SEGURIDAD DE REDES: AUDITORÍA Y HERRAMIENTAS DE SEGUIMIENTO
Cod.31102045
CONTENIDOS DE LA ASIGNATURA
La asignatura está dividida en ocho módulos que abarcan diferentes aspectos del NSM: políticas organizativas en torno a la seguridad, formación del personal cualificado, definición y procesos de la monitorización de la seguridad, casos prácticos de modelos de securización y herramientas de monitorización (Ethereal, Snort), protección (Cortafuegos) y prevención (IDS). El índice detallado para cada uno de los módulos se detalla a continuación:
Módulo 1. Política de seguridad dentro de una organización
1.1. Aspectos físicos
1.2. Aspectos lógicos
1.3. Aspectos humanos
1.4. Aspectos legales
1.5. Implantación de políticas de seguridad
La Política de seguridad es la herramienta básica organizativa que da vida al proceso de seguridad informática. Mediante ella se decide qué se asegura en la organización, cómo se asegura (tanto a nivel técnico como de organización de recursos humanos), qué se monitoriza y cuándo. Es por tanto fundamental tener una idea clara de cómo crearla y mantenerla.
Módulo 2. Introducción a la monitorización de seguridad en redes
2.1. El proceso de securizar
2.2. Definición de la monitorización de la seguridad de una red
2.3. Consideraciones de implementación
Mediante la monitorización de la seguridad en redes se llevan a cabo varias fases importantes del proceso de seguridad. Una de ellas es la comprobación permanente de que las políticas de seguridad establecidas están cumpliéndose tal y cómo se ha previsto. Otra fundamental es la vigilancia sobre distintos tipos de problemas no tenidos en cuenta en la política de seguridad y que pueden aparecer en cualquier momento, siendo importante su detección temprana.
Módulo 3. Principios de la monitorización de la seguridad
3.1. El modelo de referencia de intrusiones
3.2. Herramientas para el análisis de datos de contenido
3.3. Herramientas adicionales
3.4. Formato de los datos de sesión
3.5. Consideraciones sobre datos estadísticos
3.6. Estudio de los datos de alerta
Se analizan en este modulo los principios más significativos de monitorización siguiendo la idea del “modelo de referencia de intrusiones” y haciendo una exposición de los distintos tipos de herramientas, tanto para análisis de datos como para obtención de estadísticas, finalizando con una aproximación a los modelos de estudio de los datos de alertas.
Módulo 4. El proceso de monitorización de la seguridad
4.1. Prácticas recomendadas
4.2. Casos de estudio para administradores
Se exponen en este módulo una serie de prácticas recomendables sobre cómo gestionar tanto los patrones de búsqueda de problemas en red mediante sistemas de detección de intrusiones como los datos estadísticos de problemas reales encontrados, atendiendo especialmente a la gravedad de la alerta como criterio principal. Se exponen en el módulo también distintos casos de estudio ilustrativos de las ideas precedentes.
Módulo 5. Características del personal asociado a la monitorización de la seguridad
5.1. Definición de un programa de formación
5.2. Análisis del tráfico DNS
5.3. Análisis de los datos de sesión
5.4. Análisis de los datos de los paquetes TCP
Parece obvio que no cualquier persona podrá hacerse cargo del trabajo de gestión, mantenimiento, configuración y análisis de resultados de la monitorización. Por esta razón se hace necesario ser especialmente cuidadoso en la definición, estructura y contenidos de un plan de formación adecuado para estas personas, que incluya, entre otros puntos clave, la capacidad de análisis del tráfico DNS, de los datos de sesión y del tráfico de aplicaciones que utilicen transporte TCP
Módulo 6. Implementación del proceso de monitorización de seguridad
6.1. Herramientas para atacar la monitorización de seguridad en redes.
6.2. Tácticas para atacar la monitorización de seguridad en redes.
Como en cualquier disciplina que tenga que ver con la seguridad en cualquiera de sus formas, se ha de conocer las técnicas más habituales para subvertir el proceso de monitorización de seguridad en redes, conociendo las tácticas usadas y, especialmente, las herramientas de las que un posible atacante podría valerse para destruir nuestro sistema de monitorización.
Módulo 7. Protección de la red: Cortafuegos
7.1. Conceptos teóricos
7.2. Características de diseño
7.3. Componentes de un cortafuego
7.4. Arquitecturas de cortafuegos
7.5. Casos de estudio
Una de las herramientas más habituales usada como defensa de una red frente a posibles ataques externos es el cortafuegos. En este módulo se analizan tanto conceptos teóricos como las diferentes características de diseño de los diferentes tipos de cortafuegos. Es especialmente importante conocer los componentes de un cortafuego y su implementación en las diferentes arquitecturas tecnológicas. Igualmente se expone distintos ejemplos ilustrativos.
Módulo 8. Sistemas de detección de intrusos
8.1. Clasificación de los IDS
8.2. Requisitos de un IDS
8.3. IDS basados en máquina
8.4. IDS basados en red
8.5. Detección de anomalías
8.6. Detección de usos indebidos
8.7. Implementación real de un IDS
La otra herramienta fundamental en cualquier implementación de una buena política de seguridad en redes es el sistema de detección de intrusiones (o “Intrusión Detection System”) que permite implementar prácticamente todas las funciones de monitorización citadas. Es por lo tanto fundamental conocer qué son, qué requisitos deben cumplir, así como la diferencia entre los que se basan en una máquina y los que están basados en red. Igualmente importante es conocer las diferencias tecnológicas entre los que basan su trabajo en detección de anomalías, de usos indebidos o de firmas de ataque.