Unidad II

 

M. Preventivas Vulnerabilidades Metodos Ataque Tecnica Hacking Criptografia Herramientas Firma Digital Volver

Herramientas de Seguridad

MONITOREO, HERRAMIENTAS DE SEGURIDAD, DETECCIÓN DE INTRUSOS, ANTIVIRUS

 

DEFINICIÓN DE MONITOREO

 

Monitoreo es un término no incluido en el diccionario de la Real Academia Española (RAE). Su origen se encuentra en monitor, un aparato que toma imágenes de instalaciones filmadoras o sensores y que permite visualizar algo en una pantalla. El monitor, por lo tanto, ayuda a controlar o supervisar una situación.

 

Monitoreo

 

Esto nos permite inferir que monitoreo es la acción y efecto de monitorear, el verbo que se utiliza para nombrar a la supervisión o el control realizado a través de un monitor. Por extensión, el monitoreo es cualquier acción de este tipo, más allá de la utilización de un monitor.

 

El monitoreo, a rasgos generales, consiste en la observación del curso de uno o más parámetros para detectar eventuales anomalías. Los enfermeros pueden monitorear los signos vitales de un paciente a través de un dispositivo que refleja de manera gráfica los latidos de su corazón; en caso de advertir algún problema, son los encargados de avisar a los médicos.

 

En el ámbito de la seguridad, el monitoreo puede realizarse efectivamente a través de un monitor (que transmite las imágenes captadas por una cámara) o mediante el trabajo de algún vigilante. Si esta persona descubre algún movimiento extraño (como el ingreso de un individuo no identificado en el edificio que vigila o la presencia de un objeto sospechoso en un banco, por ejemplo), tendrá que actuar para evitar una situación de riesgo.

 

El monitoreo ambiental consiste en la observación del medio ambiente para recoger información relacionada con la contaminación. Por lo general se establecen estaciones fijas que registran a diario los niveles de agentes extraños en la atmósfera, y unidades móviles que se encargan de tareas tales como la vigilancia y la inspección de diversas zonas. Algunos de los parámetros que se miden son la temperatura, la velocidad y la dirección del viento, la presión de la atmósfera, la radiación del sol y las precipitaciones.

 

Dentro del ámbito de la administración de redes, se conoce con el nombre de monitoreo de red a un sistema que realiza un control constante de una red de ordenadores, intentando detectar defectos y anomalías; en caso de encontrar algún desperfecto, envía un informe a los administradores.

 

El monitoreo de red se diferencia claramente de los sistemas diseñados para detectar intrusos: este último se encarga de buscar intentos no autorizados de ingresar en la red, mientras que el primero trabaja sobre los potenciales errores internos de los servidores.

 

Entre las anomalías que más comúnmente hacen reaccionar a los sistemas de monitoreo se encuentran las peticiones fallidas de estado, que pueden darse cuando una conexión no puede ser establecida, o cuando se agota el tiempo de espera, entre otras posibilidades. Las acciones que se programan para combatir este tipo de situaciones son diversas; las dos opciones preferidas son el envío de una alarma a los administradores de red y la puesta en marcha de algún programa de control de manera automática.

 

Monitorización de red

 

Mientras que un sistema de detección de intrusos monitoriza una red por amenazas del exterior (externas a la red), un sistema de monitorización de red busca problemas causados por la sobrecarga y/o fallas en los servidores, como también problemas de la infraestructura de red (u otros dispositivos).

 

Por ejemplo, para determinar el estatus de un servidor web, software de monitorización que puede enviar, periódicamente, peticiones HTTP (Protocolo de Transferencia de Hipertexto) para obtener páginas; para un servidor de correo electrónico, enviar mensajes mediante SMTP (Protocolo de Transferencia de Correo Simple), para luego ser retirados mediante IMAP (Protocolo de Acceso a Mensajes de Internet) o POP3 (Protocolo Post Office).

 

comúnmente, los datos evaluados son tiempo de respuesta y disponibilidad o uptime), aunque estadísticas tales como consistencia y fiabilidad han ganado popularidad. La generalizada instalación de dispositivos de optimización para redes de área extensa tiene un efecto adverso en la mayoría del software de monitorización, especialmente al intentar medir el tiempo de respuesta de punto a punto de manera precisa, dado el límite visibilidad de ida y vuelta.1

 

Las fallas de peticiones de estado, tales como que la conexión no pudo ser establecida, el tiempo de espera agotado, entre otros, usualmente produce una acción desde del sistema de monitorización. Estas acciones pueden variar: una alarma puede ser enviada al administrador, ejecución automática de mecanismos de controles de fallas, etcétera. Monitorizar la eficiencia del estado del enlace de subida se denomina Medición de tráfico de red.

 

Comúnmente, los datos evaluados son tiempo de

 

Puntos a tener en cuenta a la hora de evaluar un monitor de red

 

A continuación se muestran las principales características que debe tenerse en cuenta a la hora de evaluar un software de monitorización de red:

 

  • Comunicación de las alertas.

  • Integraciones con servidores externos.

  • Usabilidad y presentación de los datos en el panel.

  • Flexibilidad a la hora de adaptarse a herramientas o software particulares.

  • API de acceso desde sistemas externos.

  • Detección de dispositivos de forma automática.

  • Integraciones con Bases de Datos

  • Multidispositivo

  • Escalado

  • Soporte del mayor número de protocolos de adquisición de datos posible

  • Seguridad

  • Integración con máquinas virtuales

  • Integraciones hardware

  • Control remoto

  • Inventario de Hardware y Software

  • Gelocalización

  • Monitorización de la nube

Notificación de Problemas

 

Debido a la importancia que representa conocer de antemano cualquier problema que exista dentro de un servidor, los sistemas suelen reportar inmediatamente de las incidencias por diferentes métodos ya sea via E-Mail, SMS, Teléfonos, faxes, étc.

