Documentos de Académico
Documentos de Profesional
Documentos de Cultura
IDS
Por qu es importante la seguridad de la
Informacin?
Perjuicio de la
Prdida de
reputacin
beneficios
Deterioro de la Prdida o
confianza del compromiso
inversor de seguridad
de los datos
Deterioro de la Interrupcin de
confianza del los procesos
cliente empresariales
Consecuencias
legales
PIRAMIDE DEL RIESGO INFORMATICO EN LOS DEPARTAMENTOS
DE TECNOLOGIAS DE LA INFORMACION
Increased Oversight
Legal
Regulatory
Significant
Cybercriminal actions
Threats
code red
Vulnerabilities s nimda
slammer
msblast
Qu son los eventos?
R=VxE
Qu son los ataques del da cero?
WEB Server
Mobile Users
File/Applications Server
Workstations
E-mail Gateway
Perimetral Security
Cules son los tipos de ataques ms
comunes y las firmas reconocidas?
Los tipos de ataques ms comunes son : ping sweeps, DNS
zone transfers, e-mail recons, TCP or UDP port scans, y
posiblemente la indexacin de todo un sitio web para buscar
vulnerabilidades.
Los intrusos generalmente se aprovecharn de ventanas ocultas
o fallas de programacin para obtener acceso al sistema.
Denial-of-service (DoS) es uno de los mtodos de ataque ms
comun. Donde el intruso intenta violar un servicio en la mquina,
sobrecargando los enlaces de red, sobrecargando el CPU o
superando la capacidad del disco.
El intruso no trata de obtener informacin del sistema, busca es
violar las seguridades del mismo. Por tanto las firmas se basan
en la evidencia que dejan estos tipos de ataques.
Ejemplo de recoleccin de eventos en
la red.
Arturo de la Torre
Qu es un falso positivo?
Basados en firmas
Basados en el anlisis de acciones.
Qu es un sistema IDS de red?
Las firmas dejadas por un hacker son evidencias de una violacin al sistema.
Cuando un ataque malicioso es lanzado contra un sistema, el atacante
necesariamente deja evidencias de sus acciones en los logs del sistema.
Cada intento de violacin deja huellas de accesos no autorizados (e.g.,
unauthorized software executions, failed logins, misuse of administrative
privileges, file and directory access).
Basados en esta evidencia el administrador puede documentar el ataque y
prevenir la violacin del sistema en el futuro.
Adems puede tener un registro de firmas propio complementario que le ayude a
proteger el sistema en forma pro activa, determinado que ataque fue perpetrado,
en qu forma y bajo qu condiciones.
Cul es la diferencia entre un firewall y
un Sistema Detector de Intrusos?
Antihacker Kaspersky
ZoneAlarm
Qu herramientas pueden utilizarse para
generar paquetes de verificacin?
kltps
Hping
Trinux
Qu es un sistema de prevencin de
red IPS?
INFECTED
Porqu necesito un IPS, si en la actualidad
yo tengo un firewall y un IDS?
Para que una prevencin sea efectiva, debe desarrollarse en lnea y ser
capaz de detectar automticamente las acciones maliciosas. Adicionalmente,
deber bloquear los paquetes maliciosos en el trfico normal de la red, antes
de que pueda ocasionar daos.
La prevencin debe presentarse an cuando las condiciones de trfico son
extremas y consecuentemente importantes.
El trfico positivo nunca deber bloquearse an durante un ataque de red.
Finalmente un IPS deber tener una latencia similar a la de un switch.
Porqu necesito un IPS, si en la actualidad
yo tengo un firewall y un IDS?
Acceso desde una consola central a todas las estaciones, que permiten
mantener datos para auditoria.
Capacidad de crecimiento proporcional a los nuevos requerimientos de
la red.
Actualizaciones que cubran los nuevos requerimientos que pueda
presentar nuestra red a futuro (firmas, parches, configuraciones).
Presentacin de informacin en forma comprensible para los
administradores, sobre los tipos de ataques maliciosos realizados contra
el sistema, y recomendaciones para reprogramar los firewalls, email
gateways, web services.
Una combinacin de anlisis de trafico en la red y comportamiento de los
sistemas operativos, a fin de determinar posibles amenazas.