5.2.5 Administracion y monitoreo IPS El monitoreo de los eventos relacionados con la seguridad de una red también es un aspecto crucial de la proteccién de una red contra ataques. Aunque un IPS puede prevenir varios ataques, entender los que estén siendo lanzados contra la red permite al administrador evaluar cudn fuertes son las protecciones actuales y qué mejoras pueden ser necesarias a medida que la red crece. Sélo monitoreando los eventos de seguridad de la red el administrador podra identificar con precision los ataques y las violaciones a la politica de seguridad que toman lugar en la red. El dispositivo MARS detect6 y Existen cuatro factores que es necesario considerar para planear una estrategia de monitoreo: + Método de administrackén + Corretacién de eventos + Personal de seguridad + _Plan de respuesta a incidentesMétodo de administracién Los sensores IPS pueden ser administrados individual o centralmente. La configuracién individual de cada dispositivo IPS es el proceso mas sencillo si solo hay un par de sensores. Por ejemplo, una red que tiene el IPS IOS de Cisco en algunos pocos routers puede ser administrada con el SDM. La administracién individual de varios routers y sensores IPS se vuelve dificil y toma mucho tiempo. En una red grande, un sistema de administracién centralizada que permite al administrador configurar y administrar todos los dispositivos IPS desde un tinico sistema central debe ser implementado. El uso del enfoque de administracién centralizada para grandes despliegues de sensores reduce los requisitos de tiempo, personal y permite una mayor visibilidad en todos los eventos que toman lugar en una red. Correlacion de eventos La correlacion de eventos se refiere al proceso por el cual se corelacionan ataques y otros eventos que toman lugar simulténeamente en diferentes puntos de una red. El uso de Network Time Protocol (NTP) para hacer que los dispositivos deriven su fecha y hora del servidor NTP permite una mayor precisién en las marcas de tiempo de todas las alertas generadas por los IPS. Una herramienta de correlacién podra luego ordenar las alertas basandose en las mareas de tiempo. El administrador debe permitir NTP en todos los dispositivos de red para otorgar marcas de tiempo a los eventos con un sistema de tiempo comtin. Estas mareas de tiempo podran ser usadas luego para evaluar con precisién ciiando tomé lugar un evento especifico en relacién con otros eventos, sin importar cual dispositivo detecté el evento. Otro factor que facilita la correlacion de eventos es el despliegue de una funcion de monitoreo centralizado en la red, Al monitorear todos los eventos IPS en una sola ubicacién, el administrador mejora importantemente la precisién de la correlacién de los eventos.También se recomienda el despliegue de un producto que permita al administrador correlacionar no solo los eventos IPS sino otros eventos de la red, como mensajes syslog y entradas NetFlow, El producto Cisco Security Monitoring, Analysis and Response System (Cisco Security MARS) puede proporcionar este nivel de correlacién, Personal de seguridad Los dispositivos IPS tienden a generar varias alertas y otros eventos durante el procesamiento de trafico de la red. Las grandes empresas requieren el personal de seguridad apropiado para analizar esta actividad y determinar qué tan bien el IPS esta protegiendo la red. Examinar estas alertas también permite a los operadores de la red ajustar y optimizar la operacién del IPS en relacién con los requisitos tinicos de la red. Plan de respuesta a incidentes Si un sistema de Ja red se halla comprometido, debe implementarse un plan de respuesta. El sistema comprometido debe ser devuelto al estado en que estaba antes del ataque. Debe determinarse si el sistema comprometido Ilevé a pérdida de propiedad intelectual 0 al compromiso de otros sistemas en la red.Caracteristicas de MARS + MARS se usa