Arquitectura de Seguridad II - ITAM
Transcript of Arquitectura de Seguridad II - ITAM
Arquitectura de Seguridad II
Jorge Luis Ojeda
RealNet, S.A. de C.V.
Módulo III
Sesión 2 . IDS e IPSArquitecturas de Seguridad III 1
Arquitecturas de Seguridad III 2
74% de las organizaciones tuvieron pérdidas por mas de 266
M usd en el 2000
$29MM en ataques de virus
· $28MM en ataques de intrusiones internas
· $27MM en intentos de ataques de datos atraves de ataques externos.
El mal uso de internet ha costado a las empresas de EUA pérdidas de mas 63
Millones de Usd debido a la improductividad
$$$$
Computer Security Institute
Estadísticas de seguridad
Arquitecturas de Seguridad III 3
Estadísticas de seguridad
60% y 70% vienen de ataques internos de la empresa
5% de los ataques han sido mediante IM (MSN, ICQ,yahoo, etc.)
80% de los ataques externos en las organizaciones ocurren en horas no laborables.
Mas del 60% de la empresas no cuentan con políticas de uso de los recursos
informáticos
No existen estadísticas claras en las organizaciones de los ataques y de las pérdidas
En latinoamerica
No hay personal que regule los accesos a recursos informáticos
Arquitecturas de Seguridad III 422/09/2009 Arquitecturas de Seguridad III 4
1.-Estadísticas de seguridadVirus: mas 4 virus al día.
programación vbs, html, cvbs, ocx, etc.
propagación vía correo, web, red,
explosiones de virus
gusanos (slammer, nimda, etc.)
troyanos
Pérdidas de productividad entre 100,000 y 1 MUSD
Mas de mil nuevos virus fueron detectados en el 2000
69% de las compañias en EUA han sido atacadas al menos 1 vez
Arquitecturas de Seguridad III 5
Navegación
70% del tráfico porno es en horas laborables
40% de la navegación en internet no corresponde a funciones
de trabajo
1.5 hr. tiempo de navegación promedio en las empresas
Sitios no permitidos
Chat, mensajeria instantanea, correo gratis, juegos
Deportes, casino. Hacking.
Arquitecturas de Seguridad III 6
Correo (e-mail)
•Cada año hay un incremento del 20% en el envío y recepción
•67% de las empresas no cuentan con políticas de uso de correo
•30MM de correo diarios y el 30% son no solicitados (SPAM)
•+450MM de cuentas de correo electrónico
•25% promedio en tiempo utilizado para responder a correos
•En el 2004 se recibiran mas de 120 correo por persona y 30%
Es SPAM
Alarmante aumento de los
incidencias de seguridad
Nuevas vulnerabilidades denunciadas al año
1999 2001 2003 2005
Vu
lne
rab
ilid
ad
es
de
se
gu
rid
ad
info
rmá
tic
a
Arquitecturas de Seguridad III 7
Más de 4.268
417
Información: Centro coordinador CERT
Más de 23.868 vulnerabilidades en total
Amenazas evolutivas contra la
seguridad
¡La protección perimetral no es suficiente!Arquitecturas de Seguridad III 8
La seguridad de las redes ha evolucionado más allá del “walled garden” o seguridad perimetral
Las redes se ven bombardeadas por nuevas amenazas contra la seguridad:
Gusanos y virus (Sobig, Netsky, Zotob)
Denegación de servicio y desbordamiento de búfer
Correo basura / phishing
Peer-to-Peer
Mensajería instantánea (AIM, YAHOO)
Spyware, Adware y Malware
Aumento de las amenazas por ataques internos
Los atacantes son más sofisticados
El cumplimiento de la normativa es un impulsor decisivo para la
adquisición de sistemas de seguridad (SOX, GLBA, HIPAA)
IDS
• Ataques en Latinoamerica por tamaño
NEGOCIO
Arquitecturas de Seguridad III 9
• Metricas sobre comunicacion de puertos Ene 04/06
Arquitecturas de Seguridad III 10
Arquitecturas de Seguridad III 11
Arquitecturas de Seguridad III 12
Arquitecturas de Seguridad III 13
Arquitecturas de Seguridad III 14
IDS
• Introducción. - Por qué de los IDS
• No todos los accesos a Internet o la red
externa ocurren a través del firewall.
