Estado del Arte de IDS

Transcription

Estado del Arte de IDS
Estado del Arte de IDS
Ing. Jose Daniel Britos
UNC-DUI-LaRyC
[email protected]
Indice
Ataques y Vulnerabilidades
IDS-IPS
Metodos de Detección
Bancos de Prueba
Productos
Entes certificadores
Vulnerabilidades Catalogadas por el
CERT
9000
8000
7000
6000
5000
Column 1
4000
3000
2000
1000
0
Año 2001
Año 2002
Año 2003
Año 2004
Año 2005
Año 2006
Año 2007
Incidentes
Amenazas
Ataques
Ataques
Información de Ataques
http://cve.mitre.org
http://www.mitre.org/work/cybersecurity.html
http://www.cert.org
http://nvd.nist.gov/
Ataques
Activos
Pasivos
Ataques Pasivos
Descarga de contenidos del mensaje:
Escucha de una conversación telefónica.
Lectura de un mensaje de correo electrónico.
Información confidencial capturada por un oponente.
Análisis de tráfico:
Frecuencia de emisión de los mensajes
Longitud del mensaje.
Ataques Activos
Denegación de Servicio DoS
“Masquerade” (Enmascarado)‫‏‬
“Replay” (Reinterpretar)‫‏‬
Modificación de contenidos del mensaje
Ataques
Causa
Efecto
Causas
Objetivos
Propagación
Origen
Acción
Vulnerabilidad
Activos que vulnera
Objetivos
Espionaje
Delitos profesionales.
Terrorismo
Rivalidades Coorporativas
Cracking
Vandalismo
Exibicionismo
Propagación
Humana
Autonoma
Origen del ataque
Local
Remoto de una sola fuente
Remoto de multiples fuentes
Acciones
Pruebas
Escaneos
Inundaciones de una Fuente
Inundaciones Multiples Fuentes
Autenticación
Bypass
Spoof
Leer Copiar
Terminar Crear o Ejecutar un proceso
Modificar Borrar
Redirigir
Vulnerabilidad
Configuración
Default
Administradores flexibles
Creación de huecos de seguridad.
Relaciones de confianza
Especificación de diseño
Implementación
Activos
Red
Sistema
Proceso
Datos
Usuario
Ataques
Causa
Efecto
Efecto del estado
Disponibilidad
Integridad
Confidencialidad
Efecto de perfomance
Presición
Exactitud
Indice
Ataques y Vulnerabilidades
IDS-IPS
Metodos de Detección
Bancos de Prueba
Productos
Entes certificadores
IDS- IPS
Clasificación
NIDS
HIDS
NIDS
Centralizados
Distribuidos
NIDS
Basado en Firmas
Basado en Detector de anomalias
NIDS
Componentes de un IDS
• Sensores
• Analizadores
• Interfases de usuario
Además el IPS cuenta con un
• Elemento de repuesta
NIDS
Posibles repuestas de un IDS
Alarma IDS
No Alarma
Intrusión
No Intrusión
Verdadero Positivo Falso Positivo
Falso Negativo
Verdadero Negativo
NIDS
NIDS
NIDS
NIDS
NIDS
NIDS
NIDS
NIDS
Costo U$S 50.000 por giga byte
Indice
Ataques y Vulnerabilidades
IDS-IPS
Metodos de Detección
Bancos de Prueba
Productos
Entes certificadores
Metodos de Detección
Basado en Firmas
Basado en Detección de anomalias.
Basado en Firmas
Son simples: comparan el trá́fico de la red con firmas
conocidas de ataques. Si una porció́n del trá́fico coincide
con un ataque conocido, el IDS genera una alarma.
Necesitan un bajo mantenimiento: Solo se necesita
mantener una base de datos de firmas actualizadas.
Tienden a registrar un porcentaje muy bajo de falsos
positivos:
Tienen una limitació́n importante: no son efectivos contra
nuevos ataques y variaciones de los ataques conocidos.