para administrar de manera centralizada todos los sensores IPS. + MARS se usa para correlacionar todos los aventos IPS y ‘Syslog en una ubicacion central. + Lafuncionalidad MARS debe estar integrada en el plan de respuesta a incidentes identificada en la politica de seguridad de la red. Aunque la CLI puede ser utilizada para confignrar un despliegue de IPS, es mas simple utilizar un administrador de dispositivos basado en GUL Existen muchas soluciones de software de administracién de Cisco, diseaadas para ayudar a los administradores a gestionar su solucién IPS. Algunas proporcionan soluciones IPS administradas localmente, mientras que otras proporcionan soluciones de administracion mas. centralizada. Existen dos soluciones de administracién local de IPS Administrador de Routers y Dispositivos de Seguridad de Cisco (SDM) Administrador de Dispositivos IPS de Cisco IPS (IDM) Existen tres soluciones de administracién centralizada de IPS: Visor de Eventos IDS de Cisco (IEV) Administrador de Seguridad de Cisco (CSM) Sistema de Respuesta, Andlisis y Monitoreo de Seguridad de Cisco (MARS)‘+ EIIPS 10S de Cisco monitorea y evita intrusiones al comparar ol irfico con las firmas de amenazas conocidas y ‘bloquear a! trfico cuando detecta una amenaza. + EISDM de Cisco permite a los administradores controlar la aplicacién del IPS IOS de Cisco a las interfaces, importary ecitar archivos de definicion de fimas (SDF) de Cisco.com y configurar la accion que el IPS 105 de Cisco debe realizar sidetecta una amenaza,+ EJIDM de Cisco es una herramienta de configuracién basada en web para los dispositivos IPS de red. + Se entrega sin costo adicionsl con el software de Sensor IPS de Cisco, + 10M es una aplicacion Java basada en web que permite al administrador contigurar y administrar el sensor. + Elservidor web de IDM reside en ol sensor y puede accederse a él a través de un navegador web. + EIIEV de Cisco es una aplicacién basada en Java que permite a los administradores visualizar y administrar las slarmas de hasta cinco sensores. + Con el EV de Cisco, les administradores pueden conectarse a y visualizar alarmas en tiempo real o en archivos de registro importados. + Los administradores pueden configurar filros y vistas para administra las alarmas. + Los administradores también pueden importar y exportar datos de los eventos para un andlisis mas profundo.PErrri" ‘+ El Administrador de Seguridad de Cisco es una solucién potente pero muy fic! de usar que administra ccenirsimente todos los aspectos de la configuracién de los dispositvos y las politicas de seguridad de los firewalls, VPNs e IPS Cisco. ‘+ Proporciona soporte a sensores IPS e IPS IOS de Cisco. + Soporta actualizaciones automaticas de fimas y software de sensor IPS basadas en poliicas. + Incluye in aaistenla de sctuslizeciones de firms que permits revisién y adicidn técilee antes del despiiegus. fed Ei Cisco Security MARS es una solucién basads en dispositives @ integradora que permite a los administradores de ‘ed y seguridad monitorear, identifcar,aislar y neutralizar las amonazas de seguridad. + Esta familia de dispositivos de alto rendimiento permite a las organizaciones usar su red y recursos de seguridad mas eficientemente. + _Trabaja en conjunto con el CSM de Cisco.Los sensores IPS y el IPS IOS de Cisco generan alarmas cuando una firma habilitada se dispara. Estas alarmas se almacenan en el sensor y pueden ser visualizadas localmente 0 una aplicacion de administracion central como MARS puede sacar las alarmas de los sensores. Cuando se detecta una firma de ataque, la funcién IPS del IOS de Cisco puede enviar un mensaje syslog o una alarma en formato Secure Device Event Exchange (SDE). Este formato fie desarrollado para mejorar la commnicacién de eventos generados por dispositivos de seguridad. Principalmente comunica eventos IDS, pero esta diseilado para ser extensible y permite la