CCNA SECURITY

Capítulo 5: Implementing Intrusion Prevention

 CCNA SECURITY

Introducción
• Describir las tecnologías IDS e IPS.
• Analizar las tecnologías basadas en host y basadas en red.
• Configurar Cisco IOS IPS usando CLI y SDM
CCNA SECURITY

Tecnologías IPS
 CCNA SECURITY

Características de IDS e IPS

• El sistema de seguridad de una red debe estar capacitado para reconocer y mitigar las
amenazas de virus y gusanos prácticamente de manera inmediata.
• Los cortafuegos no puede hacer mucho ante este tipo de ataques y no puede proteger de
manera efectiva contra malware y ataques de día cero.
• Un ataque de día cero (zero-day), es un ataque informático que intenta explotar las
vulnerabilidades de un software que se desconocen o que no han sido divulgadas por el
proveedor de software.
• El término de las cero horas se describe el momento en que el “exploit” es descubierto.
Durante el tiempo que tarda el proveedor de software en desarrollar y lanzar un parche, la
red es vulnerable a estos ataques.
• Un método para impedir que los gusanos y los virus penetren en la red es que un
administrador supervise continuamente la red y analice los archivos de registro generados
por los dispositivos de red. (Comentario)
 CCNA SECURITY

Características de IDS e IPS (y II)

• Los IDS se implementaron originariamente de forma pasiva
para controlar el tráfico de una red. De este modo lo que
analiza el Sensor IDS no es el tráfico original sino una copia del
mismo. Dicho sensor IDS compara el flujo de tráfico capturado
con firmas conocidas de codigos maliciosos de una manera
similar a como operan los Antivirus. Esta implementación de
IDS offline se conoce como modo promiscuo.
• La ventaja de trabajar con una copia del tráfico es que el IDS
no afecta negativamente al flujo de paquetes reales del tráfico
transmitido. La desventaja es que el IDS no puede detener los
paquetes de tráfico malicioso cuando se dirigen a sus destinos
puesto que no tiene tiempo de aplicar una respuesta para
detener el ataque.
• Cuando un Sensor IDS detecta un ataque envía una alarma a
una consola administrativa de gestión.
• En algunas ocasiones los IDS requieren la ayuda de otros
dispositivos de red, como routers y firewalls, para responder a
un ataque. (Por ejemplo para prohibir determinados tipos de
tráfico).
 CCNA SECURITY

Características de IDS e IPS (y III)

• Un sistema de prevención de intrusiones (IPS) se basa en la
tecnología IDS. A diferencia de IDS, IPS es un dispositivo aplicado
en el modo en línea (inline mode). Esto significa que todo el tráfico
de entrada y salida debe fluir a través del IPS para su
procesamiento. El IPS no permitir que los paquetes entren en la
zona de confianza de la red sin que sea analizado previamente.
Es capaz de detectar y abordar de inmediato un problema de red
cuando sea necesario a diferencia de un IDS.
• Un IPS monitorea la el tráfico y analiza la información de las
Capas 3 y 4, además analiza el contenido de los paquetes y la
carga útil de los mismos (payload), así se intenta detectar ataques
más sofisticados que pueden incluir datos maliciosos en las capas
de la 2 a la 7.
• Las plataformas de Cisco IPS utilizan una mezcla de tecnologías
de detección, basadas en firmas, perfiles y análisis de protocolo
de detección de intrusos. Este análisis más profundo permite que
un IPS identifique, detenga y bloquee los ataques que
normalmente pasan a través de un dispositivo de seguridad
tradicional.
• Frente a un IDS que opera offline este modo de trabajo inline
propio de los IPS puede detener los ataques antes de que el
tráfico alcance el sistema de destino.
 CCNA SECURITY

Características de IDS e IPS (y IV)

• Características comunes a los IDS e IPS
– Las tecnologías IDS e se despliegan mediante sensores.
– Un sensor de un IDS o de un IPS pueden ser:
• Un Router configurado con el software Cisco IOS IPS
• Un dispositivo diseñado específicamente para proporcionar servicios dedicados
IDS o IPS.
• Un módulo de red instalado en un dispositivo de seguridad adaptable switch o
router.
– Los IDS e IPS utilizan tecnologías basadas en firmas para detectar patrones de tráfico
de red.
– Una firma es un conjunto de reglas que un IDS o IPS utiliza para detectar una actividad
intrusiva catalogada.
– Las firmas se pueden emplear para detectar infracciones graves de seguridad, ataques
de red comunes, y recopilar información.
– Los IDS e IPS pueden detectar patrones de firma atómico (un solo paquete) o patrones
de firma compuesto (multipaquete).
 CCNA SECURITY

Características de IDS e IPS (y V)

• Ventajas y desventajas de los IDS
– Ventajas:
• Al implementarse en modo promiscuo ofline no tiene ningún impacto en el
rendimiento de la red.
• No introduce latencia, jitter, u otros problemas de flujo de tráfico.
• Si el sensor falla no afecta a la red, solo afecta a la capacidad del IDS de analizar
datos.
– Desventajas:
• Las acciones de respuesta del sensor IDS al realizar una detección no está
garantizado que detengan el ataque.
• No funcionan bien en la deteccion de virus de email y ataques organizados como
es el caso de los realizados por Worms.
 CCNA SECURITY

Características de IDS e IPS (y VI)

