Estado del Arte de IDS
Transcription
Estado del Arte de IDS
Estado del Arte de IDS Ing. Jose Daniel Britos UNC-DUI-LaRyC [email protected] Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores Vulnerabilidades Catalogadas por el CERT 9000 8000 7000 6000 5000 Column 1 4000 3000 2000 1000 0 Año 2001 Año 2002 Año 2003 Año 2004 Año 2005 Año 2006 Año 2007 Incidentes Amenazas Ataques Ataques Información de Ataques http://cve.mitre.org http://www.mitre.org/work/cybersecurity.html http://www.cert.org http://nvd.nist.gov/ Ataques Activos Pasivos Ataques Pasivos Descarga de contenidos del mensaje: Escucha de una conversación telefónica. Lectura de un mensaje de correo electrónico. Información confidencial capturada por un oponente. Análisis de tráfico: Frecuencia de emisión de los mensajes Longitud del mensaje. Ataques Activos Denegación de Servicio DoS “Masquerade” (Enmascarado) “Replay” (Reinterpretar) Modificación de contenidos del mensaje Ataques Causa Efecto Causas Objetivos Propagación Origen Acción Vulnerabilidad Activos que vulnera Objetivos Espionaje Delitos profesionales. Terrorismo Rivalidades Coorporativas Cracking Vandalismo Exibicionismo Propagación Humana Autonoma Origen del ataque Local Remoto de una sola fuente Remoto de multiples fuentes Acciones Pruebas Escaneos Inundaciones de una Fuente Inundaciones Multiples Fuentes Autenticación Bypass Spoof Leer Copiar Terminar Crear o Ejecutar un proceso Modificar Borrar Redirigir Vulnerabilidad Configuración Default Administradores flexibles Creación de huecos de seguridad. Relaciones de confianza Especificación de diseño Implementación Activos Red Sistema Proceso Datos Usuario Ataques Causa Efecto Efecto del estado Disponibilidad Integridad Confidencialidad Efecto de perfomance Presición Exactitud Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores IDS- IPS Clasificación NIDS HIDS NIDS Centralizados Distribuidos NIDS Basado en Firmas Basado en Detector de anomalias NIDS Componentes de un IDS • Sensores • Analizadores • Interfases de usuario Además el IPS cuenta con un • Elemento de repuesta NIDS Posibles repuestas de un IDS Alarma IDS No Alarma Intrusión No Intrusión Verdadero Positivo Falso Positivo Falso Negativo Verdadero Negativo NIDS NIDS NIDS NIDS NIDS NIDS NIDS NIDS Costo U$S 50.000 por giga byte Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores Metodos de Detección Basado en Firmas Basado en Detección de anomalias. Basado en Firmas Son simples: comparan el trá́fico de la red con firmas conocidas de ataques. Si una porció́n del trá́fico coincide con un ataque conocido, el IDS genera una alarma. Necesitan un bajo mantenimiento: Solo se necesita mantener una base de datos de firmas actualizadas. Tienden a registrar un porcentaje muy bajo de falsos positivos: Tienen una limitació́n importante: no son efectivos contra nuevos ataques y variaciones de los ataques conocidos. Basado en Firmas Inspección Profunda de Paquetes (DPI) Enfoque basado en Autó́matas deterministic finite automaton DFA non deterministic finite automaton NFA Aproximaciones basadas en heuristica Aproximació́n basada en Filtrado Enfoque basado en Autó́matas Reducció́n de las tablas de transició́n extensas Reducción de transició́nes Tablas de Hash Agrupacion y reescritura Expresiones regulares en Hardware FPGA Basado en automatas Pro: Tiempo de ejecucion determinista