Ccna
Páginas: 11 (2686 palabras)
Publicado: 30 de noviembre de 2010
2010
Capítulo 5 (CCNA)
ESTEBAN CRUZ SANDRA E.
ITURBIDE CALIXTO LOURDES
MARTÍNEZ ALDANA EVELYN
TORRES ROMERO ALBERTO
5.2.1 Características de las firmas IPS
Tipos de firma
Los tipos de firma generalmente se categorizan como atómicos o compuestos.
Atómicos
La firma atómica es la forma más simple. Consiste en un solo paquete, actividad o evento examinado para determinar si coincide conuna forma configurada. Si lo hace, se dispara una alarma y se realiza una acción de firma. Como estas firmas están asociadas
a un solo evento, no requieren que un sistema de intrusiones mantenga información de estado.
Una firma es un grupo de reglas que los IDS e IPS usan para detectar actividad intrusiva típica, como ataques de DoS. Estas firmas identifican puntualmente gusanos, virus,anomalías en los protocolos o tráfico malicioso específico. Las firmas IPS son conceptualmente similares al archivo virus.dat usado por escáners de virus.
Un sensor IDS o IPS examina el flujo de datos usando varias firmas diferentes.
Las firmas tienen tres atributos distintivos:
Tipo
Disparador (alarma)
Acción
Tipos de firma
Los tipos de firma generalmente se categorizan como atómicos ocompuestos.
Atómicos
La firma atómica es la forma más simple. Consiste en un solo paquete, actividad o evento examinado para determinar si coincide con una forma configurada. Si lo hace, se dispara una alarma y se realiza una acción de firma.
El estado se refiere a las situaciones en las que se requieren múltiples paquetes de información que no se reciben necesariamente al mismo tiempo.
Con lasfirmas atómicas, toda la inspección puede ser lograda en una operación atómica que no requiere conocimiento de las actividades pasadas o futuras.
La detección de firmas atómicas consume un mínimo de recursos (como la memoria) en el dispositivo IPS o IDS. Estas firmas son fáciles de identificar y entender gracias a que se las compara con un evento o paquete específico. El análisis de tráfico deestas firmas atómicas generalmente puede ser llevado a cabo muy rápida y eficientemente.
Los IDS son particularmente vulnerables a los ataques atómicos, porque hasta que encuentran el ataque, los paquetes únicos maliciosos se permiten dentro de la red. Los IPS, sin embargo, evitan la entrada de estos paquetes a la red.
Compuestos
Las firmas compuestas también se conocen como firmas con estados(stateful signatures). Este tipo de firma identifica una secuencia de operaciones distribuidas en múltiples hosts durante un período de tiempo arbitrario. A diferencia de las firmas atómicas, las firmas compuestas, al ser firmas con estados, generalmente requieren varios datos para asociar una firma de ataque, por lo que el dispositivo IPS debe mantener información de estados.
El IPS no puedemantener la información de estados por un período indeterminado sin eventualmente quedarse sin recursos. Por lo tanto, un IPS usa un horizonte de eventos configurado para determinar cuánto tiempo debe buscar una firma de ataque específica cuando se detecta un componente inicial de firma.
El archivo de firma contiene un paquete de firmas de red que actúan como actualización a la base de datos defirmas residente en el producto Cisco con funciones IPS o IDS.
Esta base de datos de firmas es usada por la solución IPS o IDS para comparar el tráfico de red y los patrones de datos dentro de la biblioteca del archivo de firmas. El IPS o IDS
Para hacer el escaneo de firmas más eficiente, el software IOS de Cisco se apoya en los
micro-motores de firmas (signature micro-engines - SME), quecategorizan las firmas comunes en grupos. El software IOS de Cisco puede entonces escanear en búsqueda de múltiples firmas basándose en las características del grupo, en lugar de una por vez.
5.2.3 Alarmas de firma IPS
Alarma de firma
El corazón de toda firma IPS es la alarma de firma, también conocida como disparador de firma. Considere un sistema de seguridad hogareño. El mecanismo...