• Ventajas y desventajas de los IPS
– Ventajas:
• Un sensor IPS puede ser configurado para descartar (drop) los paquetes que
realizan la activacion del ataque, los paquetes de una determinada conexión o los
paquetes de una IP origen concreta.
– Desventajas:
• Los errores, fallos y sobrecargas del sensor IPS sensor puede tener un efecto
negativo en el rendimiento de la red.
• Un sensor IPS puede afectar al rendimiento de la red mediante la introducción de
la latencia y jitter.
• Un sensor IPS debe ser lo sfuficientemente potente para que las aplicaciones
sensibles al tiempo, tales como VoIP, no se vean afectadas por retrasos no
asumibles.
 CCNA SECURITY

Implementaciones basadas en Host

• Las tecnologías IDS e IPS se implementan normalmente en dos modalidades: basadas en
la red y basadas en host.
• Implementaciones de IPS basadas en Red.
– Analizan la red buscando actividad maliciosa. Los dispositivos de red tales como
routers ISR, aparatos de cortafuegos ASA, módulos de red para Catalyst 6500, o los
aparatos IPS están configurados para controlar las firmas conocidas. También puede n
detectar patrones de tráfico anormales.
• Implementaciones de IPS basadas en Host.
– Se instalan en equipos individuales empleando software HIPS como por ejemplo Cisco
Security Agent (CSA).
– HIPS audita en ficheros de LOGS y audita uso de recursos. Puede monitorizar
procesos del sistema operativo y proteger los recursos críticos del sistema, incluyendo
los archivos que puede existir sólo en esa máquina específica.
– Combina análisis del comportamiento y filtros de firma con las mejores características
de software anti-virus, cortafuegos de red y los cortafuegos de aplicación en un solo
paquete.
 CCNA SECURITY

Implementaciones basadas en Host (y II)

• CSA contiene dos componentes:
– Centro de Gestión - Instalado en un servidor central y dirigido por un administrador de
red.
– Agente de seguridad - se instala y se ejecuta en un sistema host. Se muestra el icono
de ejecución en background.
• CSA examina continuamente los procesos, registros de eventos de seguridad, los archivos
críticos del sistema, y los registros del sistema en busca de entradas maliciosas.
• Puede ser instalado en los servidores de acceso público, servidores de correo corporativo,
servidores de aplicaciones y escritorios de usuario. Se informa de los eventos a una consola
de gestión central de servidor que se encuentra dentro del firewall corporativo.
• Los agentes comprueban si una acción está permitida o denegada antes de que se realice
el acceso a los recursos del sistema y actúa en consecuencia. Este proceso ocurre de
forma transparente y no obstaculizar el comportamiento del sistema.
 CCNA SECURITY

Implementaciones basadas en Host (y III)

• CSA ofrece seguridad proactiva mediante el control de acceso a
los recursos del sistema. CSA puede detener los ataques al
identificar el comportamiento malicioso y responder en tiempo
real.
• CSA pide al usuario una acción cada vez que se detecta un
problema. Las opciones disponibles a elegir por ele usuario son:
– Sí - Permite el acceso a la aplicación de los recursos en
cuestión.
– No - niega el acceso a la aplicación de los recursos en
cuestión.
– No, poner fin a esta aplicación - Niega la solicitud de acceso
al recurso en cuestión y pone fin a la ejecución de la
aplicación correspondiente.
• Dependiendo de la versión de Cisco CSA instalado, una bandera
naranja pequeña o icono con una bandera roja aparece en la
bandeja de sistema de Windows.
• Cuando CSA niega una acción del sistema, aparece un mensaje
que informa al usuario del suceso y se registra.
• El usuario también puede ver el registro de CSA archivo que
contiene todos los eventos de seguridad que se han producido en
el sistema.
 CCNA SECURITY

Implementaciones basadas en Host (y IV)

• Una ventaja de la utilización de HIPS es que el éxito o el fracaso de un ataque se
determina fácilmente.
• Como contrapartida un IPS en red envía una alarma ante una actividad intrusiva
pero no siempre puede determinar con rapidez el éxito o el fracaso de un ataque.
• Hay dos grandes inconvenientes al usar HIPS puesto que no proporcionan una
imagen completa de la red puesto que examinan la información sólo a nivel de host
local, con lo que tienen dificultades para obtener una imagen precisa de la red.
• Otra desventaja de los HIPS es que el fabricante debe proporcionar versiones para
cada SO instalado en los host de la red.
• En realidad los modelos IPS en red y en host deben complementarse para
garantizar la seguridad en la red.
 CCNA SECURITY

Implementaciones basadas en Red

• Un IPS de red se puede implementar mediante un dispositivo IPS dedicado, como la serie 4200 IPS, o puede
ser añadido a un router ISR, un dispositivo de cortafuegos ASA o un Switch Catalyst 6500.
• Los sensores pueden implementarse de varias maneras:
– Añadir a un router ISR un Módulo IPS de integración avanzada (AIM) o un módulo de red mejorada (IPS
NME).
– Añadir a un dispositivo de cortafuegos ASA un Módulo de Servicios de inspección y prevención (ASA
AIP-SSM).
– Añadir a un switch Catalyst 6500 un Módulo de Servicios de detección de intrusos (IDSM-2).
• Para implementar estos NIPS el sistema operativo subyacente de la plataforma en la que el módulo de IPS
se monta es despojado de los servicios de red innecesarios, y se aseguran los servicios esenciales. Esto se
conoce como el endurecimiento (hardening).
• El hardware incluye tres componentes.
– Tarjeta de interfaz de red (NIC) - El IPS de red debe ser capaz de conectarse a cualquier red (Ethernet,
Fast Ethernet, Gigabit Ethernet).
– Procesador – El sistema IPS consume recursos de CPUpara procesar el reconocimiento de patrones de
ataque.
– Memoria – La memoria afecta directamente a la capacidad de un IPS de red para que este sea capaz
de detectar un ataque.
 CCNA SECURITY