 

El potencial de estas herramientas permite tener información simultánea de:

 

·        Predicciones de desempeño.

·        Modelado de escenarios (simulación y emulación).

·        Análisis y planeación de capacidad.

·        Funcionalidades de ajustes a las configuraciones.

·        Mediciones de impacto al negocio (calidad, salud y riesgos en los servicios prestados).

·        Experiencia del usuario.

 

Monitorización de un servidor de Internet

 

Monitorizar un servidor de Internet significa que el dueño de los servidores conoce si uno o todos sus servicios están caídos. La monitorización del servidor puede ser interna ( p.ej el software del servidor se verifica y notifica de los problemas al dueño) o externa. (donde se verifican los servidores manualmente). Durante la monitorización de los servidores se verifican características como el uso de CPU, uso de memoria, rendimiento de red y el espacio libre en disco e incluso las aplicaciones instaladas (como Apache, MySQL, Nginx, Postgres entre otros). Durante este proceso se verifican también los codigos HTTP enviados del servidor (definidos en la especificación HTTP RFC 2616), que suelen ser la forma más rápida de verificar el funcionamiento de los mismos.

 

Mejores herramientas de monitoreo de redes

 

Pandora FMS

 

La versión libre capaz de monitorizar más de 10,000 nodos y cubre (sin limitaciones) una monitorización de red, de servidores (basados en agentes o de forma remota) y de aplicaciones. Con funcionalidades completas de informes, alertas, integraciones con terceros via API, etc.

 

No parte de Nagios y crea su propia arquitectura desde 0, que le permite escalar perfectamente en grandes entornos. Se ha conseguido monitorizar un entorno con más de 100,000 nodos sin problemas de rendimiento (eso sí, en la version Enterprise).

 

Destacamos también su integración con dispositivos móviles, no sólo para acceder a la consola sino también para monitorizarlos gracias a su sistema de geolocalización.

 

Su sistema de auto descubrimiento de redes es capaz de en poco tiempo encontrar todos los elementos que componen tu red.

 

Nagios

 

Probablemente la herramienta libre más conocida. Desde 1996 trabajando en USA para construir este software de monitorización. Su core es la parte más importante de la herramienta y sobre el core se pueden construir plugins para monitorizar elementos particulares.

 

Es interesante ver como la tendencia de la demanda en Internet ha ido disminuyendo con el paso del tiempo. Lo que antes fue una de las mas potentes y conocidas herramientas de red está perdiendo terreno.

 

Su gran uso es debido a que fue el primer jugador que desarrollo una herramienta que cubría características indispensables en una monitorización de red. Por esta razón, Nagios fue muy popular.

 

Además, debido a su gran penetración de mercado inicial sigue siendo muy utilizada.

 

Ventajas

 

  • Se encuentran muchos perfiles con experiencia Nagios

  • Si se tiene gran conocimiento de la herramienta, la configuración manual puede darle mucha potencia a la hora de monitorizar casos aislados y particulares.

  • Ofrece muchos plugins para adaptar Nagios a las necesidades del usuario

  • Para la configuración básica es muy fácil.

Inconvenientes

  •     Configuración y edición compleja debido a la necesidad de hacer modificaciones de forma manual para dejar lista la herramienta.

  •     El interfaz gráfico carece de una buena usabilidad

  •     Coste de aprendizaje elevado

  •    Cada instalación al final resulta un “puzzle” en el que más que un producto estándar tenemos una implementación propia, con cientos de parches, código propio o de terceros y complicada de evolucionar o de mantener por terceros.

  •     Informes sencillos

  •     Muy pobre en su tratamiento de SNMP, tanto de polling como de gestion de traps.

Revisión

 

En resumen, Nagios fue el origen de la monitorización y de hecho, muchas nuevas herramientas de monitoreo de redes han heredado el código de Nagios y lo han evolucionado. Aunque tienes muchos perfiles en el mercado, estos deben tener un conocimiento muy técnico y tu instalación dependerá de ellos al 100%. La futura migración podrá ser complicada.

 

Versión Libre:  Si.

 

 Zabbix

 

Empresa  Lituana trabajando en Zabbix desde el 2005. Fácil configuración y potente interfaz gráfico.

 

Empieza a caer su rendimiento cuando se empiezan a monitorizar muchos nodos. Destaca el servicio de monitorización sin necesidad de instalar agentes. La experiencia nos dice que se pueden monitorizar hasta 10,000 nodos sin problemas de rendimiento.

 

Ventajas

 

·   Su comunidad es bastante activa.

·   Es potente a bajo nivel.

 

Desventajas

  • Aunque se ha utilizado en grandes instalaciones, a partir de 1000 nodos puede disminuir su rendimiento.

  • Difícil crear y definir plantillas de informes y alertas. Las configuraciones pueden requerir muchos clics y pasos para completarlas.

  • No posee informes en tiempo real.

  • Es difícil de depurar cuando hay errores.

  • Pobre tratamiento de traps.

  • Os mostramos la tendencia del interés por Zabbix.

Nuestra sensación es que muchos usuarios de Nagios se están moviendo a Zabbix por que ha recogido el guante de Nagios y empieza a tener la visibilidad que tenía antes Nagios.

 

Revisión

 

Como comentamos anteriormente Zabbix recoge el testigo de Nagios y empieza a aparecer en muchas instalaciones. La problemática que le vemos es su escalado para grandes CPDs. Debemos tener mucho cuidado pues si nuestra instalación tiene varios elementos del mismo tipos (por ejemplo bases de datos) sus configuraciones van a ser complicadas.

