Arquitectura de Seguridad II - ITAM

Arquitectura de Seguridad II

Jorge Luis Ojeda

RealNet, S.A. de C.V.

Módulo III

Sesión 2 . IDS e IPSArquitecturas de Seguridad III 1

Arquitecturas de Seguridad III 2

74% de las organizaciones tuvieron pérdidas por mas de 266

M usd en el 2000

$29MM en ataques de virus

· $28MM en ataques de intrusiones internas

· $27MM en intentos de ataques de datos atraves de ataques externos.

El mal uso de internet ha costado a las empresas de EUA pérdidas de mas 63

Millones de Usd debido a la improductividad

$$$$

Computer Security Institute

Estadísticas de seguridad


Estadísticas de seguridad

60% y 70% vienen de ataques internos de la empresa

5% de los ataques han sido mediante IM (MSN, ICQ,yahoo, etc.)

80% de los ataques externos en las organizaciones ocurren en horas no laborables.

Mas del 60% de la empresas no cuentan con políticas de uso de los recursos

informáticos

No existen estadísticas claras en las organizaciones de los ataques y de las pérdidas

En latinoamerica

No hay personal que regule los accesos a recursos informáticos

Arquitecturas de Seguridad III 422/09/2009 Arquitecturas de Seguridad III 4

1.-Estadísticas de seguridadVirus: mas 4 virus al día.

programación vbs, html, cvbs, ocx, etc.

propagación vía correo, web, red,

explosiones de virus

gusanos (slammer, nimda, etc.)

troyanos

Pérdidas de productividad entre 100,000 y 1 MUSD

Mas de mil nuevos virus fueron detectados en el 2000

69% de las compañias en EUA han sido atacadas al menos 1 vez


Navegación

70% del tráfico porno es en horas laborables

40% de la navegación en internet no corresponde a funciones

de trabajo

1.5 hr. tiempo de navegación promedio en las empresas

Sitios no permitidos

Chat, mensajeria instantanea, correo gratis, juegos

Deportes, casino. Hacking.

http://rd.yahoo.com/M=132180.1823216.3334297.1745763/D=yahoo/S=2766679:EL/A=954445/R=0/*http:/shop.store.yahoo.com/cgi-bin/clink?barnesandnoble2+shopping:dmad/M=132180.1823216.3334297.1745763/D=yahoo/S=2766679:EL/A=954445/R=1/1017340182+http://us.rmi.yahoo.com/rmi/http://www.barnesandnoble.com/rmi-framed-url/http://service.bfast.com/bfast/click?bfmid=2181&sourceid=3386850&categoryid=homepage


Correo (e-mail)

•Cada año hay un incremento del 20% en el envío y recepción

•67% de las empresas no cuentan con políticas de uso de correo

•30MM de correo diarios y el 30% son no solicitados (SPAM)

•+450MM de cuentas de correo electrónico

•25% promedio en tiempo utilizado para responder a correos

•En el 2004 se recibiran mas de 120 correo por persona y 30%

Es SPAM

Alarmante aumento de los

incidencias de seguridad

Nuevas vulnerabilidades denunciadas al año

1999 2001 2003 2005

Vu

lne

rab

ilid

ad

es

de

se

gu

rid

ad

info

rmá

tic

a


Más de 4.268

417

Información: Centro coordinador CERT

Más de 23.868 vulnerabilidades en total

Amenazas evolutivas contra la

seguridad

¡La protección perimetral no es suficiente!Arquitecturas de Seguridad III 8

La seguridad de las redes ha evolucionado más allá del “walled garden” o seguridad perimetral

Las redes se ven bombardeadas por nuevas amenazas contra la seguridad:

Gusanos y virus (Sobig, Netsky, Zotob)

Denegación de servicio y desbordamiento de búfer

Correo basura / phishing

Peer-to-Peer

Mensajería instantánea (AIM, YAHOO)

Spyware, Adware y Malware

Aumento de las amenazas por ataques internos

Los atacantes son más sofisticados

El cumplimiento de la normativa es un impulsor decisivo para la

adquisición de sistemas de seguridad (SOX, GLBA, HIPAA)

IDS

• Ataques en Latinoamerica por tamaño

NEGOCIO


• Metricas sobre comunicacion de puertos Ene 04/06


IDS

• Introducción. - Por qué de los IDS

• No todos los accesos a Internet o la red

externa ocurren a través del firewall.