Basado en Firmas
Inspección Profunda de Paquetes (DPI)‫‏‬
Enfoque basado en Autó́matas
deterministic finite automaton DFA
non deterministic finite automaton NFA
Aproximaciones basadas en heuristica
Aproximació́n basada en Filtrado
Enfoque basado en Autó́matas
Reducció́n de las tablas de transició́n extensas
Reducción de transició́nes
Tablas de Hash
Agrupacion y reescritura
Expresiones regulares en Hardware FPGA
Basado en automatas
Pro: Tiempo de ejecucion determinista y lineal, soporte directo de
expresiones regulares
Contra: Puede consumir mucha memoria si no se utiliza una estructura
de datos compacta
•Reescribe y agrupa espresiones regulares
•Reduce el numero de transiciones
•Espresiones regulares en hardware FPGA
•Sigue DFA que acepta patrones (Aho-Corasick)‫‏‬
•Reduce tabla de transiciones escasas (Bitmap-AC, BNFA in Snort)‫‏‬
•Reduce salidas desde los estados (split automata)‫‏‬
•Sigue multiples caracteres al mismo tiempo en un NFA (JACK-NFA)‫‏‬
Aproximaciones basadas en
heuristica
Pros: Puede saltear caracteres que no apareen, tiempo de
ejecucion por debajo del promedio.
Cons: Puede sufrir de ataques algoritmicos en el peor de los casos.
•Consigue distancias de desplazamiento usando automatas basados
en heuristica que reconoce prefijos inversos de espresiones
regulares (RegularBNDM)‫‏‬
•Consigue distancias de desplazamiento desde bloques fijos en
sufijos de la ventana de busqueda (Wu-Manber)‫‏‬
•Consigue distancias de desplazamiento desde el mas largo sufijo
de la ventana de busqueda (BG)‫‏‬
Aproximació́n basada en Filtrado
• Filtrado de texto
• Busquedas en paralelo
Aproximació́n basada en Filtrado
Pros: Eficiente en el uso de memoria en vectores de bits
Contra: Puede sufrir de ataques algoritmicos en el peor de los casos.
•Extrae subcadenas desde espresiones regulares (MultiFactRE)‫‏‬
•Filtra con un conjunto de filtros de Bloom para diferentes longitudes
de patrones.
•Filtra con un conjunto de funciones de hash secuenciales (Hash-AV)‫‏‬
Metodos de Detección
Basado en Firmas
Basado en Detección de anomalias.
Basado en Detección de anomalias
Tienden a ser complejos: determinar que constituye un
funcionamiento normal del trá́fico de una red es una tarea
para nada trivial.
Necesitan mantenimiento: normalmente requieren un
largo periodo de inicializació́n o entrenamiento.
La detecció́n de anomalías suele tener muchos falsos
positivos.
Basado en Detección de anomalias
Analisis Estadístico
Redes neuronales
Agentes inteligentes Autonomos
Analisis de Onditas (Wavelets)‫‏‬
Analisis Estadístico
Generación predictiva de patrones
Información FPP basada en redes bayesianas.
FPP: False Positive Probability
Filtros umbral Control estadístico de anomalias.
Perfil de Actividad.
Deteccion de puntos de cambio secuencial
Redes Neuronales
Neurona Biologica
axon
sinapsis
dendritas
Redes Neuronales
Características
z
z
z
z
z
z
El estilo de procesamiento es como el de procesamiento de
señales, no simbólico. La combinación de señales para producir
nuevas señales contrasta con la ejecución de instrucciones
almacenadas en memoria
La información se almacena como un conjunto de pesos, no en
un programa. Los pesos se deben adaptar cuando le mostramos
ejemplos a la red.
Las redes son tolerantes a ruido: pequeños cambios en la
entrada no afecta drásticamente la salida de la red.
Los conceptos se ven como patrones de actividad a lo largo de
casi toda la red y no como el contenido de pequeños grupos de
celdas de memoria.
La red puede generalizar el conjunto de entrenamiento y así
tratar con ejemplos no conocidos.
RNA son buenas para tareas perceptuales y asociaciones.
Justamente con lo que se topa la computación tradicional
Neurona Artificial
x1
w1
x2
Entradas
w2
x3
…
xn-1
xn
n
z= ∑ wi x i ; y=H z
i= 1
..
w3
.
Salida
y
wn-1
wn
Modelo de McCullogh-Pitts
Redes neuronales
Modelos
Los modelos de neuronas son usualmente simples
modelos matematicos definidos por la función:
f:X →Y
Un amplio tipo de redes neuronales artificiales estan
integradas por neuronas cuya función es la generalización
del modelo de McCullogh-Pitts:
Redes neronales
Capa
oculta
Entradas
Salidas
Una red neronal artificial esta compuesta por varias
neuronas enlazadas de acuerdo a una arquitectura de red
Redes neuronales
Paradigmas de aprendizaje
Los paradigmas de aprendizaje, corresponden a una tarea
abstracta de aprendizaje:
Supervisado: Tenemos un conjunto de objetos con su
descripción completa (rasgos y clase a que pertenecen)
(Conjunto de entrenamiento)‫‏‬
-No supervisado: Tenemos un conjunto de objetos con su
descripción incompleta (típicamente desconocemos las clases
en que se pueden agrupar: Problema de Clustering)‫‏‬
Redes Neuronales
Tipos
Redes Neuronales
Backpropagation
z
z
z
z
Generalización del algoritmo de Widrow-Hoff para redes
multicapa con funciones de transferencia no-lineales y
diferenciables.