• • No todas las amenazas son originadas
en la zona externa del firewall.
• • Los firewalls son objeto de ataques.
Arquitecturas de Seguridad III 15
IDS
• Introducción
• Son un complemento a las técnicas de
prevención.
• se considera habitualmente como una
segunda línea de defensa de las redes de
computadores.
Arquitecturas de Seguridad III 16
Arquitecturas de Seguridad III 17
IDS (Intrusion Detection Systems)
“Detección de Intrusos es el arte de detectar actividades Incorrectas, anómalas o inapropiadas. Además de otrasHerramientas un Sistema de Detección de Intrusos –IDS-Puede ser utilizado para determinar si una estación de trabajoO servidor ha experimentado una intrusión no autorizada”.
Tünnissen, Jacco. "Intrusion Detection, Honeypots and Incident HandlingResources." Honeypots.com. 13 January 2004. URL: http://www.honeypots.net/(17 Jan. 2004).
Definiciones
IDS
• Funciones generales de un Sistema de
Detección de Intrusos*:• • Monitoreo y análisis de la actividad de los usuarios y
del sistema.
• • Auditoría de configuraciones del sistema y
vulnerabilidades (firewalls, routers, servidores, archivos
críticos, etc.)
• • Evaluación de integridad de archivos de datos y
sistemas críticos.
Arquitecturas de Seguridad III 18
http://www.icsa.net/html/communities/ids/White%20paper/Intrusion1.pdf
IDS
• Funciones generales de un Sistema de
Detección de Intrusos (2):• • Reconocimiento de patrones reflejando ataques
conocidos.
• • Análisis estadístico para patrones de actividad
anormal.
• • Manejo de audit-trail a nivel del sistema operativo, con
reconocimiento de actividad que refleje violaciones a
una política de seguridad.
Arquitecturas de Seguridad III 19
IDS - Clasificación
• Clasificación de características de IDS
Arquitecturas de Seguridad III 20
•Detección por anomalías•Detección por firmas de ataques•Tiempos de detección•Granularidad de procesamiento•Fuente de datos de auditoría•Respuesta Pasiva, Activa•Recolección de datos•Seguridad•Grado de Interoperabilidad
IDS
• Clasificación de las características
Arquitecturas de Seguridad III 21
Detección por anomalías. En la detección por anomalías no se buscan señales de
intrusiones conocidas, sino eventos anormales en el tráfico de una red en cuestión, seasume la actitud de que algo anormal probablemente sea sospechoso.
La construcciónde un detector de este tipo comienza formándose una opinión de lo que es "normal"para el sujeto observado (bien sea un sistema computacional, usuario en particular,etc.) y después decidir en qué porcentaje de esta actividad se va a nombrar anormal ycómo tomar esta decisión en particular. Este principio de detección marcacomportamiento que es poco probable que se origine en procesos normales pero queno necesariamente está relacionado con casos de intrusiones.
• Detección por firmas de ataques. En detección de firmas la decisión es tomada a partir de las bases de conocimiento de un modelo de procesos de intrusión. Se puede definir en cualquiera y en todas las instancias que constituyen comportamiento autorizado o no autorizado, y comparar con el comportamiento observado.
• Tiempo de detección. Dos grupos principales pueden ser identificados: Aquellos que detectan una intrusión en tiempo real o cercano al tiempo real (in-line) y los que procesan datos de auditoría con algún tiempo de demora (off-line) es decir, tiempo no real. Algunos sistemas que hagan detección en tiempo real in-line, también pueden realizar el off-line, sobre los datos históricos de auditoría. A este tipo de sistemas que combinan los dos tiempos de detección se les denomina híbridos.
