clase 18
TRANSCRIPT
Implementacion de prevencion de
intrusiones
O Los desafíos de seguridad que los
administradores de red de hoy en día enfrentan no pueden ser administrados exitosamente por una sola aplicación de cualquier tipo
O Aunque la implementación de las funciones de hardening (fortificación) de dispositivos, control de acceso AAA y firewall son parte de una red segura, por sí solas no pueden defender a la red contra los rápidos virus y gusanos de Internet.
O La red debe ser capaz de reconocer y mitigar instantáneamente las amenazas de virus y gusanos.
O No es posible contener a los intrusos en algunos puntos de la red.
O Se requiere prevención de intrusiones en toda la red para detectar y detener ataques en cada punto de entrada o salida.
O Se debe incluir sistemas de detección y prevención eficientes en cuanto a su costo, como sistemas de detección de intrusiones (IDS) o el más escalable sistema de prevención de intrusiones (IPS).
O La arquitectura de red integra estas soluciones en los puntos de entrada y salida de la red
Características de IDS e IPS
O El ataque de día cero, también conocido como amenaza de día cero
O Un enfoque sobre la prevención del
ingreso de gusanos y virus a la red es que el administrador monitoree continuamente la red y analice los archivos del registro generados por los dispositivos de red.
O Esta solución no es muy escalable:O toma muchoO constituye una perspectiva limitada de
los ataques que se lanzan contra la red.
O Para cuando se analizan los registros, el ataque ya empezó
IDSO Un IDS copia el tráfico de red y lo analiza en lugar
de reenviar los paquetes reales. O Compara el tráfico capturado con firmas
maliciosas conocidas de manera offline ( modo promiscuo) del mismo modo que el software que busca virus.
O Ventaja: no tiene efectos negativos sobre el flujo real de paquetes del tráfico reenviado
O Desventaja: no puede evitar que el tráfico malicioso de ataques de un solo paquete alcance el sistema objetivo antes de aplicar una respuesta para detener el ataque.
O El IDS generalmente requiere asistencia de otros dispositivos de red, como routers y firewalls, para responder a un ataque.
IPSO Se implementa en modo en línea.O No permite que los paquetes ingresen al lado confiable
de la red sin ser analizados primeroO Monitorea el tráfico de capas 3 y 4 y analiza los
contenidos y la carga de los paquetes en búsqueda de ataque sofisticados insertos en ellos, que pueden incluir datos maliciosos pertenecientes a las capas 2 a 7.
O Usan una mezcla de tecnologías de detección, incluyendo detecciones de intrusiones basadas en firma, basadas en perfil y de análisis de protocolo.
O Este análisis, más profundo, permite identificar, detener y bloquear ataques que pasarían a través de un dispositivo firewall tradicional.
O Cuando un paquete pasa a través de una interfaz en un IPS, no es enviado a la interfaz de salida o confiable hasta haber sido analizado.
O La ventaja de operar en modo en línea es que el IPS puede evitar que los ataques de un solo paquete alcancen el sistema objetivo.
O La desventaja es que un IPS mal configurado o una solución IPS inapropiada pueden tener efectos negativos en el flujo de paquetes del tráfico reenviado
O Las tecnologías IDS e IPS comparten en efecto varias características:O Se despliegan como sensores. O Un sensor IDS o IPS puede ser
cualquiera de los siguientes dispositivos:O Un router configurado con software IPS
IOS de CiscoO Un dispositivo diseñado específicamente
para proporcionar servicios IDS o IPS dedicados
O Un módulo de red instalado en un dispositivo de seguridad adaptable, switch o router
O Las tecnologías IDS e IPS usan firmas para detectar patrones de mal uso en el tráfico de la red.
O La firma es un grupo de reglas que usa el IDS o IPS para detectar actividad típica de intrusiones.
O Las firmas pueden ser usadas para detectar brechas de seguridad severas, ataques de red comunes y recolección de información.
O Las tecnologías IDS e IPS pueden detectar tanto patrones de firma atómicos (de un solo paquete) como compuestos (multipaquete).
Implementaciones de IPS basadas en HOST
CSAO Proporciona seguridad de host a las empresas ya
que despliega agentes que las defienden contra los ataques que proliferan a través de las redes.
O Estos agentes operan usando un grupo de políticas que son asignadas selectivamente a cada nodo del sistema de la red por el administrador.
O El CSA contiene dos componentes:O Centro de administración - Instalado en un servidor
central y administrado por un administrador de red.O Agente de seguridad - Instalado y ejecutado en un
sistema host.
O El CSA examina continuamente procesos, registros de eventos de seguridad, archivos del sistema críticos y registros del sistema en búsqueda de entradas maliciosas.
O Puede ser instalado en servidores de acceso público, servidores de correo electrónico de la empresa, servidores de aplicación y escritorios de usuario.
O Notifica los eventos a un servidor de consola de administración central ubicado dentro del firewall de la empresa.
O Cuando se instala en un host, el CSA controla la operación del sistema, protegiendo a los sistemas con políticas configuradas y desplegadas por los administradores de red a los agentes.
O Estas políticas permiten o deniegan acciones específicas del sistema.
O Los agentes deben revisar si la acción se permite o deniega antes de acceder y actuar sobre cualquier recurso de la red.
O Este proceso ocurre transparentemente y no afecta el rendimiento general del sistema.
O Salvo que ocurra una operación errante o inesperada en el sistema, el agente no interfiere con las operaciones diarias.