Una red neuronal con una capa de sigmoides es capaz
de aproximar cualquier función con un número finito de
discontinuidades
Propiedad de la generalización.
La función de transferencia es no-lineal, la superficie de
error tiene varios mínimos locales.
Analisis de onditas
La transformada wavelet (onditas) representa
una señal en términos de versiones trasladadas
y dilatadas de una onda finita (denominada
wavelet madre).
Energias de onditas en la banda espectral mas
alta identifica puntos de cambio de la señal de
entrada.
Agentes inteligentes Autonomos
Homogeneidad
Centrado
Colectivo
Localidad
Comportamiento
colectivo global
Apareo de
velocidad
Evitar
Colisiones
Agentes Inteligentes Autonomos
Agentes Inteligentes Autonomos
•
Nido
Comida
Nido
Nido
Comida
Comida
Agentes Inteligentes Autonomos
Proyecto Cerias
http://www.cerias.purdue.edu/about/history/coast/projects/aafid.php
Indice
Ataques y Vulnerabilidades
IDS-IPS
Metodos de Detección
Bancos de Prueba
Productos
Entes certificadores
Bancos de Prueba
Arquitectura real
Arquitectura de prueba
Attackers
2x8Mbps
100Mbps
Firewall
Cluster
Target
Servers
Farm
Bancos de Prueba
Herramientas de prueba
Herramientas de ataque
Generadores de tráfico
Capturadores de tráfico
Producción de un ambiente de simulación
Banco de Pruebas
Manual de Operaciones
• Lanzamiento de las pruebas
• Validación del Impacto
• Resultado de la prueba
Banco de pruebas
Requisitos deseables
•
•
•
•
•
Interfase normalizada
Un banco dedicado al testeo de IDS/IPS
Modular y flexible
Capacidad de script
Capacidad de automatizar resultados y
realizar comparaciones.
Banco de pruebas
Switch
PC1
PC2
PC3
IPS
Switch
PC4
PC5
PC6
Indice
Ataques y Vulnerabilidades
IDS-IPS
Metodos de Detección
Bancos de Prueba
Productos
Entes certificadores
Productos
• Detección de Intrusiones
Intrusion Detection (IDS)‫‏‬
• Prevención de intrusiones
Intrusion Prevention (IPS)
• Administradores de Incidentes unificados
Unified threat management (UTM)‫‏‬
Productos
Administradores de Incidentes unificados
Los administradores de incidentes unificados incluyen
tipicamente seis modulos.
Firewall
VPN
IDS/IPS
Anti Virus
Anti Spam
Filtrado URL
Filtrado de contenidos.
Productos
• Propietarios
• Open Source
Productos Propietarios
•
•
•
•
•
•
•
•
•
•
Enterasys http://www.enterasys.com
Cisco http://www.cisco.com
IBM http://www.iss.net
Juniper http://www.juniper.net
Securesoft http://www.securesoft.co.jp
Secureworks http://www.secureworks.com
McAfee http://www.mcafee.com
Toplayer http://www.toplayer.com
Nitrosecurity http://www.nitrosecurity.com
Broadweb http://www.broadweb.com
Productos propietarios
•
•
•
•
•
•
•
•
•
Fortinet http://www.fortinet.com
Sourcefire http://www.sourcefire.com
Stonesoft http://www.stonesoft.com
Tipping Point http://www.tippingpoint.com
Reflex Security http://www.reflexsecurity.com
Still secure http://www.stillsecure.com
Deep Nine http://www.dipnines.com
Radware http://www.radware.com
ChekPoint http://www.checkpoint.com
Productos propietarios
•
•
•
•
•
TrustWave https://www.trustwave.com
NETASQ http://www.netasq.com
IntruGuard http://www.intruguard.com
Force10 http://www.force10networks.com
RioRey http://www.riorey.com
Enterasys
Enterasys
Enterasys
Productos
Seguridad en redes
Soporte
Asia Europa Africa
Latino America todos los paises
https://epartners.enterasys.com/Cultures/enUS/Enterasys/public/partnerlocator
Enterasys
Dragon
10 Gbps
• Basado en Firmas (14000)‫‏‬
• Basado en Protocolo