inclusién de tipos de eventos adicionales a medida que se definen. ELSDM de Cisco puede monitorear los eventos syslog y los generados por SDEE y las alarmas comunes en los mensajes del sistema SDEE, incluyendo las alarmas de firmas TPS. Un mensaje de alarma de sistema SDEE tiene este tipo de formato: %IPS-4-SIGNA TURE: Sig: 1107 Subsig:0 Sev-2 RFC1918 address [192.168.121.1:137 - >192.168.121.255:137] Consola de administracie red Servidor SyslogLa administracion de firmas en varios dispositivos IPS puede ser dificultosa. Para mejorar la eficiencia de los IPS en una red, considere usar estas buenas pricticas de configuracién recomendadas. La necesidad de actualizar los sensores con los tiltimos paquetes de firmas debe equilibrarse con el tiempo de inactividad momentaneo durante el cual la red sera vulnerable a ataques. ‘Aldesplegar una gran implementacién de sensores, actualice los paquetes de firmas automaticamente en lugar de hacerlo manualmente en cada sensor. Esto otorga al personal de operaciones de seguridad mas tiempo para analizar los eventos. Cuando se encuentran disponibles nuevos paquetes de firmas, descarguelos a un servidor seguro dentro de la red de administracidn. Use otro IPS para proteger este servidor de ataques externos. Ubique los paquetes de firmas en un servidor PIP dedicado dentro de la red de administracién. Si no se encuentra disponible una actualizacién de firmas. puede crearse una firma personalizada para detectar y mitigar un ataque especifico. Configure el servidor FTP para permitir acceso de solo lectura a los archivos dentro del directorio en el que se encuentran los paquetes de firmas. Configure los sensores para buscar nuevos paquetes de firmas en el servidor FTP periédicamente, como una vez por semana o en un cierto dia. Escalone el momento del dia en que cada sensor busca nuevos paquetes de firmas en el servidor FTP, quizas con una ventana de cambio predeterminada. Esto evita que muiltiples sensores abrumen el servidor FTP pidiendo el mismo archivo al mismo tiempo. Mantenga sincronizados los niveles de firma soportados en la consola de administracion: con los paquetes de firmas de los sensores.Centro de administraciara agentes de seguridad de / ONS 2 Servidor web sorvidor de correo electr5.3.1 Configuracion del IPS IOS Cisco con la CLI ELIPS IOS de Cisco permite a los administradores gestionar la prevencién de intrusos en los routers que usan el IOS de Cisco version 12.3(8)T4 o posterior. El IPS IOS de Cisco monitorea y previene intrusos comparando el trafico con firmas de amenazas conocidas y bloqueando el trafico cuando se detecta una amenaza. Usar la CLI del IOS de Cisco con las firmas de formato IPS IOS 5.x toma varios pasos. ELIOS de Cisco version 12.4(10) y los anteriores usaban firmas de formato IPS 4.x y algunos comandos IPS han cambiado. Para implementar el IPS IOS: Paso 1. Descargar los archivos IPS IOS. Paso 2. Crear un directorio de configuracién IPS IOS en la flash. Paso 3. Configurar una clave criptografica IPS 10S. Paso 4. Habilitar el IPS IOS. Paso 5. Cargar el paquete de firmas del IPS IOS en el router.Quiero usar la CL! para administrar mis archivos — Paso 1. Descarga del archivo IPS IOS. Antes de configurar IPS, es necesario descargar los archivos del paquete de firmas del IPS IOS y la clave criptografica piblica de Cisco.com. Los archivos IPS especificos que se descargardn varian en relacién con la versi6n en uso. Solo los clientes registrados pueden descargar los archivos de paquete y clave. TOS-Sxxx-CLLp realm-cisco.pub.key. Este es el paquete de firmas més reciente. - Esta es la clave eriptogrifica publica utilizada por el IPS 10S. Paso 2. Creacion de un directorio de configuracién IPS IOS en la flash. EI segundo paso es crear un directorio en la flash para almacenar los archivos de firmas y configuraciones, Use el comando EXEC privilegiado mkdir nombre-directorio para crear