Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Como se puede observar en la ilustración anterior, existen dos respuestas DHCP<br />
ACK enviadas, prácticamente a la vez. Con lo que dicho comportamiento resulta<br />
sospechoso.<br />
Para detectar este tipo de ataques una solución es añadir firmas en el IDS que está<br />
monitorizando el segmento de red de interés. Existen firmas para detectar Rogue<br />
DHCP Server, pero deben introducirse con precaución por la cantidad de falsos<br />
positivos que estas generan.<br />
102<br />
6.2.1.2. Capa de Red<br />
6.2.1.2.1. Capa de Red. Geolocalización<br />
La monitorización del tráfico de red a nivel de geolocalización para la detección de<br />
anomalías es un factor importante que nos puede permitir la identificación de<br />
malware dirigido.<br />
Por ejemplo, se detecta que un usuario de una empresa realiza conexiones<br />
salientes desde su equipo empleando el protocolo seguro SSL hacia Rusia, país con<br />
el que esta empresa no tiene ninguna relación. Como poco, esta conexión resulta<br />
sospechosa, y más aún si se detecta que fue realizada en horario no laboral. Sería<br />
necesario, por tanto una comprobación del motivo de esta conexión para descartar<br />
que fuera ilícita.<br />
Es posible dotar a nuestros sistemas de detección de intrusos y herramientas de<br />
monitorización de tráfico, sistemas de geolocalización que nos identifiquen la<br />
ubicación geográfica de cada IP con la que establecemos una conexión. Es<br />
importante tener en cuenta esta monitorización geográfica sobre todo para las<br />
conexiones salientes. Cada empresa u organización debe conocer cuales son los<br />
patrones habituales de conexiones que realizan sus equipos hacia según que<br />
países. Así, una empresa que por ejemplo realice comercio exterior de manera<br />
habitual con países como China o Rusia, ver conexiones desde su red hacía esos<br />
países no supondría una alarma aunque lo aconsejable es que si esas conexiones<br />
son puntuales y siempre hacia las mismas direcciones IP (proveedores, clientes,<br />
otra sede de la empresa, etc.) se añadan éstas a una lista blanca y se monitoricen<br />
el resto.