Implementaciones basadas en Red (y II)

• Los routers Cisco 1841, 2800 y 3800 ISR se pueden configurar (usando CLI o SDM)
para proporcionar funciones de IPS empleando Cisco IOS IPS, que es una parte del
conjunto de funciones de Cisco IOS firewall.
• Para ello no es necesaria la instalación de ningún módulo IPS, pero sin embargo si
se requiere la descarga de los archivos de firmas y memoria suficiente para cargar
las firmas.
• El empleo de estos routers ISR como IPS es razonable para redes de
organizaciones pequeñas con patrones de tráfico limitado.
• Además de la opción de Cisco IOS IPS bajo Routers ISR, Cisco ofrece la posibilidad
de emplear soluciones modulares y dedicadas IPS:
 CCNA SECURITY

Implementaciones basadas en Red (y III)

• Solución modular: Cisco IPS Advanced Integration Module (AIM) and Network
Module Enhanced (IPS NME)
– Estos modulos integran IPS en Routers ISR 1841 (Solo AIM), 2800 y 3800.
– El IPS AIM ocupa un slot del router y tiene su propia CPU y DRAM.
– Monitorea hasta 45Mbps de trafico de todos los interfaces del router.
– Es capaz de monitorizar tráfico cifrado IPSec y GRE.
– Es necesario verificar el HW y el SW para comprobar la compatibilidad.
– Cisco IOS IPS y Cisco IPS AIM / IPS NME no se pueden utilizar juntos, Cisco
IOS IPS debe desactivarse cuando se instala el Cisco IPS AIM.
 CCNA SECURITY

Implementaciones basadas en Red (y IV)

• Cisco Adaptive Security Appliance Advanced Inspection
and Prevention Security Services Module (ASA AIP-SSM)
– Dentro de los productos Cisco ASA AIP-SSM se incluyen
tres opciones con módulos de memoria de 1 GB, 2 y 4 GB.
– Este modulo está diseñado para los equipos ASA 5500.
• Cisco IPS 4200 Series Sensors
– Es una solucion dedicada.
– El software Cisco IPS Sensor Version 5.1 incluye
capacidades mejoradas de detección y escalabilidad
mejorada, capacidad de recuperación, y características de
rendimiento.
• Cisco Catalyst 6500 Series Intrusion Detection System
Services Module (IDSM-2)
– Modulo con soporte para VLANs y capacidades de IPS
para Swicthes 6500
 CCNA SECURITY

Implementaciones basadas en Red (VI)

• La elección de un sensor varía en función de las necesidades de la organización. Influyen varios factores en
la selección de sensores IPS:
– Cantidad de tráfico de la red
– Topología de red
– Presupuesto de seguridad
– El personal de seguridad disponible para administrar IPS
 CCNA SECURITY

Implementaciones basadas en Red (y VII)

• Ventajas y desventajas de NIPS
– Una ventaja es que se pueden ver fácilmente los ataques que se están
produciendo en toda la red.
– No depende de SO de maquinas de la red.
– Una desventaja es el comportamiento ante tráfico cifrado (aunque hay modelos
que son capaces de examinar dicho tráfico).
– La mejor idea es complementar NIPS y HIPS.
CCNA SECURITY

Firmas IPS
 CCNA SECURITY

Características de las firmas IPS

• El tráfico malicioso muestra características distintas o "firmas".
• Una firma es un conjunto de reglas que un IDS y un IPS utilizan para detectar
actividades intrusivas típicas, tales como los ataques DoS.
• Las firmas identifican de manera unívoca Worms, virus, anomalías de protocolo, o
tráfico malicioso.
• Los sensores IPS buscan concordancia entre las firmas y los patrones de tráfico
anormales y como consecuencia responden con acciones predefinidas.
• Las firmas IPS son conceptualmente similares a los ficheros virus.dat de los
antivirus.
• Las firmas tienen tres características que las distinguen:
– Tipo
– Trigger (alarma)
– Acción.
 CCNA SECURITY

Características de las firmas IPS (y II)

• Las firmas se clasifican en atómicas y compuestas.
– Atómicas:
• Son simples, se componen de un único paquete, actividad o evento que se
examina y compara con el tráfico en cuyo caso se realiza la acción asociada.
• Como están asociadas a eventos únicos no requieren almacenar
información de estado (No hay que mantener información de una secuencia
de varios PKTs).
• Consumen muy poca memoria, el análisis se realiza rápidamente y
eficientemente.
• Un ejemplo es “Land Attack” que consiste en enviar TCP SYN falsificados
(Spoofing) que conducen a que la maquina atacada se responda
continuamente a si misma. Ante este ataque con una firma atómica ya se
detecta el ataque por lo que un IPS nos protege.
 CCNA SECURITY

Características de las firmas IPS (y III)

• Compuestas:
– Una firma compuesto también se denomina una firma con estado.
– Identifica una secuencia de operaciones distribuidas en varios hosts durante un
período de tiempo arbitrario. Requieren una secuencia de varios PKTs para
buscar la coincidencia con una firma de ataque.
– La cantidad de tiempo que las firmas deben mantener el estado se conoce como
horizonte de eventos (event horizon) que varia de unas firmas a otras.
– Para realizar una correcta configuración de la longitud del horizonte de eventos
hay que buscar un equilibrio entre consumo de recursos del sistema y ser
capaces de detectar un ataque que se produce durante un período prolongado
de tiempo.
• A medida que se identifican nuevas amenazas es necesario crear nuevas firmas y
cargarlas en el IPS. Para facilitar este proceso, todas las firmas se incluyen en un
archivo de firma y se carga en el IPS de forma regular.
• Por ejemplo, LAND Attack se identifica con la firma 1102.0.
 CCNA SECURITY