Arquitecturas de Seguridad III 22
Clasificación de las características
• Granularidad de procesamiento de datos. Esta es una categoría que contrasta sistemas que procesan datos continuamente con aquellos que procesan datos por lotes (batches) en un intervalo de tiempo regular. La otra opción es procesar datos continuamente con un retraso considerable, o procesar datos en pequeños lotes en tiempo real. Nótese la relación que existe entre la granularidad y el tiempo de detección. (tiempo real / tiempo no real, continuo / lotes).
• Fuente de datos de auditoria. Las dos mayores fuentes de auditoria de datos en los sistemas supervisados son datos de red (típicamente datos leídos directamente de una red multicast) y datos basados en el host, teniendo en cuenta logs de seguridad; en este campo se incluyen logs de sistemas operativos, logs de aplicación, logs de equipos de red, etc.
Arquitecturas de Seguridad III 23
Clasificación de las características
• Respuesta. Pasiva: Los sistemas de respuesta pasiva responden por notificación a la autoridad que corresponde, y no trata de mitigar por sí mismos el daño realizado. Activa: Los que ejercen control sobre el sistema atacado. En respuesta activa existen dos clasificaciones, estas son: las que ejercen control sobre el sistema atacado y las que ejercen control sobre el sistema atacante.
• Procesamiento de datos. Esta clasificación indica el lugar en el cual se procesan los datos. Si los datos de auditoría se analizan en un lugar central se habla de procesamiento centralizado o al contrario, si los datos son recolectados y procesados en muchas fuentes diferentes, se habla de procesamiento distribuido.
Arquitecturas de Seguridad III 24
Clasificación de las características
• Recoleccion de datos. Se clasifica en distribuido y centralizado dependiendo de la localización de las fuentes.
• Seguridad. La habilidad para sobrevivir a ataques hostiles contra el IDS. Se clasifica básicamente en la escala de Alta / Baja.
• Grado de interoperabilidad. El grado en el cual el sistema puede operar en conjunto con otro sistema de detección de intrusos, difiere del concepto “número de diferentes plataformas en que corre el IDS”. Se maneja a nivel de comunicación entre los componentes de un IDS con los componentes pertenecientes a otro IDS.
Arquitecturas de Seguridad III 25
Clasificación de las características
IDS - CIDF
El “Common Intrusion Detection Framework” (CIDF) fue desarrollado por el CIDF Working Group, el cual comenzó labores en Enero de 1997, conducido por Teresa Lunt de la “Advanced Research Projects Agency” (ARPA), con el fin de cumplir el objetivo de convertir el CIDF en un conjunto de especificaciones, las cuales permitieran
tener :
• Sistemas de Detección de Intrusos interoperables y con el máximo de información compartida.
• Componentes de detección de intrusión fácilmente reutilizables en contextos diferentes a los que fueron diseñados.
Arquitecturas de Seguridad III 26
Introducción a CIDF
IDS - CIDF
En el grupo de trabajo se incluyó personal de ARPA, representantes gubernamentales, comerciales y de organizaciones académicas. En su especificación, el CIDF comprende las siguientes partes:
• Un conjunto de convenciones en cuanto arquitectura para modelar las diferentes partes de un IDS.
• Una especificación de mensajería llamada “Generalized Intrusion Detection
Objects” (GIDOs) que permite descripción de eventos, dirección de acciones,
consulta de eventos y descripción de componentes.
• Unos mecanismos para transmitir GIDOs entre componentes funcionales del CIDF.
• Protocolos para interoperación de los componentes CIDF.
• Una Application Programming Interface (API) para reutilización de componentes
del CIDF.
Arquitecturas de Seguridad III 27
Introducción a CIDF
IDS - CIDF
• Arquitectura de CIDF
Arquitecturas de Seguridad III 28
Análisis Eventos
Base de Datos Respuesta
IDS - CIDF
Arquitectura de CIDF
Generador de Eventos:
El papel de un generador de eventos es obtener eventos en un ambiente
computacional externo al IDS y proporcionarlos en forma de GIDOs al resto
del sistema. Tales eventos podrían originarse a partir de archivos de audit-
trail, transmisión binaria de datos, desde otras redes o provenir de otro IDS.
