Herramientas de usuario
mwr:tema2
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| mwr:tema2 [2024/10/21 16:20] – thejuanvisu | mwr:tema2 [2024/10/28 17:14] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 264: | Línea 264: | ||
| * Capa de Aplicación: | * Capa de Aplicación: | ||
| + | ==== Servidor Proxy ==== | ||
| + | Un servidor proxy es un programa o dispositivo que actua como intermediario en las peticiones realizadas de un cliente a otro server. El servidor proxy más popular es aquel que soporta búsqueda web con diferentes propósitos. Hay 2 tipos de proxys dependiendo de como sean implementados: | ||
| + | * Local Proxy: Está en la misma máquina que el cliente que hace la petición. Se usan para que el cliente pueda controlar el trafico y establecer reglas de filtrado. | ||
| + | * Network Proxy o Proxy externo: Implementado por una entidad externa. Implementa bloqueo de contenido, control de tráfico, compartición de IP, etc... | ||
| + | * Forward Proxy: Suele estar cerca de los clientes y puede ser configurado manualmente en el buscador para reducir el tiempo de acceso, actuando como memoria cache compartida y capturar tráfico web. | ||
| + | * Reverse Proxy: Localizado en el servidor, el tráfico a los servidores web es distribuido. | ||
| + | |||
| + | Squid: | ||
| + | * Es un software gratuito usado para capturar tráfico HTTP. Puede ser usado para mejorar la velocidad de servidores web, DNS y otras redes. | ||
| + | |||
| + | |||
| + | |||
| + | ===== Sistemas de detección de intrusión ===== | ||
| + | Es un programa usado para detectar acceso no autorizado a un ordenador o una red. Normalmente tienen sensores virtuales para descibrir anomalías que puedan indicar la presencia de malware. La operación de estas herramientras está basada en un análisis detallado del tráfico de red para compararlo con firmas de ataques conocidos o para detectar comportamiento extraño. Normalmente funciona integrado con un firewall, siendo una herramienta defensiva batante potente. | ||
| + | ==== Mecanismos IDS ==== | ||
| + | * basado en patrón: analiza paquetes en la red para compararlos con ataques conocidos y preconfigurados. | ||
| + | * Basados en heurística: | ||
| + | |||
| + | ==== Tipos de IDS ==== | ||
| + | * HostIDS (HIDS): Trata de detectar modificaciones que afectan a un nodo en particular. | ||
| + | * NetworkIDS (NIDS): Trata de analizar ataques a un segmento entero de red, capturando todo el tráfico de red. | ||
| + | |||
| + | ==== Limitaciones del IDPS ==== | ||
| + | * Muchos ataques reales pueden ser ignorados si no mandan mucha carga al sistema. | ||
| + | * Para IDS basados en firmas hay mucho tiempo entre el descubrimiento de una amenaza y esta siendo notificada al IDS. | ||
| + | * Los paquetes cifrados no son procesados por la mayoría de IDPS. | ||
| + | * Los NIDS no pueden compensar la autenticación débil para debilidades en los protocolos de red, por lo que pueden ser susceptibles a ataques | ||
| + | * Un IDS puede ser de hardware, software o ambos. Los elementos de hardware son muy útiles debido a los requerimientos del procesador en redes de altro tráfico. | ||
| + | |||
| + | ==== Técnicas de evasión de IDPS ==== | ||
| + | * Fragmentación: | ||
| + | * Evitar predeterminados: | ||
| + | * Ataques coordinados de baja banda ancha: Ataque de escaneo simultáneo por parte de múltiples atacantes que dificulta al IDS correlacionar paquetes capturados y deducir que hay un escaneo de red en proceso | ||
| + | * Spoofing de dirección | ||
| + | * Evasión de cambio de patron | ||
| + | |||
| + | ==== Snort ==== | ||
| + | Es un detector de intrusiones open source. Fue desarrollado para analizar el tráfico de red tanto en tiempo real como de forma forense. Puede ser usado para detectar ataques, incluyendo fingerprinting de sistemas operativos. Snort tiene 3 modos de operación: | ||
| + | * Sniffer Mode: Captura los paquetes de red y los muestra en la consola. | ||
| + | < | ||
| + | * Packet Logger Mode: Guarda los apquetes en el disco duro | ||
| + | |||
| + | <code bash> | ||
| + | ./snort -dev | ||
| + | ./snort -dev -l | ||
| + | </ | ||
| + | |||
| + | * Intrusion detection mode: realiza detección | ||
| + | |||
| + | <code bash> | ||
| + | ./snort -d -l ./log -h 192.168.1.0/ | ||
| + | </ | ||
| + | |||
| + | Snort tiene reglas sencillas y fáciles de modificar, al contrario que otras soluciones comerciales. | ||
| + | |||
| + | ===== Introducción a respuestas a incidentes (SANS/GIAC) ===== | ||
| + | - Preparación | ||
| + | - Identificación | ||
| + | - Contención | ||
| + | - Erradicación | ||
| + | - Recuperación | ||
| + | - Lecciones aprendidas | ||
| - | (Continuará) | ||
mwr/tema2.1729527654.txt.gz · Última modificación: 2024/10/21 16:20 por thejuanvisu
Herramientas de la página
