5.2.5 Administracion y monitoreo IPS
El monitoreo de los eventos relacionados con la seguridad de una red también es un
aspecto crucial de la proteccién de una red contra ataques. Aunque un IPS puede
prevenir varios ataques, entender los que estén siendo lanzados contra la red permite al
administrador evaluar cudn fuertes son las protecciones actuales y qué mejoras pueden
ser necesarias a medida que la red crece. Sélo monitoreando los eventos de seguridad de
la red el administrador podra identificar con precision los ataques y las violaciones a la
politica de seguridad que toman lugar en la red.
El dispositivo MARS detect6 y
Existen cuatro factores que es necesario considerar para
planear una estrategia de monitoreo:
+ Método de administrackén
+ Corretacién de eventos
+ Personal de seguridad
+ _Plan de respuesta a incidentesMétodo de administracién
Los sensores IPS pueden ser administrados individual o centralmente. La configuracién
individual de cada dispositivo IPS es el proceso mas sencillo si solo hay un par de
sensores. Por ejemplo, una red que tiene el IPS IOS de Cisco en algunos pocos routers
puede ser administrada con el SDM. La administracién individual de varios routers y
sensores IPS se vuelve dificil y toma mucho tiempo.
En una red grande, un sistema de administracién centralizada que permite al
administrador configurar y administrar todos los dispositivos IPS desde un tinico
sistema central debe ser implementado. El uso del enfoque de administracién
centralizada para grandes despliegues de sensores reduce los requisitos de tiempo,
personal y permite una mayor visibilidad en todos los eventos que toman lugar en una
red.
Correlacion de eventos
La correlacion de eventos se refiere al proceso por el cual se corelacionan ataques y
otros eventos que toman lugar simulténeamente en diferentes puntos de una red. El uso
de Network Time Protocol (NTP) para hacer que los dispositivos deriven su fecha y
hora del servidor NTP permite una mayor precisién en las marcas de tiempo de todas las
alertas generadas por los IPS. Una herramienta de correlacién podra luego ordenar las
alertas basandose en las mareas de tiempo. El administrador debe permitir NTP en todos
los dispositivos de red para otorgar marcas de tiempo a los eventos con un sistema de
tiempo comtin. Estas mareas de tiempo podran ser usadas luego para evaluar con
precisién ciiando tomé lugar un evento especifico en relacién con otros eventos, sin
importar cual dispositivo detecté el evento.
Otro factor que facilita la correlacion de eventos es el despliegue de una funcion de
monitoreo centralizado en la red, Al monitorear todos los eventos IPS en una sola
ubicacién, el administrador mejora importantemente la precisién de la correlacién de los
eventos.También se recomienda el despliegue de un producto que permita al administrador
correlacionar no solo los eventos IPS sino otros eventos de la red, como mensajes
syslog y entradas NetFlow, El producto Cisco Security Monitoring, Analysis and
Response System (Cisco Security MARS) puede proporcionar este nivel de correlacién,
Personal de seguridad
Los dispositivos IPS tienden a generar varias alertas y otros eventos durante el
procesamiento de trafico de la red. Las grandes empresas requieren el personal de
seguridad apropiado para analizar esta actividad y determinar qué tan bien el IPS esta
protegiendo la red. Examinar estas alertas también permite a los operadores de la red
ajustar y optimizar la operacién del IPS en relacién con los requisitos tinicos de la red.
Plan de respuesta a incidentes
Si un sistema de Ja red se halla comprometido, debe implementarse un plan de
respuesta. El sistema comprometido debe ser devuelto al estado en que estaba antes del
ataque. Debe determinarse si el sistema comprometido Ilevé a pérdida de propiedad
intelectual 0 al compromiso de otros sistemas en la red.Caracteristicas de MARS
+ MARS se usa para administrar de manera centralizada
todos los sensores IPS.
+ MARS se usa para correlacionar todos los aventos IPS y
‘Syslog en una ubicacion central.
