2. 2
DEFINICIONES
Intrusión
Conjunto de acciones que intentan comprometer
la integridad, confidencialidad o disponibilidad
de un recurso.
Sistema de Detección y Prevención de
Intrusiones:
Elemento que detecta, identifica y responde a
actividades no autorizadas o anormales
3. 3
IDPS Sistema de Detección/Protección de
Intrusos
Funciones básicas:
•Monitorear
•Detectar
•Responder ante
eventos sospechosos
que entran/salen de la
red
4. 4
Arquitectura de IDS
Básicamente existen dos tipos de
detectores de Intrusos:
IDSes basados en red
Un IDS basado en red monitorea los
paquetes que circulan por nuestra red
en busca de elementos que denoten
un ataque contra alguno de los
sistemas ubicados en ella; el IDS
puede situarse en cualquiera de los
hosts o en un elemento que analice
todo el trafico (como un SWITCH o un
enrutador). Este donde este,
monitorizara diversas maquinas y no
una sola: esta es la principal
diferencia con los sistemas de
detección de intrusos basados en
host.
5. 5
Arquitectura de IDS
IDSes basados en maquina
Mientras que los sistemas de detección de intrusos basados
en red operan bajo todo un dominio de colisión, los basados
en maquina realizan su función protegiendo un único sistema;
de una forma similar a como actúa un escudo antivirus
residente en el sistema operativo, el IDS es un proceso que
trabaja en background (o que despierta periódicamente)
buscando patrones que puedan denotar un intento de
intrusión o mala utilización y alertando o tomando las
medidas oportunas en caso de que uno de estos intentos sea
detectado.
IDS
IDS
6. 6
¿CÓMO FUNCIONA?
IDS
Filtros
Descartan
paquetes de
información que
cumplen con
ciertos criterios
como IP fuente,
protocolo, puerto.
Patrones
Comparan la
información de los
paquetes y los
datos mismos para
tomar acciones
correctivas como
desconexión, e-mail,
almacenamiento
en logs, etc.
7. 7
Interoperabilidad y correlación
•La interoperabilidad, permite que un sistema IDS pueda
compartir u obtener información de otros sistemas como
Firewalls, Enrutadores y Switches, lo que permite
reconfigurar las características de la red de acuerdo a los
eventos que se generan. También permite que se utilicen
protocolos como SNMP (Simple Network Management
Protocol) para enviar notificaciones y alertas a otras
maquinas de la red.
•La correlación es una característica que añade a los IDS la
capacidad de establecer relaciones lógicas entre eventos
diferentes e independientes, lo que permite manejar eventos
de seguridad complejos que individualmente no son muy
significativos, pero que analizados como un todo pueden
representar un riesgo alto en la seguridad del sistema.
8. 8
IPDS Vs Firewall
Los firewalls están atentos a los intrusos pero no a los
ataques internos en la red.
Los IDPS ven ataques en los propios firewalls gracias a la
detección basada en firmas las cuales son pasadas por
altos en dichos equipos.
Los IDPS investigan el contenido y los archivos de
registros de Firewalls, Routers
El firewall busca intrusos en la red a fin de que un ataque
no suceda.
El IDPS evalúa intrusiones sospechosas que han tenido
lugar y genera un alerta de ello
Estas herramientas son creadas para utilizarse en
conjunto y no para sustituir una por
9. 9
INTEGRACIÓN CON FIREWALL
Normalmente el IDS se integra con un firewall.
El detector de intrusos es incapaz de detener los
ataques por sí solo, excepto los que trabajan
conjuntamente en un dispositivo de puerta de enlace
con funcionalidad de firewall.
Al integrarles, se obtiene una herramienta muy
poderosa que une la inteligencia del IDS y el poder
de bloqueo del firewall, el punto por donde
forzosamente deben pasar los paquetes y donde
pueden ser bloqueados antes de penetrar en la red.
10. 10
Escenarios de monitoreo de Seguridad
Sensor por dentro del FireWall
IDS
FireWall
Internet
11. 11
Escenarios de monitoreo de Seguridad
Sensor por fuera del FireWall
IDS
FireWall
Internet
12. 12
Escenarios de monitoreo de Seguridad
Sistemas híbridos
IDS
FireWall
Internet
IDS
13. 13
Tendencias y proyección de IDSs
Realidad:
Los ataques están incrementando
Las herramientas son cada día mas sofisticadas
Cyber-Terrorismo
Atacantes Internos
Soluciones a futuro:
Integración de Antivirus con IDSs y FireWalls
Desencripcion del trafico encriptado para análisis de Seguridad
Correlación de eventos entre diferentes dispositivos en la red
Detección de intrusos a nivel de aplicativo, como por ejemplo software
de oficina
Personal mas calificado en temas de seguridad informática
15. 15
Los riesgos de seguridad no se pueden eliminar
o prevenir completamente.