• Basado en Anomalias
• Basado en Comportamiento
Enterasys
Arquitectura del IDS/IDP
Sensores de red
Sensores de servidores
Servidor de Administración
Procesadores de flujo de eventos
Enterasys
Alianzas
Q1Labs
radware
Q1Labs
Alianzas
Q1Labs
• Intrusion Detection
• Intrusion Prevention
• Cisco, CSA
• Cisco, IPS
• Cisco, IDS
• ForeScout, CounterACT
• Enterasys, Dragon
• IBM Site Protector & Proventia
• Fortinet Fortigate FortiGuard
• Juniper, NetScreen IDP
• Juniper, ISG
• McAfee Intrushield
• Network Associates, McAfee
Entercept
• Nortel, Threat Protection System
• Niksun, NetVCR
• Top Layer, IPS 5500
• SNORT
• Trust Wave IPAngel
• SourceFire, Intrusion Sensor
• Trust Wave IPAngel
• Tipping Point, X Series
CISCO
Cisco
Productos
• Integral de redes
Soporte
Asia Europa Oceania Africa
Latinoamerica Todos los paises
Cisco
Productos IPS
• Cisco IPS 4200 Series Sensor
• Cisco ASA 5500
• Cisco Security Agent
• IDS Service Module 2
• Cisco IOS Intruder Prevention System
Cisco
Linea Cisco IPS 4200 Series Sensor
• Cisco IPS 4270 Sensor 4 Gbps
• Cisco IPS 4260 Sensor 2 Gbps
• Cisco IPS 4255 Sensor 600 Mbps
• Cisco IPS 4240 Sensor 300 Mbps
• Cisco IDS 4215 Senso 80 Mbps
Cisco
CISCO
Capacidades
Beneficios
Permite al dispositivo IPS limitar ciertos tipos de tráfico previniendo el
Limite de Velocidad uso exesivo de ancho de banda
Detección de IP en IP Detecta trafico malicioso en tráfico IP movil
Reconocimiento de
Identifica ataques basado en vulnerabilidades
patrones Statefull
Analis de protocolos Provee decodificación de una gran variedad de protocolos.
Detección de
Provee identificación de anomalias para ataques que cubren, multiple
anomalias de tráfico seción y cambios en los patrones de tráfico.
Detección basado en
Anomalias de
Identifica atakes basados en esviaciones del comportamiento normal
protocolo
descripto en la RFC
Cisco
Capacidades
Beneficios
Deteccion de capa 2 Identifica atakes ARP
Provee un amplio contros de aplicación de politicas a p2p, MSN,
Applicacion de
tuneles, MIME ayuda a asegurar que el trafico malicioso no penetre la
Politicas
red.
Tecnicas de Evación
Normalización de tráfico, defragmentación IP, rearmado TCP.
Anti-IPS
Póliticas
personlizables
Da la posibilidad de crear políticas flexibles y configurables.
CISCO
IBM (Internet Security System)‫‏‬
Productos
• Informatica y comunicaciones
Soporte
• Latinoamerica todos los paises
IBM
Productos IPS
Proventia GX6116
Proventia GX5208
Proventia GX5108
Proventia GX5008
Proventia GX4004
Proventia GX4002
Proventia GX3002
6 Gbps
2 Gbps
1.2 Gbps
400 Mbps
200 Mbps
200 Mbps
10 Mbps
IBM
Principales Caracteristicas
Cumple con los requerimientos PCI-DSS
Disponibilidad de firmas en linea X Force
Integracion con Network behavior analysis
Juniper
ISG 2000 2 Gbps
Juniper
Productos
• Redes
Soporte
• Latino America solo Mexico
Juniper
• Productos IPS
IDP 8200
IDP 800
IDP 250
IDP 75
ISG 2000 2 Gbps
ISG 1000 1 Gbps
Integracion con Netscreen
Juniper
Alianzas
SecureSoft
Productos
• Seguridad (Grupo Fujitsu)‫‏‬
Cubertura
• PYMES a Grandes Empresas
Soporte
• Japon Corea
Securesoft
Securesoft
T1000
Securesoft
Securesoft
Productos IPS
• Sniper IPS 4000
• Sniper IPS 2000
• Sniper IPS 1000
• Absolute IPS NP5G 5 Gbps
• Absolute IPS 1000 1 Gbps
• T series
Securesoft
Alianzas
Secureworks
Productos
• Orientada a servicios
Cubertura
• Grandes Empresas
Soporte
• Sin informacion
Secureworks
Isensor
• Analisis de firmas
• Detección de anomalias