y lineal, soporte directo de expresiones regulares Contra: Puede consumir mucha memoria si no se utiliza una estructura de datos compacta •Reescribe y agrupa espresiones regulares •Reduce el numero de transiciones •Espresiones regulares en hardware FPGA •Sigue DFA que acepta patrones (Aho-Corasick) •Reduce tabla de transiciones escasas (Bitmap-AC, BNFA in Snort) •Reduce salidas desde los estados (split automata) •Sigue multiples caracteres al mismo tiempo en un NFA (JACK-NFA) Aproximaciones basadas en heuristica Pros: Puede saltear caracteres que no apareen, tiempo de ejecucion por debajo del promedio. Cons: Puede sufrir de ataques algoritmicos en el peor de los casos. •Consigue distancias de desplazamiento usando automatas basados en heuristica que reconoce prefijos inversos de espresiones regulares (RegularBNDM) •Consigue distancias de desplazamiento desde bloques fijos en sufijos de la ventana de busqueda (Wu-Manber) •Consigue distancias de desplazamiento desde el mas largo sufijo de la ventana de busqueda (BG) Aproximació́n basada en Filtrado • Filtrado de texto • Busquedas en paralelo Aproximació́n basada en Filtrado Pros: Eficiente en el uso de memoria en vectores de bits Contra: Puede sufrir de ataques algoritmicos en el peor de los casos. •Extrae subcadenas desde espresiones regulares (MultiFactRE) •Filtra con un conjunto de filtros de Bloom para diferentes longitudes de patrones. •Filtra con un conjunto de funciones de hash secuenciales (Hash-AV) Metodos de Detección Basado en Firmas Basado en Detección de anomalias. Basado en Detección de anomalias Tienden a ser complejos: determinar que constituye un funcionamiento normal del trá́fico de una red es una tarea para nada trivial. Necesitan mantenimiento: normalmente requieren un largo periodo de inicializació́n o entrenamiento. La detecció́n de anomalías suele tener muchos falsos positivos. Basado en Detección de anomalias Analisis Estadístico Redes neuronales Agentes inteligentes Autonomos Analisis de Onditas (Wavelets) Analisis Estadístico Generación predictiva de patrones Información FPP basada en redes bayesianas. FPP: False Positive Probability Filtros umbral Control estadístico de anomalias. Perfil de Actividad. Deteccion de puntos de cambio secuencial Redes Neuronales Neurona Biologica axon sinapsis dendritas Redes Neuronales Características z z z z z z El estilo de procesamiento es como el de procesamiento de señales, no simbólico. La combinación de señales para producir nuevas señales contrasta con la ejecución de instrucciones almacenadas en memoria La información se almacena como un conjunto de pesos, no en un programa. Los pesos se deben adaptar cuando le mostramos ejemplos a la red. Las redes son tolerantes a ruido: pequeños cambios en la entrada no afecta drásticamente la salida de la red. Los conceptos se ven como patrones de actividad a lo largo de casi toda la red y no como el contenido de pequeños grupos de celdas de memoria. La red puede generalizar el conjunto de entrenamiento y así tratar con ejemplos no conocidos. RNA son buenas para tareas perceptuales y asociaciones. Justamente con lo que se topa la computación tradicional Neurona Artificial x1 w1 x2 Entradas w2 x3 … xn-1 xn n z= ∑ wi x i ; y=H z i= 1 .. w3 . Salida y wn-1 wn Modelo de McCullogh-Pitts Redes neuronales Modelos Los modelos de neuronas son usualmente