+ Lafuncionalidad MARS debe estar integrada en el plan
de respuesta a incidentes identificada en la politica de
seguridad de la red.
Aunque la CLI puede ser utilizada para confignrar un despliegue de IPS, es mas simple
utilizar un administrador de dispositivos basado en GUL Existen muchas soluciones de
software de administracién de Cisco, diseaadas para ayudar a los administradores a
gestionar su solucién IPS. Algunas proporcionan soluciones IPS administradas
localmente, mientras que otras proporcionan soluciones de administracion mas.
centralizada.
Existen dos soluciones de administracién local de IPS
Administrador de Routers y Dispositivos de Seguridad de Cisco (SDM)
Administrador de Dispositivos IPS de Cisco IPS (IDM)
Existen tres soluciones de administracién centralizada de IPS:
Visor de Eventos IDS de Cisco (IEV)
Administrador de Seguridad de Cisco (CSM)
Sistema de Respuesta, Andlisis y Monitoreo de Seguridad de Cisco (MARS)‘+ EIIPS 10S de Cisco monitorea y evita intrusiones al comparar ol irfico con las firmas de amenazas conocidas y
‘bloquear a! trfico cuando detecta una amenaza.
+ EISDM de Cisco permite a los administradores controlar la aplicacién del IPS IOS de Cisco a las interfaces,
importary ecitar archivos de definicion de fimas (SDF) de Cisco.com y configurar la accion que el IPS 105 de
Cisco debe realizar sidetecta una amenaza,+ EJIDM de Cisco es una herramienta de configuracién basada en web para los dispositivos IPS de red.
+ Se entrega sin costo adicionsl con el software de Sensor IPS de Cisco,
+ 10M es una aplicacion Java basada en web que permite al administrador contigurar y administrar el sensor.
+ Elservidor web de IDM reside en ol sensor y puede accederse a él a través de un navegador web.
+ EIIEV de Cisco es una aplicacién basada en Java que permite a los administradores visualizar y administrar las
slarmas de hasta cinco sensores.
+ Con el EV de Cisco, les administradores pueden conectarse a y visualizar alarmas en tiempo real o en archivos de
registro importados.
+ Los administradores pueden configurar filros y vistas para administra las alarmas.
+ Los administradores también pueden importar y exportar datos de los eventos para un andlisis mas profundo.PErrri"
‘+ El Administrador de Seguridad de Cisco es una solucién potente pero muy fic! de usar que administra
ccenirsimente todos los aspectos de la configuracién de los dispositvos y las politicas de seguridad de los firewalls,
VPNs e IPS Cisco.
‘+ Proporciona soporte a sensores IPS e IPS IOS de Cisco.
+ Soporta actualizaciones automaticas de fimas y software de sensor IPS basadas en poliicas.
+ Incluye in aaistenla de sctuslizeciones de firms que permits revisién y adicidn técilee antes del despiiegus.
fed
Ei Cisco Security MARS es una solucién basads en dispositives @ integradora que permite a los administradores de
‘ed y seguridad monitorear, identifcar,aislar y neutralizar las amonazas de seguridad.
+ Esta familia de dispositivos de alto rendimiento permite a las organizaciones usar su red y recursos de seguridad
mas eficientemente.
+ _Trabaja en conjunto con el CSM de Cisco.Los sensores IPS y el IPS IOS de Cisco generan alarmas cuando una firma habilitada se
dispara. Estas alarmas se almacenan en el sensor y pueden ser visualizadas localmente 0
una aplicacion de administracion central como MARS puede sacar las alarmas de los
sensores.
Cuando se detecta una firma de ataque, la funcién IPS del IOS de Cisco puede enviar un
mensaje syslog o una alarma en formato Secure Device Event Exchange (SDE). Este
formato fie desarrollado para mejorar la commnicacién de eventos generados por
dispositivos de seguridad. Principalmente comunica eventos IDS, pero esta diseilado
para ser extensible y permite la inclusién de tipos de eventos adicionales a medida que
se definen.