• Reconocimiento de protocolos
• Comportamiento basado en
heuristica
• Analisis de Patrones humanos
Secureworks
Alianzas
McAfee
Productos
• Seguridad
Cubertura
• Hogar Pymes Grandes Empresas
Soporte
• America Latina Mexico
McAfee
•
•
•
•
•
•
Los IPS van de 100 Mbps hasta 2 Gbps
Inspección de tráfico SSL encriptado
Soporta instancias virtuales de IPS
Integración con otros productos McAfee
NAC (Network Access Control)‫‏‬
ePolicy Orchestrator
McAfee
•
•
•
•
•
•
Intrushield 4010 2 Gbps
Inspección de tráfico statefull
Detección de firmas
Detección de anomalias
Detección de DoS
Prevención de intrusiones
McAfee
Alianzas
TopLayer
Productos
• Seguridad IPS
Cubertura
• Empresas
Soporte
• Estados Unidos Corea Japon
Top Layer
Top Layer IPS 5500 .6 a 4.4 Gbps
Baja Latencia >50 uS
Basado en ASIC y escalable
Cumple con los requerimientos PCI-DSS
Top Layer
El prcesador TILE64™ de Tilera provee una solución completa para IPS
Hasta 20 Gbps de pattern matching application
Hasta 10 Gbps de proceso SNORT
Por debajo de 20watts de consumo para el chip y 50watts para el
sistema completo
Top Layer
Alianzas
Nitro Security
Productos
• Seguridad
Cubertura
• Empresas
Soporte
• Estados Unidos Corea Japon Suiza
Nitro Security
Nitro Guard 4000 IPS 1,5 Gbps
Nitro Security
Analisis de flujo de red sFlow y netFlow
Exelente consola de admnistración NitroView
Administrador de eventos de seguridad de la
información (Security Information Event
Management SIEM)‫‏‬
Esta incluida en las 5000 empresas con mayor
crecimiento en el 2007
Elegida por la U.S. Army en el 2008.
Bajo Costo por Gbps
Basada en Snort.
Nitro Security
Alianzas
Broadweb
Productos
• Seguridad IPS
Cubertura
• PYMES Empresas
Soporte
• Norte America Asia Pacifico y Europa
Broadweb
NK6000 1Gbps
Fortinet
Productos
• Seguridad Integral de la red- Carriers
Soporte
America del Norte Europa Asia
• Latino America (Mexico)‫‏‬
Fortinet
Fortinet
Fortinet
Fortinet
Las soluciones IPS estan alrededor de los
ATCA (Advanced Telecom Computing Architecture)‫‏‬
• Fortigate 5140 70 Gbps
• Fortigate 5050 25 Gbps
• Fortigate 5208
• Fortigate 5005
• Fortigate 5002
• Fortigate 5001
Fortinet
Alianzas
Sourcefire
Productos
• Seguridad Integral de la red
• Snort y ClamAV
Soporte
America del Norte
Sourcefire
Sourcefire 3d9800
10Gbps
Gusanos
Trafico Malformado
Trojanos
Encabezamientos invalidos
Busquedad de Puertos
Ataques a VoIP
Ataques de Buffer overflow
Ataques a IPv6
Ataques de denegación de
servicio
Ataque de fragmentación y
evación
Anomalias de Protocolo
Ataques del dia Cero
Sourcefire
Alianzas
Sourcefire
Socios en Proveedores de administración de seguridad
(Managed Security Services Provider MSSP)‫‏‬
Socios OEM
Stone soft
Productos
• IPS VPN FW
Soporte
• Helsinki, Finland, Atlanta, Georgia
Stonesoft
Productos
•
•
•
•
•
•
•
•
•
•
StoneGate IPS-6100
StoneGate IPS-6000
StoneGate IPS-2000
StoneGate IPS-400
StoneGate SGI-2000S
StoneGate SGI-200S
StoneGate SGI-200C
StoneGate SGI-200N
StoneGate SGI-200ANZ
StoneGate SGI-20A
4Gbps
2Gbps
600Mbps
100 Mbps
1200 Mbps
400 Mbps
400 Mbps
400 Mbps
400 Mbps
80 Mbps
Tipping Point (3Com)‫‏‬
Productos
• Seguridad IPS
Cubertura
• PYMES Empresas
Soporte
• Sin Información
Tipping Point
Alianzas
Reflex Security
Productos
• Virtualizacion de la Seguridad
Cubertura
• PYME y Empresas
Soporte
• Sin información
Reflex Security
Modelos hasta 10 Gbps
Dispositivos de seguridad virtualizados
Se apoya en la base de datos de firmas Snort.
