Network Monitoring Flashcards
¿Qué es un IDS y cómo funciona?
¿Qué es un IPS y cómo se diferencia de un IDS?
Introducción a IDS y IPS
IDS (Intrusion Detection System)
Es un dispositivo pasivo que monitoriza el tráfico de red para detectar actividades sospechosas o maliciosas. Funciona en paralelo a la red, registrando eventos y generando alertas cuando detecta comportamientos anómalos o coincidentes con firmas de ataques conocidos. No bloquea el tráfico, simplemente notifica al administrador para que tome acciones correctivas.
Un IPS (Intrusion Prevention System)
Es un dispositivo activo que no solo monitoriza el tráfico de red como un IDS, sino que también puede bloquear o detener el tráfico malicioso en tiempo real. A diferencia del IDS, el IPS está en línea y tiene la capacidad de prevenir activamente ataques, evitando que lleguen a su destino. Sin embargo, puede bloquear tráfico legítimo si no está correctamente configurado.
¿Cuáles son los métodos principales de detección utilizados por IDS e IPS, cómo funcionan, y cuáles son sus ventajas y limitaciones?
Introducción a IDS y IPS
Detección Basada en Firmas:
Compara el tráfico de red con una base de datos de patrones predefinidos (firmas) que representan ataques conocidos. Si el tráfico coincide con una firma, se genera una alerta.
- Ventajas: Es muy efectiva para identificar ataques específicos que ya se conocen.
- Limitaciones: Es incapaz de detectar ataques nuevos o modificados que no tienen una firma en la base de datos. Además, puede generar falsos positivos si el tráfico legítimo coincide con una firma.
Detección Basada en Políticas:
Aplica reglas que reflejan las políticas de seguridad de la organización. Cualquier actividad que viole estas reglas se detecta y se reporta.
- Ventajas: Garantiza que las políticas de seguridad internas se cumplan, por ejemplo, bloqueando el uso de protocolos inseguros como Telnet.
- Limitaciones: Su eficacia depende de la claridad y actualización de las políticas definidas. Si las políticas están mal configuradas, pueden pasar por alto amenazas o bloquear tráfico legítimo.
Detección Basada en Anomalías:
Identifica comportamientos inusuales que se desvían de lo que se considera normal en la red.
Se subclasifica en:
Detección Estadística: Establece una línea base del comportamiento normal del tráfico y detecta desviaciones significativas.
Detección No Estadística: Utiliza umbrales y parámetros predefinidos por el administrador para identificar comportamientos anómalos.
- Ventajas: Es útil para detectar ataques nuevos o desconocidos que no están en la base de datos de firmas.
- Limitaciones: Puede ser propensa a falsos positivos, especialmente en entornos donde el comportamiento normal de la red cambia con frecuencia.
¿Cuál es la diferencia entre los IDS/IPS basados en red (NIDS/NIPS) y los basados en host (HIDS/HIPS)?
Introducción a IDS y IPS
IDS/IPS basados en red (NIDS/NIPS):
Estos sistemas están diseñados para proteger toda la red. Un NIDS monitorea el tráfico de red para detectar actividades sospechosas, mientras que un NIPS también puede bloquear el tráfico malicioso en tiempo real. Se suelen colocar en puntos estratégicos, como entre el firewall y el router, para supervisar todo el tráfico que entra y sale de la red.
IDS/IPS basados en host (HIDS/HIPS):
Se instalan directamente en dispositivos individuales, como servidores o estaciones de trabajo. Su función es proteger ese dispositivo específico, detectando y previniendo amenazas locales, como intentos de instalar software malicioso o cambios no autorizados en archivos del sistema.
¿Qué es un falso positivo en el contexto de IDS/IPS y por qué es un problema?
Introducción a IDS y IPS
Un falso positivo ocurre cuando un IDS o IPS identifica un tráfico legítimo como malicioso y genera una alerta o bloquea el tráfico incorrectamente. Esto es problemático porque puede interrumpir el servicio normal, provocar pérdidas de productividad y sobrecargar al equipo de seguridad con alertas innecesarias. En el caso de un IPS, un falso positivo puede bloquear aplicaciones o usuarios legítimos, afectando las operaciones normales.
¿Qué es SNMP y para qué se utiliza?
Simple Network Management Protocol (SNMP)
Simple Network Management Protocol (SNMP) [161-162]
Es un protocolo de Internet utilizado para recopilar, organizar y modificar información sobre dispositivos gestionados en redes IP.
Se utiliza para supervisar y controlar routers, switches, firewalls, impresoras, servidores y dispositivos de usuario final en redes LAN o WAN.
¿Cuáles son los componentes principales de la arquitectura SNMP?
