Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI...

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

Detección de Intrusiones

RedIRIS

Toni PérezToni PérezUniversitatUniversitat

Illes BalearsIlles Balears

toni.perez@uib.estoni.perez@uib.es

Detección de Detección de IntrusionesIntrusiones

Toni PérezToni PérezUniversitatUniversitat de lesde les

Illes BalearsIlles Balears

toni.perez@uib.estoni.perez@uib.es

RedIRIS

Agenda

• ¿Cómo somos?• Elementos de seguridad• Estrategias de diseño• Arquitectura de seguridad• Operativa y procedimientos

RedIRIS

RedIRIS • Operativa y procedimientos

• Resultados y experiencias• ¿Hacia dónde vamos?

Agenda

Arquitectura de seguridadOperativa y procedimientosOperativa y procedimientosResultados y experiencias

RedIRIS

¿Cómo somos?

• Alumnos + Personal = 20.000

• 14 Edificios + 26 Centros remotos

• Presencia en todas las islas

• 4000 Equipos conectados a la red

RedIRIS

• 4000 Equipos conectados a la red

• 3366 Direcciones IP públicas administradas

• Personal redes y comunicaciones: 8

− Reciente incorporación: 4

− Dedicados a Seguridad: ?

− Muchos cambios: fw, lan, core, wifi, voip,…

¿Cómo somos?

Alumnos + Personal = 20.000

14 Edificios + 26 Centros remotos

Presencia en todas las islas

4000 Equipos conectados a la red4000 Equipos conectados a la red

3366 Direcciones IP públicas administradas

Personal redes y comunicaciones: 8

Reciente incorporación: 4

Dedicados a Seguridad: ?

Muchos cambios: fw, lan, core, wifi, voip,…

RedIRIS

Agenda

RedIRIS

Agenda

RedIRIS

Elementos de seguridad

• Firewall perimetral

− Perímetro: internet, wifi y vpn

− Funciones de IDS/IPS

− Centralización de logs

• ACLs routing entre vlans

RedIRIS

RedIRIS • ACLs routing entre vlans

• Control de ancho de banda del perímetro

• Protección contra intrusos IPS

Perímetro: internet, wifi y vpn

Control de ancho de banda del perímetro

Protección contra intrusos IPS

RedIRIS

• IDS: Snort-Base y Dragon

• Honeypots: KFSensor

• Sniffers

RedIRIS

• Sniffers

− Ethereal/Wireshark y Netasyst

• Analizadores de vulnerabilidades

− Nmap, Nessus y Retina

• Políticas 802.1x/UPN

• Antivirus/firewall para usuarios

Base y Dragon

Ethereal/Wireshark y Netasyst

Analizadores de vulnerabilidades

Antivirus/firewall para usuarios

RedIRIS

Agenda

RedIRIS

Agenda

RedIRIS

Diseño: a tener en cuenta…

• Equilibrio seguridad-rendimiento

− Minimizar la latencia

• Alta disponibilidad

− Redundancia o bypass

• Equipos multifunción: ¿para qué fueron diseñados?

RedIRIS

RedIRIS • Equipos multifunción: ¿para qué fueron diseñados?

− IDS/IPS• IPS, Firewall, controler wifi,…

− Filtrado:• BW-MGR, IPS, switch/UPN,…

− Control de ancho de banda:• BW-MGR, IPS, Firewall, …

• Cuatro frentes de batalla…

Diseño: a tener en cuenta…

rendimiento

Equipos multifunción: ¿para qué fueron diseñados?Equipos multifunción: ¿para qué fueron diseñados?

IPS, Firewall, controler wifi,…

MGR, IPS, switch/UPN,…

Control de ancho de banda:MGR, IPS, Firewall, …

Cuatro frentes de batalla…

RedIRIS

Internet hacia LAN (1/4)

• Externo – Interno

− Constantes scans y DoS “típicos” contra el rango público• Origen RedIRIS y origen no

− Bloqueo “despreocupado” con IPS• Cuarentena de IPs, patrones de lógica difusa (estado de la red)

RedIRIS

• Cuarentena de IPs, patrones de lógica difusa (estado de la red)

− IDS más específico

Internet

Internet hacia LAN (1/4)

Constantes scans y DoS “típicos” contra el rango públicoOrigen RedIRIS y origen no-RedIRIS

Bloqueo “despreocupado” con IPSCuarentena de IPs, patrones de lógica difusa (estado de la red)Cuarentena de IPs, patrones de lógica difusa (estado de la red)

RedIRIS

LAN hacia Internet (2/4)

