Estado del Arte de IDS Ing. Jose Daniel Britos UNC-DUI-LaRyC dbritos@ieee.org
Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores
Vulnerabilidades Catalogadas por el CERT 9000 8000 7000 6000 5000 4000 Column 1 3000 2000 1000 0 Año 2001 Año 2002 Año 2003 Año 2004 Año 2005 Año 2006 Año 2007
Incidentes Amenazas Ataques
Ataques Información de Ataques http://cve.mitre.org http://www.mitre.org/work/cybersecurity.html http://www.cert.org http://nvd.nist.gov/
Ataques Activos Pasivos
Ataques Pasivos Descarga de contenidos del mensaje: Escucha de una conversación telefónica. Lectura de un mensaje de correo electrónico. Información confidencial capturada por un oponente. Análisis de tráfico: Frecuencia de emisión de los mensajes Longitud del mensaje.
Ataques Activos Denegación de Servicio DoS ( Enmascarado ) Masquerade ( Reinterpretar ) Replay Modificación de contenidos del mensaje
Ataques Causa Efecto
Causas Objetivos Propagación Origen Acción Vulnerabilidad Activos que vulnera
Objetivos Espionaje Delitos profesionales. Terrorismo Rivalidades Coorporativas Cracking Vandalismo Exibicionismo
Propagación Humana Autonoma
Origen del ataque Local Remoto de una sola fuente Remoto de multiples fuentes
Acciones Pruebas Escaneos Inundaciones de una Fuente Inundaciones Multiples Fuentes Autenticación Bypass Spoof Leer Copiar Terminar Crear o Ejecutar un proceso Modificar Borrar Redirigir
Vulnerabilidad Configuración Default Administradores flexibles Creación de huecos de seguridad. Relaciones de confianza Especificación de diseño Implementación
Activos Red Sistema Proceso Datos Usuario
Ataques Causa Efecto
Efecto del estado Disponibilidad Integridad Confidencialidad
Efecto de perfomance Presición Exactitud
Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores
IDS- IPS Clasificación NIDS HIDS
NIDS Centralizados Distribuidos
NIDS Basado en Firmas Basado en Detector de anomalias
NIDS Componentes de un IDS Sensores Analizadores Interfases de usuario Además el IPS cuenta con un Elemento de repuesta
NIDS Posibles repuestas de un IDS Intrusión No Intrusión Alarma IDS Verdadero Positivo Falso Positivo No Alarma Falso Negativo Verdadero Negativo
NIDS NIDS
NIDS NIDS
NIDS
NIDS
NIDS
NIDS Costo U$S 50.000 por giga byte
Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores
Metodos de Detección Basado en Firmas Basado en Detección de anomalias.
Basado en Firmas Son simples: comparan el trá fico de la red con firmas conocidas de ataques. Si una porcióń del trá fico coincide con un ataque conocido, el IDS genera una alarma. Necesitan un bajo mantenimiento: Solo se necesita mantener una base de datos de firmas actualizadas. Tienden a registrar un porcentaje muy bajo de falsos positivos: Tienen una limitacióń importante: no son efectivos contra nuevos ataques y variaciones de los ataques conocidos.
