Clase de Muestra 001
Upcoming SlideShare
Loading in...5
×
 

Clase de Muestra 001

on

  • 1,838 views

Inacap Santiago Centro

Inacap Santiago Centro

Statistics

Views

Total Views
1,838
Views on SlideShare
1,837
Embed Views
1

Actions

Likes
0
Downloads
57
Comments
0

1 Embed 1

http://www.slideshare.net 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • The only sure way to protect against every-increasing threats is to implement a protection system that focuses on the post-vulnerability pre-exploit area in time. It all starts with a vulnerability being discovered. After this, a window of opportunity is present – during the post-vulnerability phase prior to an exploit being created – that allows proactive security solutions to update and begin protecting without knowledge of what exploits may exist. This pre-exploit time can be years, months or hours and gives security organizations time to develop counter measures against possible exploits. The window of time between vulnerability discovery and exploit development is rapidly closing. Zero-day attacks – where an exploit is released the same day as a vulnerability is discovered – are now a reality. By employing the Virtual Patch process, Dynamic Threat Protection is the world’s only framework that focuses on the post-vulnerability, pre-exploit period with the required speed and accuracy to protect against zero-day threats. And then there are the vulnerabilities that have been around for months, but aren’t perceived as a great threat. SQL Slammer, a worm with propagation speed of seconds – not days, was able to reach the entire Internet in 10 minutes. Despite the fact that the exploited vulnerability was well published months prior, SQL Slammer wreaked havoc on the Internet. Its ability to spread to new hosts was unparalleled. Whilst many organizations were able to eventually defend against the worm (by applying a patch or blocking the traffic) the attacks happened so quickly the damage was done before any reactive security measures were effective. Organizations employing Dynamic Threat Protection were success in proactively protecting against this known vulnerability – but unknown attack. The focus returns back to the post-vulnerability pre-exploit era – the only window of time where preventative measures are possible. For reasons already noted, current patching regimes and disparate point solutions don’t possess the required agility and precision to deliver proactive protection. See below the significant windows of time left exposed by manual patching and disparate point solutions. The Virtual Patch process provides a buffer of time, allowing organizations to wait until bulk updates are available, rather than having apply each individual hotfix and reboot systems. Just like preventative medicine or car maintenance, the Virtual Patch process is based on the long-accepted knowledge that routine, preventative maintenance is far superior to the ‘break/fix’ alternative. It re-defines security maintenance and allows security operations to be handled as part of a normal IT change management process, allowing more effective and more efficient resource planning and more timely response to both known and unanticipated threats. The cost, time and risk-mitigating benefits of virtual patching are enormous when compared to the current need to disrupt systems on almost a weekly basis.

