear una estrategia de seguridad efectiva a nivel global.

FILTRADO DE CONTENIDO. FIREWALL. IDP. MENSAJERA INSTANTNEA. PROXIES. PACKET SNIFFER. DMZ. ANTI-SPAM. ACTIVE DIRECTORY.

En la planeacin de cualquier red organizacional un punto importante es la seguridad, en la cual se debe de tener especial cuidado, ya que se debe de proteger de lo que esta fuera de ella; por lo tanto se tiene que estructurar de la manera ms adecuada. Para ello debemos de basarnos en las herramientas de filtrado, de las cuales se mencionan las siguientes:

FILTRADO DE CONTENIDO:

Permite a otros equipos conectarse a una red de

forma indirecta a travs de l. Cuando un equipo de la red desea acceder a una informacin o recurso

FIREWALL:

Dispositivo que funciona como cortafuegos entre redes, permitiendo o

denegando las transmisiones de una red a la otra. Un uso tpico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a informacin confidencial. Tienen mltiples propsitos:

a. Restringir la entrada a usuarios. b. Prevenir los ataques. c. Restringir los permisos de los usuarios a puntos bien controlados.

IDP:

Un sistema de deteccin de intrusos (IDP) es un programa usado para detectar

accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers que usan herramientas automticas. En el mercado existen diferentes versiones, de Hardware y de Software. El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, y/o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. Normalmente esta herramienta se integra con un firewall.

PROXIES: Es una aplicacin/servidor, que sirve para compartir conexiones a Internet. Es

decir, sin un servidor Proxy, con una conexin a internet solo 1 ordenador puede estar conectado a internet. Pero con un servidor Proxy, con una conexin a internet pueden estar conectados varios ordenadores con la misma conexin.

PACKET SNIFFER: Un packet sniffer es un programa de captura de las tramas de red.

Generalmente se usa para gestionar la red con una finalidad docente, aunque tambin puede ser utilizado con fines maliciosos. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se puede obtener (sniffear) todo tipo de informacin de cualquier aparato conectado a la red como contraseas, e-mails, conversaciones de chat o cualquier otro tipo de informacin personal.

DMZ. (Demilitarized Zone): Una zona desmilitarizada (DMZ) o red perimetral es

una red local (una subred) que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para

cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida.

ANTI-SPAM: Para hablar de soluciones anti-spam, se debe de conocer que es el spam.

Definicin de Spam. Se considera un mensaje electrnico "Spam" si: 1. Se enva de manera masiva y automatizada, sin atender a la identidad ni al contexto del receptor. As, si un vecino se entera de que quiere comprar un coche y le enva un mensaje ofrecindole uno, no se considera spam. 2. El receptor no ha solicitado o permitido expresamente de forma verificable el envo del mensaje. Por ejemplo, marcando una casilla de verificacin claramente visible en una formulario Web y donde se explique con claridad la temtica de los mensajes que se enviarn. La coletilla que indica qu hacer para no recibir ms mensajes (que adems suele ser falsa) no es eximente. 3. La transmisin y recepcin del mensaje proporciona al remitente un beneficio desproporcionado. El receptor recibe un mensaje poniendo sus medios: su ancho de banda y su equipo de cmputo, similares a los que usa el remitente para enviar el mensaje a miles de buzones, y establece una comunicacin que interesa fundamentalmente al remitente.

Por lo tanto un Hardware o software dedicado a combatir este tipo de correos se le denomina anti-spam.

MENSAJERA INSTANTNEA:

Los mensajeros instantneos son un conjunto de

programas que utilizan el protocolo TCP IP que sirven para enviar y recibir mensajes instantneos con otros usuarios conectados a Internet u otras redes, adems saber cundo estn disponibles para hablar. La mensajera instantnea (conocida tambin en ingls como IM) requiere el uso de un cliente informtico que realiza el servicio de mensajera instantnea y que se diferencia del correo electrnico en que las conversaciones se realizan en tiempo real. La mayora de los servicios ofrecen el "aviso de presencia", indicando cuando el cliente de una persona

en la lista de contactos se conecta o en qu estado se encuentra, si est disponible para tener una conversacin.

MECANISMOS DE TRANSPORTE
Un ataque puede utilizar uno o diversos mtodos para intentar propagarse entre sistemas informticos. Esta seccin proporciona informacin sobre algunos de los mecanismos de transporte que utiliza el Malware.