Basado en Firmas ( DPI ) Inspección Profunda de Paquetes Enfoque basado en Autóḿatas deterministic finite automaton DFA non deterministic finite automaton NFA Aproximaciones basadas en heuristica Aproximacióń basada en Filtrado
Enfoque basado en Autóḿatas Reduccióń de las tablas de transicióń extensas Reducción de transicióńes Tablas de Hash Agrupacion y reescritura Expresiones regulares en Hardware FPGA
Basado en automatas Pro: Tiempo de ejecucion determinista y lineal, soporte directo de expresiones regulares Contra: Puede consumir mucha memoria si no se utiliza una estructura de datos compacta Reescribe y agrupa espresiones regulares Reduce el numero de transiciones Espresiones regulares en hardware FPGA ( Aho-Corasick ) Sigue DFA que acepta patrones ( Snort Reduce tabla de transiciones escasas (Bitmap-AC, BNFA in ( automata Reduce salidas desde los estados (split ( JACK-NFA ) Sigue multiples caracteres al mismo tiempo en un NFA
Aproximaciones basadas en heuristica Pros: Puede saltear caracteres que no apareen, tiempo de ejecucion por debajo del promedio. Cons: Puede sufrir de ataques algoritmicos en el peor de los casos. Consigue distancias de desplazamiento usando automatas basados en heuristica que reconoce prefijos inversos de espresiones ( RegularBNDM ) regulares Consigue distancias de desplazamiento desde bloques fijos en ( Wu-Manber ) sufijos de la ventana de busqueda Consigue distancias de desplazamiento desde el mas largo sufijo ( BG ) de la ventana de busqueda
Aproximacióń basada en Filtrado Filtrado de texto Busquedas en paralelo
Aproximacióń basada en Filtrado Pros: Eficiente en el uso de memoria en vectores de bits Contra: Puede sufrir de ataques algoritmicos en el peor de los casos. ( MultiFactRE ) Extrae subcadenas desde espresiones regulares Filtra con un conjunto de filtros de Bloom para diferentes longitudes de patrones. ( Hash-AV ) Filtra con un conjunto de funciones de hash secuenciales
Metodos de Detección Basado en Firmas Basado en Detección de anomalias.
Basado en Detección de anomalias Tienden a ser complejos: determinar que constituye un funcionamiento normal del trá fico de una red es una tarea para nada trivial. Necesitan mantenimiento: normalmente requieren un largo periodo de inicializacióń o entrenamiento. La deteccióń de anomalías suele tener muchos falsos positivos.
Basado en Detección de anomalias Analisis Estadístico Redes neuronales Agentes inteligentes Autonomos ( Wavelets ) Analisis de Onditas
Analisis Estadístico Generación predictiva de patrones Información FPP basada en redes bayesianas. FPP: False Positive Probability Filtros umbral Control estadístico de anomalias. Perfil de Actividad. Deteccion de puntos de cambio secuencial
Redes Neuronales Neurona Biologica axon dendritas sinapsis
Redes Neuronales Características El estilo de procesamiento es como el de procesamiento de señales, no simbólico. La combinación de señales para producir nuevas señales contrasta con la ejecución de instrucciones almacenadas en memoria La información se almacena como un conjunto de pesos, no en un programa. Los pesos se deben adaptar cuando le mostramos ejemplos a la red. Las redes son tolerantes a ruido: pequeños cambios en la entrada no afecta drásticamente la salida de la red. Los conceptos se ven como patrones de actividad a lo largo de casi toda la red y no como el contenido de pequeños grupos de celdas de memoria. La red puede generalizar el conjunto de entrenamiento y así tratar con ejemplos no conocidos. RNA son buenas para tareas perceptuales y asociaciones. Justamente con lo que se topa la computación tradicional
Neurona Artificial x 1 Entradas x 2 x 3 x n-1... w 3 w 2 w 1 w n-1 n z= i= 1 w i x i ;y=hz Salida y x n w n Modelo de McCullogh-Pitts
Redes neuronales Modelos Los modelos de neuronas son usualmente simples modelos matematicos definidos por la función: f:x Y Un amplio tipo de redes neuronales artificiales estan integradas por neuronas cuya función es la generalización del modelo de McCullogh-Pitts:
Redes neronales Capa oculta Entradas Salidas Una red neronal artificial esta compuesta por varias neuronas enlazadas de acuerdo a una arquitectura de red
Redes neuronales Paradigmas de aprendizaje Los paradigmas de aprendizaje, corresponden a una tarea abstracta de aprendizaje: Supervisado: Tenemos un conjunto de objetos con su descripción completa (rasgos y clase a que pertenecen) ( entrenamiento (Conjunto de -No supervisado: Tenemos un conjunto de objetos con su descripción incompleta (típicamente desconocemos las clases ( Clustering en que se pueden agrupar: Problema de
Redes Neuronales Tipos
Redes Neuronales Backpropagation Generalización del algoritmo de Widrow-Hoff para redes multicapa con funciones de transferencia no-lineales y diferenciables. Una red neuronal con una capa de sigmoides es capaz de aproximar cualquier función con un número finito de discontinuidades Propiedad de la generalización. La función de transferencia es no-lineal, la superficie de error tiene varios mínimos locales.
