¿ TU SEGURIDAD AL 100%? – PARTE3 – B
Hola de nuevo.
En este post mostraremos el IPS sophos, verificaremos algunas de sus firmas de seguridad y como configurarlo.
Antes de comenzar con este post, me gustaría mencionar que las firmas de seguridad en el IPS del SOPHOS ,no tienen las mismas características de protección del UTM Fortigate, es decir son mas reducidas en aspectos especificos como Web o BD, así que en las pruebas posteriores habrá que tomar en cuenta que la respuesta del IPS SOPHOS, podría no ser tan reactiva como en el caso anterior, y de esto no hay que sorprendernos, ya que la principal función de un FIREWALL es asegurar, siguiendo el modelo OSI, el ingreso de trafico en CAPA3 , CAPA4 y en la actualidad hasta CAPA5, mas no realizar verificaciones a un nivel tan alto como CAPA7, ya que la cantidad de vulnerabilidades que se puede tener a este nivel es inmensa y desproporcionada, y como comente necesitamos de equipos mas evolucionados y/o específicos para tener una mejor linea de defensa ante un posible ataque, sumado a la labor dentro del marco de las buenas practicas a nivel de código y humanas.
Bueno comenzamos:
- En la sección de network protetion / intruction prevention
2. En sección Global
Verificamos por defecto que esta protegiendo y que firmas se encuentran activas, acá tenemos 6 secciones muy importantes en la primera Global, encontramos en que lado y que redes,host o dominios se encuentran protegidas actualmente son protegidas. En la parte inferior policy podemos verificar las 2 políticas:
Drop silenty, o terminate conection, cada una cumple un papel distinto mientras la primer cuando detecta un ataque la dropea en un determinado tiempo, la segunda corta la conexión, lo dejaremos por defecto, Drop silenty
3. En attack patterns
Podemos verificar las firmas, políticas por cada firma, log, duración de drop en caso se haya producción un ataque y también un extra warning.
Así mismo se encuentra divido en divisiones para protección de host, servidores, base de datos, servidores web, client software, servicios mail malware etc
Como podemos verificar la cantidad de firmas relacionadas por ejemplo a ataques web es ínfima, así que el nombre de «UTM» una vez mas queda de lado cuando se trata de seguridad, sin embargo posee una gran variedad de protección a nivel de client (buffer overflow, malware etc)
En este punto también quiero acotar, que la publicación de las firmas de sophos detalladas no he tenido suerte en encontrarlas, lo que solo me da entender que sus firmas se basan en comportamientos.
4. Anti DOS
Bueno como la mayoría de UTM consta de una protección basada en detecciones de ataques por comportamiento DOS.
TCP flood / UDP flood / ICMP flood.
5. Exeptions
En esta sección podemos añadir una exepcion, en función tanto de las firmas como de las redes, servicios o destinos.
Porque añadir esta sección, existe circunstancias en que el comportamiento pro-activo del IPS puede originar problemas cuando los usuarios intentan consumir ciertos servicios, el IPS los puede detectar como comportamiento anómalo y banearlos.
6. Advanced
En esta sección podemos amplificar las firmas pero principalmente relacionadas a virus y también podemos «tunear» el ips a ciertos servidores que deseamos que estén protegidos.
Bueno luego de entender los criterios del ips, ya podemos poner en despliegue el mismo,
En la próxima y ultima sección, pondremos a prueba el IPS.
Este sera nuestro escenario:
No se olviden las anteriores secciones:
Juan Oliva 