Capítulo 5 (CCNA)
ESTEBAN CRUZ SANDRA E.
ITURBIDE CALIXTO LOURDES
MARTÍNEZ ALDANA EVELYN
TORRES ROMERO ALBERTO
5.2.1 Características de las firmas IPS
Tipos de firma
Los tipos de firma generalmente se categorizan como atómicos o compuestos.
Atómicos
La firma atómica es la forma más simple. Consiste en un solo paquete, actividad o evento examinado para determinar si coincide conuna forma configurada. Si lo hace, se dispara una alarma y se realiza una acción de firma. Como estas firmas están asociadas
a un solo evento, no requieren que un sistema de intrusiones mantenga información de estado.
Una firma es un grupo de reglas que los IDS e IPS usan para detectar actividad intrusiva típica, como ataques de DoS. Estas firmas identifican puntualmente gusanos, virus,anomalías en los protocolos o tráfico malicioso específico. Las firmas IPS son conceptualmente similares al archivo virus.dat usado por escáners de virus.
Un sensor IDS o IPS examina el flujo de datos usando varias firmas diferentes.
Las firmas tienen tres atributos distintivos:
Tipo
Disparador (alarma)
Acción
Tipos de firma
Los tipos de firma generalmente se categorizan como atómicos ocompuestos.
Atómicos
La firma atómica es la forma más simple. Consiste en un solo paquete, actividad o evento examinado para determinar si coincide con una forma configurada. Si lo hace, se dispara una alarma y se realiza una acción de firma.
El estado se refiere a las situaciones en las que se requieren múltiples paquetes de información que no se reciben necesariamente al mismo tiempo.
Con lasfirmas atómicas, toda la inspección puede ser lograda en una operación atómica que no requiere conocimiento de las actividades pasadas o futuras.
La detección de firmas atómicas consume un mínimo de recursos (como la memoria) en el dispositivo IPS o IDS. Estas firmas son fáciles de identificar y entender gracias a que se las compara con un evento o paquete específico. El análisis de tráfico deestas firmas atómicas generalmente puede ser llevado a cabo muy rápida y eficientemente.
Los IDS son particularmente vulnerables a los ataques atómicos, porque hasta que encuentran el ataque, los paquetes únicos maliciosos se permiten dentro de la red. Los IPS, sin embargo, evitan la entrada de estos paquetes a la red.
Compuestos
Las firmas compuestas también se conocen como firmas con estados(stateful signatures). Este tipo de firma identifica una secuencia de operaciones distribuidas en múltiples hosts durante un período de tiempo arbitrario. A diferencia de las firmas atómicas, las firmas compuestas, al ser firmas con estados, generalmente requieren varios datos para asociar una firma de ataque, por lo que el dispositivo IPS debe mantener información de estados.
El IPS no puedemantener la información de estados por un período indeterminado sin eventualmente quedarse sin recursos. Por lo tanto, un IPS usa un horizonte de eventos configurado para determinar cuánto tiempo debe buscar una firma de ataque específica cuando se detecta un componente inicial de firma.
El archivo de firma contiene un paquete de firmas de red que actúan como actualización a la base de datos defirmas residente en el producto Cisco con funciones IPS o IDS.
Esta base de datos de firmas es usada por la solución IPS o IDS para comparar el tráfico de red y los patrones de datos dentro de la biblioteca del archivo de firmas. El IPS o IDS
Para hacer el escaneo de firmas más eficiente, el software IOS de Cisco se apoya en los
micro-motores de firmas (signature micro-engines - SME), quecategorizan las firmas comunes en grupos. El software IOS de Cisco puede entonces escanear en búsqueda de múltiples firmas basándose en las características del grupo, en lugar de una por vez.
5.2.3 Alarmas de firma IPS
Alarma de firma
El corazón de toda firma IPS es la alarma de firma, también conocida como disparador de firma. Considere un sistema de seguridad hogareño. El mecanismo...
Leer documento completo
Regístrate para leer el documento completo.