simples modelos matematicos definidos por la función: f:X →Y Un amplio tipo de redes neuronales artificiales estan integradas por neuronas cuya función es la generalización del modelo de McCullogh-Pitts: Redes neronales Capa oculta Entradas Salidas Una red neronal artificial esta compuesta por varias neuronas enlazadas de acuerdo a una arquitectura de red Redes neuronales Paradigmas de aprendizaje Los paradigmas de aprendizaje, corresponden a una tarea abstracta de aprendizaje: Supervisado: Tenemos un conjunto de objetos con su descripción completa (rasgos y clase a que pertenecen) (Conjunto de entrenamiento) -No supervisado: Tenemos un conjunto de objetos con su descripción incompleta (típicamente desconocemos las clases en que se pueden agrupar: Problema de Clustering) Redes Neuronales Tipos Redes Neuronales Backpropagation z z z z Generalización del algoritmo de Widrow-Hoff para redes multicapa con funciones de transferencia no-lineales y diferenciables. Una red neuronal con una capa de sigmoides es capaz de aproximar cualquier función con un número finito de discontinuidades Propiedad de la generalización. La función de transferencia es no-lineal, la superficie de error tiene varios mínimos locales. Analisis de onditas La transformada wavelet (onditas) representa una señal en términos de versiones trasladadas y dilatadas de una onda finita (denominada wavelet madre). Energias de onditas en la banda espectral mas alta identifica puntos de cambio de la señal de entrada. Agentes inteligentes Autonomos Homogeneidad Centrado Colectivo Localidad Comportamiento colectivo global Apareo de velocidad Evitar Colisiones Agentes Inteligentes Autonomos Agentes Inteligentes Autonomos • Nido Comida Nido Nido Comida Comida Agentes Inteligentes Autonomos Proyecto Cerias http://www.cerias.purdue.edu/about/history/coast/projects/aafid.php Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores Bancos de Prueba Arquitectura real Arquitectura de prueba Attackers 2x8Mbps 100Mbps Firewall Cluster Target Servers Farm Bancos de Prueba Herramientas de prueba Herramientas de ataque Generadores de tráfico Capturadores de tráfico Producción de un ambiente de simulación Banco de Pruebas Manual de Operaciones • Lanzamiento de las pruebas • Validación del Impacto • Resultado de la prueba Banco de pruebas Requisitos deseables • • • • • Interfase normalizada Un banco dedicado al testeo de IDS/IPS Modular y flexible Capacidad de script Capacidad de automatizar resultados y realizar comparaciones. Banco de pruebas Switch PC1 PC2 PC3 IPS Switch PC4 PC5 PC6 Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores Productos • Detección de Intrusiones Intrusion Detection (IDS) • Prevención de intrusiones Intrusion Prevention (IPS) • Administradores de Incidentes unificados Unified threat management (UTM) Productos Administradores de Incidentes unificados Los administradores de incidentes unificados incluyen tipicamente seis modulos. Firewall VPN IDS/IPS Anti Virus Anti Spam Filtrado URL Filtrado de contenidos. Productos • Propietarios • Open Source Productos Propietarios • • • • • • • • • • Enterasys http://www.enterasys.com Cisco http://www.cisco.com IBM http://www.iss.net Juniper http://www.juniper.net Securesoft http://www.securesoft.co.jp Secureworks http://www.secureworks.com McAfee http://www.mcafee.com Toplayer