 

GroudWork

 

Empresa americana que reutiliza diferentes piezas de software de Nagios, Icinga o Cacti para crear una solución global. Consigue entrar entre las mejores herramientas de monitorización de red gracias a su agrupación de otras herramientas.

 

Revisión

 

Nuestra experiencia con GroundWork no ha sido mala, pero hemos visto complicado la integración de sus diferentes módulos. Además, no posee muchos plugins desarrollados. Para grandes entornos se queda pequeño. No muestra un histórico extenso cuando monitorizamos muchos nodos y no soporta plataformas como HP-UX, FreeBSD. Si no tienes un gran CPD y mucho tiempo libre para cacharrear te recomendamos le eches un vistazo, es interesante su aproximación.

 

Zenoss

 

Empresa americana que ha creado el software Zenoss para monitorizar almacenamiento, redes, servidores, aplicaciones y servidores virtuales. Destaca su monitorización sin necesidad de utilizar agentes. Tiene una versión “Community” con funcionalidades muy reducidas y una versión comercial con todas las funcionalidades.

 

Ventajas

  • Todoterreno en cuanto a plataformas. Es capaz de monitorizar multiples plataformas.

  • Presenta un dashboard customizable y flexible. Muy potente.

  • Gran capacidad a la hora de gestionar eventos. Muy potente y flexible.

Desventajas

  • Dependiendo de la complejidad de la instalación y que elementos se quieren monitorizar puede ser difícil su adaptación.

  • La capa de base de datos se puede hacer pesada en grandes entornos.

  • El panel puede llegar a ser lento en determinadas instalaciones y se requiere de grandes conocimientos para su optimización.

  • Sólo tiene por debajo un Mysql y su propia base de datos. No se puede integrar con otras bases de datos.

  • Mapas de topologías no tan potentes y claros como los de otras aplicaciones.

 Revisión

 

Zenoss puede ser interesante si no quieres invertir en tu software de monitorización. Si tienes pocas máquinas y crees que no necesitas invertir en soporte y en grandes funcionalidades, entonces podrías contar con Zenoss como una de tus herramientas de red. Ojo, que la versión 5 requiere una máquina muy potente.

 

Versión Libre: Si pero puede estar demasiado limitada.

 

Monitis

 

Muy enfocada en pequeñas y medianas empresas. Para este tipo de empresas surge como gran herramienta de red y por esta razón aparece dentro de las mejores 15 herramientas de monitoreo de redes.

 

Ventajas

  • Incluye monitorización de transacciones web.

  • Permite monitorizar sistemas típicos de aplicaciones en la nube como Amazon y Rackspace.

  • Gran interfaz gráfico personalizable y dinámico

  • Informes en tiempo real.

Desventajas

  • Muy enfocado a Linux y Windows

  • Difícil de añadir monitorizaciones ad-hoc

  • No hay versión libre

 

Revisión

 

Si eres una pequeña empresa, puede que esta herramienta sea la que necesites. Eso sí, te recomendamos que utilices la versión de pago pues la gratuita es muy básica y seguramente se te quede pequeña al menos que tengas un blog o una web similar.

 

Versión Libre: No hay versión libre. Ofrecen la versión monitor.us pero sus funcionalidades son muy básicas. Recomendado para webs simples o blogs.

 

El potencial de estas herramientas permite tener información simultánea de:

 

  • Predicciones de desempeño.

  • Modelado de escenarios (simulación y emulación).

  • Análisis y planeación de capacidad.

  • Funcionalidades de ajustes a las configuraciones.

  • Mediciones de impacto al negocio (calidad, salud y riesgos en los servicios prestados).

  • Experiencia del usuario.

 

Herramientas De Seguridad Y Hacking

 

network-security

 

Ocho de las mejores herramientas de seguridad y hacking las cuales son extremadamente útiles en la obtención y explotación de redes y sistemas de información. Estas herramientas están diseñadas de tal manera que se puede recopilar la información necesaria para asegurar o explotar  un computador o una red completa. Todas estos programas son muy utilizados por los piratas informáticos y analistas de seguridad. Así que sigua leyendo para conocer los 8 mejores herramientas de hacking.

 

En general, todas estas herramientas que describiremos a continuación son herramientas de seguridad y hacking. Estas se utilizan para fines tanto legales como ilegales, y por lo tanto, la mayoría de las personas piensan que estas herramientas son solo utilizadas por hackers maliciosas (algo totalmente fuera de la realidad), cuando en realidad están diseñadas para ayudar a los administradores y profesionales de seguridad a asegurar las redes y los sistemas de información.

 

Nmap

 

 (“Network Mapper”) es una herramienta gratuita de código abierto para la exploración de la red o la auditoría de seguridad. Fue diseñado para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP para determinar qué hosts están disponibles en la red, qué servicios (nombre de la aplicación y la versión) estos equipos ofrecen, qué sistemas operativos (y versiones del sistema operativo) se están ejecutando, qué tipo de filtros de paquetes o cortafuegos están en uso, y docenas de otras características. Nmap se ejecuta en la mayoría de los ordenadores y la consola y versiones gráficas están disponibles. Nmap es libre y de código abierto.

 

Nessus

 

Nessus es el escáner de vulnerabilidades más popular y es utilizado en más de 75.000 organizaciones en todo el mundo. Muchas organizaciones alrededor del mundo están dando cuenta de los importantes ahorros de costes que estas reciben mediante el uso de Nessus como herramienta de auditoría de sistemas de información para la búsqueda de fallas críticas de seguridad.