Características de las firmas IPS (y IV)

• Para que el escaneo de firmas sea más eficiente, Cisco IOS se basa en “signatures
micro-engines” (SME), que agrupan firmas comunes.
• En lugar de escanear las firmas una a una el software Cisco IOS escanea varias
firmas en función de las características del grupo.
• El router puede necesitar compilar la expresión regular en una firma. Una expresión
regular es una forma sistemática para especificar una búsqueda de un patrón en una
serie de bytes.
• Un SME busca actividad maliciosa en un protocolo específico. Cada motor define un
conjunto de parámetros legales con rangos permitidos o conjuntos de valores para
los protocolos y los campos de la inspecciona el motor.
• Cada SME extrae valores de los PKTs y le proporciona porciones de dichos PKTs a
la Maquina de Expresiones Regulares la cual es capaz de buscar varios patrones
al mismo tiempo.
 CCNA SECURITY

Características de las firmas IPS (y V)

• Las SME disponibles varían dependiendo de la plataforma, la versión de Cisco IOS,
y la versión del archivo de firma. Cisco IOS Release 12.4 (6) T define cinco micro-
motores:
– Atómica - Firmas que examinar paquetes simples, tales como ICMP y UDP.
– Servicio - Firmas que examinan los servicios que son atacados.
– String - Firmas que están están basadas en el uso de expresiones regulares
como patrones para detectar intrusiones.
– Multi-String – Soporta patrones flexibles y firmas Trend Labs.
– Otros - motor interno que maneja firmas diversas.
• Las SME se actualizan continuamente. Desde la version 12.4(11) las firmas siguen
la versión 5.x que es un formato muy mejorado que soporta cifrado de los
parámetros de la firma.
• La compilación de una expresión regular requiere más memoria que el
almacenamiento final de la expresión regular. El número de firmas y motores que se
puede verificar de manera adecuada depende de la memoria disponible. Por ello al
habilitar IPS es recomendable tener cuanta mas memoria mejor.
 CCNA SECURITY

Características de las firmas IPS (y VI)

• Por lo general Cisco actualiza los archivos de firmas cada dos semanas y si hay
alguna amenaza grave Cisco publica los archivos de firmas a las pocas horas de su
identificación.
• Cada actualización incluye nuevas firmas y todas las firmas en la versión anterior.
• Por ejemplo, el IOS de archivos de firmas-S361-CLI.pkg incluye todas las firmas en
el archivo de la IOS-S360-CLI.pkg además de las firmas creadas por las amenazas
descubiertas posteriormente.
• Las nuevas firmas se encuentran disponibles en Cisco.com y para entrar es
necesario tener una cuenta de acceso a CCO.
 CCNA SECURITY

Alarmas de las Firmas IPS

• Un elemento fundamental en una firma es la alarma de la firma tambien denominada “signature
trigger”
• El disparador de una firma de un sensor IPS podría ser cualquier cosa que puede ser un signo
fiable de una intrusión o violación de la política de seguridad.
• El IPS de red podría desencadenar una acción asociada a una firma si se detecta un paquete
con una carga útil (payload) que contiene una cadena específica y que va dirigido a un puerto
específico.
• El IDS de Cisco y los sensores IPS (Cisco IPS 4200 Series Sensors y Cisco Catalyst 6500 -
IDSM) puede utilizar cuatro tipos de factores desencadenantes de la firma que se pueden
aplicar a firmas atómicas y compuestas.
– Detección basada en patrones.
– Detección basada en anomalías
– Detección basada en Políticas
– Detección “honey-Pot”
• Otro mecanismo desencadenante común se llama decodificación de protocolo. En esta caso se
decodifica el PKT y se buscan patrones específicos en el campo de protocolo específico o bien
se busca algún otro aspecto incorrecto en el campo de protocolo.
 CCNA SECURITY

Alarmas de las Firmas IPS (y II)

• Detección basada en patrones
– Es el mecanismo más simple de disparo, ya que la búsqueda se hace en base a
un patrón predefinido.
– La firma basada en sensor IDS o IPS compara el tráfico de red con una base de
datos de ataques conocidos y activa una alarma o impide la comunicación si se
encuentra una coincidencia.
– Se puede detectar en un solo paquete (número atómico) o en una secuencia de
paquetes (compuesto)
– Esta técnica no es muy adecuada para hacer frente a protocolos y ataques que
no utilizan puertos bien definidos, tales como caballos de Troya y su tráfico
asociado, que puede mover a voluntad los puertos de trabajo.
– En la etapa inicial de la incorporación de patrón basado en IDS o IPS, antes de
que se afinen las firmas, puede haber muchos falsos positivos.
 CCNA SECURITY

Alarmas de las Firmas IPS (y II)

• Detección basada en anomalías.
– También se le denomina detección basada en perfiles.
– Lo más importante es determinar un “perfil normal” de funcionamiento de la red
para lo cual este perfil “normal” puede ser aprendido realizando una actividad de
vigilancia en la red o en aplicaciones específicas en la máquina durante un
período de tiempo.
– Después de definir la actividad normal, la firma ejecuta una acción si el exceso
de actividad se produce más allá de un umbral especificado que no está incluido
en el perfil normal.
– En lugar de tener que definir un gran número de firmas para varios escenarios
de ataque, el administrador simplemente define un perfil de la actividad normal.
Cualquier actividad que se aparte de este perfil es anormal y desencadena una
acción de la firma.
– En algunas ocasiones una desviación de la actividad normal puede ocurrir por el
tráfico de usuario válido, en cuyo caso el sistema genera un falso positivo.
– El administrador debe garantizar que la red está libre de tráfico de ataque
durante la fase de aprendizaje, para evitar perfiles normales incorrectos.
 CCNA SECURITY

