Tecnología de seguridad de la información - (7) Tecnología de protección de seguridad y respuesta a emergencias

1. Tipos y principios básicos de cortafuegos

1.1 Tecnología de cortafuegos

La tecnología de firewall es un dispositivo de seguridad de red o un sistema compuesto por múltiples dispositivos de hardware y el software correspondiente. Se encuentra entre una red que no es de confianza y una red interna protegida. El propósito es proteger la red interna de ataques de redes externas y hacer cumplir las regulaciones de acceso. política de control

1.2 Características de los cortafuegos

• Por él pasan todas las comunicaciones de la red interna a la red externa y de la red externa a la red interna.
• Sólo se permiten comunicaciones que cumplan con las políticas de control de acceso interno a través de
• El sistema en sí tiene altas capacidades de procesamiento de computación y comunicación.

1.3 Funciones del cortafuegos

1.3.1 Filtrado de servicios y comunicaciones no seguras

• Deshabilitar pings externos
• Se prohíben los servicios de información prestados ilegalmente en redes internas.
• Prevenir la fuga de información

1.3.2 Prohibir el acceso de usuarios no autorizados a la red interna

• No permitir comunicaciones desde direcciones especiales
• Autenticar conexiones externas

1.3.3 Controlar el acceso a la intranet

• Sólo se permite el acceso externo a los servidores www, FTP y de correo dentro de la red vinculada y no se permite el acceso a otros hosts.
• Registrar eventos de acceso relacionados

1.4 Contenidos básicos del firewall

1.4.1 Cortafuegos de filtrado de paquetes

1. Se define
   que la comunicación bajo cada protocolo se controla verificando el tipo de protocolo, y la comunicación desde una dirección de origen específica o enviada a una dirección de destino específica se controla mediante la dirección P. Dado que los servicios y puertos de la red TCP/IP se corresponden entre sí, el firewall de filtrado de paquetes puede verificar el puerto Controlar el acceso a servicios externos y la apertura de servicios internos. El operador de un firewall de filtrado de paquetes es responsable de formular estas reglas y configurarlas en el sistema de firewall.
   
2. Ventajas y desventajas
   

1.4.2 Puerta de enlace proxy

1. Definición
: generalmente se cree que las solicitudes de conexión de redes externas no son confiables. Una puerta de enlace proxy es un dispositivo o sistema de puerta de enlace que ejecuta un programa de proxy de conexión. El propósito de configurarlo es proteger la red interna. Determina si enviar solicitudes externas de acuerdo con ciertas políticas de seguridad. La solicitud de acceso de la red a la red interna se envía al servidor interno correspondiente. Si se puede enviar, el agente se conectará al servidor interno en nombre del usuario externo y también se conectará a el usuario externo en nombre del servidor interno.
2. Capa de agente de bucle
El agente de capa de bucle también se denomina agente de nivel de circuito y se construye sobre la capa de transporte.

3. Capa de proxy de aplicación
El proxy de la capa de aplicación está diseñado específicamente para diferentes aplicaciones o servicios.

1.4.3 Cortafuegos de inspección de paquetes

Según el firewall de filtrado de paquetes, el objeto de inspección no se limita al encabezado del paquete IP, sino que también puede inspeccionar el encabezado TCP o los datos del paquete TCP, por lo que se pueden implementar políticas de seguridad cada vez más flexibles en un determinado costo computacional.

1.4.4 Cortafuegos híbrido

Integra una variedad de tecnologías de firewall, que incluyen:

• Se pueden utilizar cortafuegos de filtrado de paquetes IP para comunicaciones de control subyacentes;
• Los cortafuegos de inspección de paquetes se pueden utilizar para aumentar las políticas de seguridad aplicables;
• El proxy de capa de bucle se utiliza para garantizar la seguridad al establecer conexiones;
• Los servidores proxy de la capa de aplicación se utilizan para garantizar la seguridad de las aplicaciones.

