IPS

Question 1

¿Qué es un IPS? (4)

Answer 1

1. Evolución del IDS (sólo detecta)
2. Bloquea ataques a la red (detecta + bloquea)
3. Usa diferentes técnicas para:
   
   1. Reconocer e identificar protocolos
   2. Analizar el tráfico
4. Ninguna de las técnicas del IPS puede proveer de seguridad aceptable por si sola

Question 2

Describe las técnicas de reconocimiento e identificación de protocolos (5)

Answer 2

1. Antes de iniciar el análisis de protocolos, el tráfico debe ser precisamente identificado

Uso de técnicas como:

1. Port Assignment
   
   1. Asume el protocolo basado en el puerto fuente o destino
2. Heuristics
   
   1. Usa algoritmos para identificar tráfico
   2. Reconoce tráfico sin importar el puerto usado
3. Port Following
   
   1. Monitorea las sesiones abiertas para conexiones adicionales
4. Protocol Tunneling Recognition
   
   1. Recnoce protocolos embebidos en otros protocolos de aplicación

Question 3

Descripción general de las técnicas de tráfico de análisis

Answer 3

1. Toma lugar después de que el tráfico ha sido correctamente identificado
2. Posteriormente, análisis que van más profundo que la identificación, ayudan a identificar el intento de tráfico y así bloquear el malicioso
3. Como en el recnocimiento de protocolos, ninguna de esta técnicas funciona bien por sí sola

Question 4

¿Cuáles son las técnicas de análisis de tráfico? (6)

Answer 4

1. Protocol analysis
   
   1. Compara el comportamiento del tráfico en base al comportamiento aceptado para el protocolo
2. RFC Compliance Checking
   
   1. Compara el comportamiento en base al estandar RFC
3. TCP Reassembly
   
   1. Defragmentar paquetes que fueron fragmentados en la ruta
4. Flow Assembly
   
   1. Llevar registro de la sesión entera, no sólo de los paquetes individuales
5. Statistical Treshold Analysis
   
   1. Busca comportamiento anomalo basado en un momento de inicio
6. Pattern Matching
   
   1. Parear paquetes a expresiones regulares
      2.

Question 5

Descubre la seguridad en la red proveida por el IPS (7)

Answer 5

1. Monitorea e identifica “unencrypted personally identifiable information (PII)” y otro tipo de información confidencial
2. Explora el flujo de datospara determinar riesgos potenciales usando 16 diferentes signatures
3. Soporta la búsqueda compuesta de data-set, inspecciones de string e inspecciones pasivas bidireccionales
4. Inspecciona contenido en documentos compuestos
5. complemento para la estrategia de seguridad de los datos
6. Utiliza habilidades robustas de inspección del Protocol Analysis Module (PAM)
7. Utiliza la ya existente y la nueva tecnología de Proventia IBM IPS

Question 6

IDS ¿Cuál es la diferencia?

Answer 6

1. La protección ante exploits se da vía “Pattern-Matching”
   
   1. Reactive:
      
      1. Se da demasiado tarde
      2. Las variantes rompen con actualizaciones previas
      3. Típico de antivirus y mucho IDS/IPS vendors
2. La protrección ante vulnerabilidades se da vía Protocol Analysis
   
   1. Proactive
      
      1. Detiene la amenza en la fuente
      2. Requiere de R&D avanzados

Question 7

Protocol Anamlysis Module (PAM)

¿Qué es?

Answer 7

1. Técnica que interpreta la actividad en la red y detiene ataques
2. Forma el núcleo de la protección de intrusión en la red
3. Identifica y analiza protocolos de red y formatos de datos asociados
4. Los eventos encontrados como interesantes son catañogados como:
   
   1. Ataques
   2. Auditorías
   3. Status

Question 8

Características de IPS para proteger la red (12)

Answer 8

1. X-Force Default Blocking featuring Virtual Patch Protection
2. Actualizaciones de contenido de seguridad automáticas
3. Tres modos de operación:
   
   1. Inline Protection
   2. Inline simulation
   3. Passive monitoring
4. Bloqueo Dinámico
5. Reglas de FireWall
6. Respuestas a bloques y cuarentena
7. Soporte a SNMP
8. Permite a los recursos de TI concentrarse en otros proyectos críticos
9. Habilidad de detectar ataques basado en vulnerabilidades (not just the use of signatures)
10. Respuesta a ataques de día cero y amenazas emergentes
11. Provee escalabilidad
12. Alto rendimiento a baja latencia (no compromete el rendimiento)

