Y seguimos en ese mundo

Publicado por neo bahamut en el blog Neo's Clan o.o. Vistas: 148

Me he pasado ya varias semanas estudiando para una certificación llamada "642-627 IPS" para finalizar la certificación CCNP Security (Cisco Certified Network Profesional Security). Este examen, me parece el mas complicado, todo debido a los conceptos teóricos que encierra el mundo de IPS (Intrusion Prevention System).

En términos generales, un IPS es un dispositivo y/o Software que se encarga de monitorear constantemente, TODO el tráfico de tú red y detectar posibles ataques, aparte de generar logs, los puede ¡bloquear!...¿Acaso no es maravilloso?, simplemente afinando ciertos detalles, se puede lograr una fuerte "barrera" para evitar ataques de terceros.

Lo maravilloso aquí es que todo se puede simular virtualmente. Tal como lo hice con el Firewall en la anterior entrada, un IPS también se puede simular (en su versión 6). En este caso, instalé dos equipos, uno será el atacante (la nube izquierda) y el otro es un servidor Windows Server 2008 (la nube derecha). La topología es la siguiente:

[​IMG]
La nube inferior, es la administración del IPS.

Ahora, si realizó un ataque básico desde el equipo del lado izquierdo, al servidor, el IPS DEBERÁ detectarlo y guardarlo en el log...miremos:

[​IMG]

Efectivamente, lo tomó como un escaneo a una máquina Windows, pero ¡Hey!, me trajo la información de que es un Windows Server 2008 R2 Standard...mucha información para el atacante (hasta el Service pack u.u). Ahora, hagamos una modificación para que no solo me alerte, sino que también me bloqueé ese tráfico (no quiero que los atacantes sepan que tengo en mi red):

[​IMG]

¡Ahora si!, ya en la ventana de la izquierda, no me muestra la información del servidor (después del último "run"), si no que, el IPS, aparte de detectar el tráfico como un ataque, ¡está bloqueando este tipo de ataque!

¿Acaso esto no es maravilloso?
  • Poem
  • neo bahamut
  • Poem
  • neo bahamut
  • neo bahamut
  • Kentaurus
  • neo bahamut
Necesitas tener sesión iniciada para dejar un comentario