2. Tecnología de detección de intrusiones

2.1 Definición

La detección de intrusiones es un tipo de tecnología de seguridad que se utiliza para detectar comportamientos que comprometen o intentan comprometer la confidencialidad, integridad o disponibilidad de un sistema. Este tipo de tecnología monitorea el estado y las actividades de la red o sistema protegido mediante la implementación de equipos de detección en la red o sistema protegido. Según los datos recopilados, utiliza los métodos de detección correspondientes para descubrir comportamientos de red y sistemas no autorizados o maliciosos, y proporciona Proporcionar Medios de apoyo para evitar intrusiones.

2.2 Tres formas

• Recopile datos en redes y sistemas y extraiga características que describan el comportamiento de la red y el sistema.
• Determinar de manera eficiente y precisa la naturaleza del comportamiento de redes y sistemas en función de datos y características.
• Proporciona respuesta a intrusiones en la red y el sistema.

2.3 Estructura del sistema de detección de intrusiones (IDS)

2.4 Tipos de Detección de Intrusiones (IDS)

• IDS basado en host:
  se ejecuta en el host detectado o en un host independiente y encuentra señales sospechosas en función de los datos de auditoría y los registros del sistema del host.
• IDS basado en red:
  detecta intrusiones basadas en el tráfico de red, audita datos y registros de uno o varios hosts.

2.5 Métodos de análisis y detección

2.5.1 Detección de uso indebido

Establezca patrones de comportamiento de varios tipos de intrusiones, identifíquelos o codifíquelos y establezca una biblioteca de patrones de uso indebido para analizar y detectar datos de fuentes de datos para verificar si existen patrones de uso indebido conocidos. Desventajas: solo se pueden detectar ataques conocidos
.

2.5.2 Detección de anomalías

Determinar el grado de desviación del comportamiento del sistema o del usuario de la descripción de uso normal (NUP) y responder a comportamientos que excedan los umbrales o cambien los rangos.

2.5.3 Otras pruebas

• sistema inmunológico biológico
• Sistema de detección adaptativo

2.6 Respuesta a la intrusión

2.6.1 Respuesta pasiva

Respuesta pasiva : Alarma tras detectar un ataque, proporcionando información a los gestores o usuarios, quienes deciden qué medidas tomar

2.6.2 Respuesta activa

Respuesta activa : bloquea el proceso de ataque de acuerdo con la política configurada, o influye o restringe de otro modo el proceso de ataque o la recurrencia del ataque.

3. Principio de la tecnología “honeypot”

3.1 Definición

La tecnología Honeypot se refiere a un tipo de tecnología que recopila información sobre ataques y atacantes. Al inducir a los atacantes a invadir los honeypots, el sistema recopila y analiza información relevante.

3.2 Clasificación

• investigación aplicada
• baja interacción alta interacción
• verdadero virtual

3.3 Pasos

Disfrazar e introducir >> Control de información >> Captura y análisis de datos

4. Pasos generales para la respuesta de emergencia

4.1 Tecnología de respuesta a emergencias

Las instalaciones de redes y sistemas de información pueden resultar dañadas debido a diversos factores, por lo que es necesario tomar las correspondientes medidas preventivas y de respuesta antes y después de que se produzcan dichos daños, lo que se denomina colectivamente respuestas de emergencia.

• Respuesta temprana : predesvío antes de que el sistema sea atacado
• Respuesta a mediano plazo : cuando el sistema está siendo atacado, los métodos de procesamiento incluyen tecnología honeypot y detener la operación del sistema, etc.
• Respuesta posterior : después de que el sistema sea atacado, restaure el sistema.

4.2 Construcción del sistema de respuesta a emergencias

5. Preguntas de respuesta corta

1. ¿Qué es un cortafuegos? ¿Cuál es la función?
2. ¿Cuáles son los tipos básicos de cortafuegos?
3. ¿Qué es la tecnología de detección de intrusiones?
4. ¿Qué es la tecnología honeypot?
5. ¿Qué es la tecnología de respuesta a emergencias?