• • No todas las amenazas son originadas

en la zona externa del firewall.

• • Los firewalls son objeto de ataques.


IDS

• Introducción

• Son un complemento a las técnicas de

prevención.

• se considera habitualmente como una

segunda línea de defensa de las redes de

computadores.



IDS (Intrusion Detection Systems)

“Detección de Intrusos es el arte de detectar actividades Incorrectas, anómalas o inapropiadas. Además de otrasHerramientas un Sistema de Detección de Intrusos –IDS-Puede ser utilizado para determinar si una estación de trabajoO servidor ha experimentado una intrusión no autorizada”.

Tünnissen, Jacco. "Intrusion Detection, Honeypots and Incident HandlingResources." Honeypots.com. 13 January 2004. URL: http://www.honeypots.net/(17 Jan. 2004).

Definiciones

IDS

• Funciones generales de un Sistema de

Detección de Intrusos*:• • Monitoreo y análisis de la actividad de los usuarios y

del sistema.

• • Auditoría de configuraciones del sistema y

vulnerabilidades (firewalls, routers, servidores, archivos

críticos, etc.)

• • Evaluación de integridad de archivos de datos y

sistemas críticos.


http://www.icsa.net/html/communities/ids/White%20paper/Intrusion1.pdf

IDS

• Funciones generales de un Sistema de

Detección de Intrusos (2):• • Reconocimiento de patrones reflejando ataques

conocidos.

• • Análisis estadístico para patrones de actividad

anormal.

• • Manejo de audit-trail a nivel del sistema operativo, con

reconocimiento de actividad que refleje violaciones a

una política de seguridad.


IDS - Clasificación

• Clasificación de características de IDS


•Detección por anomalías•Detección por firmas de ataques•Tiempos de detección•Granularidad de procesamiento•Fuente de datos de auditoría•Respuesta Pasiva, Activa•Recolección de datos•Seguridad•Grado de Interoperabilidad

IDS

• Clasificación de las características


Detección por anomalías. En la detección por anomalías no se buscan señales de

intrusiones conocidas, sino eventos anormales en el tráfico de una red en cuestión, seasume la actitud de que algo anormal probablemente sea sospechoso.

La construcciónde un detector de este tipo comienza formándose una opinión de lo que es "normal"para el sujeto observado (bien sea un sistema computacional, usuario en particular,etc.) y después decidir en qué porcentaje de esta actividad se va a nombrar anormal ycómo tomar esta decisión en particular. Este principio de detección marcacomportamiento que es poco probable que se origine en procesos normales pero queno necesariamente está relacionado con casos de intrusiones.

• Detección por firmas de ataques. En detección de firmas la decisión es tomada a partir de las bases de conocimiento de un modelo de procesos de intrusión. Se puede definir en cualquiera y en todas las instancias que constituyen comportamiento autorizado o no autorizado, y comparar con el comportamiento observado.

• Tiempo de detección. Dos grupos principales pueden ser identificados: Aquellos que detectan una intrusión en tiempo real o cercano al tiempo real (in-line) y los que procesan datos de auditoría con algún tiempo de demora (off-line) es decir, tiempo no real. Algunos sistemas que hagan detección en tiempo real in-line, también pueden realizar el off-line, sobre los datos históricos de auditoría. A este tipo de sistemas que combinan los dos tiempos de detección se les denomina híbridos.


Clasificación de las características

• Granularidad de procesamiento de datos. Esta es una categoría que contrasta sistemas que procesan datos continuamente con aquellos que procesan datos por lotes (batches) en un intervalo de tiempo regular. La otra opción es procesar datos continuamente con un retraso considerable, o procesar datos en pequeños lotes en tiempo real. Nótese la relación que existe entre la granularidad y el tiempo de detección. (tiempo real / tiempo no real, continuo / lotes).

• Fuente de datos de auditoria. Las dos mayores fuentes de auditoria de datos en los sistemas supervisados son datos de red (típicamente datos leídos directamente de una red multicast) y datos basados en el host, teniendo en cuenta logs de seguridad; en este campo se incluyen logs de sistemas operativos, logs de aplicación, logs de equipos de red, etc.