Analizadores de Eventos
Son los componentes que obtienen GIDOs desde otros componentes, los
analizan y retornan nuevos eventos (los cuales se espera estén
representando alguna especie de
filtro o resumen de la entrada). Es aquí donde se encuentra el corazón de
los algoritmos de detección.
Arquitecturas de Seguridad III 29
IDS - CIDF
• Arquitectura de CIDF
• Bases de Datos de los Eventos
• Estos componentes representan la funcionalidad de almacenamiento en un IDS, existen para darle persistencia a los GIDOs que sean necesarios. Las interfaces permiten que otros componentes accedan a la base de datos y al consultar la base de datos para GIDOs, éstos sean devueltos. No se asume que este componente sea inecesariamente una base de datos, puede ser tan simple como un archivo.
• Respuesta a los eventos
• Estas unidades consumen GIDOs que los dirigen para tomar alguna acción a favor de otro componente CIDF, y llevan a cabo dicha acción. Esto incluye cosas tales como terminar procesos, reinicializar conexiones, alterar permisos de archivos, etc.[
Arquitecturas de Seguridad III 30
IDS
• Casos:
• Tienda departamental con 8 sitios remotos
(1000us) iDDoS
• Universidad en el DF (mas de 600 us)
iDDoS
• Entidad de Gobierno (mas de 250 us) DoS
• Empresas de Telecomunicaciones
• Celulares (500 us) y Trunking (2500)
i,eDDoS .
• GET /scripts/ ..%c0%af..%c0%af..%c0%af..
Arquitecturas de Seguridad III 31
IDS - RealSecure
Arquitecturas de Seguridad III 32
SESIÓN
TERMINADA
GRABACIÓN DE
LA SESIÓN
RECONFIGURACIÓN
DE
FIREWALL/
RUTEADOR
DETECCIÓN
DEL ATAQUE
IDS - RealSecure
Arquitecturas de Seguridad III 33INTERNAL
ATAQUE
DETECTADO
INICIO DE LA
SESIÓN
SESIÓN
TERMINADA
GRABACIÓN DE
LA SESIÓN
RECONFIGURACIÓN
DE
FIREWALL/
RUTEADOR
DETECCIÓN
DEL ATAQUE
Arquitecturas de Seguridad III 34
IDS - RealSecure
Red con detección de
intrusiones
Arquitecturas de Seguridad III 35
Alerta
Alerta
Alerta
Alerta
El IDS es reactivo:
Avisa después del evento
Alerta
Alerta
Alerta
Alerta
Alerta
IDS
• Falso Positivo
• Es un evento que es interpretado como un
problema cuando es insignificante o
inexistente. Ocurre cuando una
dispositivo de monitoreo o prueba lo
clasifica como una acción o condición
anómala (es una posible intrusión o
vulnerabilidad) cuando en realidad es una
acción legitima.
• XMl, java, compartición de carpetas. Arquitecturas de Seguridad III 37
IDS
• Falso Negativo
• Es un evento que es interpretado como un
evento normal cuando es significativo o
existente. Ocurre cuando una dispositivo
de monitoreo o prueba NO lo clasifica
como una acción o condición anómala (es
una posible intrusión o vulnerabilidad)
cuando en realidad es una acción
ilegitima.
• Encripción, Kazaa, MSN, etc.Arquitecturas de Seguridad III 38
IDS - Clasificación
• Tipos de IDS
• Network - NIDS
• Host Server - HIDS
• Host Workstation – WIDS
• DIDS - Distribuidos
• IDS integrado (FW, IDS, VPN, AV)
Arquitecturas de Seguridad III 39
IDS
Servidores
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitecturas de Seguridad III 40
NIDS
IDS - Clasificación
• Componentes de NIDS
• Hardware o Software
• 1 tarjeta de red para análisis
• 1 Tarjeta de red rskill
• 1 Tarjeta de red comunicación
• Base de datos
• Consola de administración de eventos.