Clase de Muestra 001 Clase de Muestra 001 Presentation Transcript

  • Agenda
    • Conceptos de IDS e IPS
  • Agenda
    • Conceptos de IDS e IPS
      • ¿Qué es un IDS?
      • ¿Qué es un IPS?
      • ¿Porqué se requieren?
      • Diferencias entre IDS e IPS
      • Tipos de IDS e IPS
        • Firmas vs Anomalías
        • NIDS/NIPS
        • HIDS/HIPS
        • Dispositivos/software integrados
  • ¿Qué es un IDS?
    • IDS (Sistema de Detección de Intrusos)
    • Monitoreo pasivo con el fin de detectar indicios de actividad inapropiada, incorrecta o anómala.
    • Categorías de sistemas de detección de intrusos
    • “ Intrusion Detection" & "Misuse”
    Conceptos de IDS e IPS
  • ¿Qué es un IDS?
    • Un sistema de detección de intrusos (o IDS) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos Hackers, o de Script Kiddies que usan herramientas automáticas.
    • El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
  • Funcionamiento del IDS
    • El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos , paquetes malformados, etc.
    • Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
    • Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
  • Tipos de IDS
    • HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.
    • NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
  • Implementación
    • Es posible su implementación a nivel de hardware o software
    • En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI ) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI ), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.
  • Ventajas y desventajas
    • Ventajas:
    •  Transparente ante fallas
    •  No añade latencia
    •  (NIDS) Puede monitorear tráfico entre estaciones
    •  Requiere menos recursos.
    •  Bajo costo incluso gratis
    • Desventajas.
    •  Bajo nivel de protección
    •  monitoreo pasivo
  • ¿Qué es un IPS?
    • IPS (Sistema de Prevención de Intrusos)
    • Controla el acceso en una red informática
    • Extensión de los IDS
    • Mas cercano a las tecnologías de firewalls
    • IPS bloquea trafico
    • Tiene nueva tecnologías PROACTIVA
    • Protege de ataques externos como internos
    • Protege de amenazas conocidas como desconocidas
    • Monitoreo activo (IN-LINE) con el fin de detectar y detener actividades inapropiadas, incorrecta o anómala.
    Conceptos de IDS e IPS
  • Funcionamiento
    • Toman decisiones de control de acceso en base a contenidos del trafico
    • No es muy necesario parcharlos
    • Estos sistemas son un mecanismo PROACTIVO designado para detectar paquetes maliciosos dentro del trafico normal de la red. Detiene intrusiones bloqueando el trafico antes que este provoque un daño lo que es mas efectivo que enviar un alerta una vez que el trafico a sido liberado
    • IPS actúa a nivel de equipo (HW)
    • UN BUEN IPS
    • Bloqueo automatico de ataques
    • Proteccion de sistemas no parchados
    • Debe ser muy confiable
    • No debe afectar negativamente el funcionamiento
    • No debe bloquear trafico legitimo
    • Mejora el rendimiento de las redes
  • Funcionamiento IPS
    • Proactivamente: IPS
    Conceptos de IDS e IPS IPS  TCP/UDP/ICMP/etc
  • Tipos de IPS
    • HIPS (HostIPS): Tal como los sistemas de HIDS, el HIPS requiere de un agente instalado en el sistema que esta siendo protegido. Esto esta ligado al Kernel del sistema Operativo y servicios, monitoreando e interceptando llamadas al sistema para el Kernel o las APIs para prevenir ataques tan bien como analizando los Log
    • NIPS (NetworkIPS): Los NIPS combinan características de los IDS convencionales, de IPS y Firewall. Son conocidos como dispositivos IN-LINE. Como un típico firewall los NIPS poseen dos interfaces de red designadas como interna y externa. Los paquetes pasan en ambas interfaces por un motor de detección.
  • Implementación
    • Los NIPS, tal como su nombre los indica, se instalan en línea con el trafico, esto quiere decir que el trafico externo o untrusted se conecta a un interfaz del IPS (este corresponde al trafico proveniente del router de Internet), la otra interfaz se conecta al Firewall.
  • Funcionamiento IPS
    • Proactivamente: IPS
    Conceptos de IDS e IPS IPS  TCP/UDP/ICMP/etc
  • Ventajas y desventajas
    • Ventajas:
    •  Alto nivel de protección
    • Desventajas.
    •  Pudiera ser punto único de falla
    •  Añade latencia
    •  (NIPS) Sólo monitorea tráfico del uplink o enlace
  • ¿Porqué se requieren?
      • Firewalls y plataformas antivirus ya no son suficientes.
      • Es Necesario un nivel adicional de protección …