• Respuesta. Pasiva: Los sistemas de respuesta pasiva responden por notificación a la autoridad que corresponde, y no trata de mitigar por sí mismos el daño realizado. Activa: Los que ejercen control sobre el sistema atacado. En respuesta activa existen dos clasificaciones, estas son: las que ejercen control sobre el sistema atacado y las que ejercen control sobre el sistema atacante.

• Procesamiento de datos. Esta clasificación indica el lugar en el cual se procesan los datos. Si los datos de auditoría se analizan en un lugar central se habla de procesamiento centralizado o al contrario, si los datos son recolectados y procesados en muchas fuentes diferentes, se habla de procesamiento distribuido.



• Recoleccion de datos. Se clasifica en distribuido y centralizado dependiendo de la localización de las fuentes.

• Seguridad. La habilidad para sobrevivir a ataques hostiles contra el IDS. Se clasifica básicamente en la escala de Alta / Baja.

• Grado de interoperabilidad. El grado en el cual el sistema puede operar en conjunto con otro sistema de detección de intrusos, difiere del concepto “número de diferentes plataformas en que corre el IDS”. Se maneja a nivel de comunicación entre los componentes de un IDS con los componentes pertenecientes a otro IDS.



IDS - CIDF

El “Common Intrusion Detection Framework” (CIDF) fue desarrollado por el CIDF Working Group, el cual comenzó labores en Enero de 1997, conducido por Teresa Lunt de la “Advanced Research Projects Agency” (ARPA), con el fin de cumplir el objetivo de convertir el CIDF en un conjunto de especificaciones, las cuales permitieran

tener :

• Sistemas de Detección de Intrusos interoperables y con el máximo de información compartida.

• Componentes de detección de intrusión fácilmente reutilizables en contextos diferentes a los que fueron diseñados.


Introducción a CIDF

IDS - CIDF

En el grupo de trabajo se incluyó personal de ARPA, representantes gubernamentales, comerciales y de organizaciones académicas. En su especificación, el CIDF comprende las siguientes partes:

• Un conjunto de convenciones en cuanto arquitectura para modelar las diferentes partes de un IDS.

• Una especificación de mensajería llamada “Generalized Intrusion Detection

Objects” (GIDOs) que permite descripción de eventos, dirección de acciones,

consulta de eventos y descripción de componentes.

• Unos mecanismos para transmitir GIDOs entre componentes funcionales del CIDF.

• Protocolos para interoperación de los componentes CIDF.

• Una Application Programming Interface (API) para reutilización de componentes

del CIDF.


Introducción a CIDF

IDS - CIDF

• Arquitectura de CIDF


Análisis Eventos

Base de Datos Respuesta

IDS - CIDF

Arquitectura de CIDF

Generador de Eventos:

El papel de un generador de eventos es obtener eventos en un ambiente

computacional externo al IDS y proporcionarlos en forma de GIDOs al resto

del sistema. Tales eventos podrían originarse a partir de archivos de audit-

trail, transmisión binaria de datos, desde otras redes o provenir de otro IDS.

Analizadores de Eventos

Son los componentes que obtienen GIDOs desde otros componentes, los

analizan y retornan nuevos eventos (los cuales se espera estén

representando alguna especie de

filtro o resumen de la entrada). Es aquí donde se encuentra el corazón de

los algoritmos de detección.


IDS - CIDF

• Arquitectura de CIDF

• Bases de Datos de los Eventos

• Estos componentes representan la funcionalidad de almacenamiento en un IDS, existen para darle persistencia a los GIDOs que sean necesarios. Las interfaces permiten que otros componentes accedan a la base de datos y al consultar la base de datos para GIDOs, éstos sean devueltos. No se asume que este componente sea inecesariamente una base de datos, puede ser tan simple como un archivo.

• Respuesta a los eventos

• Estas unidades consumen GIDOs que los dirigen para tomar alguna acción a favor de otro componente CIDF, y llevan a cabo dicha acción. Esto incluye cosas tales como terminar procesos, reinicializar conexiones, alterar permisos de archivos, etc.[


IDS

• Casos:

• Tienda departamental con 8 sitios remotos

(1000us) iDDoS

• Universidad en el DF (mas de 600 us)

iDDoS

• Entidad de Gobierno (mas de 250 us) DoS

• Empresas de Telecomunicaciones

• Celulares (500 us) y Trunking (2500)

i,eDDoS .