http://www.toplayer.com Nitrosecurity http://www.nitrosecurity.com Broadweb http://www.broadweb.com Productos propietarios • • • • • • • • • Fortinet http://www.fortinet.com Sourcefire http://www.sourcefire.com Stonesoft http://www.stonesoft.com Tipping Point http://www.tippingpoint.com Reflex Security http://www.reflexsecurity.com Still secure http://www.stillsecure.com Deep Nine http://www.dipnines.com Radware http://www.radware.com ChekPoint http://www.checkpoint.com Productos propietarios • • • • • TrustWave https://www.trustwave.com NETASQ http://www.netasq.com IntruGuard http://www.intruguard.com Force10 http://www.force10networks.com RioRey http://www.riorey.com Enterasys Enterasys Enterasys Productos Seguridad en redes Soporte Asia Europa Africa Latino America todos los paises https://epartners.enterasys.com/Cultures/enUS/Enterasys/public/partnerlocator Enterasys Dragon 10 Gbps • Basado en Firmas (14000) • Basado en Protocolo • Basado en Anomalias • Basado en Comportamiento Enterasys Arquitectura del IDS/IDP Sensores de red Sensores de servidores Servidor de Administración Procesadores de flujo de eventos Enterasys Alianzas Q1Labs radware Q1Labs Alianzas Q1Labs • Intrusion Detection • Intrusion Prevention • Cisco, CSA • Cisco, IPS • Cisco, IDS • ForeScout, CounterACT • Enterasys, Dragon • IBM Site Protector & Proventia • Fortinet Fortigate FortiGuard • Juniper, NetScreen IDP • Juniper, ISG • McAfee Intrushield • Network Associates, McAfee Entercept • Nortel, Threat Protection System • Niksun, NetVCR • Top Layer, IPS 5500 • SNORT • Trust Wave IPAngel • SourceFire, Intrusion Sensor • Trust Wave IPAngel • Tipping Point, X Series CISCO Cisco Productos • Integral de redes Soporte Asia Europa Oceania Africa Latinoamerica Todos los paises Cisco Productos IPS • Cisco IPS 4200 Series Sensor • Cisco ASA 5500 • Cisco Security Agent • IDS Service Module 2 • Cisco IOS Intruder Prevention System Cisco Linea Cisco IPS 4200 Series Sensor • Cisco IPS 4270 Sensor 4 Gbps • Cisco IPS 4260 Sensor 2 Gbps • Cisco IPS 4255 Sensor 600 Mbps • Cisco IPS 4240 Sensor 300 Mbps • Cisco IDS 4215 Senso 80 Mbps Cisco CISCO Capacidades Beneficios Permite al dispositivo IPS limitar ciertos tipos de tráfico previniendo el Limite de Velocidad uso exesivo de ancho de banda Detección de IP en IP Detecta trafico malicioso en tráfico IP movil Reconocimiento de Identifica ataques basado en vulnerabilidades patrones Statefull Analis de protocolos Provee decodificación de una gran variedad de protocolos. Detección de Provee identificación de anomalias para ataques que cubren, multiple anomalias de tráfico seción y cambios en los patrones de tráfico. Detección basado en Anomalias de Identifica atakes basados en esviaciones del comportamiento normal protocolo descripto en la RFC Cisco Capacidades Beneficios Deteccion de capa 2 Identifica atakes ARP Provee un amplio contros de aplicación de politicas a p2p, MSN, Applicacion de tuneles, MIME ayuda a asegurar que el trafico malicioso no penetre la Politicas red. Tecnicas de Evación Normalización de tráfico, defragmentación IP, rearmado TCP. Anti-IPS Póliticas personlizables Da la posibilidad de crear políticas flexibles y configurables. CISCO IBM (Internet Security System) Productos • Informatica y comunicaciones Soporte • Latinoamerica todos los paises IBM Productos IPS Proventia GX6116 Proventia