seguridad informática

Ace your homework & exams now with Quizwiz!

Componentes de un IDPS

Agente o sensor Administrador del servicio DB server Consola

IPS

Características igual a IDS además trata de detener los posibles ataques o incidentes

Capacidades de seguridad 2

Identifica host. Identifica sistemas operativos. Identifica aplicaciones. Identifica características de red: numero de saltos entre dos dispositivos.

Antivirus

La técnica mas usada contra el malware es el antivirus. El antivirus funciona principalmente en un análisis basado en firmas.

DB server

repositorio donde se guarda la información grabada por los agentes

Black list

se encuentran los host, ips, URL, etc asociadas a actividad maliciosa.

IDPS Rules

1:24383 <-> DISABLED <-> MALWARE-CNC Win.Trojan.Dipwit outbound communication (malware-cnc.rules) 1:24382 <-> ENABLED <-> MALWARE-CNC Win.Trojan.XBlocker outbound communication (malware-cnc.rules) 1:24381 <-> ENABLED <-> MALWARE-CNC Win.Trojan.XBlocker outbound communication (malware-cnc.rules) 1:24380 <-> DISABLED <-> WEB-IIS Microsoft Windows IIS FastCGI request header buffer overflow attempt (web-iis.rules)

Configuración de alertas

Apagar alertas. Asignación de prioridad de alertas. Información que se va a guardar, métodos de notificación. Especificación de que medida de prevención se va a usar .

Tipos de IDPS

Basados en red Wireless. Análisis de comportamiento de red Host-Based

Capacidades de seguridad

Capacidades de loggin. Registra eventos Capacidades de detección. Capacidades de prevención.

Metodologías Comunes de Detección

Detección de Firmas Detección basada en anomalías Análisis de estado de protocolo

Administración de un IDPS

Diseñar una arquitectura: Donde serán puestos los sensores. Que tan confiable debe ser la solución y que medidas se usaran: poner múltiples sensores en caso de que uno falle, usar múltiples servers etc. Donde serán colocados los otros componentes del IDPS Que sistemas necesitan ser adecuados para la implantación del IDPS: reglas de firewall etc.

Honeypots

Es un host que tiene usuarios no autorizados mas que los honeypot administradores. No tiene funciones de negocio. Toda actividad que pasa por el es considerada como sospechosa. Un atacante que escanea un honeypot esta dando información a la organización, herramientas, malware etc.

Funciones de IDPS

Grabar información relacionada a eventos observados. Notificar a los administradores de sistemas de los eventos observados. Producir reportes.

Como ayuda un antivirus a un IDPS?

IDPS tiene capacidad limitada de detección de malware NBA puede identificar gusanos en base a trafico de red, pero el antivirus puede identificar que gusano es.

IDPS usos

Identificar problemas en la política de seguridad: reglas de firewall, configuración de firewall. Documentar la amenaza existente en una org.:provee info, Disuadir a las personas que tratan de violar las políticas

IDPS: Basados en red

Inline, Pasivo, IDS load Balancer

Otras funciones de un IDPS

Parar un ataque: terminar la conexión o sesión de un usuario, bloquear el accesos al objetivo. Cambiar el ambiente de seguridad: puede cambiar la configuración de una red (firewall, router, switch) para prevenir un ataque. Cambiar el contenido del ataque: remueve el archivo con virus. Otros mas especializados: normalizan las entradas.

Análisis de estado de protocolo

Se basa en la comparación de perfiles predeterminados para cada protocolo contra los eventos observados.

Capacidades de loggin2

Timestamp., Conexiones y sesiones, Eventos, Rating: prioridad, severidad, impacto Red, transporte, protocolos de capa de aplicación Origen y destino IP Origen y destino TCP, UDP Numero de bytes transmitidos Preguntas y respuestas de aplicaciones Información de estado Acción de prevención tomada (en caso de un ataque)

Capacidades de detección

Umbral, Black list, White list,Configuración de alertas,Ver y editar código

Análisis de comportamiento de red

analiza el trafico de la red e identifica amenazas que generan trafico inusual como DDoS, malware. Es comúnmente usado como monitor de red interna.

Host-Based

analiza los eventos ocurridos en una maquina

Ver y editar código

ayuda a determinar porque se genero una alerta en particular, además ayuda a identificar falsos positivos.

Pasivo

copia todo el trafico de red, no pasa trafico por el. Monitorea el trafico de lugares clave como divisiones de red, actividad en la DMZ. Spanning Port: puertos que ven todo el trafico de la red del switch. Un sensor es conectado a este puerto para monitorear la red. Network tap: conexión directa entre el sensor y la capa física de red.

Detección de Firmas

detecta patrones que correspondan con firmas en una BD, El método de detección basado en firmas es el mas simple. Ya que solo compara la actividad con una lista.

Administrador del servicio

dispositivo centralizado que recibe la información del agente y la administra.

IDS load Balancer

dispositivo que dirige el trafico de la red a sensores IDPS. Envía el trafico a múltiples sensores. Divide el trafico dinámicamente a través de múltiples sensores basado en volumen de trafico. Divide el trafico dinámicamente a través de múltiples sensores basado en IP's, protocolos etc.

Detección basada en anomalías

es el proceso de comparar la actividad actual contra actividades que son consideradas como "normales" . Para realizar esta tarea a un IDPS se le configuran perfiles que representa el comportamiento normal.

Consola

es el programa que provee la interface de un IDPS para usuarios y admin.

IDPS

intrusión detección y prevención sistemas, detecta una vulnerabilidad,puede reportar el problema inmediatamente,configurado con las reglas del firewall para que identifique el trafico de la red. monitorear el trafico de archivos en la red

Umbral

limites entre el comportamiento normal y el anormal. Especifica el valor máximo aceptado, ejemplo numero máximo de conexiones.

Basados en red

monitorea el trafico de la red, segmentos y dispositivos, identifica actividades sospechosas en la red.

Agente o sensor

monitorea y analiza la actividad.

Uso de un IDPS

puede identificar las actividades de reconocimiento, por ejemplo el escaneo con NMAP.

White list

se encuentran entidades que son benignas. Host confiables. Es comúnmente usada en la detección basada en firmas.

IDS

software que automatiza el proceso de deteccion de intrusos

Inline

todo el trafico de la red debe de pasar por el sensor. Algunos sensores inline son híbridos es decir funcionan como IDPS y firewall. La motivación principal de este tipo de arquitectura es detener ataques bloqueando el trafico de red.


Related study sets

Nutrition: Science and Applications 4e Chapters 1 - 7; 13 - 18; and Focus on Eating Disorders: Test Questions

View Set

CHAPTER 20 Nursing Care of the Child With an Alteration in Bowel Elimination/ Gastrointestinal Disorder

View Set

Psyc Chapter 5, psych ch. 5-8, test 2

View Set

Hemodialysis & Peritoneal Dialysis qs

View Set