Protección de afuera hacia adentro 99% protegido = 100% vulnerable
(Gp:) Router (Gp:) DB srvr (Gp:) IPS (Gp:) SWITCH (Gp:) FW (Gp:) DMZ (Gp:) LAN (Gp:) STAGING (Gp:) FW
CONCEPTOS VARIOS
Mininos privilegios
Security Policy
Input Validation
Documentation
Ingeniería social
Av,Hardeinig, Patches
IDS/IPS Internet DNS APACHI WEB DMZONE switch servers Clients http://www.x.com/etc/passwd
Conceptos básicos de IDS/IPS
“Intrusion detection” es el proceso de monitorizar los eventos que ocurren en la red o en una computadora y analizarlos para detectar intrusiones. El IDS solamente reporta eventos, el IPS corta el trafico peligroso cuando detecta eventos peligrosos.
Hay dos tipos de IDS:
Host Intrusion Detection Systems (HIDSs) Network Intrusion Detection Systems (NIDSs)
Host Intrusion Detection Systems (HIDSs)
Es importante implementar HIDS para detectar ataques que no fueron detectaron por el NIDS ( Seguridad en profundidad) Es un Agente instalado sobre en sistema operativo para detectar ataques sobre ese mismo servidor. Agnete podrá impactar el performance de la maquina sobre la cual esta instalado. Reporta eventos a una consola central. La consola tiene una base de datos de firmas de ataques. En caso de detección de ataque la consola reporta al administrador vía mail, SMS etc
Host Intrusion Detection Systems (HIDS)
Ossec www.ossec.net open source Tripwire www.tripwire.com open source SAMHAIN http://la-samhna.de/samhain open source Osiris http://osiris.shmoo.com open source Aide http://www.gentoo.org/doc/en/security/security-handbook.xml?part=1&chap=13 open source Symantec Critical System Protection http://www.symantec.com/business/critical-system-protection IBM Proventia http://www935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097 McAfee Total Protection for Endpoint http://www.mcafee.com/us/enterprise/products/security_suite_solutions/total_protection_solutions/total_protection_for_endpoint.html Enterasys Dragon www.enterasys.com/products/ids
Network Intrusion Detection Systems (NIDSs)
El IDS el pasivo, no para los ataques solamente reporta problemas. en la mayoría de los casos el IDS es un Appliance colocado en el perímetro de la red. Tiene al mínimo 2 placas de red, una para analizar trafico, la otra para gestionar el IDS/Nic’s en promiscus mode La Solución de IDS tiene dos componenetos: sensor y Management. Detecta ataques con firmas (como AV). Las firmas se actualizan de los servidores del vendor. Hay ID’s que permiten que uno mismo escriba y agregue firmas. Port mirror puede crear mucha carga sobre el switch, perdida de paquetes.
Switch(config)# interface fa 0/1 Switch(config-if)# port monitor fastethernet 0/2
Network Intrusion Detection Systems (NIDSs)
El IDS es bueno como sus firmas-si las firmas están escritas mal, el IDS no va a detectar ataques.
Ejemplo de firma (snort): alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; content:"cmd.exe"; nocase; classtype:web-application-attack; sid:1002; rev:6;)
Network Intrusion Detection Systems (NIDSs)
Problema:
Que nos ayuda un sistema que solamente reporta problemas y no los para?
Intrusion Prevention Systems (IPS)
Activo- Todo el trafico pasa por el dispositivo. El Sensor Tiene por lo menos 3 placas de red. Los Sensores reportan al Management. Para el ataque antes de llegar al destino.(Reset connection, cambio de rule base en el FW-peligroso!) Hay 3 tipos de IPS: Basado en firmas. Anomalia detection. Hybrid
| Página siguiente |