Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI...

28
V Foro de Seguridad de V Foro de Seguridad de V Foro de Seguridad de V Foro de Seguridad de V Foro de Seguridad de V Foro de Seguridad de V Foro de Seguridad de V Foro de Seguridad de RedIR RedIR RedIR RedIR RedIR RedIR RedIR RedIR Detección de Intrusiones Detección de Intrusiones RIS RIS RIS RIS RIS RIS RIS RIS Toni P Toni P Universit Universit Illes B Illes B toni.pere toni.pere Detección de Detección de Intrusiones Intrusiones Pérez Pérez tat tat de les de les Balears Balears [email protected] [email protected]

Transcript of Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI...

Page 1: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Toni PérezToni PérezUniversitatUniversitat

Illes BalearsIlles Balears

[email protected]@uib.es

Detección de Detección de IntrusionesIntrusiones

Toni PérezToni PérezUniversitatUniversitat de lesde les

Illes BalearsIlles Balears

[email protected]@uib.es

Page 2: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Agenda

• ¿Cómo somos?• Elementos de seguridad• Estrategias de diseño• Arquitectura de seguridad• Operativa y procedimientos

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Operativa y procedimientos

• Resultados y experiencias• ¿Hacia dónde vamos?

Agenda

Arquitectura de seguridadOperativa y procedimientosOperativa y procedimientosResultados y experiencias

Page 3: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

¿Cómo somos?

• Alumnos + Personal = 20.000

• 14 Edificios + 26 Centros remotos

• Presencia en todas las islas

• 4000 Equipos conectados a la red

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

• 4000 Equipos conectados a la red

• 3366 Direcciones IP públicas administradas

• Personal redes y comunicaciones: 8

− Reciente incorporación: 4

− Dedicados a Seguridad: ?

− Muchos cambios: fw, lan, core, wifi, voip,…

¿Cómo somos?

Alumnos + Personal = 20.000

14 Edificios + 26 Centros remotos

Presencia en todas las islas

4000 Equipos conectados a la red4000 Equipos conectados a la red

3366 Direcciones IP públicas administradas

Personal redes y comunicaciones: 8

Reciente incorporación: 4

Dedicados a Seguridad: ?

Muchos cambios: fw, lan, core, wifi, voip,…

Page 4: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Agenda

• ¿Cómo somos?• Elementos de seguridad• Estrategias de diseño• Arquitectura de seguridad• Operativa y procedimientos

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Operativa y procedimientos

• Resultados y experiencias• ¿Hacia dónde vamos?

Agenda

Arquitectura de seguridadOperativa y procedimientosOperativa y procedimientosResultados y experiencias

Page 5: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Elementos de seguridad

• Firewall perimetral

− Perímetro: internet, wifi y vpn

− Funciones de IDS/IPS

− Centralización de logs

• ACLs routing entre vlans

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • ACLs routing entre vlans

• Control de ancho de banda del perímetro

• Protección contra intrusos IPS

Elementos de seguridad

Perímetro: internet, wifi y vpn

Control de ancho de banda del perímetro

Protección contra intrusos IPS

Page 6: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Elementos de seguridad

• IDS: Snort-Base y Dragon

• Honeypots: KFSensor

• Sniffers

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

• Sniffers

− Ethereal/Wireshark y Netasyst

• Analizadores de vulnerabilidades

− Nmap, Nessus y Retina

• Políticas 802.1x/UPN

• Antivirus/firewall para usuarios

Elementos de seguridad

Base y Dragon

Ethereal/Wireshark y Netasyst

Analizadores de vulnerabilidades

Antivirus/firewall para usuarios

Page 7: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Agenda

• ¿Cómo somos?• Elementos de seguridad• Estrategias de diseño• Arquitectura de seguridad• Operativa y procedimientos

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Operativa y procedimientos

• Resultados y experiencias• ¿Hacia dónde vamos?

Agenda

Arquitectura de seguridadOperativa y procedimientosOperativa y procedimientosResultados y experiencias

Page 8: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Diseño: a tener en cuenta…

• Equilibrio seguridad-rendimiento

− Minimizar la latencia

• Alta disponibilidad

− Redundancia o bypass

• Equipos multifunción: ¿para qué fueron diseñados?

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Equipos multifunción: ¿para qué fueron diseñados?

− IDS/IPS• IPS, Firewall, controler wifi,…

− Filtrado:• BW-MGR, IPS, switch/UPN,…

− Control de ancho de banda:• BW-MGR, IPS, Firewall, …

• Cuatro frentes de batalla…

Diseño: a tener en cuenta…

rendimiento

Equipos multifunción: ¿para qué fueron diseñados?Equipos multifunción: ¿para qué fueron diseñados?

