Firewall Perimetral:
Los cortafuegos proporcionan una primera
barrera de defensa frente a amenazas externas. Sin embargo, bien una mala
configuración del Firewall, (por ejemplo reglas de filtrado mal parame
rizadas), bien un error en su software o hardware, puede volver completamente
inútil su eficacia. Por ello, se vuelve necesaria la utilización de un IDS o
sistema de detección de intrusos, que vigila la red en busca de comportamientos
sospechosos. Asimilándolo al ejemplo anterior referente a la protección de
nuestra casa, si un ladrón consigue atravesar la puerta (Firewall), por no ser
suficientemente “robusta” (mala configuración), por estar estropeada (error de
sw o hw), o porque ha sido forzada, tendríamos a un vigilante dentro que lo
detectaría
Reconocimiento: Los intrusos suelen hacer
un reconocimiento previo de la red antes de intentar atacarla, utilizando
técnicas francamente sencillas pero efectivas, como barridos ping, que permite
realizar una exploración de puertos (por ej: TCP o UDP), identificar sistema
operativo de una máquina, etc. Siguiendo con las diferencias antes comentadas,
un Firewall se limitaría a bloquear esos “sondeos”, el IDS hace saltar la
alarma!
Exploración y ataque: Una vez los intrusos
realizan el reconocimiento de la red, ya saben qué objetivo atacar, intentando
utilizar brechas del sistema, y pudiendo dejar sin servicio una determinada
máquina, haciendo por ejemplo un ataque de denegación de servicio. Una vez más,
estos ataques pasarían completamente desapercibidos por el Firewall, el IDS
haría saltas la alarma!
Un Firewall bien configurado bloquearía el
acceso por puertos y protocolos de comunicaciones, excepto aquellos en los que
se desea ofrecer ciertos servicios. Imaginemos que tenemos una empresa y vende
sus productos a través de la Web, para lo que necesitamos nuestro
servidor Web. Para dar el servicio, sería necesario que el puerto TCP 80
estuviera abierto.
Sistema
de detección de Intrusos:
Es un programa usado para detectar accesos
no autorizados a un computador o a una red. Estos accesos pueden ser ataques de
habilidosos crackers, o de Script Kiddies que usan herramientas
automáticas.
El IDS suele tener sensores virtuales (por
ejemplo, un sniffer de red) con los que el núcleo del IDS puede
obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta,
gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de
ataques o falsas alarmas.
Normalmente esta herramienta se integra con
un firewall. El detector de intrusos es incapaz de detener los ataques por
sí solo, excepto los que trabajan conjuntamente en un dispositivo
de puerta de enlace con funcionalidad de firewall,
convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia
del IDS y el poder de bloqueo del firewall, al ser el punto donde
forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar
en la red.
Los IDS suelen disponer de una base de
datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir
entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de
la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
Protocolos
de seguridad:
Define las reglas que gobiernan estas
comunicaciones diseñadas para que el sistema pueda soportar ataques de carácter
malicioso.
Los protocolos son diseñados bajo ciertas primicias
con respecto a los riesgos a los cuales está expuesto.
IP SEC: Es un grupo de extensiones de la
familia del protocolo IP pensado para proveer servicios de seguridad a nivel de
red, de un modo transparente a las aplicaciones superiores.
POINT-TO-POINT TUNNELING PROTOCOL (PPTP):
Utiliza una conexión TCP conocida como la conexión de control de PPTP para
crear, mantener y terminar el túnel, y una versión modificada de GRE para
encapsular los paquetes.
Secure Shell: Actual basándose en la arquitectura cliente/Servidor,
en este caso concreto sshd se ejecuta en el servidor en un puerto a la espera
de que alguien utilizando un cliente ssh se conecte para ofrecerle una sesión segura
en criptandola.
Permisos de archivos y carpetas compartidas.
Permisos de archivos y carpetas compartidas.
Los permisos de recurso compartido se
aplican a los usuarios que se conectan a una carpeta compartida a través de la
red. Estos permisos no afectan a los usuarios que inician sesión localmente o
mediante Escritorio remoto.
Para establecer permisos para los usuarios
que se conectan localmente o mediante Escritorio remoto, utilice las opciones
de la ficha Seguridad en lugar de la ficha Permisos de los
recursos compartidos. Se establecerán permisos en el nivel del sistema de
archivos NTFS. Si se establecen tanto permisos de recurso compartido como
permisos de sistema de archivos para una carpeta compartida, se aplicarán los
permisos más restrictivos al conectarse a la carpeta compartida.
Por ejemplo, para conceder a los usuarios
de un dominio acceso de lectura a una carpeta compartida, en la
ficha Permisos de los recursos compartidos, establezca permisos a Control
total para el grupo Todos. En la ficha Seguridad, especifique un
acceso más restrictivo estableciendo permisos de acceso de lectura para el
grupo Usuarios del dominio. El resultado es que un usuario que es miembro
del grupo Usuarios del dominio cuenta con acceso de solo lectura a la
carpeta compartida, tanto si el usuario se conecta a través de un recurso
compartido de red, como si lo hace a través de Escritorio remoto o si inicia
sesión localmente.