Instituto para la Seguridad en Internet
Instituto Seguridad Internet

Página de inicio

Buscar :: Cursos :: Quiénes somos :: Contacto
 Servicios
   Cursos
   Auditoría
   Artículos
   Avisos
   Downloads
   Presentaciones
   Boletín
   Buscar

:: Sistemas IDS y análisis de incidentes ::
Seguridad Internet en servidores Windows 2000
Motivación

Una reciente encuesta sobre el porque de los fracasos de las empresas .com, apuntaba a la seguridad como el factor más determinante. Inicialmente, y ante el temor a su seguridad, muchas empresas no mantenían servidores conectados o no utilizaban Internet para su desarrollo diario. Hoy en día nadie se plantea prescindir de Internet como medio de trabajo. Su seguridad es un problema que hay que afrontar de forma eficaz.

Uno de los principales problemas de seguridad que se plantean es la detección de las intrusiones, ya que recientes estudios demuestran que estas pasan desapercibidas en gran medida y como punto añadido es de vital importancia el saber analizar correctamente los sistemas que han sido fruto de un ataque.
Audiencia
El curso está dirigido a administradores y auditores de seguridad, encargados de la función de la detección de intrusiones tanto en tiempo real como el posterior análisis forense. También se dirige a los arquitectos de seguridad, ya que la implantación y diseño de políticas de seguridad requiere una infraestructura de respuesta a incidentes.
Objetivo
Después de la realización del curso los asistentes habrán obtenido una amplia visión de como planificar de manera correcta la detección de intrusiones, como analizar un sistema que ha sufrido un ataque y serán capaces de organizar correctamente un plan de respuesta a incidentes.
Características generales

Los asistentes realizan ejemplos reales de protección y análisis de equipos que han sufrido intrusiones. Cada aspecto se plantea inicialmente desde el lado del intruso, una vez comprendido, se mostrará su posible solución, y lo que es más importante, las medidas preventivas necesarias para evitarlo.

Requisitos:

  • Conocimientos de administración de UNIX ó Windows
  • Conocimientos de TCP/IP

Documentación:

  • Manual de Análisis Forense por Instituto Seguridad Internet
  • CDs con todas las herramientas y prácticas
Duración
La duración del curso es de 20 horas.
Autores e Instructores
Otro de los factores a destacar de este curso es la calidad técnica de sus autores. El curso ha sido diseñado y documentado por auténticos especialistas en seguridad Internet como son Juan Carlos García Cuartango, Cristóbal Bielza, Pedro Pablo Pérez y Gonzalo Álvarez Marañon.
Contenido
  1. Introducción
  2. Técnicas de detección de intrusiones
  3. Tipos de IDS
  4. Análisis forense - Captura de la evidencia
  5. Análisis de la evidencia volátil
  6. Análisis de la información de disco
  7. Análisis forense de sistemas cliente
  8. Análisis de programas sospechosos

1. Introducción

En este módulo se introduce el problema de la seguridad en los sistemas informáticos. El primer paso para asegurar cualquier cosa es conocer contra quién y de que nos debemos proteger. En esta introducción, se desvelan los diferentes tipos de intrusos que pueden atacar los servidores de la organización. Finalmente se detallan los conceptos necesarios para poder entender el protocolo TCP/IP como base de los temas posteriores.

  • Seguridad en los servidores Internet
  • Conceptos de seguridad
  • Seguridad en TCP/IP
  • Nociones de TCP/IP avanzado
    • Fragmentación
    • Falsificación IP
    • Opciones IP
    • Protocolo ICMP
  • Herramientas de análisis de protocolos
    • Monitores de red
    • Generadores de paquetes

PRÁCTICAS

Manejo de las herramientas de análisis de red como tcpdump y Ethereal
 Generación y captura de sesiones TCP/IP.

Fragmentación de paquetes
 Envío de paquetes fragmentados con las herramientas de generación de paquetes: nemesis , RafaleX y hping2.