Alarmas de las Firmas IPS (y III)

• Detección basada en políticas
– También conocida como detección basada en comportamiento
– Es similar al modelo basado en patrones, pero en lugar de tratar de definir
patrones específicos, el administrador define las conductas que son
sospechosas en función de análisis históricos.
– El uso de las conductas permite con una sola firma cubrir toda una clase de
actividades sin tener que especificar cada situación individual.
• Detección “Honey Pot” (Pote de Miel)
– En este caso se emplea un utiliza servidor simulado para atraer a los ataques.
– El propósito de este enfoque es distraer los ataques llevándolos de fuera de los
dispositivos reales de la de red.
– Los sistemas de "pote de miel rara vez se utilizan en entornos de producción. Se
suele emplear en empresas de Anti-virus y otros proveedores de seguridad e
investigación.
 CCNA SECURITY

Alarmas de las Firmas IPS (y IV)

• Ventajas de Cisco IOS IPS:
– Utiliza la infraestructura de enrutamiento subyacente para proporcionar una capa
adicional de seguridad.
– Debido a que Cisco IOS IPS es en línea y es compatible con una amplia gama
de plataformas de enrutamiento, los ataques se pueden mitigar de manera
efectiva a negar el tráfico peligroso, tanto dentro como fuera de la red.
– Cuando se utiliza en combinación con Cisco IDS de Cisco IOS Firewall, red
privada virtual (VPN), y Network Admission Control (NAC), Cisco IOS IPS ofrece
protección contra amenazas en todos los puntos de entrada a la red.
– Se apoya en herramientas de gestión fácil y eficaz, tales como Cisco SDM,
Cisco Security Monitoring, Analysis y Response System (MARS), y Cisco
Security Manager.
– Es compatible con cerca de 2.000 firmas de ataques de la base de datos misma
firma que está disponible para los aparatos de Cisco IPS. La cantidad varía
dependiendo de la cantidad de memoria en el router.
 CCNA SECURITY

Sintonización de Alarmas de Firmas IPS

• Disparando falsas alarmas:
– Los mecanismos de activación pueden generar alarmas que son falsos positivos o falsos
negativos.
– Una alarma de falso positivo se produce cuando el sistema genera una alarma de intrusión
después de procesar el tráfico de usuario normal que no debería haber dado lugar a la
alarma.
– Cuando el administrador analiza los falsos positivos pierde mucho tiempo que podría
dedicar a examinar la actividad intrusiva real en una red.
– Un falso negativo se produce cuando un sistema de intrusión no genera una alarma tras
procesar un tráfico de de ataque que el sistema de intrusión está configurado para detectar
pero que no detectó adecuadamente.
– Es muy importante evita que el sistema genere falsos negativos ya que en ese caso los
ataques reales no se detectan.
 CCNA SECURITY

Sintonización de Alarmas de Firmas IPS (y II)

• Las alarmas se disparan cuando se cumplen los parámetros específicos.
• La firmas está sintonizado a uno de los cuatro niveles siguientes en función de
la gravedad percibida de la firma:
– Alto - Los ataques buscan obtener acceso al sistema o causar un ataque
DoS y es muy probable una amenaza inmediata.
– Informacional – La actividad que desencadena la firma no se considera
una amenaza inmediata, pero la información proporcionada es útil.
– Baja – Se detecta una actividad de red anormal que puede ser
considerada como maliciosa, aunque no se considera como una
amenaza inmediata.
– Media – Se detecta una actividad de red anormal que puede ser
considerada como maliciosa, y se considera como una amenaza
inmediata.
• Los siguientes son algunos factores a considerar a la hora de aplicar las
alarmas que una firma utiliza:
– El nivel asignado a la firma determina el nivel de gravedad de la alarma.
– Cuando se sintoniza la alarma de la firma, el nivel de gravedad de la firma
debe ser el mismo que el nivel de gravedad de la alarma.
– Para minimizar los falsos positivos, el administrador debe estudiar los
patrones de tráfico de red existentes y luego sintonizar las firmas para
reconocer los patrones de intrusión, que son atípicos.
 CCNA SECURITY

Acciones de las Firmas IPS

• Cada vez que una firma detecta la actividad para la que está configurada la firma
desencadena una o más acciones.
• Las acciones se pueden realizar son:
– Generar una alerta.
– Registrar la actividad.
– Descartar o prevenir la actividad.
– Restablecer (Resetear) una conexión TCP.
– Bloquear una actividad futura.
– Autorizar la actividad.
 CCNA SECURITY

Acciones de las Firmas IPS (y II)

• Acción: Generar una alerta.
– Las alertas generadas son atómicas y de resumen.
– La comprensión de estos tipos de alertas es fundamental para ofrecer la protección más
eficaz de una red.
• Alertas Atómicas
– Son generadas por una instancia de una firma.
– Indica todas las ocurrencias de un ataque específico.
• Resumen de alertas
– Resumen de alertas
– En lugar de generar alertas para cada instancia de una firma, algunas soluciones de IPS
permiten al administrador generar sumarizaciones de alertas.
– Cuando se usa resumen de alertas, la primera instancia de la actividad intrusiva
generalmente desencadena una alerta atómica. Luego, otras instancias de la misma
actividad se cuentan hasta el final del intervalo generando un resumen de alertas.
– Algunas IPS también permiten resumen automático. En esta situación, si el número de
alertas atómicas supera un umbral configurado para un intervalo de tiempo, la firma
cambia automáticamente a se produce la generación de resumen de alertas.
 CCNA SECURITY