 

John the Ripper

 

John the Ripper es esencialmente una herramienta de descifrado de contraseñas que se desarrolló para sistemas tipo UNIX. También sus desarrolladores han extendido su apoyo a los sistemas Windows y MAC.

 

El software es utilizado por muchos usuarios para probar la fortaleza de la contraseña elegida. Obviamente, esta herramienta también puede ser usada para descifrar las contraseñas y entrar en un sistema. Es compatible tanto con ataque de diccionario (probando todas las palabras en el diccionario, de ahí que nunca se debe elegir una palabra que se ha encontrado en el diccionario) y ataque de fuerza bruta (en este caso todas las posibles combinaciones son juzgados – por lo tanto, si usted elige una contraseña que es alfanumérico y largo plazo, será difícil romperlo).

 

Nikto

 

Nikto es un software de código abierto (GPL) para escanear vulnerabilidades en los servidores web. Esta herramienta tiene el potencial de detectar más de 3200 archivos potencialmente peligrosos / CGIs, versiones sobre más de 625 servidores, y los problemas específicos de la versión de más de 230 servidores. Los elementos de exploración y plugins pueden ser actualizado automáticamente (si se desea).

 

Wireshark

 

Wireshark es un programa analizador de protocolos de red o sniffer, que le permite capturar y navegar de forma interactiva por los contenidos de los paquetes capturados en la red. El objetivo del proyecto fue crear un analizador de calidad comercial para Unix. Funciona muy bien en Linux y Windows (con una interfaz gráfica de usuario), fácil de utilizar y puede reconstruir flujos TCP / IP y VoIP!

 

Putty

PuTTY es una implementación libre de Telnet y SSH para Win32 y Unix, junto con un emulador de terminal xterm.

 

NetStumbler

NetStumbler es una herramienta de detección de redes inalámbricas para Windows. NetStumbler es una herramienta para Windows que permite detectar redes de área local (WLAN), usando 802.11b, 802.11ay 802.11g.

 

Algunos de los usos de esta herramienta son:

·         Verificar que su red esta configurada de la manera segura.

·         Buscar lugares con baja cobertura en su WLAN.

·         Detectar otras redes que puedan estar causando interferencias en la red.

·         Detectar AP no autorizados “rogue” en su lugar de trabajo.

·         Ayudar a apuntar antenas direccionales para enlaces de larga distancia WLAN.

 

Metasploit

 

El Proyecto Metasploit es un proyecto de seguridad informática que proporciona información sobre las vulnerabilidades, ayuda en las pruebas de penetración y en la ejecución de la explotación de vulnerabilidades de seguridad. Metasploit representa un conjunto de herramientas que ayuda a los profesionales de seguridad y hacker a llevar a cabo ataques informáticos de manera sistematizada y automatizada.

 

¿Qué es un Sistema de Detección de Intrusos?

 

Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System) es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión.

 

Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad, disponibilidad o evitar los mecanismos de seguridad de una computadora o red.

 

¿Por qué utilizar un IDS?

 

La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red y la dependencia que tenemos hacia los sistemas informáticos.

Los IDSs son una pieza fundamental en la infraestructura de seguridad de una organización.

 

Clasificación de los IDS

 

Los IDS se pueden clasificar desde varios puntos de vista. A continuación describimos las diversas clasificaciones posibles.

 

·         Tipos de detección

 

En primer lugar los clasificaremos según la manera en que detectan las intrusiones. Categorizamos las intrusiones en dos tipos principales:

• Los usos indebidos son ataques bien definidos contra debilidades conocidas de los sistemas. Se los puede detectar buscando patrones en el tráfico de red y en los ficheros de registro.

• Las anomalías se basan en la observación de desviaciones significativas de los patrones de uso habitual en el sistema. Se las detecta construyendo previamente un perfil del sistema a monitorizar y posteriormente estudiando las desviaciones que se produzcan con respecto a este perfil.

 

·         Fuentes de información

 

Dependiendo de las fuentes de información usados por los IDS se clasifican en dos tipos:

 

·   De red

·   De Máquina

        ·   NIDS (Sistemas de detección de intrusos por red).

 

Estos disponen de una o varias interfaces de red conectadas a determinados puntos estratégicos de la red. Monitorizan el tráfico que pasa por dichos puntos en busca de tráfico malicioso. Con frecuencia se colocan los NIDS entre cortafuegos y enrutadores, de manera que el propio sistema puede forzar el cierre de conexiones y modificar reglas de filtrado de una manera más directa. Mediante uno solo de estos sistemas se puede monitorizar el tráfico tanto interno como externo de una red para muchas máquinas. Los NIDS no suelen controlar toda la red sino determinados puntos estratégicos. Este tipo de sistemas son bastante rápidos de instalar y mantener, y no dependen del sistema operativo instalado en las máquinas cubiertas. Suelen ser invisibles para los atacantes, por lo que los registros de sucesos que almacenan son poco vulnerables a la eliminación o alteración maliciosa, y suponen un recurso valioso para el almacenamiento de pruebas. Diferentes ubicaciones de los NIDS nos proporcionarán diferentes perspectivas de la seguridad de la red. Colocados fuera del cortafuegos permiten evaluar los ataques que se intentan producir aunque no alcancen a los servidores internos, mientras que si se colocan en el interior del cortafuegos nos permiten evaluar si este está bien configurado.

