Implementacion de prevencion de

intrusiones

O Los desafíos de seguridad que los

administradores de red de hoy en día enfrentan no pueden ser administrados exitosamente por una sola aplicación de cualquier tipo

O Aunque la implementación de las funciones de hardening (fortificación) de dispositivos, control de acceso AAA y firewall son parte de una red segura, por sí solas no pueden defender a la red contra los rápidos virus y gusanos de Internet.

O La red debe ser capaz de reconocer y mitigar instantáneamente las amenazas de virus y gusanos.

O No es posible contener a los intrusos en algunos puntos de la red.

O Se requiere prevención de intrusiones en toda la red para detectar y detener ataques en cada punto de entrada o salida.

O Se debe incluir sistemas de detección y prevención eficientes en cuanto a su costo, como sistemas de detección de intrusiones (IDS) o el más escalable sistema de prevención de intrusiones (IPS).

O La arquitectura de red integra estas soluciones en los puntos de entrada y salida de la red

Características de IDS e IPS

O El ataque de día cero, también conocido como amenaza de día cero

O Un enfoque sobre la prevención del

ingreso de gusanos y virus a la red es que el administrador monitoree continuamente la red y analice los archivos del registro generados por los dispositivos de red.

O Esta solución no es muy escalable:O toma muchoO constituye una perspectiva limitada de

los ataques que se lanzan contra la red.

O Para cuando se analizan los registros, el ataque ya empezó

IDSO Un IDS copia el tráfico de red y lo analiza en lugar

de reenviar los paquetes reales. O Compara el tráfico capturado con firmas

maliciosas conocidas de manera offline ( modo promiscuo) del mismo modo que el software que busca virus.

O Ventaja: no tiene efectos negativos sobre el flujo real de paquetes del tráfico reenviado

O Desventaja: no puede evitar que el tráfico malicioso de ataques de un solo paquete alcance el sistema objetivo antes de aplicar una respuesta para detener el ataque.

O El IDS generalmente requiere asistencia de otros dispositivos de red, como routers y firewalls, para responder a un ataque.

IPSO Se implementa en modo en línea.O No permite que los paquetes ingresen al lado confiable

de la red sin ser analizados primeroO Monitorea el tráfico de capas 3 y 4 y analiza los

contenidos y la carga de los paquetes en búsqueda de ataque sofisticados insertos en ellos, que pueden incluir datos maliciosos pertenecientes a las capas 2 a 7.

O Usan una mezcla de tecnologías de detección, incluyendo detecciones de intrusiones basadas en firma, basadas en perfil y de análisis de protocolo.

O Este análisis, más profundo, permite identificar, detener y bloquear ataques que pasarían a través de un dispositivo firewall tradicional.

O Cuando un paquete pasa a través de una interfaz en un IPS, no es enviado a la interfaz de salida o confiable hasta haber sido analizado.

O La ventaja de operar en modo en línea es que el IPS puede evitar que los ataques de un solo paquete alcancen el sistema objetivo.

O La desventaja es que un IPS mal configurado o una solución IPS inapropiada pueden tener efectos negativos en el flujo de paquetes del tráfico reenviado

O Las tecnologías IDS e IPS comparten en efecto varias características:O Se despliegan como sensores. O Un sensor IDS o IPS puede ser

cualquiera de los siguientes dispositivos:O Un router configurado con software IPS

IOS de CiscoO Un dispositivo diseñado específicamente

para proporcionar servicios IDS o IPS dedicados

O Un módulo de red instalado en un dispositivo de seguridad adaptable, switch o router

O Las tecnologías IDS e IPS usan firmas para detectar patrones de mal uso en el tráfico de la red.

O La firma es un grupo de reglas que usa el IDS o IPS para detectar actividad típica de intrusiones.

O Las firmas pueden ser usadas para detectar brechas de seguridad severas, ataques de red comunes y recolección de información.

O Las tecnologías IDS e IPS pueden detectar tanto patrones de firma atómicos (de un solo paquete) como compuestos (multipaquete).

Implementaciones de IPS basadas en HOST

CSAO Proporciona seguridad de host a las empresas ya

que despliega agentes que las defienden contra los ataques que proliferan a través de las redes.

O Estos agentes operan usando un grupo de políticas que son asignadas selectivamente a cada nodo del sistema de la red por el administrador.

O El CSA contiene dos componentes:O Centro de administración - Instalado en un servidor

central y administrado por un administrador de red.O Agente de seguridad - Instalado y ejecutado en un

sistema host.

O El CSA examina continuamente procesos, registros de eventos de seguridad, archivos del sistema críticos y registros del sistema en búsqueda de entradas maliciosas.

O Puede ser instalado en servidores de acceso público, servidores de correo electrónico de la empresa, servidores de aplicación y escritorios de usuario.

O Notifica los eventos a un servidor de consola de administración central ubicado dentro del firewall de la empresa.

O Cuando se instala en un host, el CSA controla la operación del sistema, protegiendo a los sistemas con políticas configuradas y desplegadas por los administradores de red a los agentes.

O Estas políticas permiten o deniegan acciones específicas del sistema.

O Los agentes deben revisar si la acción se permite o deniega antes de acceder y actuar sobre cualquier recurso de la red.

O Este proceso ocurre transparentemente y no afecta el rendimiento general del sistema.

O Salvo que ocurra una operación errante o inesperada en el sistema, el agente no interfiere con las operaciones diarias.