el directorio.EL IPS IOS soporta cualquier sistema de archivos del IOS de Cisco como ubicacién de configuracién con los accesos de escritura apropiados. Puede usarse un dispositive USB conectado al puerto USB del router como ubicacion alternativa para almacenar los archivos de firmas y configuraciones. El dispositive USB debe permanecer conectado al puerto USB del router si se lo utiliza como ubicacién del directorio de configuracién del IPS IOS. Otros comandos que resultan titiles incluyen rename nombre-actual nuevo-nombre. Esto permite al administrador cambiar el nombre del directorio. Para verificar los contenidos de la flash, ingese el comando EXEC privilegiado dir flash: Lf mkdir ips Create directory filenane [ips]? Created dir flashtips rit Rif dir flasn: Directory of flash:/ Sr 51054864 Jan 10 2009 18:46:14 -09:00 oetodan-advipecevicencoene,324-20.11.bin RLPaso 3. Configuracidn de una clave criptografica IPS IOS. A contimiacion, configure la clave criptogréfica utilizada por el IPS IOS. Esta clave esta ubicada en el archivo realm-cisco.pub.key.txt descargado en el Paso 1. La clave criptogrifica verifica la firma digital del archivo de configuracién principal (sigdef-default xml). El contenido del archivo esta firmado con una clave privada de Cisco para garantizar su autenticidad e integridad. Para configurar la clave criptografica del IPS IOS, abra el archivo de texto, copie sus contenidos y péguelos en el modo de configuracién global. El archivo de texto emite los comands para generar la clave RSA. Cuando se compila la firma, se genera un mensaje de error si la clave criptogrfica no es valida, Este es un ejemplo de un mensaje de error: °%IPS-3-INVALID_DIGITAL_SIGNATURE: Invalid Digital Signature found (key not found) Si la clave esta configurada incorrectamente, debe ser eliminada y reconfigurada. Use los comandos no erypto key pubkey-chain rsa y no named-key realm-cisco pub signature para reconfigurar la clave. Ingrese el comando show nin en el prompt del router para confirmar que la clave criptogrifica esté configurada [crypto key pubkey-chain rsa. naned-key Fealn-ciseo pub signature yeetring) 30820122 30000608 2a864886 F7OD0101 01050003 82010FO0 3082010a 02620103 ODCI9ES3 ASAF124A D6CC7A74 5037A975 206BE3A2 OSFBALIF 6FI2CBSE 4E4siF16 27663005 CO2AC2S2 $128€27F 37FDDIC 11FC7AF? DDD91D9 43CDABC3 60070128 BL9SABCB D34ED0F9 O8SFADCI 399C109E FIOAFIOA COEFBS24 7ED7GGBF 3ES30S3E SB2146A3 D?ASEDE3 O29GAFO3 DED7ASBS 9479039D 20F30663 SACKABS3 CO112A35 FE3FOCE? 83BCB7B8 934AE74C FASEAS1D F6587505 BSEAFS74 SDSCCEE3 FORISESS 50437722 FFEE8SB9 SE4109FF CC1G9CB9 G9CAGFIC AGADFBAS 7AOAF99E AD?6OCI6 OUGCF498 O7SFEEFS AIBIFEIE SFE7BICB SOI9E1D1 9693CCEB SSIF7ED2 892356AE 2ESEDI26 G91GEFIC GOCAMF4D G7EFCAIE EFF6SUE 6897025 CEJICBGE BABO94DS 3020301 0001 quit Sait ‘Seleccione y copie el texto contenido en el archivo de clave publica y péguelo en el modo de configuracién global.RIG show run -

crypto key pubkey~chain rea pamed-key realm-cieco.pub aignature key-string 30820122 3000603 2age4e26 F7000101 01050003 82010F00 3082010a 02820101 00C19E93 ABAFI24A DGCC7A24 SO97AS7S 206BR3A2 OGFRAISF GFI2CRSB GE4G1F16 17863005 CO2AC252 912BE27F 37FOD9CR 11zCTAF7 DCDDE1D9 43CDARC3 60070128 BISQABC O34EDOE9 QSSFADCL 359C129E FI0AFIOA COEFR624 7E0764BF 3E53053E SR2146A9 O7ASEDE3 Q29BAE03 DEDTASBR 9479039D 20730663 SACG4R33 CO112A35. FEZEDCE7 G9BCBIBB 994AE74C FASEJELD FESE75D6 QSEAF9TA GDICCEES FOBOSEES 50937722 H¥BESE9 SEAIE9FF CC1ESCB9 69C46F9C ASADFEAS TAQAFISE ADT6SC36 O06cr49% O7S9F8Res ASBSFELF SFETEICE 5539EiDi 9633cCHR SS1F7#D2 992356aE 2BS6D826 8918EFIC SOCAIF4D BTRFCAIB BFF6GSES 689782A5 CESICR6E B4B09403 3020301 0001