Acciones de las Firmas IPS (y III)

• Acción: Registrando la actividad
– En algunas ocasiones es importante realizar un registro de las acciones o los paquetes
que se consideran importantes de modo que puedan ser analizados más adelante con
más detalle.
– Al realizar un análisis detallado, un administrador puede identificar exactamente lo que
está ocurriendo y tomar una decisión en cuanto a si debe ser permitido o denegado en el
futuro ese tráfico.
– La información de registro normalmente se almacena en IPS en un archivo específico.
– Como la firma también genera una alerta, el administrador puede observar la alerta en la
consola de administración.
 CCNA SECURITY

Acciones de las Firmas IPS (y IV)

• Acción: Descartar o prevenir la actividad.
– Una de las medidas más poderosas para un IPS es descartar los paquetes o impedir que
ocurra una actividad.
– Como consecuencia de esta acción el dispositivo detiene un ataque antes de que tenga la
oportunidad de realizar actividades maliciosas.
– El motor de análisis determina los paquetes que deben ser reenviados y los paquetes que
deberían ser descartados.
– Es posible descartar todos los paquetes de una sesión concreta o incluso todos los
paquetes desde un host específico para un determinado periodo de tiempo.
 CCNA SECURITY

Acciones de las Firmas IPS (y V)

• Acción: Restablecimiento de una conexión TCP.
– La accion de TCP Reset puede utilizarse para cerrar conexiones TCP mediante la
generación de un paquete con el Flag TCP RST establecido.
– Muchos dispositivos IPS utilizar la acción de TCP Reset para poner fin abruptamente a
una conexión TCP que está realizando operaciones no deseadas.
– Se puede usar conjuntamente con la acción de negar los paquetes de una conexión.
• Acción: Bloqueando actividad futura.
– Un IPS puede actualizar las ACL en uno de los dispositivos de la red (Tipicamente un
router perimetral). La ACL se detiene el tráfico procedente de un atacante, sin necesidad
de consumir recursos del IPS para analizar el tráfico.
– Después de un período de tiempo configurado, el dispositivo IPS elimina la ACL. De este
modo un IPS puede detener el tráfico en varias ubicaciones a lo largo de la red,
independientemente de la ubicación del IPS.
• Acción: Permitiendo la actividad.
– Es la acción final de una firma.
– Política de negar todo y permitir solo lo que interesa.
 CCNA SECURITY

Gestionando y monitorizando IPS

• Sólo mediante la vigilancia de los acontecimientos de seguridad en una red se puede identificar
con precisión los ataques y violaciones de política de seguridad que se están produciendo.
• Cuando se planea una estrategia de monitorización hay varios aspectos a tener en cuenta:
• Método de gestión.
– Los sensores IPS pueden ser gestionados en conjunto o de forma centralizada.
– De este modo se reduce el tiempo de configuración y permite obtener una mayor
visibilidad de todos los eventos que ocurren en la red.
• Correlación de eventos
– Con correlación de eventos nos referimos al proceso de correlación de los ataques y
otros sucesos que están ocurriendo simultáneamente en diferentes puntos a través
de una red.
– Es importante emplear sellos temporales (sincronizados mediante NTP) para que los
eventos muestren el instante en el que ocurren de manera correcta.
• Personal de seguridad: Especificación de los operadores de seguridad.
• Plan de respuesta ante un incidente: El objetivo es que el sistema comprometido debe ser
restaurado al estado en que estaba antes del ataque.
 CCNA SECURITY

Gestionando y monitorizando IPS (y II)

– Se puede configurar IPS mediante CLI, pero es mucho
más facil realizarlo mediante interfaces gráficos como
por ejemplo:
• Cisco Router and Security Device Manager (SDM)
• Cisco IPS Device Manager (IDM)
– Hay tres soluciones de gestión centralizada:
• Cisco IDS Event Viewer (IEV)
• Cisco Security Manager (CSM)
• Cisco Security Monitoring, Analysis, and
Response System (MARS)
 CCNA SECURITY

Gestionando y monitorizando IPS (III)

• Las alarmas generadas se pueden almacenar en el sensor y visualizadas localmente o
mediante una aplicación de gestión centralizada como MARS se pueden recopilar todas las
alarmas de todos los agentes.
• Las alarmas se pueden enviar a servidores de Syslog en el formato correspondiente o bien se
puede emplear el formato Secure Device Event Exchange (SDEE) en cuyo casos e enviarian a
la consola de gestion centralizada correspondiente.
• Cisco SDM puede monitorizar mensajes de Syslog y mensajes SDEE entre ellos alarmas de
firmas.
• Es recomendable almacenar los paquetes de firma en un servidor FTP dedicado dentro de la
red de gestión, dicho servidor FTP debe estar configurado para permitir el acceso en modo
lectura de modo que los sensores periodicamente verifiquen si hay nuevas firmas.
 CCNA SECURITY

Implementando IPS
 CCNA SECURITY

Configurando IPS con CLI

• Para Cisco IOS IPS necesitamos una versión 12.3(8)T4 o posterior.
• La version Cisco IOS 2.4(10) y anteriores emplean el formato de firmas IPS 4.x y las firmas
venian incluidas dentro del propio IOS (built-in), las firmas son archivos en formato XML
(archivos SDF).
• El formato de firmas IPS 5.x aparece a partir de la versión Cisco IOS 2.4(11). A partir de esta
versión las firmas se alamacenan en un archivo separado y desaparecen las firmas “built-in”.
• Para configurar IOS IPS necesitamos realizar las siguientes tareas :
• Paso 1. Descargar los ficheros IOS IPS (de cisco.com)
– IOS-Sxxx-CLI.pkg – Paquete más reciente de la firma.
– realm-cisco.pub.key.txt - Clave de cifrado pública utilizada por el IOS IPS.
• Paso 2. Crear un directorio de donde almacenar la configuración de IOS IPS y los archivos
de firma en la memoria flash.
– Emplearemos el comando “mkdir directory-name”
– Otros comandos utiles son “rename current-name new-name” y “dir”
– La configuracion y las firmas tambien se pueden almacenar en una “llave USB”
 CCNA SECURITY

Configurando IPS con CLI (y II)

• Paso 3. Configura una IOS IPS crypto key.