GX5208 Proventia GX5108 Proventia GX5008 Proventia GX4004 Proventia GX4002 Proventia GX3002 6 Gbps 2 Gbps 1.2 Gbps 400 Mbps 200 Mbps 200 Mbps 10 Mbps IBM Principales Caracteristicas Cumple con los requerimientos PCI-DSS Disponibilidad de firmas en linea X Force Integracion con Network behavior analysis Juniper ISG 2000 2 Gbps Juniper Productos • Redes Soporte • Latino America solo Mexico Juniper • Productos IPS IDP 8200 IDP 800 IDP 250 IDP 75 ISG 2000 2 Gbps ISG 1000 1 Gbps Integracion con Netscreen Juniper Alianzas SecureSoft Productos • Seguridad (Grupo Fujitsu) Cubertura • PYMES a Grandes Empresas Soporte • Japon Corea Securesoft Securesoft T1000 Securesoft Securesoft Productos IPS • Sniper IPS 4000 • Sniper IPS 2000 • Sniper IPS 1000 • Absolute IPS NP5G 5 Gbps • Absolute IPS 1000 1 Gbps • T series Securesoft Alianzas Secureworks Productos • Orientada a servicios Cubertura • Grandes Empresas Soporte • Sin informacion Secureworks Isensor • Analisis de firmas • Detección de anomalias • Reconocimiento de protocolos • Comportamiento basado en heuristica • Analisis de Patrones humanos Secureworks Alianzas McAfee Productos • Seguridad Cubertura • Hogar Pymes Grandes Empresas Soporte • America Latina Mexico McAfee • • • • • • Los IPS van de 100 Mbps hasta 2 Gbps Inspección de tráfico SSL encriptado Soporta instancias virtuales de IPS Integración con otros productos McAfee NAC (Network Access Control) ePolicy Orchestrator McAfee • • • • • • Intrushield 4010 2 Gbps Inspección de tráfico statefull Detección de firmas Detección de anomalias Detección de DoS Prevención de intrusiones McAfee Alianzas TopLayer Productos • Seguridad IPS Cubertura • Empresas Soporte • Estados Unidos Corea Japon Top Layer Top Layer IPS 5500 .6 a 4.4 Gbps Baja Latencia >50 uS Basado en ASIC y escalable Cumple con los requerimientos PCI-DSS Top Layer El prcesador TILE64™ de Tilera provee una solución completa para IPS Hasta 20 Gbps de pattern matching application Hasta 10 Gbps de proceso SNORT Por debajo de 20watts de consumo para el chip y 50watts para el sistema completo Top Layer Alianzas Nitro Security Productos • Seguridad Cubertura • Empresas Soporte • Estados Unidos Corea Japon Suiza Nitro Security Nitro Guard 4000 IPS 1,5 Gbps Nitro Security Analisis de flujo de red sFlow y netFlow Exelente consola de admnistración NitroView Administrador de eventos de seguridad de la información (Security Information Event Management SIEM) Esta incluida en las 5000 empresas con mayor crecimiento en el 2007 Elegida por la U.S. Army en el 2008. Bajo Costo por Gbps Basada en Snort. Nitro Security Alianzas Broadweb Productos • Seguridad IPS Cubertura • PYMES Empresas Soporte • Norte America Asia Pacifico y Europa Broadweb NK6000 1Gbps Fortinet Productos • Seguridad Integral de la red- Carriers Soporte America del Norte Europa Asia • Latino America (Mexico) Fortinet Fortinet Fortinet Fortinet Las soluciones IPS estan alrededor de los ATCA (Advanced Telecom Computing Architecture) • Fortigate 5140 70 Gbps • Fortigate 5050 25 Gbps • Fortigate 5208 • Fortigate 5005 • Fortigate 5002 • Fortigate 5001 Fortinet Alianzas Sourcefire Productos • Seguridad Integral de la red • Snort y ClamAV Soporte America del Norte Sourcefire Sourcefire 3d9800 10Gbps Gusanos Trafico Malformado Trojanos Encabezamientos invalidos Busquedad de Puertos Ataques a VoIP Ataques