Professional Documents
Culture Documents
PRESENTADO POR:
CARLOS ESCOBAR
CRISTIAN COUSIN
DENNIS ROMERO
OCTAVIO GUTIERREZ
STEFANIE CIBRIAN
MAYO 2015
ndice
Introduccin............................................................................ 1
Objetivo................................................................................1
1.
2.
3.
CISCO IPS........................................................................2
4.
5.
6.
7.
Tcnicas de Evasin..............................................................4
8.
Seguridad.........................................................................5
9.
10.
Sensores Virtuales..............................................................7
11.
12.
Cisco IPS.......................................................................7
13.
14.
Bibliografa........................................................................... 12
Introduccin
El presente informe presenta algunos servicios de monitore de redes privadas de
internet, a traves de software especializados en seguridad computacional. Estos software
y tipos de servicios descritos mas adelante pertenencen exclusivamente a la
infraestructura y diseo de los equipos CISCO.
Objetivo
1. Estudiar distintos software de monitoreo de seguridad en redes privadas de
Internet.
2. Estudiar distintos tipos de servicios que ofrece CISCO en la implentacion de una
administracion segura con equipos CISCO en una red.
3. CISCO IPS
Las plataformas de sensores Cisco IPS integran en una variedad de topologas de red y
arquitecturas. Las plataformas de sensores se dividen en los siguientes grupos
principales:
a. Aparatos Standalone IPS en forma de Cisco IPS sensores de la serie 4200 de Cisco
b. AIM-IPS, NME-IPS de Cisco Integrated Services Routers Cisco Catalyst 6500
Gestin de todos los modelos de sensores disponibles en la actualidad para incluir IPS
4200 dispositivos de la serie, AIP SSC y AIP SSM, IDSM-2, y AIM-IPS y mdulos de
NME-IPS.
Integracin con IDM, proporcionando la misma interfaz para configurar las
caractersticas del sensor.
Incluye una base de datos en la que se puede tirar de eventos IPS de los sensores
utilizando el SDEEprotocol travs de una conexin HTTPS.
7. Tcnicas de Evasin
Una serie de mtodos para analizar los ataques, pero para analizar y elegir las
contramedidas anti-evasin mejor, es importante tener en menores de soportar las
diversas tcnicas de evasin utilizados por los atacantes. Atacantes red suelen utilizar
tcnicas de evasin de red de IPS para tratar de eludir la deteccin de intrusiones,
prevencin de intrusiones y funciones de filtrado de trfico proporcionada por la red IPS
sensores. Algunos de red comnmente utilizado tcnicas de evasin IPS incluyen los
siguientes:
El cifrado y tunelizacin
ataques de temporizacin
agotamiento de recursos
la fragmentacin de Trfico
interpretacin errnea de nivel Protocolo
sustitucin de Trfico y la insercin
Consideraciones para el Despliegue de Sensores
8. Seguridad
a. Modo de Prevencin o Modo de Deteccin
b. Desempeo
c. Requerimientos de Virtualizacin
Los administradores de seguridad normalmente despliegan un IPS o un IDS en los
siguientes esenarios:
En cualquier los lugar en la red.
Cerca de cualquier recurso valioso
En cualquier lugar en la infraestructura interna
En los permetros de la red
En un lugar de la red que la compaa o el proveedor nesecite identificar ataques o
determinar amenazas
El modo de prevencin es utilizado para configurar respuestas agresivas (bloquear host,
desechar paquetes, o ambas) a cualquier para alertar la actividad sospechosa
El modo de deteccin no usa respuestas agresivas, en su lugar alerta al administardor o
captura trafico de red para proveer informacin acerca de actividad sospechosa en la red
Hay tres criterios comunes que el administrador debe tener en consideracin al
desplegar el sensor:
Conexiones por segundo
Retraso
Throughput
Es importante para el administrador evaluar la virtualizacin. Los sensores IPS Cisco
soportan virtualizacin en la forma de polticas de virtualizacin.
Al desplegar una IDS o una IPS, los siguientes modos son soportados por los sensores
IPS de Cisco:
5
Modo Promiscuo
Emparejamiento de Interfaces en lnea
Emparejamiento de Vlans en lnea
Agrupacin de Vlans en lnea
Modo de anlisis selectivo en lnea
Todos los sensores IPS de Cisco son dispositivos de reenvio cuando desplegados en
modo en linea. Uno de los mas sencillos y mas desplegados es el el de emparejamiento
de interfaces en lnea. En este modo, los sensores usan un par de interfaces de red para
interconectar fsica o lgicamente redes y esencialmente sirve como conexin entre los
dos segmentos de red
En este modo, el sensor acta como un puerto troncal 802.11q y tambin como
conexin, haciendo traslado de Vlan entre un par de Vlans en este Interfaz/Puerto
troncal. Todo el trafico es analizado cuando es recibido en cada vlan en cada par, y
luego puede ser enviado a la otra vlan o desechar el paquete si se detecta una amenaza
de intrison es detectada.
10.Sensores Virtuales
El sensor puede recibir data de una o varias corrientes de data monitoreadas. Estas
corrientes de data monitoreadas pueden ser puertos de interfaces fisicas o puertos de
interfaces virtuales.
Un sensor virtual es una coleccin de data que es definido por una serie de politicas de
configuracion. El sensor virtual es aplicado a una serie de paquetes definidos por su
componente de interfaz. El sensor puede monitorear multiples segmentos y se pued
aplicar una politica diferente en cada sensor virtual dentro de un sensor fisico, tambin,
se pueden asignar interfaces, pares de interfaces en linea o grupos VLAN.
12.Cisco IPS
Cisco IPS es una serie de reglas que un sensor utiliza para detectar actividades
maliciosas y sospechosas. Un motor de firmas es una parte del sensor IPS y soporta una
categora de firmas.
Un sensor Cisco IPS puede reconfigurar dinmicamente un dispositivo remoto Cisco
para bloquear la fuente de un ataque en tiempo real. Paquetes IP pueden ser capturados
automtica o manualmente. Una anulacion de evento puede ser usada para cambiar las
acciones asociadas al evento.El filtrado de eventos permite reducir el numero de falsas
alarmas. Deteccin de intrusiones basado en Anomala Es un nuevo mtodo en la lucha
contra la explotacin y el abuso.
Cuando se utiliza junto con una solucin eficaz de deteccin basada en firmas, la
deteccin basada en anomalas es un medio viable y eficaz para la proteccin de su
infraestructura de red y la capacidad de su empresa para hacer negocio.
La deteccin de intrusiones basado en anomalas activa una alarma en los IDS cuando
algn tipo de comportamiento inusual se produce en su red. Incluye cualquier caso, el
estado, el contenido, o comportamiento que se considera ser anormal por un estndar
pre-definido.
Cuando los ataques han progresado ms all de la actividad del canal de control,
deteccin de intrusos basados en anomalas es el nico fiable medios para la deteccin
en el caso del ataque DoS que inunda la red con un gran volumen de trfico.
Esto es porque sofisticado trfico de ataques puede no ser distinguible de trfico de red
regular de forma individual y el paquete de ataque no se manifiesta una firma especfica
que puede ser capturado por los mecanismos basados en firmas.
Por ejemplo, el siguiente patrn de anomalas de trfico pueden ser observados como
consecuencia de la denegacin de servicio distribuido (DDoS):
10
11
Bibliografa
Davis Burns, K. b. (2012). CCNP Securty IPS 642-627 (2nd Edition ed.,
Vol. 1). (D. Burns, Ed.) Indianapolis, United States of America: Cisco
Press.
12