Arquitecturas de Seguridad III 41
IDS ejemplos
• NFR Network Flight Recorder
• El Sensor NFR es el software que analiza el tráfico de la red. Comprende:
• 1. Un motor de análisis (AE) que monitorea los paquetes a medida que pasan por la red que está siendo vigilada
• 2. Una librería que contiene signatures de ataques (identifican a un so lo ataque) y filtros (un grupo de signatures que en conjunto pueden detectar cientos de
• ataques)
• 3. Un Recorder para almacenar las alertas y los datos de actividades asociadas.
Arquitecturas de Seguridad III 42
IDS ejemplos NIDS
• Otros fabricantes
Arquitecturas de Seguridad III 43
IDS ejemplos
Arquitecturas de Seguridad III 44
ISS NIDS, HIDS, WIDS
IDS ejemplos de NIDS
• ISS Real Secure Network Sensor
Arquitecturas de Seguridad III 45
IDS
Servidores
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitecturas de Seguridad III 46
HIDS
IDS
Arquitecturas de Seguridad III 47
Local
Red
Aplicaciones
Esquemas de Seguridad en host
IDS
• Seguridad de Host - Local –
• Restricciones de uso administrativo:
• Usuarios, grupos, privilegios, directivas,
archivos,
• Auditoría, accesos.• Recomendaciones:
• Auditorías, políticas de acceso, cambios constantes de passwd,
revisión de cuentas, etc
Arquitecturas de Seguridad III 48
• Seguridad de Host - Red –
• Restricciones de uso recursos:
• cuentas, passwords, accesos, puertos,
comparticiones,
• Auditoría, accesos.• Recomendaciones:
• Políticas de password, deshabilitar puertos y servicios
innecesarios, snmp públic, passw en recursos compartidos, etc
Arquitecturas de Seguridad III 49
• Seguridad de Host - Aplicaciones –
• Restricciones de uso aplicaciones:
• Passwd por aplicación, cuentas,
passwords, accesos, bases de datos,etc.
• Auditoría, accesos.• Recomendaciones:
• Políticas de password, deshabilitar aplicaciones
innecesarias,invenario de aplicaciones, parches, SP, etc
Arquitecturas de Seguridad III 50
Arquitecturas de Seguridad III 51
IDS
• Sistema distribuido Interno
Arquitecturas de Seguridad III 52
IDS
• Funciones generales que un Sistema de Detección de
Intrusos no realiza:
• No puede compensar mecanismos débiles de
identificación y autenticación.
• • No puede conducir investigación de ataques sin
intervención humana.
• • No puede intuir el contenido de la política de seguridad
organizacional.
Arquitecturas de Seguridad III 53
IDS
• Funciones generales que un Sistema de Detección de
Intrusos no realiza *:
• • No puede compensar las debilidades presentadas por
manejo de protocolo de redes.
• • No puede compensar los problemas en la calidad o
integridad de la información
• que los sistemas proveen.
• • No puede analizar todo el trafico sobre una red
congestionada o utilizada a su capacidad máxima.
Arquitecturas de Seguridad III 54http://www.icsa.net/html/communities/ids/White%20paper/Intrusion1.pdf
IDS
• Problématica:
• Se requiere un equipo de respuesta
eficiente
• En una red 1 Gb, 512 ns de respuesta.