IPS, Firewall, controler wifi,…

MGR, IPS, switch/UPN,…

Control de ancho de banda:MGR, IPS, Firewall, …

Cuatro frentes de batalla…

Page 9: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Internet hacia LAN (1/4)

• Externo – Interno

− Constantes scans y DoS “típicos” contra el rango público• Origen RedIRIS y origen no

− Bloqueo “despreocupado” con IPS• Cuarentena de IPs, patrones de lógica difusa (estado de la red)

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

• Cuarentena de IPs, patrones de lógica difusa (estado de la red)

− IDS más específico

Internet

Internet hacia LAN (1/4)

Constantes scans y DoS “típicos” contra el rango públicoOrigen RedIRIS y origen no-RedIRIS

Bloqueo “despreocupado” con IPSCuarentena de IPs, patrones de lógica difusa (estado de la red)Cuarentena de IPs, patrones de lógica difusa (estado de la red)

LAN

Page 10: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

LAN hacia Internet (2/4)

• Interno – Externo: LAN-Internet

− No volvemos a analizar el tráfico Externo

− IPS con alarmas prioritarias• Podemos actuar sobre el origen

− Control de ancho de banda

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS − Control de ancho de banda

• Redirección web

Internet

LAN hacia Internet (2/4)

Internet

No volvemos a analizar el tráfico Externo-Interno

IPS con alarmas prioritariasPodemos actuar sobre el origen

Control de ancho de bandaControl de ancho de banda

LAN

Page 11: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

LAN – WIFI/VPN (3/4)

• Interno – Externo: LAN-wifi

− Analizamos los dos sentidos

− IPS con alarmas prioritarias• Podemos actuar sobre el origen

− Control de ancho de banda

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS − Control de ancho de banda

LAN

WIFI/VPN (3/4)

wifi-vpn

Analizamos los dos sentidos

IPS con alarmas prioritariasPodemos actuar sobre el origen

Control de ancho de bandaControl de ancho de banda

WIFIVPN

Page 12: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Comunicaciones Internas (4/4)

• Interno – Interno: LAN-CPDs

− Complicado:• Enlaces malla 10Gbps

− IPS-IDS con port-mirroring

− Módulos IDS/IPS en el Core??

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS − Módulos IDS/IPS en el Core??

Internet

Comunicaciones Internas (4/4)

CPDs

mirroring

Módulos IDS/IPS en el Core??Módulos IDS/IPS en el Core??

LAN

WWW

Page 13: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Agenda

• ¿Cómo somos?• Elementos de seguridad• Estrategias de diseño• Arquitectura de seguridad• Operativa y procedimientos

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Operativa y procedimientos

• Resultados y experiencias• ¿Hacia dónde vamos?

Agenda

Arquitectura de seguridadOperativa y procedimientosOperativa y procedimientosResultados y experiencias

Page 14: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Arquitectura de seguridad

• IPS (Externo-Interno)

• Firewall perimetral

• Control de ancho de banda

• IPS (Interno-Externo)

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

• IPS (Interno-Externo)

• IDS (Externo-Interno y Interno

• IDS (CPDs): Port-Mirroring

• IPS (IDS) (Interno-Interno): Port

• Honeypot

• Scanner: nmap + retina + nessus

Arquitectura de seguridad

Control de ancho de banda

Interno y Interno-Externo): Port-Mirroring

Mirroring

Interno): Port-Mirroring

Scanner: nmap + retina + nessus

Page 15: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Múltiples segmentos un IPS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Múltiples segmentos un IPS

Page 16: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Reglas aplicadas a cada segmento

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

(Security Update Service)

Reglas aplicadas a cada segmento

(Security Update Service)

Page 17: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Behavioural DoS

¿ Cómo

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS ¿ Cómo

� Adaptando las características base de la red, a

� El sistema adapta periódicamente

características base de la red protegida

� Correlación del análisis y de la decisión

Difusa

� Prevención automática a través del

retroalimentación (refinado de las

Behavioural DoS

Cómo Funciona ?

©

Cómo Funciona ?

base de la red, a través de análisis estadísticos

periódicamente los algoritmos de decisión a las

protegida

decisión a través del algoritmo de Lógica

del análisis del impacto de las firmas y

las firmas)

Page 18: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Reports tiempo real

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Reports tiempo real

Page 19: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Dashboard

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Dashboard

Page 20: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Agenda

• ¿Cómo somos?• Elementos de seguridad• Estrategias de diseño• Arquitectura de seguridad• Operativa y procedimientos

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Operativa y procedimientos

• Resultados y experiencias• ¿Hacia dónde vamos?

