Intrusos
Sistemas de
detección de Intrusos
(IDS) y monitoreo de
Seguridad
Diego E. Medina R.
Director de Proyectos
Cyberia S.A.
Objetivos Generales
Identificar las fallas de seguridad relacionadas
con el protocolo TCP/IP
Conocer los conceptos relacionados con los
Sistemas de Detección de Intrusos y el
Monitoreo de Seguridad
Identificar los aspectos fundamentales en laimplementación de Sistemas de Detección de
Intrusos y monitoreo de Seguridad Informática
Comprender los requerimientos y
responsabilidades corporativas necesarias para
completar exitosamente un proyecto de
Detección de Intrusos
Contenido de la charla
Parte I – Fundamentos de IDS
Conceptos fundamentales de TCP/IP
Teoría del ICMP (Internet Control Message
Protocol)
Teoría del servicio DNS (DomainName Service)
Teoría de fragmentación
Contenido de la charla
Parte II – Implementación y Administración de IDS
Arquitectura de los sistemas de detección de
Intrusos
Introducción a los filtros y patrones
Interoperatividad y correlación de eventos
Escenarios de monitoreo de Seguridad
Reacción automática o manual ante eventos de
Seguridad
Tendencias y proyección de los Sistemas deDetección de Intrusos
Contenido de la charla
Parte III - Factores Organizacionales
Factores gerenciales
Amenazas y vulnerabilidades Organizacionales
Actividades relacionadas con la Implementación
Fundamentos de IDS
Conceptos de TCP/IP
El modelo de Internet de TCP/IP
Capa de aplicación: Maneja la
Implementación de aplicaciones de
Usuario.
Capa de transporte: Maneja la
conexión punto apunto entre equipos.
Capa de red: Mueve la información
De fuente a destino.
Capa de enlace: Maneja la
Transferencia de datos desde y hacia
Medio físico.
Web Browser
TCP
IP
Driver Ethernet
Stream
Segmento TCP
Datagrama IP
Frame Ethernet
Web Server
TCP
IP
Driver Ethernet
Conceptos de TCP/IP
Encapsulamiento
Datos
Header TCP
Datos
Header Datagrama IP
Datos
Header Frame EthernetDatos
Los encabezados de una capa, se convierten en datos para la siguiente
Conceptos de TCP/IP
Estructura del Encabezado IP
Total: 20 bytes
0
15
VER
TOS
ID
TTL
31
Longitud en Bytes
Frag. Offset
Protocolo
Header CheckSum
Dirección IP Fuente
Dirección IP Destino
Conceptos de TCP/IP
Puertos de Servicios
0
15
31
Puerto Fuente
Puerto Destino
Longitud Mensaje
CheckSum
Datos
Porción depaquete IP (UDP)
Domain 53/udp
La longitud del campo es 16 bits, por lo que se
Permiten 65535 puertos diferentes.
Conceptos de TCP/IP
Enrutamiento
Enrutador
172.21.19.1
00:00:0c:00:8f:3c
172.20.41.1
00:00:0c:03:00:de
IP Fuente: 172.20.41.2 MAC
MAC Fuente: 0f:00:20:1f:b0:0f
IP Destino: 172.21.19.8
MAC Destino: 0f:00:20:51:ab:47
172.20.41.2
0f:00:20:1f:b0:0f
172.21.19.8
0f:00:20:51:ab:47IP Fuente: 172.20.41.2 MAC
MAC Fuente: 00:00:0c:00:8f:3c
IP Destino: 172.21.19.8
MAC Destino: 0f:00:20:51:ab:47
Conceptos de TCP/IP
Establecimiento de conexiones TCP (1)
Servidor
Cliente
Envío Syn
1
Recepción Syn
2
Envío Syn/Ack
Recepción Syn/Ack
Envío Ack
3
Recepción Ack
Envío Fin
Datos
Recepción Fin
Recepción Ack
Envío Ack
Conceptos de TCP/IP
Establecimiento de conexiones TCP (2)Servidor
Cliente
Envío Syn
1
Recepción Syn
2
Envío Syn/Ack
Recepción Syn/Ack
Envío Ack
3
Recepción Ack
Datos
Envío Rst
Recepción Rst
Teoría del ICMP
Orígenes y Utilización
Internet Control Message Protocol
• Fue concebido originalmente como un mecanismo de reportar condiciones
de error y el envío y recepción de solicitudes simples.
• No utiliza puertos y va encapsulado en el DatagramaIP.
Aplicación
Transporte
TCP Y UDP
IP
ICMP {
Internet (Red)
Interfaz de Red (Enlace)
Teoría del ICMP
Funcionamiento
Echo Request
Echo Reply
Trafico IP
Source quench
Trafico a puerto filtrado
Enrutador
Admin prohibited
Trafico a puerto valido
Host Unreachable
Enrutador
Teoría del ICMP
Actividad Maliciosa - Smurf
Paso 1: Se envía un Echo request a una dirección
Broadcast con dirección...
Regístrate para leer el documento completo.