Monitorización de Redes

De notas.romsolutions.es
Ir a la navegación Ir a la búsqueda

OSI

OSI es una normativa formada por la Organización Internacional de Estándares (ISO), una federación global que representa aproximadamente 130 países. Este modelo de red esta formado por siete capas que definen las diferentes fases por las que deben pasar los datos para viajar de un dispositivo a otro sobre una red de comunicaciones.

A la hora de inventariar y controlar los servicios de una red debemos tener en cuenta ciertos factores. Para ello debemos conocer el modelos de capas OSI, que consta de siete capas:

 Capa física:

Se encarga de las conexiones del equipo hacia la red tanto en el medio físico como a la forma en la que se transmiten los datos. Señal y transmisión de datos.

Sus principales funciones son:

  • Definir medios físicos por donde viajar la información. Cable, guías de onda, aire, fibra óptica.
  • Definir características materiales y eléctricas. Componentes, conectores, niveles de tensión.
  • Definir las características funcionales de la interfaz. Establecimiento, mantenimiento liberación del enlace físico.
  • Transmitir los datos a través del medio.
  • Manejar las señales eléctricas del medio del transmisión.
  • Garantizar la conexión. Aunque no la fiabilidad de la conexión.

Capa de enlace de datos:

Es una de las capas más importantes a revisar en el momento de conectar dos ordenadores ya que se ocupa de:

  • Direccionamiento físico.
  • De la topología de red.
  • Del acceso al medio.
  • De la detección de errores.
  • De la distribución ordenada de tramas
  • Control de flujo de datos.
  • Creación de protocolos básico como son Mac y IP

Capa de red:

Se encarga de identificar el enrutamiento existente entre una o más redes. Las unidades de información se denominan paquetes, se pueden clasificar e protocolos enrutables y protocolos de enrutamiento.

  • Enrutables: viajan con los paquetes. IP, IPC, APLLETALK.
  • Enrutamiento: permiten seleccionar las rutas. RIP, IGRP,EIGRP,OSPF,BGP.

Capa de transporte:

Su finalidad es efectuar el transporte de los datos de emisor al receptor. Independizándolo del tipo de red física que este utilizando.

Esta capa se llama Segmento o Datagrama, dependiendo de si corresponde a unos de sus dos protocolos:

  • TCP. Orientado a trabajar con conexión.
  • UDP. Orientado a trabajar sin conexión.

Por lo tanto trabajan con puertos lógicos junto a la capa de red, dando forma a los conocidos Sockets IP:Puerto (192.168.10.80).

Capas de sesión:

Esta es la capa que se encarga de mantener y controlar el enlace establecido entre dos equipos.

Capas de presentación:

El objetivo es encargarse que la presentación de los datos sea entendible por ambos sistemas aunque pueden tener diferentes representaciones internas de los datos. Trabaja el contenido de la comunicación.

Podría decirse que esta capa actúa como traductor.

Capa de aplicación:

Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las demás capas y define los protocolos que utilizan las aplicaciones para intercambiar datos. Hay tantos protocolos como aplicaciones distintas, puesto que el números de protocolos aumenta sin parar.

Algunos de estos protocolos son:

HTTP. Hyper Text Transfer Protocol. Puerto 80

SSH. Secure Shell. Puerto 22

FTP. File transfer protocol. Puerto 21

Ventajas e inconvenientes de las redes sin cable

Partiendo de la base que lo dispositivos se conectan a la red sin ningún tipo de cableado, utilizando un punto de acceso, que es el encargado de autentificarlos y hacer circular la información. Tenemos varias ventajas e inconvenientes:

Ventajas

  • Ahorro considerable en cableado.
  • Fácil conexión para dispositivos nuevos.

Inconvenientes

  • Mal gestionado puede generar fallos de seguridad.
  • Toda la red depende del punto de acceso.
  • Un atacante puede acceder a la red sin necesidad de tener acceso físico a ella.

Seguridad Wifi.

Para que una red sin cables sea segura, debemos aplicar el sentido común y utilizar las herramientas que el Wifi nos proporciona:

  • SSID (identificador de servicio). Capa punto de acceso debe tener un nombre que identifica el servicio de conexión. Para sumar seguridad a nuestra red haremos que este nombre no sea visible.
  • Autenticación por MAC. Utilizamos las direcciones MAC para autentificar los dispositivos que quieren conectarse. Esta medida tiene un problema ya que el atacante podría falsificar alguna dirección de la red para conseguir entrar. Este ataque es más conocido por spoofing.
  • Protocolo de autenticación. Al inicio de esta tecnología de comunicación solo existía el protocolo de autenticación WEP, el cuál no es seguro. La posibilidad de romper la seguridad WEP para un usuario sin muchos conocimientos de hackeo es muy elevada. Por suerte en la actualidad esto no ocurre con tanta facilidad, gracias a protocolos como WPA o WPA2, este último mejora el primero pero tiene el inconveniente que no todos los dispositivos Wifi lo soportan. WPA soluciona tanto la problemática de los usuarios como la confidencialidad de las comunicaciones. Tiene dos mecanismos de autenticación de usuarios el PSK y 802.1X y encripta los datos con el algoritmo TKIP.
  • Aun siendo una garantía la utilización de los protocolos de comunicación Wifi, cambiaremos las contraseñas que venga de serie de nuestro router tanto el acceso al router como al punto de acceso. Esta operación se repetirá mensualmente.

Alarmas e incidencias de seguridad. IDS

IDS (Intrusion Detection System) este tipo de programas son los encargados de mejorar una buena política de seguridad (autenticación de usuarios, control de acceso, cortafuegos, encriptación de datos y evaluación de las vulnerabilidades) con tres aportaciones básicas a esta política: Monitorización de red, detección de alarmas ( completamente configurable) y respuesta a tipos de alarmas.

Tenemos dos tipos de IDS:

HIDS (HostIDS). El principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejan un rastro de sus actividades en el equipo atacado. El HIDS intenta detectar las modificaciones realizadas en el equipo afectado y hacer un reporte de sus conclusiones.

NIDS (Network). Un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Nagios.

Nagios es un software que sirve para poder monitorizar todo los servidores windows, servidores linux, routers, switches, access points o incluso impresoras que tengamos en la red de nuestra empresa o oficina.

  • #apt-get install nagios3

Ntop

Es una utilidad que permite monitorizar una red en tiempo real. Es útil para controlar usuarios y aplicaciones que ocupan recursos del sistema en momento concreto, también sirve para detectar malas configuraciones.

  • #apt-get install ntop

Respuesta de un incidente de seguridad:

Descripción:

Escaneo de puertos.

Afectación: Leve.

Resumen:

Un escaneo de puertos para hacer un reconocimiento al sistema.

Análisis:

Procedimiento: Se ha utilizado la herramienta Snort.

Documentación: Hay documentación sobre Snort y sobre las reglas.

Incidencias afectadas: Reconocimiento del sistema.

Plan de acción:

Evitar el escaneo de puertos mediante iptables.

Cambiar la política por defecto a drop para todos los puertos

Anexos:

La alerta detectada es la siguiente: (portscan TCP Portscan)