Clase 18

Implementacion de
prevencion de
intrusiones

O Los desafíos de seguridad que los
administradores de red de hoy en día
enfrentan no pueden ser administrados
exitosamente por una sola aplicación de
cualquier tipo
O Aunque la implementación de las funciones
de hardening (fortificación) de dispositivos,
control de acceso AAA y firewall son parte de
una red segura, por sí solas no pueden
defender a la red contra los rápidos virus y
gusanos de Internet.
O La red debe ser capaz de reconocer y mitigar
instantáneamente las amenazas de virus y
gusanos.

O No es posible contener a los intrusos en
algunos puntos de la red.
O Se requiere prevención de intrusiones en
toda la red para detectar y detener
ataques en cada punto de entrada o
salida.
O Se debe incluir sistemas de detección y
prevención eficientes en cuanto a su
costo, como sistemas de detección de
intrusiones (IDS) o el más escalable
sistema de prevención de intrusiones
(IPS).
O La arquitectura de red integra estas
soluciones en los puntos de entrada y
salida de la red

Características de IDS e IPS
O El ataque de día cero, también conocido
como amenaza de día cero

O Un enfoque sobre la prevención del
ingreso de gusanos y virus a la red es que
el administrador monitoree continuamente
la red y analice los archivos del registro
generados por los dispositivos de red.
O Esta solución no es muy escalable:
O toma mucho
O constituye una perspectiva limitada de los
ataques que se lanzan contra la red.
O Para cuando se analizan los registros, el
ataque ya empezó

IDS
O Un IDS copia el tráfico de red y lo analiza en
lugar de reenviar los paquetes reales.
O Compara el tráfico capturado con firmas
maliciosas conocidas de manera offline (
modo promiscuo) del mismo modo que el
software que busca virus.
O Ventaja: no tiene efectos negativos sobre el
flujo real de paquetes del tráfico reenviado
O Desventaja: no puede evitar que el tráfico
malicioso de ataques de un solo paquete
alcance el sistema objetivo antes de aplicar
una respuesta para detener el ataque.
O El IDS generalmente requiere asistencia de
otros dispositivos de red, como routers y
firewalls, para responder a un ataque.

IPS
O Se implementa en modo en línea.
O No permite que los paquetes ingresen al lado
confiable de la red sin ser analizados primero
O Monitorea el tráfico de capas 3 y 4 y analiza los
contenidos y la carga de los paquetes en búsqueda
de ataque sofisticados insertos en ellos, que pueden
incluir datos maliciosos pertenecientes a las capas 2
a 7.
O Usan una mezcla de tecnologías de detección,
incluyendo detecciones de intrusiones basadas en
firma, basadas en perfil y de análisis de protocolo.
O Este análisis, más profundo, permite identificar,
detener y bloquear ataques que pasarían a través de
un dispositivo firewall tradicional.
O Cuando un paquete pasa a través de una interfaz en
un IPS, no es enviado a la interfaz de salida o
confiable hasta haber sido analizado.

O La ventaja de operar en modo en línea es
que el IPS puede evitar que los ataques
de un solo paquete alcancen el sistema
objetivo.
O La desventaja es que un IPS mal
configurado o una solución IPS
inapropiada pueden tener efectos
negativos en el flujo de paquetes del
tráfico reenviado

O Las tecnologías IDS e IPS comparten en
efecto varias características:
O Se despliegan como sensores.
O Un sensor IDS o IPS puede ser cualquiera
de los siguientes dispositivos:
O Un router configurado con software IPS IOS
de Cisco
O Un dispositivo diseñado específicamente
para proporcionar servicios IDS o IPS
dedicados
O Un módulo de red instalado en un dispositivo
de seguridad adaptable, switch o router

O Las tecnologías IDS e IPS usan firmas para
detectar patrones de mal uso en el tráfico de
la red.
O La firma es un grupo de reglas que usa el IDS
o IPS para detectar actividad típica de
intrusiones.
O Las firmas pueden ser usadas para detectar
brechas de seguridad severas, ataques de
red comunes y recolección de información.
O Las tecnologías IDS e IPS pueden detectar
tanto patrones de firma atómicos (de un solo
paquete) como compuestos (multipaquete).

Implementaciones de IPS
basadas en HOST

CSA
O Proporciona seguridad de host a las empresas ya
que despliega agentes que las defienden contra
los ataques que proliferan a través de las redes.
O Estos agentes operan usando un grupo de
políticas que son asignadas selectivamente a cada
nodo del sistema de la red por el administrador.
O El CSA contiene dos componentes:
O Centro de administración - Instalado en un
servidor central y administrado por un
administrador de red.
O Agente de seguridad - Instalado y ejecutado en
un sistema host.

O El CSA examina continuamente procesos,
registros de eventos de seguridad,
archivos del sistema críticos y registros
del sistema en búsqueda de entradas
maliciosas.
O Puede ser instalado en servidores de
acceso público, servidores de correo
electrónico de la empresa, servidores de
aplicación y escritorios de usuario.
O Notifica los eventos a un servidor de
consola de administración central ubicado
dentro del firewall de la empresa.

O Cuando se instala en un host, el CSA controla
la operación del sistema, protegiendo a los
sistemas con políticas configuradas y
desplegadas por los administradores de red a
los agentes.
O Estas políticas permiten o deniegan acciones
específicas del sistema.
O Los agentes deben revisar si la acción se
permite o deniega antes de acceder y actuar
sobre cualquier recurso de la red.
O Este proceso ocurre transparentemente y no
afecta el rendimiento general del sistema.
O Salvo que ocurra una operación errante o
inesperada en el sistema, el agente no
interfiere con las operaciones diarias.

Clase 18

Más contenido relacionado

La actualidad más candente

Similar a Clase 18

Más de Titiushko Jazz

Clase 18