Presentacin de PowerPoint

Prevencin de intrusosLos sistemas de prevencin de intrusos son el resultado de unir las capacidad de bloqueo de los mecanismos de prevencin (encaminadores con ltrado de paquetes y pasarelas) con las capacidades de anlisis y monitorizacin de los sistemas de deteccin de intrusos.

Los sistemas de prevencin de intrusos poseen un tipo de respuesta activa ante los ataques.

En general hay cuatro estrategias distintas para la respuesta activa basada en red, cada una se corresponde con las distintas capas de la pila de protocolos:

Enlace de Datos: Administrativamente deshabilita el puerto del switch sobre el que tiene lugar el ataque. Red: Altera la poltica del firewall o router que bloquea todos los paquetes hacia o desde la direccin IP del atacante.

Transporte: Genera mensajes resets TCP a los atacantes que usan el mtodo del protocolo TCP o de Port Unreachable (puerto inalcanzable) del protocolo ICMP para los que utilizan el mtodo UDP.

Aplicacin: Altera la parte de los datos de los paquetes individuales desde el atacante. Por ejemplo si el atacante ha proporcionado un path a un shell /bin/sh, entonces cambia el paquete para que el path apunte a una locacin que no existe en el sistema antes de que el paquete llegue. Este mtodo requiere recalcular el checksum de la capa de transporte.

ElSistema dePrevencin de Intrusos (IPS)es una tecnologa de software mas hardware que ejerce el control de acceso en una red de computadores para protegerla de ataques y abusos.

Toman decisiones de control de acceso basados en los contenidos del trfico, en lugar de hacerlo basados endirecciones o puertos IP.

IPS Sistema proactivo

IDS Sistema reactivo

Los IPS se categorizan en la forma que detectan el trfico malicioso:

Deteccin basada en firmas: como lo hace un antivirus.

Deteccin basada en polticas: el IPS requiere que se declaren muy especficamente las polticas de seguridad.

Deteccin basada en anomalas: en funcin con el patrn de comportamiento normal de trfico.

Deteccin estadstica de anormalidadesDeteccin no estadstica de anormalidades

Deteccinhoney pot(jarra de miel): funciona usando un equipo que se configura para que llame la atencin de loshackers.Beneficios

Proteccin contra ataques externos e internos.

Se pueden personalizar las firmas.

Es el complemento de un sistema de control de acceso.

Se tiene una visin completa del trfico que se encuentra monitoreando.

Ayuda al cumplimiento de normas de seguridad.

Atendiendo a la fuente de datos que utilicen, los sistemas de prevencin de intrusos se podran clasicar en las dos categoras como las vistas anteriormente: basados en mquina y basados en red.A continuacin haremos un breve repaso sobre los modelos existentes ms relevantes para construir un sistema de prevencin:

Sistemas de deteccin en lnea

Conmutadores de nivel siete

Sistemas cortafuegos a nivel de aplicacin

Conmutadores hbridos Sistemas de deteccin en lnea

Se basan en la utilizacin de dos dispositivos de red diferenciados.

Uno de los dispositivos se encarga de interceptar el trco de su segmento de red, mientras que el otro se utiliza para efectuar tareas de gestin y administracin.

La interfaz de red utilizada para la monitorizacin est conectada a un dispositivo de escucha. Adems, esta interfaz no suele tener asignada ninguna direccin IP, para disminuir en lo posible las posibilidades de ser detectado.

Esta situacin le permite el control total sobre el trfico que pasa por su tramo de red. No slo puede analizar todo el trfico que recibe, antes de decidir qu hacer, sino que puede gestionar el ancho de banda. Hogwash

Uno de los sistemas que desarrollan esta idea es Hogwash; una herramienta que utiliza el motor de deteccin deSnortpara anular los paquetes maliciosos antes de que lleguen a su objetivo. Este IPS, adems de contar con las labores de deteccin y bloqueo normales, tiene la opcin de reescribir el trfico de red.