de Buffer overflow Ataques a IPv6 Ataques de denegación de servicio Ataque de fragmentación y evación Anomalias de Protocolo Ataques del dia Cero Sourcefire Alianzas Sourcefire Socios en Proveedores de administración de seguridad (Managed Security Services Provider MSSP) Socios OEM Stone soft Productos • IPS VPN FW Soporte • Helsinki, Finland, Atlanta, Georgia Stonesoft Productos • • • • • • • • • • StoneGate IPS-6100 StoneGate IPS-6000 StoneGate IPS-2000 StoneGate IPS-400 StoneGate SGI-2000S StoneGate SGI-200S StoneGate SGI-200C StoneGate SGI-200N StoneGate SGI-200ANZ StoneGate SGI-20A 4Gbps 2Gbps 600Mbps 100 Mbps 1200 Mbps 400 Mbps 400 Mbps 400 Mbps 400 Mbps 80 Mbps Tipping Point (3Com) Productos • Seguridad IPS Cubertura • PYMES Empresas Soporte • Sin Información Tipping Point Alianzas Reflex Security Productos • Virtualizacion de la Seguridad Cubertura • PYME y Empresas Soporte • Sin información Reflex Security Modelos hasta 10 Gbps Dispositivos de seguridad virtualizados Se apoya en la base de datos de firmas Snort. Reflex Security Alianzas Still Secure Productos • Seguridad Cubertura • PYMES Empresas Soporte Sin Información Still Secure Still Secure Still Secure Still Secure Productos IPS (Strata Guard) Basado en Snort • SMB 10 Mbps • Enterprice 200 Mbps • GigE 1 Gbps • Ofrece el Strata Guard para 5 Mbps gratis. DeepNines Productos • Seguridad IPS Cubertura • Pymes Empresas Soporte • Latinoamerica Mexico DeepNines Productos IPS • SES91000 1Gbps • SES9500 500 Mbps • SES9250 250 Mbps • SES9100 100 Mbps • SES910 10 Mbps DeepNines Alianzas RadWare Productos • Seguridad IPS Cubertura • Pymes y Empresas Soporte • Sin Información RadWare Productos IPS • Defensepro 6000 6 Gbps • Defensepro x20 3 Gbps • Defensepro x02 500 Mbps • Defensepro IPS RadWare Defensepro hace uso de ASIC Bajo costo de mantenimiento Se centra en comportamiento de la red. RadWare Alianzas Check Point Productos • Seguridad IPS Cubertura • Pymes Empresas Soporte • Argentina Check Point Productos IPS • Check Point Power-1 9070 6.1 Gbps • Check Point Power-1 5070 4.5 Gbps TrustWave Productos • Seguridad IPS Cubertura • Pymes y Empresas Soporte • Estados Unidos y Canada TrustWave TrustWave TS 1000 Velocidad 1.3 Gbps Latencia 30 uS NETASQ Productos • Seguridad IPS Cubertura • Pymes y Empresas Soporte • Europa Africa y Medio Oriente NETASQ Productos • UTM U1100 2,8 Gbps • UTM U1500 3.8 Gbps • UTM U 6000 5 Gbps IntruGuard (Juniper) Productos • Seguridad IPS Cubertura • Pymes y Empresas Soporte • EEUU China y Corea IntruGuard Productos • IG200 0.1 Gbps Precios U$S 6995 • IG2000 2 Gbps • Usa ASICS a medida • Latencia < 50 uS Force10 Productos • Redes y Seguridad Cubertura • Pymes y Grandes Empresas Soporte • No figura solo referencia a Expocomm Force10 • Serie P • Velocidad 10 Gbps 1 Mpps • Latencia < 2 uS Force10 Alianzas RioRey Productos • IPS-DDOS Cubertura • Pymes y Empresas Soporte • EEUU RioRey Productos RX1200 RX2300 RX3300 Productos Open Source • Bro • Snort Snort • Iniciado por Marty Roesch, actualmente ha alcanzado su versión 3 es uno de los IDS's más utilizados por los especialistas en seguridad. • Mantenido por William Metcalf, extiende las funcionalidades de Snort con la capacidad de “DROPear” conexiones (IPS). Se integra con Netfilter / Iptables. Es incluido por Snort desde su versión 2.3. Bro Basado en Redes Lenguaje de