• GET /scripts/ ..%c0%af..%c0%af..%c0%af..


IDS - RealSecure


SESIÓN

TERMINADA

GRABACIÓN DE

LA SESIÓN

RECONFIGURACIÓN

DE

FIREWALL/

RUTEADOR

DETECCIÓN

DEL ATAQUE

IDS - RealSecure

Arquitecturas de Seguridad III 33INTERNAL

ATAQUE

DETECTADO

INICIO DE LA

SESIÓN

SESIÓN

TERMINADA

GRABACIÓN DE

LA SESIÓN

RECONFIGURACIÓN

DE

FIREWALL/

RUTEADOR

DETECCIÓN

DEL ATAQUE


IDS - RealSecure

Red con detección de

intrusiones


Alerta

Alerta

Alerta

Alerta

El IDS es reactivo:

Avisa después del evento

Alerta

Alerta

Alerta

Alerta

Alerta

IDS

• Falso Positivo

• Es un evento que es interpretado como un

problema cuando es insignificante o

inexistente. Ocurre cuando una

dispositivo de monitoreo o prueba lo

clasifica como una acción o condición

anómala (es una posible intrusión o

vulnerabilidad) cuando en realidad es una

acción legitima.

• XMl, java, compartición de carpetas. Arquitecturas de Seguridad III 37

IDS

• Falso Negativo

• Es un evento que es interpretado como un

evento normal cuando es significativo o

existente. Ocurre cuando una dispositivo

de monitoreo o prueba NO lo clasifica

como una acción o condición anómala (es

una posible intrusión o vulnerabilidad)

cuando en realidad es una acción

ilegitima.

• Encripción, Kazaa, MSN, etc.Arquitecturas de Seguridad III 38


• Tipos de IDS

• Network - NIDS

• Host Server - HIDS

• Host Workstation – WIDS

• DIDS - Distribuidos

• IDS integrado (FW, IDS, VPN, AV)


IDS

Servidores

Usuarios

Internet

Ruteador

ADSL o AD

DMZ

FW Interno


NIDS


• Componentes de NIDS

• Hardware o Software

• 1 tarjeta de red para análisis

• 1 Tarjeta de red rskill

• 1 Tarjeta de red comunicación

• Base de datos

• Consola de administración de eventos.


IDS ejemplos

• NFR Network Flight Recorder

• El Sensor NFR es el software que analiza el tráfico de la red. Comprende:

• 1. Un motor de análisis (AE) que monitorea los paquetes a medida que pasan por la red que está siendo vigilada

• 2. Una librería que contiene signatures de ataques (identifican a un so lo ataque) y filtros (un grupo de signatures que en conjunto pueden detectar cientos de

• ataques)

• 3. Un Recorder para almacenar las alertas y los datos de actividades asociadas.


http://www.nfr.com/news/detail.php?id=102

IDS ejemplos NIDS

• Otros fabricantes


http://www.juniper.net/

http://www.symantec.com/

http://www.stonesoft.com/products/StoneGate/

http://www.cisco.com/en/US/hmpgs/index.html

IDS ejemplos


ISS NIDS, HIDS, WIDS

../../../1.Real Secure Site Protector & Fusion/03 - Q1-2002 Solutions Launch Management Presentation.ppt

IDS ejemplos de NIDS

• ISS Real Secure Network Sensor


IDS

Servidores

Usuarios

Internet

Ruteador

ADSL o AD

DMZ

FW Interno


HIDS

IDS


Local

Red

Aplicaciones

Esquemas de Seguridad en host

IDS

• Seguridad de Host - Local –

• Restricciones de uso administrativo:

• Usuarios, grupos, privilegios, directivas,

archivos,

• Auditoría, accesos.• Recomendaciones:

• Auditorías, políticas de acceso, cambios constantes de passwd,

revisión de cuentas, etc


• Seguridad de Host - Red –

• Restricciones de uso recursos:

• cuentas, passwords, accesos, puertos,

comparticiones,


• Políticas de password, deshabilitar puertos y servicios

innecesarios, snmp públic, passw en recursos compartidos, etc


• Seguridad de Host - Aplicaciones –

• Restricciones de uso aplicaciones:

• Passwd por aplicación, cuentas,

passwords, accesos, bases de datos,etc.