Analisis de onditas La transformada wavelet (onditas) representa una señal en términos de versiones trasladadas y dilatadas de una onda finita (denominada wavelet madre). Energias de onditas en la banda espectral mas alta identifica puntos de cambio de la señal de entrada.
Agentes inteligentes Autonomos Centrado Colectivo Homogeneidad Localidad Comportamiento colectivo global Apareo de velocidad Evitar Colisiones
Agentes Inteligentes Autonomos
Agentes Inteligentes Autonomos Nido Nido Nido Comida Comida Comida
Agentes Inteligentes Autonomos Proyecto Cerias http://www.cerias.purdue.edu/about/history/coast/projects/aafid.php
Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores
Bancos de Prueba Arquitectura real Arquitectura de prueba Attackers 2x8Mbps 100Mbps Firewall Cluster Target Servers Farm
Bancos de Prueba Herramientas de prueba Herramientas de ataque Generadores de tráfico Capturadores de tráfico Producción de un ambiente de simulación
Banco de Pruebas Manual de Operaciones Lanzamiento de las pruebas Validación del Impacto Resultado de la prueba
Banco de pruebas Requisitos deseables Interfase normalizada Un banco dedicado al testeo de IDS/IPS Modular y flexible Capacidad de script Capacidad de automatizar resultados y realizar comparaciones.
Banco de pruebas Switch PC1 PC2 PC3 IPS PC4 PC5 PC6 Switch
Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores
Productos Detección de Intrusiones ( IDS ) Intrusion Detection Prevención de intrusiones Intrusion Prevention (IPS) Administradores de Incidentes unificados ( UTM ) Unified threat management
Productos Administradores de Incidentes unificados Los administradores de incidentes unificados incluyen tipicamente seis modulos. Firewall VPN IDS/IPS Anti Virus Anti Spam Filtrado URL Filtrado de contenidos.
Propietarios Open Source Productos
Productos Propietarios Enterasys http://www.enterasys.com Cisco http://www.cisco.com IBM http://www.iss.net Juniper http://www.juniper.net Securesoft http://www.securesoft.co.jp Secureworks http://www.secureworks.com McAfee http://www.mcafee.com Toplayer http://www.toplayer.com Nitrosecurity http://www.nitrosecurity.com Broadweb http://www.broadweb.com
Productos propietarios Fortinet http://www.fortinet.com Sourcefire http://www.sourcefire.com Stonesoft http://www.stonesoft.com Tipping Point http://www.tippingpoint.com Reflex Security http://www.reflexsecurity.com Still secure http://www.stillsecure.com Deep Nine http://www.dipnines.com Radware http://www.radware.com ChekPoint http://www.checkpoint.com
Productos propietarios TrustWave https://www.trustwave.com NETASQ http://www.netasq.com IntruGuard http://www.intruguard.com Force10 http://www.force10networks.com RioRey http://www.riorey.com
Enterasys
Enterasys
Enterasys Productos Seguridad en redes Soporte Asia Europa Africa Latino America todos los paises https://epartners.enterasys.com/cultures/en- US/Enterasys/public/partnerlocator
Enterasys Dragon 10 Gbps ( 14000 ) Basado en Firmas Basado en Protocolo Basado en Anomalias Basado en Comportamiento
Enterasys Arquitectura del IDS/IDP Sensores de red Sensores de servidores Servidor de Administración Procesadores de flujo de eventos
Enterasys Alianzas Q1Labs radware
Q1Labs Alianzas
Q1Labs Intrusion Detection Intrusion Prevention Cisco, CSA Cisco, IDS Enterasys, Dragon Fortinet Fortigate FortiGuard Juniper, ISG Network Associates, McAfee Entercept Niksun, NetVCR SNORT SourceFire, Intrusion Sensor Trust Wave IPAngel Cisco, IPS ForeScout, CounterACT IBM Site Protector & Proventia Juniper, NetScreen IDP McAfee Intrushield Nortel, Threat Protection System Tipping Point, X Series Top Layer, IPS 5500 Trust Wave IPAngel
CISCO
Cisco Productos Integral de redes Soporte Asia Europa Oceania Africa Latinoamerica Todos los paises
Cisco Productos IPS Cisco IPS 4200 Series Sensor Cisco ASA 5500 Cisco Security Agent IDS Service Module 2 Cisco IOS Intruder Prevention System