Scripting a Medida Scrips de Politicas pre escritos. Busquedad de Firmas de alta velocidad. Analisis de tráfico de red Deteccion seguida de acción Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores Entes certificadores • • • • • • Common Criteria NSS Labs http://www.nsslabs.com ICSA Labs https://www.icsalabs.com Gartner http://mediaproducts.gartner.com KISA http://www.kisa.or.kr Tolly Group http:/www.tolly.com NSS Labs • NSS Labs es lider mundial en test y certificación de seguridad con laboratorios en San Diego Chicago y francia. Common Criteria 1 EAL1: Prueba de Funcionalidad 2 EAL2: Prueba estructural 3 EAL3: Metodicamente probado y chequeado 4 EAL4: Metodicamente Diseñado probado y revisado 5 EAL5: Semiformal Diseñado y probado 6 EAL6: Semiformal verificado diseñado y probado 7 EAL7: Formalmente verificado diseñado y probado NSS Labs Ambiente de prueba Spirent Reflector Spirent Avalanche Cisco 6500 Spirent Smartbits Equipo bajo Prueba Cisco 6500 Spirent Smartbits AX/4000 NSS Labs • • • • • • • Pruebas Realizadas Reconocimiento de ataques Evasión de IPS Operación Stateful Detección y Bloqueo bajo carga Latencia y tiempo de repuesta Stabilidad y Fiabilidad Interfase de Administración NSS Labs Reconocimiento de Ataques Test 1.1.1 - Backdoors Test 1.1.2 - DNS/WINS Test 1.1.3 - DOS Test 1.1.4 - Falso negativos Test 1.1.5 - Finger Test 1.1.6 - FTP Test 1.1.7 - HTTP Test 1.1.8 - ICMP Test 1.1.9 - Reconocimientos Test 1.1.10 - RPC Test 1.1.11 - SSH Test 1.1.12 - Telnet Test 1.1.13 – Base de Datos Test 1.1.14 - Mail Test 1.1.15 - Voz NSS Labs Reconocimiento de Ataques • ARRD Attack Recognition Rating-Detect Only Ranquin de reconocimiento de ataque en modo detección solamente • ARRB Attack Recognition Rating-Block Ranquin de reconocimiento de ataque en modo bloqueo • Default Se prueban 100 vulnerabilidades de la CVE (Common Vulnerabilities Exposures). • Custom se le da al cliente 48 horas para proveer una firma de las vulnerabilidades que fallo y se prueba de nuevo NSS Labs Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f 110 110 110 110 126 126 110 ARRD Def. 78 92 92 79 83 83 105 ARRB Def. 78 94 98 79 83 83 105 ARRD Cust 107 104 104 102 ARRB Cust 107 110 110 102 17/17 17/17 17/17 17/17 Netkeeper NK-3256T Cisco IPS-4240 Reconocimiento de Ataques Ataques Res. Falso positivos 107 107 105 107 17/17 Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f McAfee Inrru Shield 4010 “07/07” “7/7” “7/7” “7/7” “13/13” “13/13” “7/7” “13/13” 21/21 20/20 20/20 20/20 25/25 25/25 20/20 25/25 “09/09” “9/9” “9/9” “9/9” 15/15 15/15 “9/9” 15/15 “5/7” “7/7” “7/7” “7/7” “3/3” “3/3” “4/7” “3/3” “8/10” “8/10” “8/10” “8/10” “12/12” “12/12” “7/10” “11/12” Netkeeper NK-3256T Cisco IPS-4240 NSS Labs Evasión ips Evasión Fragmentación URL Ofuscac. Ofusc. Tecn. Oper. Stateful NOC 1000.000 Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f McAfee Inrru Shield 4010 Bloqueo 100Mbps 100% 100% 100% 100% 100% 100% 100% 100% Detec.100Mbps 100% 100% 100% 100% 100% 100% 100% 100% Bloqueo 500Mbps 100% 100% 100% 100% 100% 100% Detec.500Mbps 100% 100% 100% 100% 100% 100% Bloqueo 1000Mbps 100% 100% 100% 100% Detec. 1000Mbps 100% 100% 100% 100% UDP 1514 lp Netkeeper NK-3256T Cisco IPS-4240 NSS Labs Detección y Bloqueo Bloqueo 2000Mbps 100% Detec. 