Agenda

Arquitectura de seguridadOperativa y procedimientosOperativa y procedimientosResultados y experiencias

Page 21: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Operativa y procedimientos

• Alarma o incidencia

• Investigación: acotar una firma o patrón

• Localizar equipos con la misma firma o patrón

• Actuación…

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

• Actuación…

− Reinstalar el sistema comprometido

− Concienciar a los usuarios

• Base de datos de información de red

• Futura correlación completa

Operativa y procedimientos

Investigación: acotar una firma o patrón

Localizar equipos con la misma firma o patrón

Reinstalar el sistema comprometido

Concienciar a los usuarios

Base de datos de información de red

Futura correlación completa

Page 22: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Agenda

• ¿Cómo somos?• Elementos de seguridad• Estrategias de diseño• Arquitectura de seguridad• Operativa y procedimientos

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Operativa y procedimientos

• Resultados y experiencias• ¿Hacia dónde vamos?

Agenda

Arquitectura de seguridadOperativa y procedimientosOperativa y procedimientosResultados y experiencias

Page 23: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Pros y contras

• IPS

− Diseñado para ser un IPS

− Filtrar las ataques masivos y prever comportamientos anómalos

− No es crítico: modo bypass

− Precio elevado… o no, por todo lo que hace.

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS − Precio elevado… o no, por todo lo que hace.

• IDS

− Dedicarlo a reglas más específicas

− Económico

Pros y contras

Diseñado para ser un IPS

Filtrar las ataques masivos y prever comportamientos anómalos

No es crítico: modo bypass

Precio elevado… o no, por todo lo que hace.Precio elevado… o no, por todo lo que hace.

Dedicarlo a reglas más específicas

Page 24: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Pros y contras

• Firewall

− Elemento crítico con funciones de routing

− ¿Nos arriesgamos a sobrecargarlo con IDS/IPS?

• Electrónica de red / Backbone

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Electrónica de red / Backbone

− ¿Añadimos módulos IDS/IPS?

− Solución para DMZ no claramente definidas

− Precio, estabilidad,…

Pros y contras

Elemento crítico con funciones de routing

¿Nos arriesgamos a sobrecargarlo con IDS/IPS?

Electrónica de red / BackboneElectrónica de red / Backbone

¿Añadimos módulos IDS/IPS?

Solución para DMZ no claramente definidas

Page 25: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Resultados

• Snort: Numerosos equipos Pubstro

− ACRI

• IPS:

− Desaparición de los constantes scans y descarga de proceso

de firewall e IDS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS de firewall e IDS

• Incrementamos la complejidad

− Aparece un problema… ¿Dónde estamos filtrando?

− De que sirve hacer un ping o un telnet al puerto 80…

Resultados

Snort: Numerosos equipos Pubstro

Desaparición de los constantes scans y descarga de proceso

Incrementamos la complejidad

Aparece un problema… ¿Dónde estamos filtrando?

De que sirve hacer un ping o un telnet al puerto 80…

Page 26: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Agenda

• ¿Cómo somos?• Elementos de seguridad• Estrategias de diseño• Arquitectura de seguridad• Operativa y procedimientos

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS • Operativa y procedimientos

• Resultados y experiencias• ¿Hacia dónde vamos?

Agenda

Arquitectura de seguridadOperativa y procedimientosOperativa y procedimientosResultados y experiencias

Page 27: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

¿Hacia dónde vamos?

• Adquirir el IPS?

• Automatizar y centralizar la gestión de alarmas

− Correlación con la base de datos de información de red

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

• Ampliar las políticas de buen uso

• Control de admisión

¿Hacia dónde vamos?

Automatizar y centralizar la gestión de alarmas

Correlación con la base de datos de información de red

Ampliar las políticas de buen uso

Page 28: Detección de Intrusiones Detección de Intrusiones · • Snort: Numerosos equipos Pubstro −ACRI • IPS: −Desaparición de los constantes scans y descarga de proceso de firewall

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de

V Foro de Seguridad de RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Detección de Intrusiones

Detección de Intrusiones

Gracias!!!

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

RedIRIS

Toni PérezToni Pé[email protected]@uib.es

Gracias!!!

Toni PérezToni Pé[email protected]@uib.es


Protección avanzada contra intrusiones en cualquier lugar ...resource.boschsecurity.com/documents/Commercial_Brochure_esES... · f Comunicaciones de respaldo integradas f Protección

Protección avanzada contra intrusiones en cualquier lugar ...resource.boschsecurity.com/documents/Commercial_Brochure_esES... · f Comunicaciones de respaldo integradas f Protección

LA DETECCIÓN INDUSTRIAL. · -Ultimas novedades en detección industrial:-Detección en entornos especiales.-Detección en sistemas de seguridad.-Elementos para circuitos de seguridad.

LA DETECCIÓN INDUSTRIAL. · -Ultimas novedades en detección industrial:-Detección en entornos especiales.-Detección en sistemas de seguridad.-Elementos para circuitos de seguridad.