Falsificación de paquetes
Envío de paquetes falsificados tcp, udp, icmp, etc. para demostrar las posibilidades de ocultación y ataque de los intrusos.

Opciones IP
Uso de las opciones IP para el reconocimiento de redes.

2. Técnicas de detección de intrusiones

El presente capitulo presenta la definición de que son los detectores de intrusiones y para que sirven, de manera adicional detalla las técnicas de detección existentes y sus posibles usos.

En primer lugar se realiza un repaso sobre la historia de los detectores de intrusión así como una introducción para entender su significado, en segundo lugar se pasa a justificar su existencia así como las diferencias con los elementos clásicos de la seguridad y para finalizar se introducirán las técnicas existentes que serán puestas en práctica en el siguiente tema.

Como complemento a las técnicas de detección, se detalla de manera teórica las necesidades de un plan de respuesta a incidentes así como las connotaciones del mismo.

  • Historia de los IDS
  • La razón de los IDS
  • Técnicas de detección
    • Detección de patrones anómalos
    • Detección basada en Firmas
    • Inteligencia Artificial
  • Plan de respuesta a incidentes: Incidente/Respuesta

PRÁCTICAS

Detección de patrones anómalos
Detección de desviaciones de la normalidad en TCP/IP mediante una sonda de red. Uso de la herramienta TCPDump, WinDump.

Detección basada en firmas
Detección de paquetes con firmas conocidas de ataques mediante Tcpdump y Grep (ngrep).

Anomalías en la red
Generación de una línea base de trabajo de la red con la herramienta NTop.

3. Tipos de IDS

En el presente capitulo se detallan todos los tipos de IDS conocidos así como su correcta utilización, por lo tanto se explica la puesta en práctica de las técnicas aprendidas en el capítulo anterior y su implementación en los productos comerciales.

El presente capítulo utiliza el mismo patrón de enseñanza para los tipos de IDS: explicación con su posterior configuración, ataque con la visualización del mismo, técnicas para la evasión y reconfiguración para la detección avanzada.

  • IDS de Sistema
    • Detección de los paquetes de entrada/salida
    • Auditoria de sistema
    • Registro de actividad
    • Chequeo de Integridad
    • IDS de Kernel
    • El caso de los Antivirus
  • IDS de Red
  • IDS de Sistema y Red usados en combinación
  • IDS distribuidos
    • Servidor Central de Agentes
    • Red de Agentes
    • Correlación de Eventos
  • Consolas de Seguridad
  • Honeypots/HoneyNets
  • El futuro de los IDS

PRÁCTICAS

Detección de intrusiones en sistemas
Detección de intrusiones basada en la auditoria del sistema y los registros de actividad. Se configurarán los sistemas para la detección de intrusos. Posteriormente se atacarán a los mismos y se comprobará como dicha detección se produce.

Chequeo de integridad de ficheros
Detección de intrusiones basada en el chequeo de la integridad de ficheros. Se realizará un chequeo de integridad de ficheros y posteriormente se modificarán los mismos para comprobar la eficacia de este sistema de detección.

Detección de intrusiones en la red
Se configurará un sistema de detección de intrusos basado en SNORT por cada alumno. Se configurará y será atacado para poder ver los resultados. Se realizarán distintos tipos de ataques para comprobar la respuesta del IDS de red.

Evasión de los IDS
Se realizaran ataques de de decoy, canonicalización, fragmentación y denegación de servicio sobre las plataformas instaladas mediante la herramienta whisker. Mediante estas técnicas los intrusos pretenden no ser detectados por los IDS de red.

Configuración de un sistema mixto
Configuración de un sistema híbrido basado en detección de host y red con una correlación de eventos.

Honeypot/Honeynet
Instalación de un sistema trampa para la recolección de ataques por cada alumno. Estos sistemas permiten obtener mucha información de un atacante durante el transcurso del ataque.