Medios Removibles: La forma original y probablemente el transmisor ms prolfico

de Virus y Malware entre computadoras es la transferencia de archivos. Este mecanismo comenz con los diskettes, para cambiar despus hacia las redes, y ahora est encontrar nuevos medios tales como dispositivos USB y Firewire. El ndice de la infeccin no es tan rpido como con el Malware basado en red, aun as la amenaza est presente y es difcil de suprimir totalmente, debido a la necesidad de intercambiar datos entre los sistemas .

Recursos Compartidos de Red:

Una vez que a las computadoras se les

proporcion de un mecanismo para conectarse entre s mismas va una red, los programadores de Malware obtuvieron otro mecanismo de transporte, que tiene el potencial de exceder las capacidades de los medios removibles para propagar cdigo malicioso. La poca seguridad de los recursos compartidos de red producto un ambiente donde el Malware puede replicarse una gran cantidad de computadoras conectadas en red.

Escaneo de Red:

Los escritores de Malware utilizan este mecanismo para explorar

las redes en busca de computadoras vulnerables, o para atacar aleatoriamente direcciones IP. Por ejemplo, el mecanismo puede enviar un paquete que contiene un Exploit que utiliza un puerto especfico de la red a un rango de direcciones IP direcciones con el objetivo de encontrar una computadora vulnerable para ser atacada.

Redes Peer-to-Peer: Para que las transferencias de archivo por P2P sean posibles,
un usuario debe primero instalar un componente del cliente de P2P que utilizar uno de los puertos de la red que estn permitidos en el Firewall, por ejemplo el puerto 80. Las aplicaciones utilizan este puerto para conseguir atravesar el Firewall y transferir archivos de una computadora a otra. Estas aplicaciones pueden ser obtenidas fcilmente en

Internet, y proporcionan un mecanismo de transporte para que los

programadores de Malware puedan propagar un archivo infectado en el disco duro de un cliente.

Correo Electrnico:

El E-mail se ha convertido en el mecanismo de transporte

preferido para muchos ataques de Malware. La facilidad con la que millones de gente pueden ser alcanzados va E-mail sin la necesidad de autores de Malware dejen sus computadoras activas, ha hecho de este un transporte muy eficaz. Ha sido relativamente simple engaar a los usuarios para que abran los archivos adjuntos al correo (utilizando tcnicas de ingeniera social). Por lo tanto, muchos de los brotes ms prolficos de malware han utilizado el E-mail como su mecanismo de transporte. Hay dos tipos bsicos de malware que utilizan el E-mail como transporte:

Mailer: Este tipo de malware se enva a s mismo a un nmero limitado de direcciones

de E-mail, ya sea utilizando el software de correo instalado en el anfitrin, o con su propio motor SMTP.

Mass Mailer:

Este tipo de malware busca en la computadora infectada por

direcciones de E-mail, y entonces se enva masivamente a s mismo a esas direcciones, ya sea utilizando cualquier software de correo instalado en el anfitrin o con su propio motor incorporado de SMTP.

Remote Exploit:

Este tipo de Malware intenta explotar una vulnerabilidad en

particular en un servicio o aplicacin para replicarse. Este comportamiento es visto regularmente en gusanos; por ejemplo, el gusano Slammer se aprovech de una vulnerabilidad en Microsoft SQL Server 2000. El gusano gener un desbor damiento que permiti que una porcin de la memoria de sistema fuera sobre escrita con el cdigo, y que poda funcionar en el mismo contexto de seguridad que el servicio SQL Server. Un desbordamiento es el resultado de aadir ms informacin a un buffer de la que est diseado para soportar. Un atacante puede explotar esta vulnerabilidad para asumir el control un sistema. Microsoft identific y soluciono esta vulnerabilidad antes de que el virus Slammer fuera liberado, pero solo pocos sistemas haban sido actualizados, as que el gusano pudo propagarse.

MECANISMOS DISPARADORES.
Los mecanismos disparadores es una caracterstica del malware que el software malicioso utiliza para iniciar la replicacin del Payload. Los mecanismos disparadores tpicos son:

Ejecucin Manual: Este tipo de mecanismo es simplemente la ejecucin directa del

malware por la vctima.

Ingeniera Social:

El Malware a menudo utilizar alguna forma de ingeniera social

para ayudar a engaar a una vctima para que ejecute manualmente el cdigo malicioso. El acercamiento puede ser relativamente simple, por ejemplo los intentos utilizados en los envos masivos de gusanos donde el elemento de la ingeniera social se centra en seleccionar el texto en el tema del mensaje del E-mail que haga ms probable el ser abierto por una vctima potencial. Los programadores de Malware tambin pueden utilizar la tcnica de E-mail spoofing para procurar engaar a la vctima y hacerle creer que un Email viene de una fuente confiable. Spoofing es el acto de hacerse pasar por un sitio Web o una fuente de transmisin de datos aparentando ser genuina.