Reflex Security
Alianzas
Still Secure
Productos
• Seguridad
Cubertura
• PYMES Empresas
Soporte
Sin Información
Still Secure
Still Secure
Still Secure
Still Secure
Productos IPS (Strata Guard) Basado en Snort
• SMB
10 Mbps
• Enterprice 200 Mbps
• GigE
1 Gbps
• Ofrece el Strata Guard para 5 Mbps gratis.
DeepNines
Productos
• Seguridad IPS
Cubertura
• Pymes Empresas
Soporte
• Latinoamerica Mexico
DeepNines
Productos IPS
• SES91000 1Gbps
• SES9500 500 Mbps
• SES9250 250 Mbps
• SES9100 100 Mbps
• SES910 10 Mbps
DeepNines
Alianzas
RadWare
Productos
• Seguridad IPS
Cubertura
• Pymes y Empresas
Soporte
• Sin Información
RadWare
Productos IPS
• Defensepro 6000 6 Gbps
• Defensepro x20 3 Gbps
• Defensepro x02 500 Mbps
• Defensepro IPS
RadWare
Defensepro hace uso de ASIC
Bajo costo de mantenimiento
Se centra en comportamiento de la red.
RadWare
Alianzas
Check Point
Productos
• Seguridad IPS
Cubertura
• Pymes Empresas
Soporte
• Argentina
Check Point
Productos IPS
• Check Point Power-1 9070 6.1 Gbps
• Check Point Power-1 5070 4.5 Gbps
TrustWave
Productos
• Seguridad IPS
Cubertura
• Pymes y Empresas
Soporte
• Estados Unidos y Canada
TrustWave
TrustWave
TS 1000
Velocidad 1.3 Gbps
Latencia 30 uS
NETASQ
Productos
• Seguridad IPS
Cubertura
• Pymes y Empresas
Soporte
• Europa Africa y Medio Oriente
NETASQ
Productos
• UTM U1100 2,8 Gbps
• UTM U1500 3.8 Gbps
• UTM U 6000 5 Gbps
IntruGuard (Juniper)‫‏‬
Productos
• Seguridad IPS
Cubertura
• Pymes y Empresas
Soporte
• EEUU China y Corea
IntruGuard
Productos
• IG200 0.1 Gbps Precios U$S 6995
• IG2000 2 Gbps
• Usa ASICS a medida
• Latencia < 50 uS
Force10
Productos
• Redes y Seguridad
Cubertura
• Pymes y Grandes Empresas
Soporte
• No figura solo referencia a Expocomm
Force10
• Serie P
• Velocidad 10 Gbps 1 Mpps
• Latencia < 2 uS
Force10
Alianzas
RioRey
Productos
• IPS-DDOS
Cubertura
• Pymes y Empresas
Soporte
• EEUU
RioRey
Productos
RX1200
RX2300
RX3300
Productos Open Source
• Bro
• Snort
Snort
• Iniciado por Marty Roesch, actualmente ha
alcanzado su versión 3 es uno de los IDS's
más utilizados por los especialistas en
seguridad.
• Mantenido por William Metcalf, extiende las
funcionalidades de Snort con la capacidad de
“DROPear” conexiones (IPS). Se integra con
Netfilter / Iptables. Es incluido por Snort
desde su versión 2.3.
Bro
Basado en Redes
Lenguaje de Scripting a Medida
Scrips de Politicas pre escritos.
Busquedad de Firmas de alta velocidad.
Analisis de tráfico de red
Deteccion seguida de acción
Indice
Ataques y Vulnerabilidades
IDS-IPS
Metodos de Detección
Bancos de Prueba
Productos
Entes certificadores
Entes certificadores
•
•
•
•
•
•
Common Criteria
NSS Labs http://www.nsslabs.com
ICSA Labs https://www.icsalabs.com
Gartner http://mediaproducts.gartner.com
KISA http://www.kisa.or.kr
Tolly Group http:/www.tolly.com
NSS Labs
• NSS Labs es lider mundial en test y
certificación de seguridad con laboratorios en
San Diego Chicago y francia.