Paso 4. Habilitar el IPS IOS. El cuarto paso consiste en la configuracién del IPS IOS, lo cual es un proceso que consta de varios pasos. 1) Identifique el nombre de la regla IPS y especifique la ubicacion Use el comando ip ips name [nombre-regla] [ACL opeional] para crear un nombre para la regla. Opcionalmente, puede configurarse una lista de control de acceso (ACL) para filtrar el trafico escaneado. Todo el trafico que la ACL permite esta sujeto a inspeecion por el IPS. El tréfico denegado por la ACL no es inspeccionado por el IPS. Use el comando ip ips contig location flash:nombre-directorio para configurar la ubicacion del almacenamiento de la firma IPS. Antes del IOS 12.4(11)T, se usaba el comando ip ips sdf location.2) Habilite la notificacién de eventos de registro y SDE. Para usar SDEE, primero debe habilitarse el servidor HTTP con el comando ip http server. Si el servidor HTTP no esta habilitado, el router no podra responder a los clientes SDEE porque no podra ver las solicitudes. Las notificaciones SDEE estén deshabilitadas por defecto y deben ser habilitadas explicitamente. Use el comando ip ips notify sdee para habilitar la notificacién de eventos SDEE IPS. El IPS IOS también soporta registros para enviar notificaciones de eventos. SDEE y la funcién de registro pueden ser usados independientemente o habilitados simultineamente. El registro de notificaciones esta habilitado por defecto. Si la consola de registro est habilitada, los mensajes de registro IPS seran mostrados en la consola. Use el comando ip ips notify log para habilitar el registro de notificaciones 3) Configure la categoria de la firma. Todas las firmas se agrupan en categorias jerarquicas, lo que ayuda a clasificarlas para agruparlas y ajustarlas mas facilmente. Las tres categorias mas comunes son all, basic y advanced. Las firmas utilizadas por el IPS IOS para escanear el tréfico pueden ser dadas de baja (retired) 0 reincorporadas (unretired). Dar de baja una firma significa que el IPS TOS no Ja compilara en la memoria para escanear. Reincorporarla implica instruir al IPS IOS para compilar la firma en la memoria y usarla para escanear el trafico. Cuando se configura por primera vez el IPS IOS, todas las firmas de la categoria all deben ser dadas de baja y luego algunas selectas deben ser reincorporadas a una categoria que haga menos uso de la memoria. Para dar de baja y reincorporar las firmas, primero ingrese al modo de categoria de IPS con el comando ip ips signature-category. Luego, use el comando category nombre-categoria para cambiar la categoria. Por ejemplo, use el comando category all para ingresar el modo de accién de categoria all. Para dar de baja una categoria, use el comando retired true. Para reincorporar una categoria, use el comando retired false.Advertencia: No reincorpore la categoria all. Esta categoria de firma contiene todas las firmas de la versién de firmas, El IPS IOS no puede compilar y usar todas las firmas de una vez, porque esto agotaria su memoria. El orden en el cual las categorias de firmas se configuran en el router también es importante. El IPS 10S procesa los comandos de categoria en el orden listado en la configuracion. Algunas firmas pertenecen a milltiples categorias. Si se configuran varias categorias y una firma pertenece a mas de una de ellas, el IPS IOS usa las propiedades de la firma en la categoria que se configuré por tiltimo, por ejemplo, dada de baja, reincorporada acciones. 4) Aplique la regla IPS a una interfaz deseada y especifique la direecion. Use el comando de configuracién de interfaz ip ips nombre-regla [in | out] para aplicar la regla IPS. El argumento in significa que solo el trafico que ingresa a la interfaz sera inspeecionado por el IPS, El argumento out especifica que solo el trafico que sale de la interfaz sera inspeccionado por el IPS Ri (config)# 4p ipa name iosips Fi (config)# ip ips name ips list ? <1-199> Nunbere 3 List Rl (config)# 4p ips config location flash:ips Ri (config) # + So.croa a ragia ‘ost. + Se identifica la ubicacion del IPS en fash como <1ash: ips. Crear la regia IPS ya} Habiltar notificaciones onc