Simple Network Management Protocol (SNMP)
SNMP Manager: Es el nodo central o maestro que se encarga de gestionar y supervisar los dispositivos de red. El manager recopila información de los agentes distribuidos por la red, procesa los datos y permite a los administradores de red tomar decisiones informadas. En entornos empresariales, el SNMP manager generalmente se encuentra en un servidor dedicado que centraliza la gestión de todos los dispositivos de la red.
Agents: Los agentes son programas que se ejecutan en los dispositivos de red, como routers, switches, servidores, etc. Estos agents recopilan datos sobre el rendimiento y estado del dispositivo y los envían al SNMP manager. Los agentes también pueden recibir y ejecutar comandos desde el manager, como actualizar configuraciones o enviar alertas sobre eventos críticos. Cada agente actúa como un “reportero” que informa al manager sobre el estado del dispositivo en tiempo real o a intervalos regulares.
¿Cuáles son los tres tipos principales de mensajes en SNMP y cuál es su función?
Simple Network Management Protocol (SNMP)
Set Request: Este mensaje permite que el SNMP manager realice cambios en la configuración de un dispositivo gestionado. Por ejemplo, puede modificar el valor de una variable específica en un router o switch para ajustar su comportamiento.
Get Request: Este tipo de mensaje es utilizado por el SNMP manager para solicitar información de un dispositivo gestionado. Permite obtener datos específicos, como el estado de la red o la utilización de recursos, que el manager utiliza para monitorear y analizar el rendimiento del dispositivo.
Trap Message: Los mensajes Trap son enviados por los agents de forma asíncrona al SNMP manager. Estos mensajes se generan automáticamente cuando ocurre un evento significativo en el dispositivo, como una alerta de fallo o un cambio en la configuración. A diferencia de los mensajes Set y Get, los Trap no requieren una solicitud previa del manager, lo que permite notificaciones inmediatas y en tiempo real sobre problemas potenciales.
¿Qué es un “variable binding” en SNMP?
Simple Network Management Protocol (SNMP)
Un “variable binding” es una configuración de pares clave-valor que asocia un Object Identifier (OID) específico con su valor correspondiente en un mensaje SNMP.
Por ejemplo, un OID para un router podría incluir
- “SiteName: PR-Branch”
- “Criticality: High”
- “Severity: Low”
- “Alarm Description: High temperature”.
¿Cuáles son las diferencias clave entre SNMPv1, SNMPv2 y SNMPv3?
Simple Network Management Protocol (SNMP)
SNMPv1 y SNMPv2: Utilizan community strings como mecanismo de seguridad, que se transmiten en texto claro, lo que las hace vulnerables a ataques.
SNMPv3: Introduce mejoras significativas en seguridad, incluyendo integridad (hashing de mensajes), autenticación (validación de la fuente del mensaje) y confidencialidad (cifrado de datos transmitidos). También permite la gestión de accesos y privilegios mediante la creación de grupos de usuarios con diferentes niveles de acceso.
¿Qué son los “granular traps” y “verbose traps” en SNMP, y cuáles son sus diferencias?
Simple Network Management Protocol (SNMP)
Granular Traps: Estos mensajes contienen solo la información específica relacionada con un cambio en un Object Identifier (OID) particular. Esto permite al SNMP Manager identificar exactamente qué ha cambiado sin recibir datos innecesarios. Los Granular Traps son eficientes en el uso de ancho de banda y reducen la carga en la red, ya que transmiten solo los datos estrictamente necesarios.
Verbose Traps: A diferencia de los Granular Traps, los Verbose Traps contienen toda la información relevante sobre un evento o alerta en su carga útil. Aunque proporcionan un mayor nivel de detalle, lo que puede ser útil para análisis exhaustivos, estos mensajes utilizan más recursos de red y procesamiento. Debido a su tamaño más grande, los Verbose Traps pueden consumir más ancho de banda y ser más costosos de gestionar en términos de almacenamiento y análisis.
¿Por qué es crucial el monitoreo de la temperatura en dispositivos de red?
Sensores de Monitoreo en Dispositivos de Red
El monitoreo de la temperatura es crucial para evitar sobrecalentamiento, que puede degradar el rendimiento, acortar la vida útil del dispositivo o provocar fallas catastróficas.
Los sensores miden principalmente el aire en la entrada y salida del dispositivo.
Se configuran umbrales menores y mayores:
- Umbrales menores: Se activan ante un aumento de temperatura que aún no es peligroso. Esto genera un mensaje en el sistema, una notificación SNMP y posiblemente una alarma ambiental.
- Umbrales mayores: Se activan cuando la temperatura alcanza niveles peligrosos. Además de las notificaciones y alarmas, el dispositivo puede iniciar una “reducción de carga” (load shedding), apagando algunas funciones para disminuir el calor generado.
¿Qué indica una alta utilización de CPU en un dispositivo de red y qué valores se consideran normales?