• Interno – Externo: LAN-Internet

− No volvemos a analizar el tráfico Externo

− IPS con alarmas prioritarias• Podemos actuar sobre el origen

− Control de ancho de banda

RedIRIS

RedIRIS − Control de ancho de banda

• Redirección web

Internet

LAN hacia Internet (2/4)

Internet

No volvemos a analizar el tráfico Externo-Interno

IPS con alarmas prioritariasPodemos actuar sobre el origen

Control de ancho de bandaControl de ancho de banda

RedIRIS

LAN – WIFI/VPN (3/4)

• Interno – Externo: LAN-wifi

− Analizamos los dos sentidos

− IPS con alarmas prioritarias• Podemos actuar sobre el origen

− Control de ancho de banda

RedIRIS

RedIRIS − Control de ancho de banda

WIFI/VPN (3/4)

wifi-vpn

Analizamos los dos sentidos

IPS con alarmas prioritariasPodemos actuar sobre el origen

Control de ancho de bandaControl de ancho de banda

WIFIVPN

RedIRIS

Comunicaciones Internas (4/4)

• Interno – Interno: LAN-CPDs

− Complicado:• Enlaces malla 10Gbps

− IPS-IDS con port-mirroring

− Módulos IDS/IPS en el Core??

RedIRIS

RedIRIS − Módulos IDS/IPS en el Core??

Internet

Comunicaciones Internas (4/4)

mirroring

Módulos IDS/IPS en el Core??Módulos IDS/IPS en el Core??

RedIRIS

Agenda

RedIRIS

Agenda

RedIRIS

Arquitectura de seguridad

• IPS (Externo-Interno)

• Firewall perimetral

• Control de ancho de banda

• IPS (Interno-Externo)

RedIRIS

• IPS (Interno-Externo)

• IDS (Externo-Interno y Interno

• IDS (CPDs): Port-Mirroring

• IPS (IDS) (Interno-Interno): Port

• Honeypot

• Scanner: nmap + retina + nessus

Arquitectura de seguridad

Control de ancho de banda

Interno y Interno-Externo): Port-Mirroring

Mirroring

Interno): Port-Mirroring

Scanner: nmap + retina + nessus

RedIRIS

Múltiples segmentos un IPS

RedIRIS

Múltiples segmentos un IPS

RedIRIS

Reglas aplicadas a cada segmento

RedIRIS

(Security Update Service)

Reglas aplicadas a cada segmento

(Security Update Service)

RedIRIS

Behavioural DoS

¿ Cómo

RedIRIS

RedIRIS ¿ Cómo

� Adaptando las características base de la red, a

� El sistema adapta periódicamente

características base de la red protegida

� Correlación del análisis y de la decisión

Difusa

� Prevención automática a través del

retroalimentación (refinado de las

Behavioural DoS

Cómo Funciona ?

base de la red, a través de análisis estadísticos

periódicamente los algoritmos de decisión a las

protegida

decisión a través del algoritmo de Lógica

del análisis del impacto de las firmas y

las firmas)

RedIRIS

Reports tiempo real

RedIRIS

Reports tiempo real

RedIRIS

Dashboard

RedIRIS

Dashboard

RedIRIS

Agenda

RedIRIS

Agenda

RedIRIS

Operativa y procedimientos

• Alarma o incidencia

• Investigación: acotar una firma o patrón

• Localizar equipos con la misma firma o patrón

• Actuación…

RedIRIS

• Actuación…

− Reinstalar el sistema comprometido

− Concienciar a los usuarios

• Base de datos de información de red

• Futura correlación completa

Operativa y procedimientos

Investigación: acotar una firma o patrón

Localizar equipos con la misma firma o patrón

Reinstalar el sistema comprometido

Concienciar a los usuarios

Base de datos de información de red

Futura correlación completa

RedIRIS

Agenda

RedIRIS

Agenda

RedIRIS

Pros y contras

• IPS

− Diseñado para ser un IPS

− Filtrar las ataques masivos y prever comportamientos anómalos

− No es crítico: modo bypass

− Precio elevado… o no, por todo lo que hace.

RedIRIS

RedIRIS − Precio elevado… o no, por todo lo que hace.

• IDS

− Dedicarlo a reglas más específicas

− Económico

Pros y contras

Diseñado para ser un IPS

Filtrar las ataques masivos y prever comportamientos anómalos

No es crítico: modo bypass

Precio elevado… o no, por todo lo que hace.Precio elevado… o no, por todo lo que hace.

Dedicarlo a reglas más específicas

RedIRIS

Pros y contras

• Firewall

− Elemento crítico con funciones de routing

− ¿Nos arriesgamos a sobrecargarlo con IDS/IPS?