Cisco Linea Cisco IPS 4200 Series Sensor Cisco IPS 4270 Sensor 4 Gbps Cisco IPS 4260 Sensor 2 Gbps Cisco IPS 4255 Sensor 600 Mbps Cisco IPS 4240 Sensor 300 Mbps Cisco IDS 4215 Senso 80 Mbps
Cisco
CISCO Capacidades Limite de Velocidad Detección de IP en IP Reconocimiento de patrones Statefull Analis de protocolos Detección de anomalias de tráfico Detección basado en Anomalias de protocolo Beneficios Permite al dispositivo IPS limitar ciertos tipos de tráfico previniendo el uso exesivo de ancho de banda Detecta trafico malicioso en tráfico IP movil Identifica ataques basado en vulnerabilidades Provee decodificación de una gran variedad de protocolos. Provee identificación de anomalias para ataques que cubren, multiple seción y cambios en los patrones de tráfico. Identifica atakes basados en esviaciones del comportamiento normal descripto en la RFC
Cisco Capacidades Deteccion de capa 2 Applicacion de Politicas Tecnicas de Evación Anti-IPS Póliticas personlizables Beneficios Identifica atakes ARP Provee un amplio contros de aplicación de politicas a p2p, MSN, tuneles, MIME ayuda a asegurar que el trafico malicioso no penetre la red. Normalización de tráfico, defragmentación IP, rearmado TCP. Da la posibilidad de crear políticas flexibles y configurables.
CISCO
( System IBM (Internet Security Productos Informatica y comunicaciones Soporte Latinoamerica todos los paises
IBM Productos IPS Proventia GX6116 6 Gbps Proventia GX5208 2 Gbps Proventia GX5108 1.2 Gbps Proventia GX5008 400 Mbps Proventia GX4004 200 Mbps Proventia GX4002 200 Mbps Proventia GX3002 10 Mbps
IBM Principales Caracteristicas Cumple con los requerimientos PCI-DSS Disponibilidad de firmas en linea X Force Integracion con Network behavior analysis
Juniper ISG 2000 2 Gbps
Juniper Productos Redes Soporte Latino America solo Mexico
Juniper Productos IPS IDP 8200 IDP 800 IDP 250 IDP 75 ISG 2000 2 Gbps ISG 1000 1 Gbps Integracion con Netscreen
Juniper Alianzas
SecureSoft Productos ( Fujitsu Seguridad (Grupo Cubertura PYMES a Grandes Empresas Soporte Japon Corea
Securesoft
Securesoft T1000
Securesoft
Securesoft Productos IPS Sniper IPS 4000 Sniper IPS 2000 Sniper IPS 1000 Absolute IPS NP5G 5 Gbps Absolute IPS 1000 1 Gbps T series
Securesoft Alianzas
Secureworks Productos Orientada a servicios Cubertura Grandes Empresas Soporte Sin informacion
Secureworks Isensor Analisis de firmas Detección de anomalias Reconocimiento de protocolos Comportamiento basado en heuristica Analisis de Patrones humanos
Secureworks Alianzas
McAfee Productos Seguridad Cubertura Hogar Pymes Grandes Empresas Soporte America Latina Mexico
McAfee Los IPS van de 100 Mbps hasta 2 Gbps Inspección de tráfico SSL encriptado Soporta instancias virtuales de IPS Integración con otros productos McAfee ( Control NAC (Network Access epolicy Orchestrator
McAfee Intrushield 4010 2 Gbps Inspección de tráfico statefull Detección de firmas Detección de anomalias Detección de DoS Prevención de intrusiones
McAfee Alianzas
TopLayer Productos Seguridad IPS Cubertura Empresas Soporte Estados Unidos Corea Japon
Top Layer Top Layer IPS 5500.6 a 4.4 Gbps Baja Latencia >50 us Basado en ASIC y escalable Cumple con los requerimientos PCI-DSS
Top Layer El prcesador TILE64 de Tilera provee una solución completa para IPS Hasta 20 Gbps de pattern matching application Hasta 10 Gbps de proceso SNORT Por debajo de 20watts de consumo para el chip y 50watts para el sistema completo
Top Layer Alianzas
Nitro Security Productos Seguridad Cubertura Empresas Soporte Estados Unidos Corea Japon Suiza
Nitro Security Nitro Guard 4000 IPS 1,5 Gbps
Nitro Security Analisis de flujo de red sflow y netflow Exelente consola de admnistración NitroView Administrador de eventos de seguridad de la información (Security Information Event ( SIEM Management Esta incluida en las 5000 empresas con mayor crecimiento en el 2007 Elegida por la U.S. Army en el 2008. Bajo Costo por Gbps Basada en Snort.