 

 Ej de ubicación de NDIS

 

 

 2. HIDS(Sistemas de detección de intrusos de máquina).

 

Así como los NIDS se instalan en determinados puntos de la infraestructura de red, los HIDS se instalan en las máquinas que componen la red: tanto servidores como estaciones de trabajo. Un sensor, instalado directamente como un módulo sobre una máquina, dispone de información de mayor nivel semántico que los NIDS: llamadas al sistema, eventos complejos dentro de aplicaciones de alto nivel, etc. Los HIDS tienen acceso a los archivos de registro de lo que realmente sucedió, por lo que pueden conocer de manera fiable si un ataque fue exitoso o no. Un sensor de máquina dispone de información específica del sistema y las aplicaciones, como inicios/cierres de sesión, acceso a ficheros, llamadas al sistema (pueden utilizarlas para saber el disco libre, la ocupación de la red, etc.), y otros eventos, incluyendo aquellos que se originan localmente sin generar tráfico de red. Tienen la ventaja de que permiten acceder a la información que por la red transita encriptada y que por lo tanto es opaca a ellos (p. ej., peticiones HTTPS inválidas).

  

·         Periódicos o de tiempo real

 

Así como los NIDS suelen dar respuesta en tiempo real, los primeros HIDS se ejecutaban periódicamente para buscar indicios de intrusión. Después se fue reduciendo el intervalo entre la ocurrencia del evento y su análisis, hasta el punto que es posible gestionar los eventos en el instante de su registro. Los sistemas de red implementados como parte de la pila de red de las máquinas protegidas ofrecen las mismas prestaciones de respuesta inmediata (con posibilidad de cancelación de conexiones) que los NIDS.

  

·         Activos o pasivos

 

Los primeros IDS eran pasivos, se limitaban a informar de los intentos de intrusión al administrador. De poco sirve detectar un ataque para que horas después el administrador reciba un mensaje que informe de que se vio la intrusión pero no se intentó hacer nada por abortarla. Los IDS activos son capaces de tomar acciones correctivas orientadas a detener ataques en el mismo instante en que se producen.

 

     Centralizados o distribuidos

 

Cuando la red de una organización adquiere una envergadura determinada, ya no es factible analizar todo el tráfico en un solo punto sin producir una degradación del rendimiento. En tal caso se instalan sistemas distribuidos, que disponen de varios sensores repartidos por diversas máquinas y puntos de la red, que se comunican con un nodo central donde se reciben todas las informaciones relevantes y donde se cruzan los datos para disponer de una visión más amplia del sistema como conjunto y detectar con mayor fiabilidad eventuales ataques. Esto permite producir además una única respuesta a intrusiones visibles desde varios puntos de la red.

 

 

Tabla 1: Posibles clasificaciones de los Sistemas de Detección de Intrusos.

 

 

Modo de análisis

Detectores de usos indebidos

Detectores de anomalías

Tipo de sensores

De red

De máquina

Sistema operativo

De aplicación

Hardware

Tiempo de ejecución

Periódicos

De tiempo real

Tipo de respuesta

Activos

Pasivos

Arquitectura

Centralizados

Distribuidos

 

  

Evasión de IDS

 

Es posible que el sistema no sea capaz de detectar una determinada instancia de ataque conocido al ser incapaz de encontrar la coincidencia con el patrón de búsqueda, si el atacante se las arregla para introducir pequeñas variaciones en su interacción con la máquina precisamente con el objetivo de evadir el IDS. Por ejemplo, algunas estrategias de evasión explotan leves diferencias en la manera en que la pila TCP Re ensambla fragmentos, o la manera en que se procesan paquetes inválidos, etcétera.

 

La mayoría de los productos IDS de hoy en día incluyen protecciones contra las técnicas de evasión de IDS.

 

 

Sistemas de decepción

 

Son un tipo especial de sistema de detección de intrusiones orientados a atraer la atención de potenciales intrusos para que no ataquen a los sistemas reales y para obtener información acerca de sus métodos. Son los llamados.

 

honeypots (tarros de miel): máquinas simuladas, verosímiles y relativamente poco ocultas. Dado que ningún usuario legítimo debería querer jamás intentar conectarsea un honeypot, toda conexión al mismo puede informarse inmediatamente y etiquetarse como un intento de intrusión.

 

Los honeypots están configurados para registrar los eventos extensamente. La irrupción de un intruso en estas máquinas permite a los administradores obtener información sobre su modus operandi, e incluso recabar pruebas o indicios que pudieran inculpar al delincuente en un juicio.

 

 

Análisis forense

 

Los IDS ofrecen un interesante servicio para el análisis forense después de la consumación de ataques. Es posible que un IDS no haya sido capaz de detener la acción de un atacante, pero sí puede haber guardado un registro de los mensajes que transitaron por la red a tal efecto. Aunque cualquier atacante que tenga cierto nivel hará todo lo posible por borrar sus huellas, falsificar direcciones, explotar máquinas de terceros para enmascararse, etcétera, toda información que se almacene puede ayudar a seguir la pista del atacante, a mejorar los sistemas de detección y reacción automatizada a dichos ataques, e incluso como indicios ante instancias judiciales.

 

 

Algunas herramientas disponibles:

 

Snort

 

Snort, uno de los sistemas más utilizados actualmente, es un sistema de código abierto de detección de intrusiones de red, capaz de llevar a cabo análisis de tráfico en tiempo real y registro de paquetes en redes IP. Puede efectuar análisis de protocolos, búsqueda de cadenas o patrones en el contenido y puede utilizarse para detectar una gran variedad de ataques y sondeos, tal como desbordamientos de búfer, escaneos invisibles, ataques CGI, sondeos

 

SMB, intentos de determinación del sistema operativo, y otros. Snort utiliza un flexible lenguaje de reglas para describir el tráfico que debería recoger o pasar, así como un motor de detección que hace uso de una arquitectura de plugins modular. Entre su base de reglas incluye miles de comprobaciones en busca de ataques de denegaciones de servicio. Ofrece la posibilidad de alertar en tiempo real, al incorporar mecanismos para registrar a syslog, a fichero, a sockets Unix, o mediante Samba, enviar mensajes emergentes a clientes Windows.