ELSDM de Cisco puede monitorear los eventos syslog y los generados por SDEE y las
alarmas comunes en los mensajes del sistema SDEE, incluyendo las alarmas de firmas
TPS.
Un mensaje de alarma de sistema SDEE tiene este tipo de formato:
%IPS-4-SIGNA TURE: Sig: 1107 Subsig:0 Sev-2 RFC1918 address [192.168.121.1:137 -
>192.168.121.255:137]
Consola de
administracie red
Servidor SyslogLa administracion de firmas en varios dispositivos IPS puede ser dificultosa. Para
mejorar la eficiencia de los IPS en una red, considere usar estas buenas pricticas de
configuracién recomendadas.
La necesidad de actualizar los sensores con los tiltimos paquetes de firmas debe
equilibrarse con el tiempo de inactividad momentaneo durante el cual la red sera
vulnerable a ataques.
‘Aldesplegar una gran implementacién de sensores, actualice los paquetes de firmas
automaticamente en lugar de hacerlo manualmente en cada sensor. Esto otorga al
personal de operaciones de seguridad mas tiempo para analizar los eventos.
Cuando se encuentran disponibles nuevos paquetes de firmas, descarguelos a un
servidor seguro dentro de la red de administracidn. Use otro IPS para proteger este
servidor de ataques externos.
Ubique los paquetes de firmas en un servidor PIP dedicado dentro de la red de
administracién. Si no se encuentra disponible una actualizacién de firmas. puede crearse
una firma personalizada para detectar y mitigar un ataque especifico.
Configure el servidor FTP para permitir acceso de solo lectura a los archivos dentro del
directorio en el que se encuentran los paquetes de firmas.
Configure los sensores para buscar nuevos paquetes de firmas en el servidor FTP
periédicamente, como una vez por semana o en un cierto dia. Escalone el momento del
dia en que cada sensor busca nuevos paquetes de firmas en el servidor FTP, quizas con
una ventana de cambio predeterminada. Esto evita que muiltiples sensores abrumen el
servidor FTP pidiendo el mismo archivo al mismo tiempo.
Mantenga sincronizados los niveles de firma soportados en la consola de administracion:
con los paquetes de firmas de los sensores.Centro de administraciara
agentes de seguridad de
/ ONS 2
Servidor web sorvidor de
correo electr5.3.1 Configuracion del IPS IOS Cisco con la CLI
ELIPS IOS de Cisco permite a los administradores gestionar la prevencién de intrusos
en los routers que usan el IOS de Cisco version 12.3(8)T4 o posterior. El IPS IOS de
Cisco monitorea y previene intrusos comparando el trafico con firmas de amenazas
conocidas y bloqueando el trafico cuando se detecta una amenaza.
Usar la CLI del IOS de Cisco con las firmas de formato IPS IOS 5.x toma varios pasos.
ELIOS de Cisco version 12.4(10) y los anteriores usaban firmas de formato IPS 4.x y
algunos comandos IPS han cambiado.
Para implementar el IPS IOS:
Paso 1. Descargar los archivos IPS IOS.
Paso 2. Crear un directorio de configuracién IPS IOS en la flash.
Paso 3. Configurar una clave criptografica IPS 10S.
Paso 4. Habilitar el IPS IOS.
Paso 5. Cargar el paquete de firmas del IPS IOS en el router.Quiero usar la CL! para administrar mis archivos —
Paso 1. Descarga del archivo IPS IOS.
Antes de configurar IPS, es necesario descargar los archivos del paquete de firmas del
IPS IOS y la clave criptografica piblica de Cisco.com. Los archivos IPS especificos que
se descargardn varian en relacién con la versi6n en uso. Solo los clientes registrados
pueden descargar los archivos de paquete y clave.
TOS-Sxxx-CLLp
realm-cisco.pub.key.
Este es el paquete de firmas més reciente.
- Esta es la clave eriptogrifica publica utilizada por el IPS 10S.