2000Mbps 100% Cisco IPS-4255 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f McAfee Inrru Shield 4010 Bloqueo 100Mbps 100% 100% 100% 100% 100% 100% 100% Detec.100Mbps 100% 100% 100% 100% 100% 100% 100% Bloqueo 500Mbps 100% 100% 100% 100% 100% 100% Detec.500Mbps 100% 100% 100% 100% 100% 100% Bloqueo 1000Mbps 100% 100% 100% Detec. 1000Mbps 100% 100% 100% HTTP 2000 conexiones por segundo sin retardo Netkeeper NK-3256T Cisco IPS-4240 SecureWorks Isensor 850 NSS Labs Detección y Bloqueo Bloqueo 2000Mbps 100% Detec. 2000Mbps 100% Con bt <100Mbps 327,00 *397,00 Sin bt <500Mps 201,00 209,00 McAfee Inrru Shield 4010 191,00 Juniper IDP 600f 169,00 Proventia GX4004 184,00 Proventia IPSGX5108 SecureWorks Isensor 850 218,25 Cisco IPS-4255 Sin bt <100Mbps Cisco IPS-4240 Latencia uS tamaño de paquete 1000 Byte bt = trafico de fondo Netkeeper NK-3256T NSS Labs Latencia y tiempo de repuesta 138,00 175,00 94,00 94,00 145,00 95,00 Con bt< 500Mbps 110,00 110,00 162,00 Sin bt< 1000Mbps 115,00 115,00 96,00 Con bt <1000Mbps 131,00 131,00 182,00 Sin bt 2000Mbps 105,00 Con bt 2000Mbps 862,00 NSS Labs McAfee Inrru Shield 4010 Juniper IDP 600f Proventia GX4004 Proventia IPSGX5108 SecureWorks Isensor 850 Cisco IPS-4255 Cisco IPS-4240 Netkeeper NK-3256T Estabilidad fiabilidad e interfase de usuario Bloqueo bajo ataq. 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% Traf. Leg bajo ataq. 99,98% 99,50% 100,00% 99,99% 100,00% 100,00% 100,00% 100,00% pasa pasa pasa pasa pasa pasa pasa pasa Puertos abiertos pasa pasa pasa pasa pasa pasa pasa pasa ISIC/ESIC pasa pasa pasa pasa pasa pasa pasa pasa pasa no pasa no pasa no pasa parcial ISIC/ESIC Interfase de Adm. ISIC ataques IM no pasa no pasa no pasa ICSA ICSA Labs, es una división independiente de Verizon Business ex International Computer Security Association ICSA Labs El programa de pruebas incluye • Vulnerabilidades focalizada en pruebas de ataques • Pruebas de evación • Pruebas de denegación de servicio • Pruebas de rendimiento y latencia • Pruenas de funcionalidad administrativa. ICSA Labs Lista de productos certificados • Fortinet FortiGate FG50B, FWF60B, FG300A, FG500A, FG800, FG1000A, FG3016B, FG3600, FG3600A, FG3800A, FG5001FA2, FG5005FA2 • Sourcefire Sourcefire 3D System 3D3800 • Stonesoft StoneGate IPS-2000 ICSA Labs Modelo Fabricante Velocidad Mbps Latencia en uS Ataques DoS Ataques de logs Ataques actualización No falsos positivos Crea reportrs Ataques que usan evasion Ataques server side Ataques cliente side Fortigate 800 Fortigate 300 Sourcefire 3D3800 Stonegate IPS2000 Fortinet Fortinet Sourcefire Stonesoft 75 40 535 200 305 375 228 502 cumple cumple cumple cumple cumple cumple cumple cumple cumple cumple cumple cumple cumple cumple cumple cumple si si si si cumple cumple cumple cumple cumple cumple cumple cumple no testeado no testeado no testeado no testeado Proventia GX6116 Gartner • Consultora en tecnologia IT • Cubre 80 paises Gartner Productos Evaluados • • • • • • • Cisco Tipping Point Source fire IBM McAfee Juniper Enterasys • • • • • • • Reflex Security Top Layer Network Nitro Security Still Secure Deep Nine Radware Check Point Gartner Tolly Group • • • • • • • • • Trustwave TS-1000 High-Speed IPA IntruGuard Devices, Inc. IG2000 Force10 Networks P-Series, Model P10 IPS Reflex Security IPS100 NETASQ F2000 IPS Radware, Inc. DefensePro 3000 IBM Proventia IPAG2000 Top Layer Networks Attack Mitigator IPS 5500 Tipping Point Technologies