• Políticas de password, deshabilitar aplicaciones

innecesarias,invenario de aplicaciones, parches, SP, etc


IDS

• Sistema distribuido Interno


IDS

• Funciones generales que un Sistema de Detección de

Intrusos no realiza:

• No puede compensar mecanismos débiles de

identificación y autenticación.

• • No puede conducir investigación de ataques sin

intervención humana.

• • No puede intuir el contenido de la política de seguridad

organizacional.


IDS

• Funciones generales que un Sistema de Detección de

Intrusos no realiza *:

• • No puede compensar las debilidades presentadas por

manejo de protocolo de redes.

• • No puede compensar los problemas en la calidad o

integridad de la información

• que los sistemas proveen.

• • No puede analizar todo el trafico sobre una red

congestionada o utilizada a su capacidad máxima.

Arquitecturas de Seguridad III 54http://www.icsa.net/html/communities/ids/White%20paper/Intrusion1.pdf

IDS

• Problématica:

• Se requiere un equipo de respuesta

eficiente

• En una red 1 Gb, 512 ns de respuesta.

• No se interpreta tráfico encriptado

• Existen muchos falsos positivos


IDS Estadísticas

IDS Incident Response Incident Response Incident Response

Cisco SYN flood Database frozen Code Red worm Database frozen wu-ftpd exploit Saw attack

Intrusion SYN flood Client frozen Code Red worm Client hung wu-ftpd exploit Saw attack

Lancope SYN flood No report Code Red worm No report wu-ftpd exploit No report

NFR SYN flood Saw attack Code Red worm Saw attack wu-ftpd exploit No report

Nokia/ISS SYN flood No report Code Red worm Sensor hung wu-ftpd exploit Saw attack

OneSecure SYN flood No report Code Red worm No report wu-ftpd exploit Saw attack (1)

Recourse SYN flood Saw attack Code Red worm Saw attack wu-ftpd exploit No report

Snort SYN flood No report (2) Code Red worm Saw attack wu-ftpd exploit Saw


• Estadísticas de IDS


http://www.nwfusion.com/techinsider/2002/0624security1.html

¿Por qué prevenir los

intrusos en lugar de su

detección?• (Gartner)“Las empresas que estén a la cabeza en la adopción rápida de

tecnologías deberían utilizar IPS de inmediato. Las empresas

dominantes deberían sustituir los sistemas de detección de intrusos y

firewalls que no les proporcionan una inspección profunda de paquetes

por IPS o firewalls de inspección profunda de paquetes ….Las

empresas conservadoras deberían instalar IPS en los puntos externos,

frenar la inversión en IDS y proyectar la implementación de IPS”

• (SANS)“Mediante el bloqueo del los ataques, en lugar de su simple detección,

la prevención de los intrusos permite que las organizaciones pasen de

una posición de seguridad reactiva a una posición de seguridad

proactiva.”

• (Gartner)“La prevención de las intrusos sustituirá a la detección de las intrusos”


IPS

• IPS Ventajas

• Rapidez en las intrusiones. Un evento

de intrusión no clasifica el potencial legal

de una organización. Al detectar una

intrusión, un IPS termina rápidamente con

esta intrusión y minimiza el tiempo de

caída en la red, pasando a un estado

normal de operación.


IPS

• Detección más rápida y confiable. Al

utilizar múltiples métodos de intrusión, y al

utilizarlo en el segmento de una red, el

IPS puede detectar ataques e intrusiones

con mayor exactitud y confianza.

Decodificando más rápido las firmas y

haciendo uso de sistemas más

inteligentes de métodos de detección de

intrusos, de esta manera se generan

menores falsos positivos.


IPS

• Prevención activa. Mientras que los IDS

simplemente anuncian y almacenan las

intrusiones o la presencia de tráfico

anómalo, un IPS puede establecer una

variedad de mecanismos de respuesta.

• Esto reduce el costo de riesgo en la

organizaciones de sufrir un ataque o

pérdida de datos debido a los ataquesArquitecturas de Seguridad III 62

IPS- Ventajas

• Respuesta inmediata a ataques o intento de intrusiones.

• Confiabilidad en la detección

• Prevención activa

• Terminación rápida en las intrusiones y ataques.

• Gran disminución en los falsos positivos.