Ejecucin semiautomtica: Este tipo de mecanismo es iniciado por una vctima y

despus ejecutado automticamente desde ese punto.

Ejecucin automtica:

Este tipo de mecanismo no requiere ninguna ejecucin

manual. El malware ejecuta su ataque sin la necesidad de que una vctima ejecute el cdigo malicioso en la computadora.

Bomba de tiempo:

Este tipo de mecanismo realiza una accin despus de cierto

perodo. Este perodo puede ser un retraso entre la primera ejecucin de la infeccin o de cierta fecha programada. Por ejemplo, el gusano de MyDoom.B solamente comenzara sus rutinas de Payload contra el Web site de Microsoft.com el 3 de febrero de 2004, y contra el Web site del grupo de SCO el 1 de febrero de 2004. Entonces detendra toda su replicacin el 1 de marzo de 2004, aunque el componente backdoor de la bomba de tiempo an estara activa despus de este tiempo.

Condicional:

Este tipo de mecanismo utiliza una condicin predeterminada como

disparador para entregar su Payload. Por ejemplo, un archivo renombrado, un conjunto

de entradas en el teclado, o el inicio de una aplicacin. Malware que utiliza este tipo de disparador es designado en algunas ocasiones como una bomba lgica.

MECANISMOS DE DEFENSA
Muchos malwares utilizan algn tipo de mecanismo de defensa para ayudar a reducir la probabilidad de ser detectados y removidos. Los siguientes son algunos ejemplos de estas tcnicas.

Armor: Este tipo de mecanismo de defensa emplea una tcnica que intenta bloquear el
anlisis de cdigo malicioso. Tales tcnicas incluyen la deteccin de la ejecucin de una rutina de depuracin, intentar evitar que opere correctamente, o agregar porciones de cdigo sin ningn sentido para hacer difcil el determinar el propsito del cdigo malicioso.

Stealth:

El Malware utiliza esta tcnica para ocultarse bloqueando las peticiones de

informacin y devolviendo datos falsos. Por ejemplo, un virus puede almacenar una imagen del sector de arranque no infectado y exhibirla siempre que se haga un intento de revisin al sector de arranque infectado. El virus informtico ms viejo conocido, llamado Brain, utiliz esta tcnica en 1986.

Encrypting: El malware que utiliza este mecanismo de defensa se cifra a s mismo o al

Payload (e incluso otros datos del sistema) para prevenir la deteccin o la recuperacin de datos. El malware cifrado contiene una rutina esttica de desciframiento, una llave de cifrado, y el cdigo malicioso cifrado (que incluye una rutina de cifrado). Cuando es ejecutado, el malware utiliza la rutina y la llave de desciframiento para descifrar el cdigo malicioso. Posteriormente el malware crea una copia de su cdigo y genera una nueva llave de cifrado. Utiliza esa llave y su rutina de cifrado para cifrar la nueva copia de s mismo, agregando la nueva llave con la rutina del desciframiento al comienzo de la nueva copia. A diferencia de los virus polimrficos, el malware que cifra utiliza siempre las mismas rutinas de desciframiento, as que aunque el valor de la llave (como la firma cifrada de los cdigos maliciosos) cambia generalmente de una infeccin a otra, el software antivirus puede buscar la rutina esttica de desciframiento para detectar el malware que utiliza este mecanismo de defensa.

Oligomrfico:

El malware que exhibe esta caracterstica utiliza el cifrado como

mecanismo de defensa y puede cambiar la rutina del cifrado solamente un nmero fijo de ocasiones (generalmente un nmero pequeo). Por ejemplo, un virus que puede generar dos diversas rutinas de desciframiento sera clasificado como Oligomrfico.

Polimrfico:

El malware de este tipo utiliza el cifrado como mecanismo de defensa

para evitar la deteccin, tpicamente cifrndose a s mismo con una rutina, y despus proporcionando diversas llaves de desciframiento para cada mutacin. As, el malware polimrfico utiliza un nmero ilimitado de rutinas de cifrado para prevenir la deteccin. En las rplicas del malware, una porcin de cdigo de desciframiento se modifica. Dependiendo del cdigo especfico del malware, el Payload u otras acciones realizadas pueden o no utilizar el cifrado. Tpicamente, hay un motor de mutacin, que es un componente autnomo del malware que genera y selecciona rutinas de cifrado al azar. Ambos, motor y malware son entonces cifrados, y la nueva llave de desciframiento se pasa junto con ellas.