4. Análisis forense - Captura de la evidencia

El primer paso de cualquier análisis forense consiste en la captura de la evidencia. Por evidencia se entiende todo aquella información que pueda ser procesada en un análisis detallado. El fin de este análisis es la interpretación lo más exacta posible del suceso ocurrido. Siempre ha existido una polémica no solucionada sobre si se debe realizar la captura de la evidencia y en como realizarla. El objetivo fundamental es que en el proceso de la captura no se altere, o que sea en la menor medida posible, el escenario a analizar.

  • Evidencia Volátil
    • Memoria del sistema
    • Servicios – Procesos – Device drivers
    • Puertos abiertos
    • Conexiones establecidas
    • Cuentas de usuarios y grupos
    • Información de red
  • Discos
    • Herramientas de duplicación de discos

PRÁCTICAS

Captura de la evidencia volátil
Se usarán todas la herramientas y utilidad es necesarias para la captura de la evidencia volátil. Entre otras utilidades se ejecutarán dd, netcat, sport, sc, lsof, netdiag, pwdump, nmap.

Captura de una imagen de disco
Captura de una partición mediante la herramienta dd.exe. Envío de dicha captura a través de la red.

5. Análisis de la evidencia volátil

En capítulos anteriores se veía qué información debe ser adquirida antes de apagar un sistema. En este capítulo veremos que operaciones hacer y cuales son las posibles evidencias que se pueden encontrar en la información capturada.

  • Memoria del sistema
  • Servicios – Procesos – Device drivers
  • Puertos abiertos
  • Conexiones establecidas
  • Cuentas de usuarios y grupos
  • Red
  • Rootkits

PRÁCTICAS

Análisis de la evidencia volátil
Se mostrarán intentos de ocultación de evidencias y como descubrirlos en un análisis de la evidencia volátil.

Rootkits
Instalación de rootkits y comprobación de cómo se ocultan y como logran ocultar procesos, archivos y conexiones de red.

6. Análisis de la información de disco

La parte más importante de cualquier análisis forense es analizar y correlar la información que se nos suministra de los posibles registros que tengamos. Si esa información no esta disponible o es insuficiente será necesario realizar un análisis forense exhaustivo del sistema. Para ello se deberán realizar búsquedas de información relativa al caso en las evidencias obtenidas, que básicamente serán, volátil e imagen de disco.

En la parte final de este capítulo se analizarán los sistemas de archivos Windows (FAT y NTFS) y el sistema de archivos ext2 de Linux. Como se verá en la propia descripción de estos sistemas de archivos la metodología es aplicable a cualquier otro sistema de archivos que el analista forense se encuentre.

  • Ficheros especiales
  • Archivos comprimidos
  • Archivos cifrados
  • Memoria en disco: Pagefile.sys, Swap Partition
  • Sistemas de archivos
    • FAT16/FAT32
    • NTFS
    • Ext2/Ext3
  • Análisis de la imagen capturada
    • Clasificación de ficheros por fechas
    • Borrado de archivos – Parcial y Total
    • Espacio libre y espacio de relleno (slack space)
    • Ocultación de archivos
    • Búsqueda de patrones en disco
    • Búsqueda de programas maliciosos – Comparación de HASHes

PRÁCTICAS

Identificación de archivos
Se utilizarán herramientas que permiten identificar los tipos de archivos y se comprobará su eficacia con simples ejemplos para engañarlas.

Análisis de la información en ficheros de memoria
Se extraerá la información legible de los ficheros de memoria.

Comprensión de los sistemas de archivos
Se usarán editores de disco para navegar por los sistemas de archivos a bajo nivel.

Clasificación de los ficheros por fechas
Se sacará una clasificación de ficheros por fechas para comprobar la modificación de ficheros.

Borrado de archivos
Se comprobarán los efectos de borrados parciales y totales de ficheros de texto , mirando en el sistema de archivos.

Ocultación de archivos
Mecanismos de ocultación de archivos en los sistemas Windows 2000 y Linux.

Búsqueda de patrones
Se buscarán patrones sobre las imágenes de disco capturadas. Se identificará el archivo al cual pertenece la cadena encontrada.