• Trabaja esencialmente en capas 2 y 3.

• Se disminuye tráfico en la red, debido a que no envia resets de TCP. Termina sesiones dentro del equipo.


IPS

• Arquitectura de Top Fire


Top FireFast FlexibleSecure Core

TopFireApp Library

Packet Filtered and

policy Violations

TopFireAnti

DoS/ DdosEngine

TopfireAnti-worm

&Port 80Engine

Top FireTraffic

AnomalyEngine

Intrusion Response Engine Forward, limit, Block, report,

(syslog alert, SNMPtraps, Forensics discard)

Out

IN

IPS

• Requerimientos de selección de un IPS

• An Inline device capable of accurately and reliably

detecting and precisely blocking attacks – Accuracy

and Precision

• Operates at line speed with no negative impact to

network performance or availability –Good Network

Citizenship

• Integrates effectively into security management

environment – Effective Security-Focused

Management

• Needs to easily accommodate prevention for future

attacks – Anticipates unknownattacks and easily

accepts signatures for newly discovered attacksArquitecturas de Seguridad III 65

IPS Appliance Protection

1.

Attacker/Infected Host

Block

Filter

4-Layer Defense Mechanism

Network Attacks:• Http attacks• Buffer Overflows• Denial of Service and DDOS attacks

• Floods & SYN Floods

Malicious Programs:• Trojans & Bots• Worms• Malcode• Viruses (over 100,000)• Spyware & Adware

2.

3. Security Events• Port Scans• SQL Injections• Cross Site Scripting• Probing• Protocol Anomaly• Protocol Violations• Unauthorized Access

Network Risks:• Instant Messaging traffic • Policy Violations• Unauthorized Hosts• Returning Laptops• Unsecured partner network• Peer to Peer traffic

and much more!

4.

Evolucion de los sistemas

de seguridad


First

Firewall

introduced

IDS

Emerging

Market

IPS hits the Scene

Point solutions rule

the day

SIMS attempt entry

1991 2005200120001999

Relative Number

of Network Attacks

UTM

IPS Market Vectors


IPSIDS Firewalls

Pure-

Play

IPS

Move InlineDeep Packet

Inspection

• Juniper

• Checkpoint

• Fortinet

• iPolicy

• NFR

• ISS

• Symantec

• Sourcefire

• McAfee

• TippingPoint

• Reflex

In

the

Switch

• Cisco

• 3Com?

Not all vendors

are displayed

Improve

Mgmt.

IPS Equipos superiores a10

GbE


MG10

Red protegida con prevención de intrusos


Bloqueo

Bloqueo

Bloqueo

La prevención de intrusos es proactiva:

analiza, detecta y bloquea en tiempo real

Prevención de intrusos de

Reflex


1.

Atacante/

Host infectado

Bloqueo

Filtro

Reflex Security protege su red de

Ataques de red:• Ataques de http

• Desbordamiento de búfer

• Ataques de denegación de

servicio y DDOS

• Ataques Floods y SYN Flood

Programas

maliciosos:• Troyanos y bots

• Gusanos

• Malware

• Virus (más de 100.000)

• Spyware y Adware

2.

3.Actuaciones contra la

seguridad• Escaneado de puertos

• Inyecciones SQL

• Cross Site Scripting

• Probing

• Anomalías de protocolo

• Violaciones de protocolo

• Accesos no autorizados

Riesgos de red:• Tráfico de mensajería

instantánea

• Violaciones de normativa

• Hosts no autorizados

• Retorno de portátiles

• Red de socio no segura

• Tráfico “Peer-to-Peer”

¡Y muchos más!

4.

UTM – Unified Threat

ManagementUTM es un sistema de seguridad que

provee, seguridad en la red con un

sistema robusto de administracion y

proteccion.

UTM combina diferentes soluciones de

seguridad.

IPS es parte integral de un sistemaUTMArquitecturas de Seguridad III 74

UTM – Funcionalidades.


Protocol Anomaly

Threat Analysis Unit

Correlation + Aggregation

Sig

na

ture

An

aly

sis

Tra

ffic

An

om

aly

Ac

ce

ss

Co

ntr

ol

Sc

an

Dete

cti

on

An

ti S

pyw

are

An

ti V

iru

s

Filte

r

Ale

rt

Blo

ck

Sw

itch

Ru

n

Sc

rip

t

Puntos individuales de protección y administración.


