seguridad informática
Componentes de un IDPS
Agente o sensor Administrador del servicio DB server Consola
IPS
Características igual a IDS además trata de detener los posibles ataques o incidentes
Capacidades de seguridad 2
Identifica host. Identifica sistemas operativos. Identifica aplicaciones. Identifica características de red: numero de saltos entre dos dispositivos.
Antivirus
La técnica mas usada contra el malware es el antivirus. El antivirus funciona principalmente en un análisis basado en firmas.
DB server
repositorio donde se guarda la información grabada por los agentes
Black list
se encuentran los host, ips, URL, etc asociadas a actividad maliciosa.
IDPS Rules
1:24383 <-> DISABLED <-> MALWARE-CNC Win.Trojan.Dipwit outbound communication (malware-cnc.rules) 1:24382 <-> ENABLED <-> MALWARE-CNC Win.Trojan.XBlocker outbound communication (malware-cnc.rules) 1:24381 <-> ENABLED <-> MALWARE-CNC Win.Trojan.XBlocker outbound communication (malware-cnc.rules) 1:24380 <-> DISABLED <-> WEB-IIS Microsoft Windows IIS FastCGI request header buffer overflow attempt (web-iis.rules)
Configuración de alertas
Apagar alertas. Asignación de prioridad de alertas. Información que se va a guardar, métodos de notificación. Especificación de que medida de prevención se va a usar .
Tipos de IDPS
Basados en red Wireless. Análisis de comportamiento de red Host-Based
Capacidades de seguridad
Capacidades de loggin. Registra eventos Capacidades de detección. Capacidades de prevención.
Metodologías Comunes de Detección
Detección de Firmas Detección basada en anomalías Análisis de estado de protocolo
Administración de un IDPS
Diseñar una arquitectura: Donde serán puestos los sensores. Que tan confiable debe ser la solución y que medidas se usaran: poner múltiples sensores en caso de que uno falle, usar múltiples servers etc. Donde serán colocados los otros componentes del IDPS Que sistemas necesitan ser adecuados para la implantación del IDPS: reglas de firewall etc.
Honeypots
Es un host que tiene usuarios no autorizados mas que los honeypot administradores. No tiene funciones de negocio. Toda actividad que pasa por el es considerada como sospechosa. Un atacante que escanea un honeypot esta dando información a la organización, herramientas, malware etc.
Funciones de IDPS
Grabar información relacionada a eventos observados. Notificar a los administradores de sistemas de los eventos observados. Producir reportes.
Como ayuda un antivirus a un IDPS?
IDPS tiene capacidad limitada de detección de malware NBA puede identificar gusanos en base a trafico de red, pero el antivirus puede identificar que gusano es.
IDPS usos
Identificar problemas en la política de seguridad: reglas de firewall, configuración de firewall. Documentar la amenaza existente en una org.:provee info, Disuadir a las personas que tratan de violar las políticas
IDPS: Basados en red
Inline, Pasivo, IDS load Balancer
Otras funciones de un IDPS
Parar un ataque: terminar la conexión o sesión de un usuario, bloquear el accesos al objetivo. Cambiar el ambiente de seguridad: puede cambiar la configuración de una red (firewall, router, switch) para prevenir un ataque. Cambiar el contenido del ataque: remueve el archivo con virus. Otros mas especializados: normalizan las entradas.
Análisis de estado de protocolo
Se basa en la comparación de perfiles predeterminados para cada protocolo contra los eventos observados.
Capacidades de loggin2
Timestamp., Conexiones y sesiones, Eventos, Rating: prioridad, severidad, impacto Red, transporte, protocolos de capa de aplicación Origen y destino IP Origen y destino TCP, UDP Numero de bytes transmitidos Preguntas y respuestas de aplicaciones Información de estado Acción de prevención tomada (en caso de un ataque)
Capacidades de detección
Umbral, Black list, White list,Configuración de alertas,Ver y editar código
Análisis de comportamiento de red
analiza el trafico de la red e identifica amenazas que generan trafico inusual como DDoS, malware. Es comúnmente usado como monitor de red interna.
Host-Based
analiza los eventos ocurridos en una maquina
Ver y editar código
ayuda a determinar porque se genero una alerta en particular, además ayuda a identificar falsos positivos.
Pasivo
copia todo el trafico de red, no pasa trafico por el. Monitorea el trafico de lugares clave como divisiones de red, actividad en la DMZ. Spanning Port: puertos que ven todo el trafico de la red del switch. Un sensor es conectado a este puerto para monitorear la red. Network tap: conexión directa entre el sensor y la capa física de red.
Detección de Firmas
detecta patrones que correspondan con firmas en una BD, El método de detección basado en firmas es el mas simple. Ya que solo compara la actividad con una lista.
Administrador del servicio
dispositivo centralizado que recibe la información del agente y la administra.
IDS load Balancer
dispositivo que dirige el trafico de la red a sensores IDPS. Envía el trafico a múltiples sensores. Divide el trafico dinámicamente a través de múltiples sensores basado en volumen de trafico. Divide el trafico dinámicamente a través de múltiples sensores basado en IP's, protocolos etc.
Detección basada en anomalías
es el proceso de comparar la actividad actual contra actividades que son consideradas como "normales" . Para realizar esta tarea a un IDPS se le configuran perfiles que representa el comportamiento normal.
Consola
es el programa que provee la interface de un IDPS para usuarios y admin.
IDPS
intrusión detección y prevención sistemas, detecta una vulnerabilidad,puede reportar el problema inmediatamente,configurado con las reglas del firewall para que identifique el trafico de la red. monitorear el trafico de archivos en la red
Umbral
limites entre el comportamiento normal y el anormal. Especifica el valor máximo aceptado, ejemplo numero máximo de conexiones.
Basados en red
monitorea el trafico de la red, segmentos y dispositivos, identifica actividades sospechosas en la red.
Agente o sensor
monitorea y analiza la actividad.
Uso de un IDPS
puede identificar las actividades de reconocimiento, por ejemplo el escaneo con NMAP.
White list
se encuentran entidades que son benignas. Host confiables. Es comúnmente usada en la detección basada en firmas.
IDS
software que automatiza el proceso de deteccion de intrusos
Inline
todo el trafico de la red debe de pasar por el sensor. Algunos sensores inline son híbridos es decir funcionan como IDPS y firewall. La motivación principal de este tipo de arquitectura es detener ataques bloqueando el trafico de red.