– Esta clave se encuentra en el archivo realm.cisco.pub.key.txt que descargamos en el paso 1.
– La clave de cifrado verifica la firma digital para el archivo de firma maestro (sigdef-default.xml).
– El contenido del fichero es firmado por Cisco con una clave privada para garantizar su
autenticidad e integridad.
– Creamos un archivo de texto y dentro pegamos el contenido del archivo anterior para poder
generar la clave RSA.
– Si la clave está configurada incorrectamente empleamos los siguientes comandos para
reconfigurar la clave:
» “no crypto key pubkey-chain rsa” y “no named-key realm-cisco.pub signature“
– La clave una vez creada se ve mediante “show running-config”
 CCNA SECURITY

Configurando IPS con CLI (y III)

• Paso 4. Habilitar IOS IPS:

– Identificar el nombre de la regla PS rule y especificar la localización mediante los siguientes
comandos.
» Creamos la regla con “ip ips name [rule name] [optional ACL]“
» Solo se inspecciona el tráfico que coincida con la ACL
» Especificamos la ubicación del fichero de firmas con el comando “ip ips config location
flash:directory-name”. Antes de la versión IOS 12.4(11)T, se empleaba el comando “ip ips
sdf location”
– Habilitar la notificación de eventos SDEE y el logging.
» Para que funcione SDEE hay que habilitar el servidor WEB con “ip http server”
» Las notificaciones SDEE están deshabilitadas por defecto, se habilitan con “ip ips notify
sdee”.
» Para habilitar el logging empleamos el comando “ip ips notify log”
– Configurar la categoría de firmas
» Las firmas son agrupadas en categorias jerárquicas. Las categorias mas comunes son “all,
basic y advanced”
» Las firmas que IOS IPS emplea para escanear trafico pueden ser “retired” o “unretired”.
 CCNA SECURITY

Configurando IPS con CLI (y IV)

• Paso 4. Habilitar IOS IPS
– (Configurar la categoría de firmas)
» “Retiring” de una firma significa que IOS IPS no compila la firma en memoria para escanear.
» “Unretiring” una firma da instrucciones a IOS IPS para compilar la firma en memoria y
emplearla para escanear tráfico.
» Cuando IOS IPS es configurado por primera vez todas las firmas de la categoria “all” estan
“retired” y luego se van “unretired” las que se van necesitando.
» Para “retired” o “unretired” de una categoria ejecutamos el comando “ip ips signature-
category” a continuación empleamos el comando “category category-name” para cambiar de
categoría y por ultimo para habilitar “retired o unretired” empleamos los comandos “retired
true” o “retired false”
» No se debe “unretired” de todas las firmas “all” puesto que se sobrecarga la memoria.
– Aplicar una regla IPS en una direccion especifica
» Para lo cual emplearemos el comando “ip ips rule-name [in | out]”
 CCNA SECURITY

Configurando IPS con CLI (y IV)

• Paso 5. Cargar el paquete de firmas IOS IPS en el router.
– Para copiar el fichero descargado en el router podemos emplear el parametro “idconf”
– Copiar: “copy ftp://ftp_user:password@Server_IP_address/signature_package idconf”
– Pra verficar que el paquete esta compilado adecuadamente podemos emplear el comando “show
ip ips signature count”
 CCNA SECURITY

Configurando IPS con SDM

– Configurar> Prevención de intrusos para mostrar las opciones de IPS en Cisco SDM.
– Necesitaremos 256 MB RAM para configurar IOS IPS con SDM
– Si se genera un error cuando se selecciona el Asistente de IPS, hay que ampliar la memoria asignada a Java
en el equipo host. Cerramos Cisco SDM y abrimos el Panel de Control de Windows. Vamos a la opcion Java,
que abre el Panel de control de Java. Seleccionamos la pestaña de Java y en el botón Ver configuramos la
ejecución de Java Applet. En el ámbito de parametros de ejecución de Java introducimos exactamente
Xmx256m y Aceptamos.
– Las pestañas que aparecen al ejecutar SDM y acceder a la configuracion de IPS son:
• Crear IPS. Asistente para crear reglas de IPS
• Editar IPS: Edita reglas y las asigna a interfaces.
• Security Dashboard:Tabla de amenazas y firmas asociadas a las mismas.
• Migracion IPS: Migrar configuraciones de IPS desde versiones anteriores. Solo disponible a partir de
12.4(11)T. (Migra del formato 4.x a 5.x)
 CCNA SECURITY

Configurando IPS con SDM (y II)