Question 9

Describe el modo de operación “Inline Protection” (3)

Answer 9

1. Provee protección activa de intrusiones, bloqueado trafico malicioso o indeseado
2. Monitore y bloquea ataques usando:
   
   1. Pam:
      
      1. Identificación y reconocimiento de protocolo
      2. Análisis de tráfico
   2. Reglas de Firewall
   3. Cuarentena en respuesta
   4. Bloqueo
3. Todas las configuraciones son aplicadas

Question 10

Describe el modo de operación “Inline Simulation” (3)

Answer 10

1. Monitorea el tráfico y da respuestas pasivas como alertas a eventos que habría bloqueado
2. Los bloqueos y la cuarentena estan habilitados, pero los paquete sospechosos son enviados a log en vez de desechados o bloqueados
3. Se usa para:
   
   1. Modificar las políticas en ambiente de producción sin compromete el tráfico de la red
   2. Verificar que el dispositivo no bloquea tráfico legítimo

Question 11

Describe el modo de operación “Passive Monitoring” (4)

Answer 11

1. Similar a un IDS
   
   1. No hace monitoreo “inline”
2. Block es la única respuesta que modifica la red
   
   1. Si está habilitado, el dispositivo bloquea las conexiones TCP
3. Provee:
   
   1. Detección precisa de intrusión
   2. Soporta tráfico de puertos TAP, SPAN o HUB
4. Usar para:
   
   1. Mostrar el tráfico
   2. Modificar el dispositivo para consiguientes monitoreos inline

Question 12

¿Cómo cambiar de modo a los adaptadores?

Answer 12

De pasivo a Inline y Viceversa, cambiar:

1. Conexiones de red del dispositivo
2. El adaptador de modo usando SiteProtector o Proventia Manager

• Passive monitoring requiere de conexión a un tap, hub o puerto de span
• Inline requiere conexiones inline

Question 13

Describe el modo Internal Bypass Operation

Answer 13

1. Todos los dispositivos Proventia GX Network IPS poseen habilidades de fail-open y fail-close

Si hay una pérdida de poder, el modo fail-open permitirá el paso de tráfico

Question 14

Diferencia entre Internal Bypass Unit y External Bypass Unit

Answer 14

Ambas funcionan igual, pero la internal forma parte del los dispositivos 4xxx.

Dispositivos 5xxx y

Question 15

¿Qué se requiere para conectar un IPS? (4)

Answer 15

1. Cables de luz
2. Ethernet para el management port
3. Ethernet para puertos protegidos
4. Cable serial para la emulación (opcional)

Question 16

¿Qué tipo de cables para las conexiones de un IPS?

Answer 16

• Use crossover cables between the appliance and:
  
  • Servers
  • Workstations
  • Routers
  • Firewalls
• Use a straight cable between the appliance and:
  
  • Switches
  • Hubs

Question 17

¿Qué es la alta disponibilidad?

Answer 17

1. Habilidad de un recurso de soportar una falla de hardware o software
2. Se logra con la duplicación del recurso que remueva puntos únicos de falla
3. Se mide en base a la confiabilidad del recurso

Question 18

¿Cómo es la Alta Disponibilidad (HA) en un IPS?

Answer 18

1. Direcciona las operaciones inline a HA network environments
2. Usa dos puertos inline y dos puertos espejo
3. Permite a un IPS de 8 puertos soportar dos segmentos de red HA

Question 19

¿Qué environments hay para HA en un IPS?

Answer 19

1. Active/Active: si uno de los IPS falla, el otro cumple el trabajo de ambos
2. Active/Passive: Si falla el modo activo, el otro IPS tomará el trabajo y entrara a modo activo

Question 20

Cables para fail-closed y fail-open en HA

Answer 20

Fail-Closed:

1. No importa el cable, si entra en fail-close, puede usar crossover o straight
2. Por default los IPS de Proventia Gx5xxx vienen fail-closed

Fail-Open:

1. Se requiere actualizar la NIC usando SiteProtectos o al administrador de Proventia
2. Usar los cable correctos de red para los puertos inline
3. Por default los IPS de Proventia Gx4xxx vienen fail-open