Common Criteria
1 EAL1: Prueba de Funcionalidad
2 EAL2: Prueba estructural
3 EAL3: Metodicamente probado y chequeado
4 EAL4: Metodicamente Diseñado probado y revisado
5 EAL5: Semiformal Diseñado y probado
6 EAL6: Semiformal verificado diseñado y probado
7 EAL7: Formalmente verificado diseñado y probado
NSS Labs
Ambiente de prueba
Spirent
Reflector
Spirent
Avalanche
Cisco 6500
Spirent
Smartbits
Equipo
bajo
Prueba
Cisco 6500
Spirent
Smartbits
AX/4000
NSS Labs
•
•
•
•
•
•
•
Pruebas Realizadas
Reconocimiento de ataques
Evasión de IPS
Operación Stateful
Detección y Bloqueo bajo carga
Latencia y tiempo de repuesta
Stabilidad y Fiabilidad
Interfase de Administración
NSS Labs
Reconocimiento de Ataques
Test 1.1.1 - Backdoors
Test 1.1.2 - DNS/WINS
Test 1.1.3 - DOS
Test 1.1.4 - Falso negativos
Test 1.1.5 - Finger
Test 1.1.6 - FTP
Test 1.1.7 - HTTP
Test 1.1.8 - ICMP
Test 1.1.9 - Reconocimientos
Test 1.1.10 - RPC
Test 1.1.11 - SSH
Test 1.1.12 - Telnet
Test 1.1.13 – Base de Datos
Test 1.1.14 - Mail
Test 1.1.15 - Voz
NSS Labs
Reconocimiento de Ataques
• ARRD Attack Recognition Rating-Detect Only
Ranquin de reconocimiento de ataque en modo detección
solamente
• ARRB Attack Recognition Rating-Block
Ranquin de reconocimiento de ataque en modo bloqueo
• Default Se prueban 100 vulnerabilidades de la CVE
(Common Vulnerabilities Exposures).
• Custom se le da al cliente 48 horas para proveer una firma
de las vulnerabilidades que fallo y se prueba de nuevo
NSS Labs
Cisco
IPS-4255
SecureWorks
Isensor 850
Proventia
IPSGX5108
Proventia
GX4004
Juniper IDP
600f
110
110
110
110
126
126
110
ARRD Def.
78
92
92
79
83
83
105
ARRB Def.
78
94
98
79
83
83
105
ARRD Cust
107
104
104
102
ARRB Cust
107
110
110
102
17/17
17/17
17/17
17/17
Netkeeper
NK-3256T
Cisco
IPS-4240
Reconocimiento de Ataques
Ataques
Res. Falso
positivos
107
107
105
107
17/17
Cisco
IPS-4255
SecureWorks
Isensor 850
Proventia
IPSGX5108
Proventia
GX4004
Juniper IDP
600f
McAfee Inrru
Shield 4010
“07/07”
“7/7”
“7/7”
“7/7”
“13/13”
“13/13”
“7/7”
“13/13”
21/21
20/20
20/20
20/20
25/25
25/25
20/20
25/25
“09/09”
“9/9”
“9/9”
“9/9”
15/15
15/15
“9/9”
15/15
“5/7”
“7/7”
“7/7”
“7/7”
“3/3”
“3/3”
“4/7”
“3/3”
“8/10”
“8/10”
“8/10”
“8/10”
“12/12”
“12/12”
“7/10”
“11/12”
Netkeeper
NK-3256T
Cisco
IPS-4240
NSS Labs
Evasión ips
Evasión
Fragmentación
URL Ofuscac.
Ofusc. Tecn.