(Sistemas de detección(Sistemas de detección, alarma … · SISTEMAS DE DETECCIÓN Sistema Detección, alarma y extinción SIRENA ROCIADOR DETECTOR CENTRAL DE PULSADOR CILINDROS

(Sistemas de detección(Sistemas de detección, alarma … · SISTEMAS DE DETECCIÓN Sistema Detección, alarma y extinción SIRENA ROCIADOR DETECTOR CENTRAL DE PULSADOR CILINDROS

Detección de intrusiones basada en modelado de red ...

Detección de intrusiones basada en modelado de red ...

 · Detección de latido fetal después de 12 ser-nanas Detección sanguinea de cordón umbilical Detección de flujo carotídeo Detección placentaria por flujo sanguineo Coadyuvante

 · Detección de latido fetal después de 12 ser-nanas Detección sanguinea de cordón umbilical Detección de flujo carotídeo Detección placentaria por flujo sanguineo Coadyuvante

PEDIDO DE COTIZACION Nº 917 - santafeciudad.gov.ar DE... · IPS: Sistema de Prevención de Intrusiones VPN: Red Privada Virtual. DS: Sistema de Detección de Intrusos. IPS: Sistema

PEDIDO DE COTIZACION Nº 917 - santafeciudad.gov.ar DE... · IPS: Sistema de Prevención de Intrusiones VPN: Red Privada Virtual. DS: Sistema de Detección de Intrusos. IPS: Sistema

Catálogo de Productos 2020 - rseguridad.com · Sistema de análisis de video basado en servidor para la detección de intrusiones por parte de personas y vehículos para cámaras

Catálogo de Productos 2020 - rseguridad.com · Sistema de análisis de video basado en servidor para la detección de intrusiones por parte de personas y vehículos para cámaras

SEGURIDAD CIUDADANA 2012 Conoce la percepción...trol de accesos, detección de intrusiones, controles bio- ... Tyco España se estrena en las redes sociales 12. Novedades Tecnológicas

SEGURIDAD CIUDADANA 2012 Conoce la percepción...trol de accesos, detección de intrusiones, controles bio- ... Tyco España se estrena en las redes sociales 12. Novedades Tecnológicas

Acri y Maria.pdf

Acri y Maria.pdf

Presentación de PowerPoint - rcmicro.es · Sistema de alarma contra intrusiones, detección de objetos, control remoto. Sensores de alta sensibilidad (receptores) ... SU PROYECTO.

Presentación de PowerPoint - rcmicro.es · Sistema de alarma contra intrusiones, detección de objetos, control remoto. Sensores de alta sensibilidad (receptores) ... SU PROYECTO.

Implementacion de Prevencion de Intrusiones Cisco Cap. 5

Implementacion de Prevencion de Intrusiones Cisco Cap. 5

Detección - Subir

Detección - Subir

Diseño y Configuración de IPS, IDS y SIEM en Sistemas de ... · elementos necesarios para disponer de un sistema de detección/prevención de intrusiones así como de un sistema

Diseño y Configuración de IPS, IDS y SIEM en Sistemas de ... · elementos necesarios para disponer de un sistema de detección/prevención de intrusiones así como de un sistema

Detección de radiaciones- Detección y medición de las radiaciones ...

Detección de radiaciones- Detección y medición de las radiaciones ...

MÉTODOS DE EXPLOTACIÓN – SELECCIÓN DE · PDF fileMI57E – Explotación de Minas 273 • Estructura del depósito (pliegues, fallas, discontinuidades, intrusiones) • Planos

MÉTODOS DE EXPLOTACIÓN – SELECCIÓN DE · PDF fileMI57E – Explotación de Minas 273 • Estructura del depósito (pliegues, fallas, discontinuidades, intrusiones) • Planos

DISCALCULIA Detección

DISCALCULIA Detección

Modelo de detección de intrusiones en sistemas de red ...clasifican el tráfico de red, detectando conexiones normales e intrusiones, mediante la aplica- ... fican tráfico malicioso

Modelo de detección de intrusiones en sistemas de red ...clasifican el tráfico de red, detectando conexiones normales e intrusiones, mediante la aplica- ... fican tráfico malicioso

SISTEMA INTELIGENTE DE DETECCIÓN DE INTRUSIONES“Sistema Inteligente de Detección de Intrusiones”, realizado durante el curso académico 2010-2011 bajo la dirección de Luis Javier

SISTEMA INTELIGENTE DE DETECCIÓN DE INTRUSIONES“Sistema Inteligente de Detección de Intrusiones”, realizado durante el curso académico 2010-2011 bajo la dirección de Luis Javier

Acri - Las Primeras Organizaciones

Acri - Las Primeras Organizaciones

DETECCIÓN, DIAGNÓSTICO

DETECCIÓN, DIAGNÓSTICO