 

Además de ser un sistema completo de detección de intrusiones de red, sirve como analizador de paquetes al estilo de tcpdump, y como herramienta para registrar el tráfico. Se puede compilar en una veintena de plataformas distintas, tanto sistemas Unix como Win32.

 

Prelude

 

Snort es el IDS de red libre más potente, pero en su arquitectura no contempla la posibilidad de usar sensores de máquina, lo cual motivó la aparición del proyecto, tambiénlibre, Prelude, que utiliza una arquitectura distribuida, con canales autenticados y encriptados, y sensores para diversos sistemas operativos. Prelude no pretende reinventar la rueda en IDSs de red, y de hecho es capaz de nutrirse de Snort, e incluso incluye él mismo un motor que utiliza los ficheros de reglas de su predecesor.

 

Intrudec

 

El ITI está desarrollando un prototipo de sistema de detección de intrusiones, Intrudec. Se trata de una arquitectura distribuida, con tolerancia a fallos, altamente modular, con soporte para sensores tanto de red como de máquina, que se comunican de manera segura para permitir la correlación de los diversos eventos ocurridos en distintos puntos de la red y en los distintos sistemas monitorizados. Para la correlación se utilizan diversos algoritmos, cuyo desarrollo y ajuste constituyen la labor de investigación principal del grupo de Sistemas Fiables en el área de la detección de intrusiones. Intrudec complementa al proyecto Tigerweb, que este grupo ha estado desarrollando y manteniendo en los últimos dos años.

 

Tigerweb es un sistema de detección remota de vulnerabilidades accesible vía web que proporciona informes bien organizados y en castellano, orientados a ser entendidos por personal no experto en el área de la seguridad de los sistemas informáticos (ActualidadTIC, vol 2, págs. 4-7).

 

Futuro y conclusiones

 

Los IDS son una herramienta más que podemos utilizar para mejorar la seguridad de nuestros sistemas. Los IDS no reemplazan a los cortafuegos, ni nos evitan la tarea de mantener las máquinas actualizadas y correctamente configuradas. Los propios IDS, en especial si se basan en búsqueda de patrones, han de mantenerse puntualmente actualizados. Las alertas generadas han de ser cuidadosamente analizadas para tomar las medidas pertinentes lo antes posible de ahí la importancia de que los sistemas tengan una tasa baja de falsos positivos.

 

Existen actualmente fuertes críticas a los IDS estándar, por el hecho de que en principio un IDS detecta intrusiones pero no toma medidas correctivas. Esto ha llevado a algunos expertos a afirmar que los IDS no resultan eficaces, sobre todo considerando los costes de implantación y mantenimiento, y que su futuro puede ser virar hacia los IPS (Sistemas de Prevención de Intrusiones), productos combinados con cortafuegos que sí son capaces de adoptar medidas correctivas inmediatas (cortar conexiones,cambiar reglas de filtrado...).

 

 

DEFINICIÓN DE ANTIVIRUS

 

El concepto de antivirus se utiliza en el terreno de la informática con referencia a un software que está en condiciones de buscar y eliminar virus en un sistema informático.

 

 

Cabe destacar que estos virus son programas que se alojan en la memoria de un ordenador (computadora) con el objetivo de dañar datos o de alterar el normal funcionamiento del equipo. Por tanto un antivirus como un virus son programas informáticos. De este modo, se encargan de buscar los virus para bloquear su accionar. Además pueden desinfectar los archivos que ya fueron corrompidos por el virus.

 

Los antivirus, por otra parte, tienen una función preventiva. Cuando una persona cuenta con un antivirus instalado en su equipo, el software puede monitorear de manera constante y advertir si un virus intenta acceder al sistema a través de un archivo. Así el usuario logra impedir la infección.

 

Existen múltiples tipos de antivirus que se diferencian por el alcance de sus prestaciones. Hay virus que realizan ciertas acciones específicas (como los troyanos o el spyware), una particularidad que dio lugar a los antivirus especializados. Por otra parte, como el resto del software, los antivirus pueden tener distintas licencias (de pago, freeware, etc.).

 

 

Además hay que apostar por uno que cumpla con una serie de requisitos básicos y que certifican que va a funcionar de manera correcta:

 

-Ser capaz de detener virus.
-Acomete la eliminación de infecciones.
-Dispone de un servicio de atención al cliente y de apoyo técnico.
-Posee la capacidad de poder actualizarse para así poder detectar nuevos virus.
-Puede crear copias de seguridad.
-También es capaz de detectar otra serie de elementos peligrosos para el equipo como pueden ser el spyware, spam, phishing…

 

 

También es necesario tener en cuenta otra serie de consideraciones:

 

-Tiene que ser de fácil utilización y también debe disponer de un sistema de configuración sencilla.
-Debe contar con un precio realmente competitivo y adecuado al mercado.
-Es importante hacer uso de la Red para conocer no solo opiniones de usuarios sobre el mismo sino también las específicas y profesionales de expertos en la materia.
-No menos relevante es que hay que fijarse en que se encuentre avalado por una marca

Un virus informático tiene como finalidad principal alterar el funcionamiento de la computadora a espaldas del usuario.