Paso 2. Creacion de un directorio de configuracién IPS IOS en la flash.
EI segundo paso es crear un directorio en la flash para almacenar los archivos de firmas
y configuraciones, Use el comando EXEC privilegiado mkdir nombre-directorio para
crear el directorio.EL IPS IOS soporta cualquier sistema de archivos del IOS de Cisco como ubicacién de
configuracién con los accesos de escritura apropiados. Puede usarse un dispositive USB
conectado al puerto USB del router como ubicacion alternativa para almacenar los
archivos de firmas y configuraciones. El dispositive USB debe permanecer conectado al
puerto USB del router si se lo utiliza como ubicacién del directorio de configuracién del
IPS IOS.
Otros comandos que resultan titiles incluyen rename nombre-actual nuevo-nombre. Esto
permite al administrador cambiar el nombre del directorio.
Para verificar los contenidos de la flash, ingese el comando EXEC privilegiado dir
flash:
Lf mkdir ips
Create directory filenane [ips]?
Created dir flashtips
rit
Rif dir flasn:
Directory of flash:/
Sr 51054864 Jan 10 2009 18:46:14 -09:00
oetodan-advipecevicencoene,324-20.11.bin
RLPaso 3. Configuracidn de una clave criptografica IPS IOS.
A contimiacion, configure la clave criptogréfica utilizada por el IPS IOS. Esta clave esta
ubicada en el archivo realm-cisco.pub.key.txt descargado en el Paso 1.
La clave criptogrifica verifica la firma digital del archivo de configuracién principal
(sigdef-default xml). El contenido del archivo esta firmado con una clave privada de
Cisco para garantizar su autenticidad e integridad.
Para configurar la clave criptografica del IPS IOS, abra el archivo de texto, copie sus
contenidos y péguelos en el modo de configuracién global. El archivo de texto emite los
comands para generar la clave RSA.
Cuando se compila la firma, se genera un mensaje de error si la clave criptogrfica no es
valida, Este es un ejemplo de un mensaje de error:
°%IPS-3-INVALID_DIGITAL_SIGNATURE: Invalid Digital Signature found (key not
found)
Si la clave esta configurada incorrectamente, debe ser eliminada y reconfigurada. Use
los comandos no erypto key pubkey-chain rsa y no named-key realm-cisco pub
signature para reconfigurar la clave.
Ingrese el comando show nin en el prompt del router para confirmar que la clave
criptogrifica esté configurada
[crypto key pubkey-chain rsa.
naned-key Fealn-ciseo pub signature
yeetring)
30820122 30000608 2a864886 F7OD0101 01050003 82010FO0 3082010a 02620103
ODCI9ES3 ASAF124A D6CC7A74 5037A975 206BE3A2 OSFBALIF 6FI2CBSE 4E4siF16
27663005 CO2AC2S2 $128€27F 37FDDIC 11FC7AF? DDD91D9 43CDABC3 60070128
BL9SABCB D34ED0F9 O8SFADCI 399C109E FIOAFIOA COEFBS24 7ED7GGBF 3ES30S3E
SB2146A3 D?ASEDE3 O29GAFO3 DED7ASBS 9479039D 20F30663 SACKABS3 CO112A35
FE3FOCE? 83BCB7B8 934AE74C FASEAS1D F6587505 BSEAFS74 SDSCCEE3 FORISESS
50437722 FFEE8SB9 SE4109FF CC1G9CB9 G9CAGFIC AGADFBAS 7AOAF99E AD?6OCI6
OUGCF498 O7SFEEFS AIBIFEIE SFE7BICB SOI9E1D1 9693CCEB SSIF7ED2 892356AE
2ESEDI26 G91GEFIC GOCAMF4D G7EFCAIE EFF6SUE 6897025 CEJICBGE BABO94DS
3020301 0001
quit
Sait
‘Seleccione y copie el texto contenido en el archivo de clave publica y péguelo en el modo de
configuracién global.RIG show run
-