• Electrónica de red / Backbone

RedIRIS

RedIRIS • Electrónica de red / Backbone

− ¿Añadimos módulos IDS/IPS?

− Solución para DMZ no claramente definidas

− Precio, estabilidad,…

Pros y contras

Elemento crítico con funciones de routing

¿Nos arriesgamos a sobrecargarlo con IDS/IPS?

Electrónica de red / BackboneElectrónica de red / Backbone

¿Añadimos módulos IDS/IPS?

Solución para DMZ no claramente definidas

RedIRIS

Resultados

• Snort: Numerosos equipos Pubstro

− ACRI

• IPS:

− Desaparición de los constantes scans y descarga de proceso

de firewall e IDS

RedIRIS

RedIRIS de firewall e IDS

• Incrementamos la complejidad

− Aparece un problema… ¿Dónde estamos filtrando?

− De que sirve hacer un ping o un telnet al puerto 80…

Resultados

Snort: Numerosos equipos Pubstro

Desaparición de los constantes scans y descarga de proceso

Incrementamos la complejidad

Aparece un problema… ¿Dónde estamos filtrando?

De que sirve hacer un ping o un telnet al puerto 80…

RedIRIS

Agenda

RedIRIS

Agenda

RedIRIS

¿Hacia dónde vamos?

• Adquirir el IPS?

• Automatizar y centralizar la gestión de alarmas

− Correlación con la base de datos de información de red

RedIRIS

• Ampliar las políticas de buen uso

• Control de admisión

¿Hacia dónde vamos?

Automatizar y centralizar la gestión de alarmas

Correlación con la base de datos de información de red

Ampliar las políticas de buen uso

RedIRIS

Gracias!!!

RedIRIS

Toni PérezToni Péreztoni.perez@uib.estoni.perez@uib.es

Gracias!!!

Toni PérezToni Péreztoni.perez@uib.estoni.perez@uib.es

Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI...

Documents

Transcript of Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI...

PEDIDO DE COTIZACION Nº 917 - santafeciudad.gov.ar DE... · IPS: Sistema de Prevención de Intrusiones VPN: Red Privada Virtual. DS: Sistema de Detección de Intrusos. IPS: Sistema

Detección de Intrusiones con SNORT

Medicina Nuclear 2-10-2015. Los Sistemas de detección Detección emisores de fotones Detección de positrones Detección emisores de fotones Detección de.

ANÁLISIS DE TRÁFICO DE DATOS EN LA CAPA DE ENLACE DE UNA RED LAN, PARA LA DETECCIÓN DE POSIBLES ATAQUES O INTRUSIONES SOBRE TECNOLOGÍAS ETHERNET Y WiFi.

Detección Perimetral

Sistema Concurrente de Detecci on de Intrusiones con Correlaci on de …eprints.ucm.es/22555/1/Sistema_Concurrente_de_Detección... · 2014-02-07 · de ataques e intrusiones en los

LA DETECCIÓN INDUSTRIAL. · -Ultimas novedades en detección industrial:-Detección en entornos especiales.-Detección en sistemas de seguridad.-Elementos para circuitos de seguridad.

· Detección de latido fetal después de 12 ser-nanas Detección sanguinea de cordón umbilical Detección de flujo carotídeo Detección placentaria por flujo sanguineo Coadyuvante

Dr. Pablo Acri “Complicaciones Postoperatorias en Cirugía Torácica”

Protección avanzada contra intrusiones en cualquier lugar ...resource.boschsecurity.com/documents/Commercial_Brochure_esES... · f Comunicaciones de respaldo integradas f Protección

Dr. Pablo Acri “Toma de decisiones en complicaciones de Cirugía Torácica”

Acri - Las Primeras Organizaciones

Modelo de detección de intrusiones en sistemas de red ...clasifican el tráfico de red, detectando conexiones normales e intrusiones, mediante la aplica- ... fican tráfico malicioso

Diseño y Conﬁguración de IPS, IDS y SIEM en Sistemas de ... · elementos necesarios para disponer de un sistema de detección/prevención de intrusiones así como de un sistema

SISTEMA INTELIGENTE DE DETECCIÓN DE INTRUSIONES“Sistema Inteligente de Detección de Intrusiones”, realizado durante el curso académico 2010-2011 bajo la dirección de Luis Javier

Detección exoplanetas.

detección sulfonamidas

Experiencias en detección de intrusiones en pequeñas ... · Experiencias en detección de intrusiones en pequeñas organizaciones ... Asistencia en la configuración de elementos

Sistema de desvío de intrusiones de red hacia honeynets ...

Tp sociales Acri, Winnykamien, Kipen, Zajdman