Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Nids

    Hochgeladen von

    korvuz80
    105 Ansichten21 Seiten
    nips nids

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PPTX, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    nips nids

    Copyright:

    © All Rights Reserved
    Als PPTX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    105 Ansichten21 Seiten

    Nids

    Hochgeladen von

    korvuz80
    nips nids

    Copyright:

    © All Rights Reserved
    Als PPTX, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 21

    NIPS & NIDS

    INTRODUCCIN

    Es por ello que desde la dcada de los 80 se ha


    venido trabajando en sistemas IDS, desde un
    primer trabajo sobre este as como a su
    elaboracin creado por Peter Neumann,
    posteriormente se cre uno orientado al host
    elaborado por la universidad de California. En
    los 90 ante el crecimiento exponencial de las
    redes de ordenadores se orienta el trabajo
    hacia la deteccin en red y con ello aparecen
    los primeros productos comerciales.

    NIPS (Network Intrusion Prevention


    System)

    Este un IDS que funciona como un dispositivo de red


    independiente, con su propio sistema operativo y capacidades de
    procesamiento y almacenamiento. Es situado estratgicamente en
    ciertos sectores de la red para poder realizar su trabajo de
    inspeccin del trfico; su gestin es ms sencilla por ser un punto
    central de monitoreo y de deteccin de posibles ataques en la red.

    NIPS (Network Intrusion


    Prevention System)

    El NIPS es la forma ms comn y efectiva de implementacin de un


    sistema de prevencin de intrusos en las redes modernas; su
    posicionamiento en lnea y de una forma estratgica dentro del
    diseo de la red, hacen que la deteccin (herencia del IDS) y
    bloqueo del trfico malicioso sean los puntos altos de este modelo de
    seguridad de red.

    MODELOS DE INSPECCIN
    Basado en Firmas (Signature Based)
    Este es el modelo ms comn de inspeccin del trfico; cada
    fabricante desarrolla un conjunto de firmas (signatures) y las pone a
    disposicin de sus clientes bajo un modelo contractual similar al de los
    sistemas antivirus. Las actualizaciones constantes de los IPS son vitales
    para el correcto funcionamiento de este modelo, ya que el motor
    (engine) de inspeccin se alimenta constantemente de las nuevas
    firmas o de cambios en los patrones de las ya existentes.

    MODELOS DE INSPECCIN
    Deteccin de anomalas (Anomaly detection):
    Este modo de operacin se basa en la creacin de una lnea base de
    operacin normal de la red, y cualquier desviacin a esta lnea se
    considera un comportamiento anormal, y por ende que se necesite
    bloquear. El IPS es capaz de aprender estos patrones de trfico y
    tomar decisiones cuando determine que existen anormalidades en el
    funcionamiento de la red. Este modelo no necesita ningn esquema
    de licenciamiento, puesto que no es basado en firmas ni necesita
    constantes actualizaciones, ms all de las propias del sistema
    operativo del dispositivo.

    MODELOS DE INSPECCIN
    Inspeccin profunda de Paquetes (Deep Packet Inspection) y filtro de
    trfico:
    Esta tcnica permite que el dispositivo analice el funcionamiento de
    un protocolo, y determine anormalidades dentro de su operacin. Es
    una caracterstica principalmente de los firewalls que tambin el IPS la
    utiliza como parte de la deteccin y prevencin de ataques en la red.
    Un ejemplo es el protocolo HTTP. Su funcin bsica es acarrear el
    trfico de aplicaciones Web, pero puede ser utilizado por
    aplicaciones del tipos P2P o Tunneling, las cuales pueden ser
    potenciales medios para la generacin y dispersin de malware en la
    red.

    SOLUCIONES POR SOFTWARE


    SNORT

    solucin completa pudiendo trabajar como HIDS o NIDS adems


    de volverse un HIPS o NIPS al integrarse a otras herramientas de la
    red como firewall o appliance de seguridad, trabaja analizando los
    paquetes, marca las transmisiones que sean potencialmente
    maliciosas y las almacena en un registro formateado.

    SOLUCIONES POR HARDWARE

    NIDS

    Analiza el trfico de toda la red

    Examina paquetes en bsqueda de opciones no permitidas y


    diseadas para no ser detectadas por los cortafuegos

    Produce alertas cuando se intenta explorar algn fallo de un


    programa de un servidor

    Componentes

    Sensores (agentes): situado en un segmento de red monitoriza en


    busca de trfico sospechoso

    Una consola: recibe las alarmas de los sensores y reacciona segn


    el tipo de alarma recibida

    Ventajas y Desventajas
    Ventajas
    Detectan accesos no deseados en la red
    No necesitan software adicional en los servidores
    Fcil instalacin y actualizacin (sistemas dedicados)
    Desventajas

    Nmero de falsos-positivos
    Sensores distribuidos en cada segmento de la red
    Trfico adicional en la red
    Difcil deteccin de los ataques de sesiones encriptadas

    Topologa

    Antes del cortafuegos

    En la DMZ

    En la intranet

    Tipos de Monitoreo

    FIRMAS

    ANOMALAS

    HEURSTICA

    EN BASE A REGLAS

    Tipos e ataques

    Insercion

    Deteccin

    Tipos de Ataques

    DoS

    ARP Spoofing

    Evasion SSL

    Port Scaning

    OS Fingerprinting

    Desbordamiento de Bfer

    Conclusiones

    NIDS es un complemento de seguridad de los cortafuegos

    Buscar soluciones que se adapten a los recursos de la empresa

    Integrar los NIDS en la poltica de seguridad de la empresa

    https://www.youtube.com/watch?v=O2Gz-v8WswQ

    Das könnte Ihnen auch gefallen