Sensores de Monitoreo en Dispositivos de Red
Una alta utilización de CPU en un dispositivo de red puede indicar una red mal configurada o un ataque en curso.
Esto puede provocar pérdida de paquetes y potencialmente una falla total de la conexión.
En condiciones normales, la utilización de CPU debería estar entre el 5% y el 40%. Durante picos de actividad, puede aumentar hasta un 70%-80%. Es crucial monitorear la CPU para detectar problemas antes de que afecten la red.
¿Cómo se monitorea y mitiga el alto uso de memoria en dispositivos de red?
Sensores de Monitoreo en Dispositivos de Red
El monitoreo del uso de memoria en dispositivos de red se realiza mediante alertas de umbrales menores, severos y críticos que notifican a un panel centralizado a través de SNMP.
Cuando los dispositivos comienzan a consumir demasiada memoria, pueden producirse bloqueos del sistema, fallos del procesador y otros comportamientos indeseados.
Los dispositivos deben operar normalmente con una utilización de memoria del 40%. Si supera constantemente el 80%, se recomienda actualizar el dispositivo o investigar un posible ataque o problema de configuración en la red.
¿Qué es una captura de paquetes y para qué se utiliza?
Introducción a la Captura de Paquetes
Una captura de paquetes es un proceso para recopilar datos que viajan a través de una red. Se utiliza para analizar el tráfico de red, identificar problemas de comunicación y detectar posibles ataques o comportamientos anómalos.
El análisis de capturas de paquetes es importante porque permite identificar problemas de rendimiento, solucionar errores de configuración y detectar actividades sospechosas o maliciosas, como escaneos de puertos o ataques de denegación de servicio.
¿Qué tipo de información se puede obtener de una captura de paquetes?
Introducción a la Captura de Paquetes
De una captura de paquetes se puede obtener información como direcciones IP de origen y destino, protocolos utilizados, puertos, tamaños de paquetes, y detalles de la comunicación, lo que ayuda a entender el comportamiento del tráfico de red.
¿Qué herramientas se utilizan comúnmente para la captura de paquetes?
Introducción a la Captura de Paquetes
Herramientas como Wireshark, tcpdump, y NetworkMiner son comúnmente utilizadas para capturar y analizar paquetes de red, proporcionando una visión detallada del tráfico que circula por la red.
¿Qué es NetFlow y cuál es su propósito principal?
Análisis de Flujos de Tráfico con NetFlow
NetFlow es una herramienta desarrollada por Cisco para el análisis de tráfico de red que recopila metadatos sobre los flujos de tráfico en lugar de capturar cada paquete completo. Su propósito principal es identificar patrones de tráfico y posibles anomalías con un uso reducido de almacenamiento en comparación con la captura completa de paquetes.
¿Qué es un traffic flow en el contexto de NetFlow?
Análisis de Flujos de Tráfico con NetFlow
Traffic flow es una secuencia de paquetes que comparten un conjunto de características comunes, como direcciones IP de origen y destino, puertos, protocolo y otros atributos, mientras atraviesan la red. NetFlow agrupa y monitorea estos flujos para análisis y detección de patrones de tráfico.
¿Qué diferencias existen entre Full Packet Capture (FPC) y NetFlow?
Análisis de Flujos de Tráfico con NetFlow
Full Packet Capture (FPC) captura tanto el encabezado como la carga útil de todos los paquetes de red, proporcionando un nivel de detalle muy alto, pero a costa de un gran consumo de almacenamiento.
NetFlow ofrece la ventaja de reducir significativamente el uso de almacenamiento al capturar solo metadatos de tráfico en lugar de cada bit de datos. Esto permite un monitoreo eficiente del tráfico y la detección de anomalías sin necesidad de grandes capacidades de almacenamiento.
¿Cuáles son algunas herramientas comunes para el análisis de flujos de tráfico y qué características tienen?
Análisis de Flujos de Tráfico con NetFlow
NetFlow / IPFIX (IP Flow Information Export): Una de las primeras herramientas desarrolladas para definir y analizar flujos de tráfico en la red, ayudando a identificar patrones de tráfico.
Zeek (anteriormente Bro): herramienta híbrida que monitorea pasivamente la red y captura paquetes completos solo cuando detecta tráfico de interés según reglas configuradas. Esto permite reducir el almacenamiento necesario y aún así capturar datos detallados para un análisis más profundo.
Zeek también normaliza los datos y los almacena en formatos compatibles como JSON, facilitando su integración con otras herramientas de análisis.
MRTG (Multi Router Traffic Grapher): Utiliza SNMP para crear gráficos de flujos de tráfico en routers y switches, permitiendo visualizar patrones y detectar anomalías que podrían indicar problemas o actividades maliciosas.