Las firmas IPS identifican características distintivas del tráfico malicioso y se usan para detectar ataques conocidos. Las firmas tienen atributos como tipo, disparador y acción. A medida que se identifican nuevas amenazas, deben crearse nuevas firmas y distribuirse a los sensores IPS a través de actualizaciones periódicas para mantener la protección.
2. • El tráfico malicioso tiene características, o "firmas", distintivas.
Una firma es un grupo de reglas que los IDS e IPS usan para
detectar actividad intrusiva típica, como ataques de DoS.
• Estas firmas identifican puntualmente gusanos, virus,
anomalías en los protocolos o tráfico malicioso específico.
• Las firmas IPS son conceptualmente similares al archivo
virus.dat usado por escáneres de virus.
• Cuando los sensores escanean los paquetes de la red, usan las
firmas para detectar ataques conocidos y responder con
acciones predefinidas como asentar el evento en el registro o
enviar una alarma al software de administración del IDS o IPS
• Un paquete malicioso tiene un tipo de actividad y una firma
específicas.
3. • Las firmas tienen tres atributos distintivos:
• Tipo
• Atómicos (ataque LAND)
• Compuestos. Horizonte de eventos
• Disparador (alarma)
• Acción
4. • A medida que se identifican nuevas amenazas, deben crearse
nuevas firmas y subirlas a un IPS
• El archivo de firma contiene un paquete de firmas de red que
actúan como actualización
5. Alarmas de firma IPS.
Disparador de firma
• Tipos de disparadores de firma:
• Detección basada en patrones
• Detección basada en anomalías
• Detección basada en políticas
• Detección basada en honeypots
• Decodificación de protocolos
6.
7.
8. Ajuste de alarmas de firma IPS
• Falsas alarmas
• Falsos positivos
• Falsos negativos
9. Niveles de firma
• Alto - Se detectan los ataques usados para ganar acceso o
causar un ataque de DoS y una amenaza inmediata es
extremadamente probable.
• Bajo - La actividad de red anormal que puede ser considerada
maliciosa es detectada, pero una amenaza inmediata es poco
probable.
• Informativo - La actividad que dispara la firma no es
considerada una amenaza inmediata, pero la información
provista es útil.
• Medio - Se detecta la actividad de red anormal que puede ser
considerada maliciosa y una amenaza inmediata es probable.
10. Acciones de firma IPS
• Generar una alerta.
• Atómicas
• Resumidas
• Ingresar la actividad en el registro.
• Descartar o detener la actividad.
• Reiniciar una conexión TCP.
• Bloquear actividad futura.
• Permitir la actividad
12. Buenas prácticas
• La necesidad de actualizar los sensores con los últimos
paquetes de firmas debe equilibrarse con el tiempo de
inactividad momentáneo durante el cual la red será vulnerable
a ataques.
• Actualice los paquetes de firmas automáticamente en lugar de
hacerlo manualmente en cada sensor
• Cuando se encuentran disponibles nuevos paquetes de firmas,
descárguelos a un servidor seguro dentro de la red de
administración.
• Use otro IPS para proteger este servidor de ataques externos.
13. • Ubique los paquetes de firmas en un servidor FTP dedicado dentro
de la red de administración.
• Si no se encuentra disponible una actualización de firmas, puede
crearse una firma personalizada para detectar y mitigar un ataque
específico.
• Configure el servidor FTP para permitir acceso de solo lectura a los
archivos dentro del directorio en el que se encuentran los paquetes
de firmas.
• Configure los sensores para buscar nuevos paquetes de firmas en el
servidor FTP periódicamente, como una vez por semana o en un
cierto día.
• Escalone el momento del día en que cada sensor busca nuevos
paquetes de firmas en el servidor FTP, quizás con una ventana de
cambio predeterminada. Esto evita que múltiples sensores abrumen
el servidor FTP pidiendo el mismo archivo al mismo tiempo.
• Mantenga sincronizados los niveles de firma soportados en la
consola de administración con los paquetes de firmas de los
sensores.