 

El espectro de virus existentes exhibe desde programas capaces de borrar los datos de la computadora, hasta algunos que solo causan molestias. Los virus informáticos carecen de la capacidad de auto replicarse, precisan de un software que sirve de huésped; cuando este se ejecuta, el virus se levanta en la memoria RAM, comienza a manejar programas del sistema operativo e infectar los archivos ejecutables que se utilicen, grabándose de modo definitivo en el disco rígido.

 

El método más habitual que un antivirus utiliza para detectar la presencia de un virus informático es comparar ficheros contra una base de datos con registros de virus. También es posible detectar actividad maliciosa para identificar virus desconocidos o emular ficheros y registrar las actividades que realizan los programas.

 

Dado que la seguridad informática que proveen los antivirus descansa principalmente en el uso de una comparación contra una base de datos, es comprensible que estos requieran continuamente actualizaciones, a fin de ampliar este registro de virus a medida que se descubre nuevos elementos maliciosos.

 

Lamentablemente, la tasa de efectividad de los antivirus dista de ser del ciento por ciento. También es posible que se manifiesten falsos positivos, pudiendo dar lugar a verdaderos problemas si el antivirus decide eliminar el archivo. Así, ha sucedido que antivirus de firmas prestigiosas borren erróneamente archivos relevantes del sistema operativo, haciendo que este funcione con problemas o no pueda funcionar más.

 

En la actualidad, comenzó a cobrar vigor la posibilidad de tener antivirus “en la nube”, es decir, la posibilidad de tener un control de la actividad del ordenador sin necesidad de instalar un software localmente y utilizar recursos propios, lográndolo con la mera conexión a internet. Esta posibilidad tiene además como ventaja centralizar en un servidor la información que millones de ordenadores envían con respecto a actividad maliciosa.

 

Existen 8 tipos de virus informáticos que debemos conocer. Pueden clasificarse según su origen, las técnicas que utilizan, los tipos de archivo que infectan, dónde se esconden, el tipo de daño que provocan, o el tipo de sistema operativo o plataforma que atacan: 

 

1. Tipos de virus informáticos residentes en memoria: Estos virus se alojan en la memoria del ordenador y se activan cuando el sistema operativo se ejecuta, infectando a todos los archivos que se abren. Permanecen allí incluso después de que se ejecute el código malicioso. Tienen control sobre la memoria del sistema y asignan bloques de memoria a través de los cuales ejecuta su propio código. Su objetivo es corromper archivos y programas cuando son abiertos, cerrados, copiados, renombrados, etc.

 

2. Virus de acción directa: El objetivo principal de estos tipos de virus informáticos es replicarse y actuar cuando son ejecutados. Cuándo se cumple una condición específica, el virus se pondrán en acción para infectar a los ficheros en el directorio o carpeta que se especifica en el archivo autoexec.bat Este archivo de procesamiento por lotes está siempre en el directorio raíz del disco duro y carga ciertas operaciones cuando el ordenador arranca. El virus infecta uno tras otro todos los archivos que encuentra y que previamente ha seleccionado como sus víctimas. También es capaz de infectar dispositivos externos. Cada vez que se ejecuta el código, estos tipos de virus informáticos cambian su ubicación para infectar nuevos archivos, pero generalmente se encuentra en el directorio raíz del disco duro.

 

3. Virus de sobreescritura: Estos tipos de virus informáticos se caracterizan por el hecho de que borran la información contenida en los ficheros que infectan, haciéndolos parcial o totalmente inútiles. Una vez infectados, el virus reemplaza el contenido del fichero sin cambiar su tamaño. La única manera de limpiar un archivo infectado por un virus de sobreescritura es borrar el archivo completamente, perdiendo así el contenido original. Sin embargo, es muy fácil de detectar este tipo de virus ya que el programa original se vuelve inútil.

 

4. Virus de sector de arranque: Este tipo de virus afecta al sector de arranque del disco duro. Se trata de una parte crucial del disco en la que se encuentra la información que hace posible arrancar el ordenador desde disco.

 

5. Macro Virus: Los macro virus infectan archivos que se crean utilizando ciertas aplicaciones o programas que contienen macros como .doc, .xls, .pps, etc. Estos mini programas hacen que sea posible automatizar una serie de operaciones para que se realicen como si fuera una sola acción, ahorrando así al usuario tener que llevarlas a cabo una por una. Estos tipos de virus informáticos infectan automáticamente el archivo que contiene macros y también infectan las plantillas y los documentos que contienen el archivo. Suele ser un virus que llega por correo electrónico.

 

6. Virus polimórfico: Estos tipos de virus informáticos se encriptan o codifican de una manera diferente, utilizando diferentes algoritmos y claves de cifrado cada vez que infectan un sistema. Esto hace imposible que el software antivirus los encuentre utilizando búsquedas de cadena o firma porque son diferentes cada vez.

 

7. Virus fat: La tabla de asignación de archivos FAT es la parte del disco utilizada para almacenar toda la información sobre la ubicación de los archivos, el espacio disponible, el espacio que no se debe utilizar, etc. Estos tipos de virus informáticos pueden ser especialmente peligrosos ya que impiden el acceso a ciertas secciones del disco donde se almacenan archivos importantes. Los daños causados pueden ocasionar la pérdida de información de archivos individuales e incluso de directorios completos

 

8. Virus de secuencias de comandos web: Muchas páginas web incluyen código complejo para crear contenido interesante e interactivo. Este código es a menudo explotado por estos tipos de virus informáticos para producir ciertas acciones indeseables.

 

De acuerdo a los daños que causan en las computadoras, existen los siguientes tipos de virus:

 

Worm o gusano informático: es un malware que reside en la memoria de la computadora y se caracteriza  por duplicarse en ella, sin la asistencia de un usuario. Consumen banda ancha o memoria del sistema en gran medida. 

