Beruflich Dokumente
Kultur Dokumente
INTRODUCCIN
MODELOS DE INSPECCIN
Basado en Firmas (Signature Based)
Este es el modelo ms comn de inspeccin del trfico; cada
fabricante desarrolla un conjunto de firmas (signatures) y las pone a
disposicin de sus clientes bajo un modelo contractual similar al de los
sistemas antivirus. Las actualizaciones constantes de los IPS son vitales
para el correcto funcionamiento de este modelo, ya que el motor
(engine) de inspeccin se alimenta constantemente de las nuevas
firmas o de cambios en los patrones de las ya existentes.
MODELOS DE INSPECCIN
Deteccin de anomalas (Anomaly detection):
Este modo de operacin se basa en la creacin de una lnea base de
operacin normal de la red, y cualquier desviacin a esta lnea se
considera un comportamiento anormal, y por ende que se necesite
bloquear. El IPS es capaz de aprender estos patrones de trfico y
tomar decisiones cuando determine que existen anormalidades en el
funcionamiento de la red. Este modelo no necesita ningn esquema
de licenciamiento, puesto que no es basado en firmas ni necesita
constantes actualizaciones, ms all de las propias del sistema
operativo del dispositivo.
MODELOS DE INSPECCIN
Inspeccin profunda de Paquetes (Deep Packet Inspection) y filtro de
trfico:
Esta tcnica permite que el dispositivo analice el funcionamiento de
un protocolo, y determine anormalidades dentro de su operacin. Es
una caracterstica principalmente de los firewalls que tambin el IPS la
utiliza como parte de la deteccin y prevencin de ataques en la red.
Un ejemplo es el protocolo HTTP. Su funcin bsica es acarrear el
trfico de aplicaciones Web, pero puede ser utilizado por
aplicaciones del tipos P2P o Tunneling, las cuales pueden ser
potenciales medios para la generacin y dispersin de malware en la
red.
NIDS
Componentes
Ventajas y Desventajas
Ventajas
Detectan accesos no deseados en la red
No necesitan software adicional en los servidores
Fcil instalacin y actualizacin (sistemas dedicados)
Desventajas
Nmero de falsos-positivos
Sensores distribuidos en cada segmento de la red
Trfico adicional en la red
Difcil deteccin de los ataques de sesiones encriptadas
Topologa
En la DMZ
En la intranet
Tipos de Monitoreo
FIRMAS
ANOMALAS
HEURSTICA
EN BASE A REGLAS
Tipos e ataques
Insercion
Deteccin
Tipos de Ataques
DoS
ARP Spoofing
Evasion SSL
Port Scaning
OS Fingerprinting
Desbordamiento de Bfer
Conclusiones
https://www.youtube.com/watch?v=O2Gz-v8WswQ