Comparación de Hash
Los mecanismos de integridad de ficheros se basan en la extracción de las Hash. Existen bases de datos estándar que permiten la comprobación de imágenes contra dichas bases de datos para la búsqueda de programas maliciosos.

7. Análisis forense de sistemas cliente

Mucho más abundantes que las intrusiones en servidores son las intrusiones en sistemas cliente. En muchos casos estas intrusiones se realizan teniendo como objetivo el acceso a servidores a los que el usuario víctima tiene derecho. Esto es debido a que normalmente los puestos de los usuarios son el eslabón más débil de la cadena de seguridad de un sistema.

  • Interacción con Internet
    • Detectores de intrusos en sistemas clientes
    • Correo electrónico – Outlook
    • Navegación Web – Internet Explorer
  • Técnicas de ocultación de código móvil
  • Análisis de documentos
    • Microsoft

PRÁCTICAS

Aplicaciones cliente
Se comprobará toda la información que se obtiene mirando las evidencias dejadas por las aplicaciones cliente. Se comprobarán los dos puntos de vista posibles. El primero cuando el sistema cliente analizado es la victima y se intentará detectar como ha sido comprometido. El segundo es cuando el sistema analizado es el del atacante y se intentará investigar como ha perpetrado el ataque o delito.

Análisis de la información en ficheros de memoria
Se extraerá la información legible de los ficheros de memoria.

Comprensión de los sistemas de archivos
Se usarán editores de disco para navegar por los sistemas de archivos a bajo nivel.

Clasificación de los ficheros por fechas
Se sacará una clasificación de ficheros por fechas para comprobar la modificación de ficheros.

Borrado de archivos
Se comprobarán los efectos de borrados parciales y totales de ficheros de texto , mirando en el sistema de archivos.

Ocultación de archivos
Mecanismos de ocultación de archivos en los sistemas Windows 2000 y Linux.

Búsqueda de patrones
Se buscarán patrones sobre las imágenes de disco capturadas. Se identificará el archivo al cual pertenece la cadena encontrada.

Comparación de Hash
Los mecanismos de integridad de ficheros se basan en la extracción de las Hash. Existen bases de datos estándar que permiten la comprobación de imágenes contra dichas bases de datos para la búsqueda de programas maliciosos.

8. Análisis de programas sospechosos

Cuando el conjunto de evidencias encontradas no nos da toda la información requerida o cuando se ha identificado un programa como sospechosos, será necesario realizar un análisis más profundo del citado fichero.

  • Estructura de los ficheros ejecutables
  • DLLs y librerías
  • Análisis en ejecución
    • Entorno seguro de pruebas
    • Interacción con el sistema

PRÁCTICAS

Empaquetadores de programas
Veremos cómo es posible modificar o inyectar un programa en otro impidiendo que sea detectado por los antivirus.

Análisis en ejecución
Se comprobará cómo mediante el entorno VMware es posible ejecutar código en un entorno seguro.
Calendario e inscripciones

Complete el siguiente formulario para enviarnos su consulta:

Precio: 1860 euros + IVA
Fechas: 28 - 31 Mayo de 2007 (tarde de 16:00 a 21:00)
Nombre y apellidos:
Empresa:
CIF:
Dirección:
Ciudad:
Provincia:
Código postal:
Correo electrónico:
Teléfono:
Fax:

Los datos personales contenidos en el presente formulario formarán parte de un fichero propiedad de ISI. Dicho fichero será tratado y protegido según lo establecido en la LO 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal. Queda garantizada la confidencialidad de la información aportada, así como su uso exclusivo para las gestiones precisas en la facturación y gestión de los cursos. Este fichero no será cedido a terceros. Los interesados que lo deseen podrán ejercitar los derechos de acceso, rectificación o cancelación de los datos aportados.

Política de privacidad :: Instalaciones :: Publicidad

© Instituto Seguridad Internet, 2001-2003. Todos los derechos reservados