 

Caballo de Troya: este  virus se esconde en un programa legítimo que, al ejecutarlo, comienza a dañar la computadora. Afecta a la seguridad de la PC, dejándola indefensa y también capta datos que envía a otros sitios, como por ejemplo contraseñas.


Bombas lógicas o de tiempo: se activan tras un hecho puntual, como por ejemplo con la combinación de ciertas teclas o bien en una fecha específica. Si este hecho no se da, el virus permanecerá oculto.

 

Hoax: carecen de la posibilidad de reproducirse por sí mismos y no son verdaderos virus. Son mensajes cuyo contenido no es cierto y que incentivan a los usuarios a que los reenvíen a sus contactos. El objetivo de estos falsos virus es que se sobrecargue el flujo de información mediante el e-mail y las redes. Aquellos e-mails que hablan sobre la existencia de nuevos virus o la desaparición de alguna persona suelen pertenecer a este tipo de mensajes.

 

De enlace: estos virus cambian las direcciones con las que se accede a los archivos de la computadora por aquella en la que residen. Lo que ocasionan es la imposibilidad de ubicar los archivos almacenados.

 

De sobreescritura: este clase de virus genera la pérdida del contenido de los archivos a los que ataca. Esto lo logra sobreescribiendo su interior.

 

Residente: este virus permanecen en la memoria y desde allí esperan a que el usuario ejecute algún archivo o programa para poder infectarlo.

 

Antispyware

 

Tipo de aplicación que se encarga de buscar, detectar y eliminar spywares o espías en el sistema.

 

A veces son aplicaciones independientes como Ad-aware o el Spybot Search&Destroy, o son módulos o herramientas incorporadas dentro de otra aplicación mayor, como un antivirus.

 

Otros tipos de aplicaciones "anti" son: los antispam, los antiintrusos (firewalls) y los antipop-up.

 

Es como un antivirus, sólo que no está dedicado a los virus, sino que está dedicado mayormente a los spyware o programas espías, que hoy por hoy abundan en internet.

 

El antispyware es una tecnología de seguridad que ayuda a proteger a un equipo contra spyware y otro software potencialmente no deseado. Este software ayuda a reducir los efectos causados por el spyware incluyendo el lento desempeño del equipo, ventanas de mensajes emergentes, cambios no deseados en configuraciones de Internet y uso no autorizado de la información privada. Permite a los usuarios protegerse contra los programas cuya intención es rastrear la información sobre hábitos de consumo y navegación, o peor aún, obtener contraseñas y otros datos sensibles.

 

SÍNTOMAS DE QUE UNA COMPUTADORA ESTÁ INFECTADO POR "SPYWARE":

 

  • Se abren continuamente ventanas emergentes mientras te encuentras en Internet.

  • Se te dirige a sitios web que no indicaste. 

  • Aparecen barras de herramientas sin que tú lo hayas especificado.

·  Sin aviso, te es cambiada la página de inicio.

 

CONSIDERACIONES GENERALES PARA LA ELECCIÓN DE UN SOFTWARE ANTISPYWARE:

 

Al momento de seleccionar un antispyware, es necesario tomar en cuenta que cuente con algún reconocimiento por parte de algún laboratorio de investigación. Además debe de incluir las siguientes características generales:

 

  1. Bloqueo en tiempo real y monitoreo antes de que el spyware se descargue o instale. Es mucho más fácil prevenir que el spyware se instale, en lugar de realizar una limpieza a un sistema afectado.

  2. Actualizaciones automáticas de firmas de spyware. Es importante cerciorarse de que el antispyware esté actualizado. Algunas de las herramientas gratis requieren de actualizaciones manuales.

  3. Búsqueda automática que permita fijar el día y hora para las exploraciones automáticas. Alternativamente, puede indicar al software la fecha para ejecutar exploraciones en su computadora.

  4. Capacidad para poder restaurar o revertir, en caso de que algún componente de una aplicación sea borrado inadvertidamente. Con esta característica, los componentes pueden ser restaurados de la cuarentena para que la aplicación funcione nuevamente.

  5. Descripción del nivel de amenaza y análisis del estado de la máquina en la interfaz. Permite al usuario tomar buenas decisiones acerca de qué componentes debe de ignorar, colocar en cuarentena o eliminar.

  6. Información, como ayuda en línea, foros, correo electrónico de apoyo y soporte telefónico. Contar con información en diferentes medios para consultas acerca del antispyware.

 

Hay que tomar en consideración que algunos de los antispyware en conjunto con otros programas instalados, por ejemplo con los antivirus, pueden causar tanto problemas como soluciones y es mejor estar informado antes de utilizarlos.

 

Existe gran número de programas antispyware o software para ayudar a encontrar y eliminar spyware, aunque algunos de ellos lo que hacen es instalar nuevo spyware.

Puesto que algunos spyware se aprovechan de los puntos débiles de Internet Explorer, puede ayudar el utilizar un navegador menos vulnerable, como Firefox o Opera (ambos son gratuitos).

 

Spyware Doctor es conocido como el mejor programa anti-spyware y Google incluye la versión de prueba en el Google Pack.

 

Ha recibido multitud de premios de las principales publicaciones informáticas (PC World, PC Magazine, PC Pro, PC Plus, PC Authority, PC Utilities, PC Advisor, PC Choice, Microdatorn, Computer Bild y PC Answers Magazine) y laboratorios de pruebas de todo el mundo lo han destacado por sus cualidades. Se le pueden añadir complementos de forma opcional como Site Guard, Email Guard y Behavior Guard.

 

Volver