• No se interpreta tráfico encriptado
• Existen muchos falsos positivos
Arquitecturas de Seguridad III 55
IDS Estadísticas
IDS Incident Response Incident Response Incident Response
Cisco SYN flood Database frozen Code Red worm Database frozen wu-ftpd exploit Saw attack
Intrusion SYN flood Client frozen Code Red worm Client hung wu-ftpd exploit Saw attack
Lancope SYN flood No report Code Red worm No report wu-ftpd exploit No report
NFR SYN flood Saw attack Code Red worm Saw attack wu-ftpd exploit No report
Nokia/ISS SYN flood No report Code Red worm Sensor hung wu-ftpd exploit Saw attack
OneSecure SYN flood No report Code Red worm No report wu-ftpd exploit Saw attack (1)
Recourse SYN flood Saw attack Code Red worm Saw attack wu-ftpd exploit No report
Snort SYN flood No report (2) Code Red worm Saw attack wu-ftpd exploit Saw
Arquitecturas de Seguridad III 56
• Estadísticas de IDS
Arquitecturas de Seguridad III 57
http://www.nwfusion.com/techinsider/2002/0624security1.html
¿Por qué prevenir los
intrusos en lugar de su
detección?• (Gartner)“Las empresas que estén a la cabeza en la adopción rápida de
tecnologías deberían utilizar IPS de inmediato. Las empresas
dominantes deberían sustituir los sistemas de detección de intrusos y
firewalls que no les proporcionan una inspección profunda de paquetes
por IPS o firewalls de inspección profunda de paquetes ….Las
empresas conservadoras deberían instalar IPS en los puntos externos,
frenar la inversión en IDS y proyectar la implementación de IPS”
• (SANS)“Mediante el bloqueo del los ataques, en lugar de su simple detección,
la prevención de los intrusos permite que las organizaciones pasen de
una posición de seguridad reactiva a una posición de seguridad
proactiva.”
• (Gartner)“La prevención de las intrusos sustituirá a la detección de las intrusos”
Arquitecturas de Seguridad III 58
IPS
• IPS Ventajas
• Rapidez en las intrusiones. Un evento
de intrusión no clasifica el potencial legal
de una organización. Al detectar una
intrusión, un IPS termina rápidamente con
esta intrusión y minimiza el tiempo de
caída en la red, pasando a un estado
normal de operación.
Arquitecturas de Seguridad III 60
IPS
• Detección más rápida y confiable. Al
utilizar múltiples métodos de intrusión, y al
utilizarlo en el segmento de una red, el
IPS puede detectar ataques e intrusiones
con mayor exactitud y confianza.
Decodificando más rápido las firmas y
haciendo uso de sistemas más
inteligentes de métodos de detección de
intrusos, de esta manera se generan
menores falsos positivos.
Arquitecturas de Seguridad III 61
IPS
• Prevención activa. Mientras que los IDS
simplemente anuncian y almacenan las
intrusiones o la presencia de tráfico
anómalo, un IPS puede establecer una
variedad de mecanismos de respuesta.
• Esto reduce el costo de riesgo en la
organizaciones de sufrir un ataque o
pérdida de datos debido a los ataquesArquitecturas de Seguridad III 62
IPS- Ventajas
• Respuesta inmediata a ataques o intento de intrusiones.
• Confiabilidad en la detección
• Prevención activa
• Terminación rápida en las intrusiones y ataques.
• Gran disminución en los falsos positivos.
• Trabaja esencialmente en capas 2 y 3.
• Se disminuye tráfico en la red, debido a que no envia resets de TCP. Termina sesiones dentro del equipo.
Arquitecturas de Seguridad III 63
IPS
• Arquitectura de Top Fire
Arquitecturas de Seguridad III 64
Top FireFast FlexibleSecure Core
TopFireApp Library
Packet Filtered and
policy Violations
TopFireAnti
DoS/ DdosEngine
TopfireAnti-worm
&Port 80Engine
Top FireTraffic
AnomalyEngine
Intrusion Response Engine Forward, limit, Block, report,
(syslog alert, SNMPtraps, Forensics discard)
Out
IN
IPS
• Requerimientos de selección de un IPS
• An Inline device capable of accurately and reliably
detecting and precisely blocking attacks – Accuracy
and Precision
• Operates at line speed with no negative impact to
network performance or availability –Good Network
Citizenship
• Integrates effectively into security management
environment – Effective Security-Focused
Management
• Needs to easily accommodate prevention for future
attacks – Anticipates unknownattacks and easily
accepts signatures for newly discovered attacksArquitecturas de Seguridad III 65
IPS Appliance Protection
1.