eed Pee en ll ee) categories de ee ss Mea cod interfazRi(contig)# ip bttp server Ri(config)# ip ape notify adee Ri(contig)# ip ipe notity log Ri (config) Las notifcaciones de eventos de ragistro y SDE estin habiltados. Crear la regia IPS yla || Habilitar notificaciones cern) ay ubicacién del archivo |}| de eventos de registro et oer is Meo ca ed Ri(config)# ip ipe signature-category Ri (config-ips-category) # category all Ri (config-ips-category-nction)# retired true Rl (config-ips-category-action)# exit Rl (config-ips-category) # Ri (config-ips-category}# category ios_ips basic Ri (con#ig-ips-category-action)# retired false Rl (config-ips-category-acticn)# exit Ri (config-ips-category) # exit Do you want to accept these changes? [confirm] y Rl (config) € + Lacategoria IPS a2 ha sido dada de baja. + La categoria IPS baste ha sido reincorporada, Crear la regia IPS y la |}| Habilitar notificaciones een nay ea) ubicacién del archivo ||| de eventos de registro eens IPS a.una i = ce odFilconflg)> interface Gigabitetheraet 0/0 Ri(config-if)# ip ips fosipa in Rilconfig-if)# exit Ri (contig) F exit + Se aplica la regla IPS en direccién de entrada. Ri (contig) interface Gigabitethernet 0/1 Ri(config-if)# 4p ipe iosipe in Ri(contig-it)# 4p ipa tosipa out Ri(config-it) # exit Ri (config) * exit + Se aplica la regla IPS en las direcciones de entrada y salida. Crear la regia IPS y la |} Habilitar notificaciones en Ca ene) ubicacién del archivo |]! de eventos de registro Sete er) iS Pes oe interfaz Paso 5. Cargar el paquete de firmas IPS IOS en el router. Eltltimo paso consiste en que el administrador suba el paquete de firmas al router. El amétodo mas comin utilizado es FTP o TFTP. Para copiar el paquete de firmas descargado desde el servidor FTP hacia el router, asegitrese de usar el parametro ideonf, al final del comando. copy fip://ftp_user:contraseita@direccién_IP_servidor/paquete_firmas idconf Para verificar que el paquete de firmas esté compilado apropiadamente, el administrador utiliza el comando show ip ips signature count.HIF copy ftp://eiaco:eiscotid. Touding 10S¢S310-CLE pkg tf 111! [ok ~ 1608673/4096. bytes! tan 15 16:44:47 PST: $IPS-6-ENGINE BUTLOS STARTED: 16:44:47 PST Jan 15 2008 sSnn 18 16:44:47 Pet: $18S-6-ENGINE-BUTLOIEG: multi-string - & signatures ~ 1 of 13 engines sgon 15 16244247 pst: VIESO-ENGINE READY: multi~atring - build tine 4 am - packets for this engine will be scanned por, bips-G-RnGIns BOTLOING: service-http ~ 622 signatures ~ 2 of 13 engines suan 15 16:44:53 PST: $IPS-6-RNGINE READY: service-hetp ~ build tine 6024 ea — packsts for this engine will be acanned +n 15 16:44 ‘Jan 15 16:45:18 PST: $TPS~G-ENGINE_BUTLOING: service-umb-advanced - 35 signatures - 12 of 13 engine: PST: ¥IPS~6-RNGIRE READY: secvice-snb-advanced ~ build tine 16 as ~ packets Tor this engine will be scanned 8 PST: SIPS~6-ENGINE AUTLOING: service-rarpe ~ 25 sign: of 13 engines Ayan 18 16:45:18 PST: $IPS-6-ENGINE READY: aervice-nerpe - build tie 32 na - packets for this engine will be scanned ‘gan 15 16:45:18 pst: FIPS-6-ALL ENGINE BUILDS COMPLETE: elapsed tixe 31628 ma samp 15 16:45:21 saan 15 16:45 wea - 13 Copiar las firnas dol servidor FTP. RLf show ip ips signature count Cisco SDF release version $310.0 — signature package release version Trend SDF release version V0.0 Signature Micro-Engine: multi-atring: Total Signatures & nulti-string enabled signatures: 2 aulti-string retired signatures: 2 Signature Micro-Engine: service-narpe: Total Signatures 25 service-narpe enabled signatures: 25 service-narpe retired signatures: 18 service-marpe compiled signatures: 1 service-narpe inactive signatures - invalid params: 6 Total 2136 Total Enabled Signature: Total Retized Signature: ‘Total Compiled Signatures 351 « total compiled signatures for the TOS IPS Basic category total Signatures with invalid parameters: 6 Total Obsoleted Signatures: 11 Rif