Oper. Stateful
NOC 1000.000
Cisco
IPS-4255
SecureWorks
Isensor 850
Proventia
IPSGX5108
Proventia
GX4004
Juniper IDP
600f
McAfee Inrru
Shield 4010
Bloqueo 100Mbps
100%
100%
100%
100%
100%
100%
100%
100%
Detec.100Mbps
100%
100%
100%
100%
100%
100%
100%
100%
Bloqueo 500Mbps
100%
100%
100%
100%
100%
100%
Detec.500Mbps
100%
100%
100%
100%
100%
100%
Bloqueo 1000Mbps
100%
100%
100%
100%
Detec. 1000Mbps
100%
100%
100%
100%
UDP 1514 lp
Netkeeper
NK-3256T
Cisco
IPS-4240
NSS Labs
Detección y Bloqueo
Bloqueo 2000Mbps
100%
Detec. 2000Mbps
100%
Cisco
IPS-4255
Proventia
IPSGX5108
Proventia
GX4004
Juniper IDP
600f
McAfee Inrru
Shield 4010
Bloqueo 100Mbps
100%
100%
100%
100%
100%
100%
100%
Detec.100Mbps
100%
100%
100%
100%
100%
100%
100%
Bloqueo 500Mbps
100%
100%
100%
100%
100%
100%
Detec.500Mbps
100%
100%
100%
100%
100%
100%
Bloqueo 1000Mbps
100%
100%
100%
Detec. 1000Mbps
100%
100%
100%
HTTP 2000
conexiones por
segundo sin
retardo
Netkeeper
NK-3256T
Cisco
IPS-4240
SecureWorks
Isensor 850
NSS Labs
Detección y Bloqueo
Bloqueo 2000Mbps
100%
Detec. 2000Mbps
100%
Con bt <100Mbps
327,00 *397,00
Sin bt <500Mps
201,00
209,00
McAfee Inrru
Shield 4010
191,00
Juniper IDP
600f
169,00
Proventia
GX4004
184,00
Proventia
IPSGX5108
SecureWorks
Isensor 850
218,25
Cisco
IPS-4255
Sin bt <100Mbps
Cisco
IPS-4240
Latencia uS
tamaño de
paquete 1000
Byte bt = trafico
de fondo
Netkeeper
NK-3256T
NSS Labs
Latencia y tiempo de repuesta
138,00
175,00
94,00
94,00
145,00
95,00
Con bt< 500Mbps
110,00
110,00
162,00
Sin bt< 1000Mbps
115,00
115,00
96,00
Con bt <1000Mbps
131,00
131,00
182,00
Sin bt 2000Mbps
105,00
Con bt 2000Mbps
862,00
NSS Labs
McAfee Inrru
Shield 4010
Juniper IDP
600f
Proventia
GX4004
Proventia
IPSGX5108
SecureWorks
Isensor 850
Cisco
IPS-4255
Cisco
IPS-4240
Netkeeper
NK-3256T
Estabilidad fiabilidad e interfase de usuario
Bloqueo bajo ataq. 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% 100,00%
Traf. Leg bajo ataq.
99,98% 99,50% 100,00% 99,99% 100,00% 100,00% 100,00% 100,00%
pasa
pasa
pasa
pasa
pasa
pasa
pasa
pasa
Puertos abiertos
pasa
pasa
pasa
pasa
pasa
pasa
pasa
pasa
ISIC/ESIC
pasa
pasa
pasa
pasa
pasa
pasa
pasa
pasa
pasa no pasa no pasa no pasa
parcial
ISIC/ESIC
Interfase de Adm.
ISIC ataques IM
no pasa no pasa no pasa
ICSA
ICSA Labs, es una división independiente de
Verizon Business
ex International Computer Security Association
ICSA Labs
El programa de pruebas incluye
• Vulnerabilidades focalizada en pruebas de
ataques
• Pruebas de evación
• Pruebas de denegación de servicio
• Pruebas de rendimiento y latencia
• Pruenas de funcionalidad administrativa.
ICSA Labs
Lista de productos certificados
• Fortinet FortiGate FG50B, FWF60B, FG300A,
FG500A, FG800, FG1000A, FG3016B,
FG3600, FG3600A, FG3800A, FG5001FA2,
FG5005FA2
• Sourcefire Sourcefire 3D System 3D3800
• Stonesoft StoneGate IPS-2000
ICSA Labs
Modelo
Fabricante
Velocidad Mbps
Latencia en uS
Ataques DoS
Ataques de logs
Ataques actualización
No falsos positivos
Crea reportrs
Ataques que usan evasion
Ataques server side
Ataques cliente side
Fortigate 800 Fortigate 300 Sourcefire 3D3800 Stonegate IPS2000
Fortinet
Fortinet
Sourcefire
Stonesoft
75
40
535
200
305
375
228
502
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
si
si
si
si
cumple
cumple
cumple
cumple
cumple
cumple
cumple
cumple
no testeado no testeado no testeado
no testeado
Proventia GX6116
Gartner
• Consultora en tecnologia IT
• Cubre 80 paises
Gartner
Productos Evaluados
•
•
•
•
•
•
•
Cisco
Tipping Point
Source fire
IBM
McAfee
Juniper
Enterasys
•
•
•
•
•
•
•
Reflex Security
Top Layer Network
Nitro Security
Still Secure
Deep Nine
Radware
Check Point
Gartner
Tolly Group
•
•
•
•
•
•
•
•
•
Trustwave TS-1000 High-Speed IPA
IntruGuard Devices, Inc. IG2000
Force10 Networks P-Series, Model P10 IPS
Reflex Security IPS100
NETASQ F2000 IPS
Radware, Inc. DefensePro 3000
IBM Proventia IPAG2000
Top Layer Networks Attack Mitigator IPS 5500
Tipping Point Technologies