Attacker/Infected Host
Block
Filter
4-Layer Defense Mechanism
Network Attacks:• Http attacks• Buffer Overflows• Denial of Service and DDOS attacks
• Floods & SYN Floods
Malicious Programs:• Trojans & Bots• Worms• Malcode• Viruses (over 100,000)• Spyware & Adware
2.
3. Security Events• Port Scans• SQL Injections• Cross Site Scripting• Probing• Protocol Anomaly• Protocol Violations• Unauthorized Access
Network Risks:• Instant Messaging traffic • Policy Violations• Unauthorized Hosts• Returning Laptops• Unsecured partner network• Peer to Peer traffic
and much more!
4.
Evolucion de los sistemas
de seguridad
Arquitecturas de Seguridad III 69
First
Firewall
introduced
IDS
Emerging
Market
IPS hits the Scene
Point solutions rule
the day
SIMS attempt entry
1991 2005200120001999
Relative Number
of Network Attacks
UTM
IPS Market Vectors
Arquitecturas de Seguridad III 70
IPSIDS Firewalls
Pure-
Play
IPS
Move InlineDeep Packet
Inspection
• Juniper
• Checkpoint
• Fortinet
• iPolicy
• NFR
• ISS
• Symantec
• Sourcefire
• McAfee
• TippingPoint
• Reflex
In
the
Switch
• Cisco
• 3Com?
Not all vendors
are displayed
Improve
Mgmt.
IPS Equipos superiores a10
GbE
Arquitecturas de Seguridad III 71
MG10
Red protegida con prevención de intrusos
Arquitecturas de Seguridad III 72
Bloqueo
Bloqueo
Bloqueo
La prevención de intrusos es proactiva:
analiza, detecta y bloquea en tiempo real
Prevención de intrusos de
Reflex
Arquitecturas de Seguridad III 73
1.
Atacante/
Host infectado
Bloqueo
Filtro
Reflex Security protege su red de
Ataques de red:• Ataques de http
• Desbordamiento de búfer
• Ataques de denegación de
servicio y DDOS
• Ataques Floods y SYN Flood
Programas
maliciosos:• Troyanos y bots
• Gusanos
• Malware
• Virus (más de 100.000)
• Spyware y Adware
2.
3.Actuaciones contra la
seguridad• Escaneado de puertos
• Inyecciones SQL
• Cross Site Scripting
• Probing
• Anomalías de protocolo
• Violaciones de protocolo
• Accesos no autorizados
Riesgos de red:• Tráfico de mensajería
instantánea
• Violaciones de normativa
• Hosts no autorizados
• Retorno de portátiles
• Red de socio no segura
• Tráfico “Peer-to-Peer”
¡Y muchos más!
4.
UTM – Unified Threat
ManagementUTM es un sistema de seguridad que
provee, seguridad en la red con un
sistema robusto de administracion y
proteccion.
UTM combina diferentes soluciones de
seguridad.
IPS es parte integral de un sistemaUTMArquitecturas de Seguridad III 74
UTM – Funcionalidades.
Arquitecturas de Seguridad III 75
Protocol Anomaly
Threat Analysis Unit
Correlation + Aggregation
Sig
na
ture
An
aly
sis
Tra
ffic
An
om
aly
Ac
ce
ss
Co
ntr
ol
Sc
an
Dete
cti
on
An
ti S
pyw
are
An
ti V
iru
s
Filte
r
Ale
rt
Blo
ck
Sw
itch
Ru
n
Sc
rip
t
Puntos individuales de protección y administración.
Arquitecturas de Seguridad III 76
ALERT!ALERT!
ALERT!
ALERT!ALERT!
Políticas separadas, despliegue, Administración de eventos, informes,
actualizaciones de contenido, actualizaciones de software,
ISS Multi-Function Threat ProtectionArquitecturas de Seguridad III 77
• Central Policy Administration
• Central Event Management
• Central Vulnerability Detection & Remediation
• Central Threat & Vulnerability Correlation
• Central Incident Response
• Central Reporting & Analysis
• Central Deployment & Content Updates
• Central 3rd Party Event Management
UTM – Funcionalidades.