TIPOS DE PAYLOAD
(Se refiere a la parte de un virus informtico que realiza una accin malicios)

Robo de informacin: Un tipo particularmente preocupante de Payload del malware es

uno diseado para robar informacin. Si un Payload puede comprometer la seguridad de una computadora, es posible que proporcione un mecanismo para que la informacin se envi a los autores del malware. Esto puede suceder de diferentes maneras; por ejemplo, una transferencia podra ser automatizada de modo que el malware capture simplemente archivos locales o informacin tal como las teclas que el usuario est presionando (en la esperanza de obtener un nombre y una contrasea del usuario). Otro mecanismo es que el malware cree un ambiente en la victima que permite que el atacante controle el equipo remotamente o acceda a los archivos de sistema directamente.

Denial of Service (DOS):

Uno de los tipos ms simples de Payload a entregar es un

ataque de negacin del servicio. Un ataque de DOS es un asalto automatizado lanzado por un atacante para sobrecargar o parar un servicio de red, tal como un web server o un servidor de archivos. Los ataques de DOS apuntan simplemente a hacer que un servicio particular quede inutilizable por un perodo de tiempo.

Distributed Denial of Service (DDoS):

Estos tipos ataques utilizan tpicamente a

equipos infectados que generalmente no son conscientes de su papel en tal ataque. Un ataque de DDoS es un tipo ataque de negacin de servicio en el cual un atacante utiliza cdigo malicioso instalado en varias computadoras para atacar una sola. Un atacante utiliza este mtodo para tener el mayor efecto posible en el equipo atacado, a diferencia de los efectos que podra tener con una sola computadora. La semntica de cmo un ataque sucede varan entre un tipo de ataque y otro, pero generalmente implica enviar grande cantidades de datos a un equipo o a un Web site particular, esto hace que deje de responder (o llegar a ser incapaz responder) al trfico legtimo. Esto inunda el ancho de banda disponible hacia la vctima y toma con eficacia el sitio fuera de lnea. Este tipo de ataque puede ser extremadamente duro de defender, debido a que los equipos responsables de los ataques son de hecho vctimas involuntarias. Los ataques de DDoS son conducidos generalmente por bots, programas que realizan tareas repetitivas), por ejemplo los Internet Relay Chat (IRC), Eggdrop bots, los cuales puede utilizar un hacker para controlar las computadoras de la vctima va un canal del IRC. Una vez que sean esas computadoras estn bajo control del hacker se denominan zombis, equipos que pueden afectar a una vctima bajo las ordenes del atacante sin el conocimiento de los dueos de las computadoras. Ambos ataques ya sea DOS y de DDoS pueden implicar un diverso nmero de tcnicas de ataque, incluyendo:

Apagados de Sistema:

Si el malware puede apagar o hacer fallar el sistema atacado,

puede tener xito en la interrupcin de uno o ms servicios. Atacar un equipo requiere que el malware encuentre una debilidad en alguna aplicacin o en el sistema operativo que cause que el sistema pueda ser apagado.

Inundacin de Ancho de Banda:

Muchos servicios hacia Internet estn unidos a

travs de una conexin de red con ancho de banda limitada, que provee conexin hacia equipos clientes. Si un escritor de malware puede entregar un Payload que llene este ancho de banda con trfico falso de red, es posible producir un ataque de DOS simplemente impidiendo que los clientes puedan conectarse al servicio.

Ataque de DOS de Red:

Este tipo de Payload procura sobrecargar los recursos

disponibles a los equipos locales. Recursos tales como capacidad del microprocesador y de memoria son sobrecargados por ataques de SYN Flood, donde un atacante utiliza un programa enviar una inundacin de peticiones TCP SYN para llenar la cola de conexiones pendientes en el servidor y denegar trfico legtimo desde y hacia el equipo cliente. Los ataques de Bombardeo de E-mails tambin saturan recursos de almacenamiento para crear un ataque de DOS en el cual enva una excesiva cantidad de mensajes de correo, con el objetivo de impedir que el recipiente de correo pueda recibir mensajes legtimos.

Interrupcin del Servicio: Este tipo de Payload tambin puede causar un ataque de
DOS. Por ejemplo, si un ataque a un servidor de Domain Name System (DNS) inhabilita el servicio del DNS, esta tcnica de ataque de DOS habra sido exitosa. Sin embargo, el resto de los servicios en el sistema pueden seguir operando sin ser afectados.