– Pasos para realizar la configuracion:
• Paso 1. Elegir Configure > Intrusion Prevention > Create IPS.
• Paso 2. Click en Launch IPS Rule Wizard button.
• Paso 3: Leer la ventana de bienvenida al asistente de politicas IPS.
• Paso 4: A continuacion identificamos los interfaces a los que aplicaremos la regla y decidiremos si la
aplicaremos para trafico entrante y/o saliente.
– Los archivos de firma se almacenan en la memoria flash o incluso en un sistema remoto. Es posible
especificar multiples ubicaciones de los archivos de firma, de modo que si el router no puede ponerse en
contacto con la primera ubicación, se puede intentar ponerse en contacto con otros lugares hasta que
obtenga un archivo de firma.
• Paso 5: Especificamos la ubicación del archivo de firmas. El archivo de firmas suele ser un fichero con
el formato IOS-Snnn-CLI.pkg, donde nnn es el número de serie de la firma. Y descargamos dicho
archivo.
– El archivo de Cisco IOS IPS firma contiene información de firmas predeterminada. Cualquier cambio
realizado en esta configuración no se guarda en el archivo de firma, sino en un archivo especial denominado
archivo delta.
– El archivo delta se guarda en la memoria flash del router.
– Por razones de seguridad, el archivo delta debe ser firmado digitalmente mediante una clave que también se
obtiene de Cisco.com.
 CCNA SECURITY

Configurando IPS con SDM (y III)

– Paso 6: Obtenemos la clave pública de http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup. Abrimos el
fichero de texto de la clave y copiamos y pegamos la clave en el campo adecuado
 CCNA SECURITY

Configurando IPS con SDM (y IV)

– Paso 7: Elegimos la localizacion para almacenar el archivo de firmas (en formato XML y el archivo DELTA) y
elegimos el tipo y la categoria de firmas.
• La categoria “basic” es apropiada para routers con 128 MB RAM y “advanced” para mas de 128 MB
RAM
 CCNA SECURITY

Modificando firmas Cisco IOS IPS

– Se pueden “retirar” categorias de firmas completas como ya hemos visto o se puede hacer con firmas
individuales.
 CCNA SECURITY

Modificando firmas Cisco IOS IPS (y II)

– Podemos cambiar las acciones asociadas con una firma o un grupo de firmas.
– Para ello emplearemos el comando “event-action” que se ejecuta en el modo de “Category
Action” o en el “Modo de definición de firmas”
– Los parámetros del comando son.
• produce-alert
• deny-packet-inline
• reset-tcp-connection.
 CCNA SECURITY

Modificando firmas Cisco IOS IPS (y III)

– También es posible modificar firmas a través de SDM.
– Configure -> Intrusion Prevention -> Edit IPS -> Signatures -> All Categories
– Desde SDM es posible cargar firmas, añadirlas (desde cisco.com), importarlas, borrarlas,
habilitarlas y deshabilitarlas.
– A través de SDM es posible sintonizar (configurar) una firma, para ello se hace click con el
botón derecho y aparece un menú contextual en el que podemos elegir entre otras las
siguientes opciones (aunque depende de la firma en particular)
• Denegar Attacker Inline - Crea una ACL que deniega todo el tráfico desde la IP fuente del
ataque al sistema Cisco IOS IPS.
• Denegar Connection Inline – Descarta el paquete y el flujo de los futuros PKTs de esta
conexión TCP.
• Denegar Packet Inline – No transmite este paquete (solo inline).
• Generar una alerta- Genera un mensaje de alarma.
• Resetear una conexión TCP – Envia Restets TCP para terminar la conexión TCP.
 CCNA SECURITY

Modificando firmas Cisco IOS IPS (y IV)

– Los parámetros de una firma son los siguientes:
• Signature ID – Id numerico unico qyue distingue e identifica a cada firma.
• SubSignature ID – Id numerico que identifica a cada subfirma. Una subfirma identifica una
versión más granular de la firma.
• Alert Severity – Muestra la severidad de la alerta asociada a la firma.
• Sig Fidelity Rating – Muestra el nivel de confianza de detectar positivos verdaderos.
• Promiscuous Delta – Muestra el valor usado para determinar la seriedad de una alerta.
• Sig Description – Incluye el nombre de la firma, notas de alerta, comentarios y numeros de
version.
• Engine – Contiene informacion acerca de la maquina que usa las firmas y sus
caracteristicas.
• Event Counter – Muestra el contador de eventos e informacion del intervalo de alertas.
• Alert Frequency – Establece la frecuencia de una alerta.
• Status – Muestra informacion acerca de si la firma esta hablitada o retirada.
 CCNA SECURITY

Modificando firmas Cisco IOS IPS (y V)

 CCNA SECURITY

Verificando y monitorizando IPS

 CCNA SECURITY

Verificando Cisco IOS IPS

– Los comandos mas empleados para
verificar el correcto funcionamiento de IOS
IPS son:
• show ip ips all
• show ip ips configuration
• show ip ips interfaces
• show ip ips signatures
• show ip ips statistics
• clear ip ips configuration: Deshabilita
IPS, borra las entradas de
configuración y libera los recursos.
 CCNA SECURITY

Monitoreando Cisco IOS IPS

– A partir de la versión Cisco IOS Release 12.3(11)T, hay dos metodos para notificar alertas
de intrusión:
• SDM Security Device Event Exchange (SDEE)
• Cisco IOS logging mediante syslog
– SDEE es el método preferido, emplea HTTP y XML
– También puede operar bajo HTTPS
– SDEE Se habilita mediante el comando: “ip ips notify sdee”
– El buffer almacena 200 eventos por defecto (el maximo es 1000), para variar el tamaño del
buffer empleamos el comando “ip sdee events events_number”
– Para borrar el buffer de eventos tenemos el comando. “clear ip ips sdee {events |
suscription}”
– El comando “ip ips notify” sustituye al viejo comando “ip audit notify”
– Para acceder a la configuración mediante SDM vamos a monitor -> Logging -> syslog o
SDEE message LOG
 CCNA SECURITY

Fin de la Presentación del Capítulo 5