Antivirus –
Detecta y previene Virus
en el gateway.
• Detiene virus antes de la
infeccion.
• Detecta y detiene correos
con virus que estan
infectado .
Arquitecturas de Seguridad III 78
AntiSpam
IPS
Proto
Eval™
Syn
Eval™
Flood
Eval™
Scan
Eval
DatEval™
Content
Filtering
Vulnerabilty
Assessment
AntiVirus
Firewall
UTM
Spyware
UTM – Funcionalidades.
AntiSpam -
• Detecta y previene Spam
en el gateway.
• Detiene Spam antes de
llegar al servidor de
correo.
• Proteccion rapida a nivel
de red, de una manera
mas rapida.
Arquitecturas de Seguridad III 79
AntiSpam
IPS
Proto
Eval™
Syn
Eval™
Flood
Eval™
Scan
Eval
DatEval™
Content
Filtering
Vulnerabilty
Assessment
AntiVirus
Firewall
UTM
Spyware
UTM – Funcionalidades.
Spyware - Network
Spyware Protection
• Detecta y previene
Spyware en el gateway.
• Detiene Spyware antes
de la infeccion.
• Detecta y detiene hosts
que estan infectado con
spyware.
• Proteccion rapida a nivel
de red, de una manera
mas rapida.
Arquitecturas de Seguridad III 80
AntiSpam
IPS
Proto
Eval™
Syn
Eval™
Flood
Eval™
Scan
Eval
DatEval™
Content
Filtering
Vulnerabilty
Assessment
AntiVirus
Firewall
UTM
Spyware
UTMReflex IPS
Intrusion Detection,
Prevention & Forensic
Arquitecturas de Seguridad III 81
Securing the network from Unauthorized access Internet attacks Partner feeds Returning laptops VIRUS, WORM, … Vulnerabilities DoS, DDoS, … Spyware
Arquitecturas de Seguridad III 82
Proactividad vs reactividad
Existen diferentes sistemas de disminuir la vulnerabilidad
De cada sistema
Sistemas scanners
Red Servidores bases de datos
Sistemas de suscripcion de vulnerabilidades
(administración y control de equipos, parches, bugs, etc.)
Establecer políticas de bienes informáticos
Auditorías de vulnerabilidad
Arquitecturas de Seguridad III 83
corrective action report
Vulnerability:
Severity:
IP Address:
OS:
Fix:
GetAdmin
High Risk
215.011.200.255
Windows NT 4.0
From the Start menu, choose Programs/Administrative Tools/User Manager. Under Policies/User Rights, check the users who have admin privileges on that host. Stronger action may be needed, such as reinstalling the operating system from CD. Consider this host compromised, as well as any passwords from any other users on this host. In addition, Apply the post-SP3 getadmin patch, or SP4 when available. Also refer to Microsoft Knowledge Base Article Q146965.txt.
Reflex ISMTM
Integrated Security ManagerIntegrated, virtualized management appliances:
Multi-vendor Security Event Management (SEM)Reflex Security Device Management Identity ManagementNetwork Discovery and VisualizationEvent correlation, alerts and reporting
Better network and event visibility
Fast, effective security response
Easier regulatory compliance
Security Information Manager
Module• Centralized Log Management: collects, archives and correlates event and system data from a variety of
heterogeneous, multi-vendor network devices, servers and applications
• Topology-Based Threat Visualization: provides the ability to immediately gain access to the overall security posture of the network
• Real-Time Monitoring and Alerting: correlates and monitors security event data across the enterprise in real-time to proactively reduce false positives and identify security breaches
• Comprehensive Reporting: delivers over 1,500 easy-to-read security and activity reports to provide insight into the state of the network
• Forensics Analysis: provides the ability to search log data to isolate events and ensure regulatory compliance
Customizable Dashboard
Compliance Reports
Main Dashboard
Dynamic Topology Map
Network Inventory
Network Performance