    Conceptos de IDS e IPS
  • ¿Porqué se requieren?
      • Diversificación de plataformas tecnológicas
      • Conocimiento avanzado de atacantes y facilidad de lanzar ataques
      • G ran cantidad de vulnerabilidades en los sistemas
    Conceptos de IDS e IPS
  • Diferencias entre IDS e IPS
    • Topológicamente:
    Conceptos de IDS e IPS IDS IPS Pasivo In-Line
  • Diferencias entre IDS e IPS
    • Reactivamente: IDS
    Conceptos de IDS e IPS IDS UDP, ICMP, etc
  • Diferencias entre IDS e IPS
    • Reactivamente: IDS
    Conceptos de IDS e IPS IDS TCP
  • Diferencias entre IDS e IPS
    • Reactivamente: IDS
    Conceptos de IDS e IPS IDS TCP RST TCP RST
  • Diferencias entre IDS e IPS
    • Proactivamente: IPS
    Conceptos de IDS e IPS IPS  TCP/UDP/ICMP/etc
  • Tipos de IDS e IPS Conceptos de IDS e IPS
    • Firmas ( Signature recognition )
    • Examinan el tráfico y/o comportamiento en busca de patrones de ataques previamente conocidos o violaciones al uso habitual del stack de algún protocolo
    • Enfoque en vulnerabilidad vs ataque
    • Ejemplo (tráfico):
      • ../winnt/system32/cmd.exe?/c+dir
    • Ejemplo (comportamiento):
      • Múltiples L ogins fallidos
      • Seguidos de un Login exitoso
    • Ejemplo (stack TCP/IP):
      • Fragmentos en sobre-posición
    • Anomalías ( Anomaly detection )
    • Detecta anomalías estadísticas (según una línea base previamente determinada), sin necesidad de ‘entender’ la causa subyacente
    • Algunas estadísticas:
      • Tráfico sobre un puerto no utilizado comúnmente
      • Utilización de CPU , RAM, discos, archivos
      • L ogins
    • Ejemplo: Múltiples ‘logins’ a servidores y ejecución de múltiples tareas a las 2 am
  • Tipos de IDS e IPS Conceptos de IDS e IPS
    • NIDS/NIPS
    • NIDS: Network Intrusion Detection System
    • NIPS (IPS): Network Intrusion Prevention System
    • Versiones de appliance (servidor con SO ‘seguro’ y/o ASICs ) y software (sobre un servidor de propósito general)
    • Permite ‘proteger’ varios dispositivos (incluso una red completa) con un único sistema de detección/prevención
    • NIDS actúa en modo pasivo
    • NIPS actúa en modo activo (en línea)
  • Tipos de IDS e IPS Conceptos de IDS e IPS
    • HIDS/HIPS
    • HIDS (SIDS): Host (Server) Intrusion Detection System
    • HIPS (SIPS): Host (Server) Intrusion Prevention System
    • Software que se instala sobre la plataforma a proteger (usualmente Servidores, también estaciones).
    • Utiliza recursos del Host (CPU, RAM, HD)
    • Es intrusivo, puede provocar conflictos con parches o software ya instalado
    • No sólo protegen de ataques en la red, también en forma local
    • Usualmente tienen visibilidad de tráfico cifrado
    • HIDS copia paquetes del stack de protocolos
    • HIPS intercepta los paquetes del stack de protocolos (preventivo, pero añade latencia)
  • Tipos de IDS e IPS Conceptos de IDS e IPS
    • Dispositivos/software integrados
    • Utilizan el concepto de ‘todo en uno’
      • IPS
      • Antivirus
      • Firewall
      • ‘ Application Compliance’
      • AntiSpam
      • Filtro de Contenidos
      • Etc
    • Ventajas
      • Reducen el tiempo empleado en analizar los paquetes
      • Usualmente menor costo que comprar cada uno de los componentes por separado
  • Tipos de IDS e IPS Conceptos de IDS e IPS
  • Tipos de IDS e IPS Conceptos de IDS e IPS
    • Dispositivos/software integrados (cont)
    • Desventajas:
      • Usualmente son punto único de fallas
      • Usualmente se obtienen mejores resultados usando el mejor producto para cada necesidad (Best Of Breed, Gartner)
    Firewall Management Anti-Virus Management Content/SPAM Management ID/PS Management Firewalls Network Security Vendors Anti-Virus ID/PS Content Filtering/SPAM
    • La implementación de sistemas IDS o IPS no reemplazan a un Firewall o a una plataforma Antivirus.
    • Plataformas IDS e IPS deben considerarse como herramientas complementarias , que en conjunto con sus productos de seguridad standard, aumenten su seguridad perimetral.
    Tipos de IDS e IPS + + = Inet
    • A la hora de tomar una decisión …
    • Definir el tipo de tecnología a utilizar.
    • IDS no es igual que IPS, ninguno de los dos reemplazan a un Firewall, ni a una solución Antivirus.
    • Madurez de la tecnología o solución.
    • Performance / Latencia De la Red.
    • Investigación, Updates Background Técnico Del Fabricante.
    • Precio.
    • Administración y Capacidad de Generar Reportes Relevantes.
    • Analizar Factores diferenciadores entre tecnologías
    Tipos de IDS e IPS
  • Tipos de IDS e IPS Protected