ALERT!ALERT!

ALERT!

ALERT!ALERT!

Políticas separadas, despliegue, Administración de eventos, informes,

actualizaciones de contenido, actualizaciones de software,

ISS Multi-Function Threat ProtectionArquitecturas de Seguridad III 77

• Central Policy Administration

• Central Event Management

• Central Vulnerability Detection & Remediation

• Central Threat & Vulnerability Correlation

• Central Incident Response

• Central Reporting & Analysis

• Central Deployment & Content Updates

• Central 3rd Party Event Management


Antivirus –

Detecta y previene Virus

en el gateway.

• Detiene virus antes de la

infeccion.

• Detecta y detiene correos

con virus que estan

infectado .


AntiSpam

IPS

Proto

Eval™

Syn

Eval™

Flood

Eval™

Scan

Eval

DatEval™

Content

Filtering

Vulnerabilty

Assessment

AntiVirus

Firewall

UTM

Spyware


AntiSpam -

• Detecta y previene Spam

en el gateway.

• Detiene Spam antes de

llegar al servidor de

correo.

• Proteccion rapida a nivel

de red, de una manera

mas rapida.


AntiSpam

IPS

Proto

Eval™

Syn

Eval™

Flood

Eval™

Scan

Eval

DatEval™

Content

Filtering

Vulnerabilty

Assessment

AntiVirus

Firewall

UTM

Spyware


Spyware - Network

Spyware Protection

• Detecta y previene

Spyware en el gateway.

• Detiene Spyware antes

de la infeccion.

• Detecta y detiene hosts

que estan infectado con

spyware.

• Proteccion rapida a nivel

de red, de una manera

mas rapida.


AntiSpam

IPS

Proto

Eval™

Syn

Eval™

Flood

Eval™

Scan

Eval

DatEval™

Content

Filtering

Vulnerabilty

Assessment

AntiVirus

Firewall

UTM

Spyware

UTMReflex IPS

Intrusion Detection,

Prevention & Forensic


Securing the network from Unauthorized access Internet attacks Partner feeds Returning laptops VIRUS, WORM, … Vulnerabilities DoS, DDoS, … Spyware


Proactividad vs reactividad

Existen diferentes sistemas de disminuir la vulnerabilidad

De cada sistema

Sistemas scanners

Red Servidores bases de datos

Sistemas de suscripcion de vulnerabilidades

(administración y control de equipos, parches, bugs, etc.)

Establecer políticas de bienes informáticos

Auditorías de vulnerabilidad


corrective action report

Vulnerability:

Severity:

IP Address:

OS:

Fix:

GetAdmin

High Risk

215.011.200.255

Windows NT 4.0

From the Start menu, choose Programs/Administrative Tools/User Manager. Under Policies/User Rights, check the users who have admin privileges on that host. Stronger action may be needed, such as reinstalling the operating system from CD. Consider this host compromised, as well as any passwords from any other users on this host. In addition, Apply the post-SP3 getadmin patch, or SP4 when available. Also refer to Microsoft Knowledge Base Article Q146965.txt.

Reflex ISMTM

Integrated Security ManagerIntegrated, virtualized management appliances:

Multi-vendor Security Event Management (SEM)Reflex Security Device Management Identity ManagementNetwork Discovery and VisualizationEvent correlation, alerts and reporting

Better network and event visibility

Fast, effective security response

Easier regulatory compliance

Security Information Manager

Module• Centralized Log Management: collects, archives and correlates event and system data from a variety of

heterogeneous, multi-vendor network devices, servers and applications

• Topology-Based Threat Visualization: provides the ability to immediately gain access to the overall security posture of the network

• Real-Time Monitoring and Alerting: correlates and monitors security event data across the enterprise in real-time to proactively reduce false positives and identify security breaches

• Comprehensive Reporting: delivers over 1,500 easy-to-read security and activity reports to provide insight into the state of the network

• Forensics Analysis: provides the ability to search log data to isolate events and ensure regulatory compliance

Customizable Dashboard

Compliance Reports

Main Dashboard

Dynamic Topology Map

Network Inventory

Network Performance

Arquitectura de Seguridad II - ITAM

Documents

Transcript of Arquitectura de Seguridad II - ITAM