Una política de seguridad es un importante
componente para decidir como el riesgo puede
ser manejado.
Los Routers proveen un gran numero de
servicios de red que permiten a los usuarios
mantener procesos y conectividad de red, alguno
de estos servicios pueden ser restringidos o
deshabilitados previniendo problemas de
seguridad.
16. 16
El ciclo de seguridad
Muchos de los incidentes de seguridad ocurren debido a
que los administradores no implementan medidas que
contabilicen ataques, o reconozcan riesgos potenciales
como hackers o personal interno; en general el problema
no solo es uno
Es donde se implementa el ciclo de seguridad, un
proceso continuo como primera medida a implementar
Los pasos para la implementación son los siguientes:
Asegurar
Monitorear
Probar
Mejorar
17. 17
Políticas de seguridad de red
Beneficios
Auditoria con datos actuales
Provee una vista general de la red
Define el comportamiento permitido y no permitido
A menudo ayuda a determinar que herramientas son
necesitadas por la organización
Ayuda a comunicar al grupo clave de la organización
para la definición de responsabilidades
Creación de procesos en el manejo de incidentes
Habilita la implementación de la seguridad global
Crea los parámetros para una acción legal si es
necesaria
18. 18
Componentes y tecnologías basadas en la
seguridad
En PCs nuevas, cuando un nuevo sistema
operativo es instalado en una computadora, las
opciones de seguridad están configuradas con
opciones inadecuadas
Los nombres de usuario y passwords deben de ser
cambiados inmediatamente
Acceso a los recursos del sistema debería de ser
restringido a las personas y equipo autorizado
Cualquier servicio o aplicaciones innecesarias deben de
ser desinstaladas cuando sea posible
19. 19
Componentes y tecnologías basadas en la
seguridad
Firewalls personales
En computadoras personales
conectadas al Internet a través de
conexiones DialUP, DSL, o cable
modems son un punto vulnerable
para la seguridad de la red, si
este es el caso es necesario
activar un Firewall Personal a fin
de prevenir ataques.
Este tipo de Firewalls no esta
diseñado para asegurar redes
internas o servidores, mas bien
previenen el acceso no
autorizado a información dentro
de una computadora personal
Alguno de las marcas: McAfee,
Norton, Symantec, Zone Labs
20. 20
Componentes y tecnologías basadas en la
seguridad
Software Anti-virus
Habrá que instalar un
software que proteja a las
computadoras personales
contra virus o aplicaciones
Trojanas
Paquetes de servicio de
sistema operativo
La forma mas efectiva de
mitigar cualquier problema
inusual del sistema
operativo es instalar los
“parches” o
actualizaciones al SO.
21. 21
Mantenimiento de PCs
Es necesario mantener un inventario de cada
uno de los equipos en la red, como estaciones
de trabajo, servidores y laptops, incluyendo
números de serie
Es particularmente importante educar a los
empleados sobre el mantenimiento seguro de las
laptops
Cuando el software, dispositivos de hardware o
componentes de almacenamiento son
remplazados debe ser reflejado el cambio en el
inventario, para esto deben de existir los
procedimientos necesarios
22. 22
Componentes y tecnologías basadas en la red
Appliance
Firewall
Server Firewall
IDS
VPN
Identity
23. 23
La red de auto-defensa
Esta estrategia permite a las organizaciones usar
su inversión actual de enrutamiento, conmutación,
inalámbrico y plataformas de seguridad para crear
un sistema que pueda ayudar a identificar, prevenir
y adaptarse a los ataques continuos a la empresa
Tres sistemas
Conectividad segura
Defensa
Confiabilidad y
Soluciones de Identidad
24. 24
Conectividad Segura
Asegura la privacidad e integridad de toda la información
que es vital para la empresa
Las empresas además de proteger las comunicaciones
externas, ellos deben de asegurar que la información
transportada a través del cableado interno y de la
infraestructura inalámbrica permanezca confidencial
Soluciones
VPN Site-to-Site
VPNs de acceso remoto
Seguridad de Voz
Seguridad Inalámbrica
Manejo de Soluciones y Monitoreo
25. 25
Manejo de defensa
Este sistema ofrece de forma conjunta soluciones de seguridad y
tecnologías de red inteligente a fin de identificar y mitigar todos los
riesgos desde dentro y fuera de la organización
Elementos
Seguridad en el punto de acceso (Endpoint)
Integración de firewalls
Prevención de intrusos
Servicios de seguridad y de red inteligentes
Manejo y Monitoreo
26. Confiabilidad y soluciones de Identidad
Las organizaciones necesitan de forma eficiente y segura
saber quien, que y cuando los accesos a la red ocurren y
como es ese acceso, esta solución puede convertir
virtualmente cada dispositivo de red en un dispositivo dentro
de una parte integral de toda una estrategia de seguridad
26
Funciones
Re-enforzamiento
Aprovisionamiento
Monitoreo