Protección de afuera hacia adentro
99% protegido = 100% vulnerable
(Gp:) Router
(Gp:) DB srvr
(Gp:) IPS
(Gp:) SWITCH
(Gp:) FW
(Gp:) DMZ
(Gp:) LAN
(Gp:) STAGING
(Gp:) FW
CONCEPTOS VARIOS
Mininos privilegios
Security Policy
Input Validation
Documentation
Ingeniería social
Av,Hardeinig, Patches
IDS/IPS
Internet
DNS
APACHI WEB
DMZONE
switch
servers
Clients
http://www.x.com/etc/passwd
Conceptos básicos de IDS/IPS
Intrusion detection es el proceso de monitorizar los eventos que ocurren en la red o en una computadora y analizarlos para detectar intrusiones.
El IDS solamente reporta eventos, el IPS corta el trafico peligroso cuando detecta eventos peligrosos.
Hay dos tipos de IDS:
Host Intrusion Detection Systems (HIDSs)
Network Intrusion Detection Systems (NIDSs)
Host Intrusion Detection Systems (HIDSs)
Es importante implementar HIDS para detectar ataques que no fueron detectaron por el NIDS ( Seguridad en profundidad)
Es un Agente instalado sobre en sistema operativo para detectar ataques sobre ese mismo servidor.
Agnete podrá impactar el performance de la maquina sobre la cual esta instalado.
Reporta eventos a una consola central.
La consola tiene una base de datos de firmas de ataques.
En caso de detección de ataque la consola reporta al administrador vía mail, SMS etc
Host Intrusion Detection Systems (HIDS)
Ossec www.ossec.net open source
Tripwire www.tripwire.com open source
SAMHAIN http://la-samhna.de/samhain open source
Osiris http://osiris.shmoo.com open source
Aide http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=13 open source
Symantec Critical System Protection http://www.symantec.com/business/critical-system-protection
IBM Proventia http://www935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097
McAfee Total Protection for Endpoint http://www.mcafee.com/us/enterprise/products/security_suite_solutions/total_protection_solutions/total_protection_for_endpoint.html
Enterasys Dragon www.enterasys.com/products/ids
Network Intrusion Detection Systems (NIDSs)
El IDS el pasivo, no para los ataques solamente reporta problemas.
en la mayoría de los casos el IDS es un Appliance colocado en el perímetro de la red.
Tiene al mínimo 2 placas de red, una para analizar trafico, la otra para gestionar el IDS/Nics en promiscus mode
La Solución de IDS tiene dos componenetos: sensor y Management.
Detecta ataques con firmas (como AV).
Las firmas se actualizan de los servidores del vendor.
Hay IDs que permiten que uno mismo escriba y agregue firmas.
Port mirror puede crear mucha carga sobre el switch, perdida de paquetes.
Switch(config)# interface fa 0/1 Switch(config-if)# port monitor fastethernet 0/2
Network Intrusion Detection Systems (NIDSs)
El IDS es bueno como sus firmas-si las firmas están escritas mal, el IDS no va a detectar ataques.
Ejemplo de firma (snort):
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; content:"cmd.exe"; nocase; classtype:web-application-attack; sid:1002; rev:6;)
Network Intrusion Detection Systems (NIDSs)
Problema:
Que nos ayuda un sistema que solamente reporta problemas y no los para?
Intrusion Prevention Systems (IPS)
Activo- Todo el trafico pasa por el dispositivo.
El Sensor Tiene por lo menos 3 placas de red.
Los Sensores reportan al Management.
Para el ataque antes de llegar al destino.(Reset connection, cambio de rule base en el FW-peligroso!)
Hay 3 tipos de IPS:
Basado en firmas.
Anomalia detection.
Hybrid
Página siguiente |