Nitro Security Alianzas
Broadweb Productos Seguridad IPS Cubertura PYMES Empresas Soporte Norte America Asia Pacifico y Europa
Broadweb NK6000 1Gbps
Fortinet Productos Seguridad Integral de la red- Carriers Soporte America del Norte Europa Asia ( Mexico ) Latino America
Fortinet
Fortinet
Fortinet
Fortinet Las soluciones IPS estan alrededor de los ( Architecture ATCA (Advanced Telecom Computing Fortigate 5140 70 Gbps Fortigate 5050 25 Gbps Fortigate 5208 Fortigate 5005 Fortigate 5002 Fortigate 5001
Fortinet Alianzas
Sourcefire Productos Seguridad Integral de la red Snort y ClamAV Soporte America del Norte
Sourcefire Sourcefire 3d9800 10Gbps Gusanos Trojanos Busquedad de Puertos Ataques de Buffer overflow Ataques de denegación de servicio Anomalias de Protocolo Trafico Malformado Encabezamientos invalidos Ataques a VoIP Ataques a IPv6 Ataque de fragmentación y evación Ataques del dia Cero
Sourcefire Alianzas
Sourcefire Socios en Proveedores de administración de seguridad ( MSSP (Managed Security Services Provider Socios OEM
Stone soft Productos IPS VPN FW Soporte Helsinki, Finland, Atlanta, Georgia
Stonesoft Productos StoneGate IPS-6100 StoneGate IPS-6000 StoneGate IPS-2000 StoneGate IPS-400 StoneGate SGI-2000S StoneGate SGI-200S StoneGate SGI-200C StoneGate SGI-200N StoneGate SGI-200ANZ StoneGate SGI-20A 4Gbps 2Gbps 600Mbps 100 Mbps 1200 Mbps 400 Mbps 400 Mbps 400 Mbps 400 Mbps 80 Mbps
( 3Com ) Tipping Point Productos Seguridad IPS Cubertura PYMES Empresas Soporte Sin Información
Tipping Point Alianzas
Reflex Security Productos Virtualizacion de la Seguridad Cubertura PYME y Empresas Soporte Sin información
Reflex Security Modelos hasta 10 Gbps Dispositivos de seguridad virtualizados Se apoya en la base de datos de firmas Snort.
Reflex Security Alianzas
Still Secure Productos Seguridad Cubertura PYMES Empresas Soporte Sin Información
Still Secure
Still Secure
Still Secure
Still Secure Productos IPS (Strata Guard) Basado en Snort SMB 10 Mbps Enterprice 200 Mbps GigE 1 Gbps Ofrece el Strata Guard para 5 Mbps gratis.
DeepNines Productos Seguridad IPS Cubertura Pymes Empresas Soporte Latinoamerica Mexico
DeepNines Productos IPS SES91000 1Gbps SES9500 500 Mbps SES9250 250 Mbps SES9100 100 Mbps SES910 10 Mbps
DeepNines Alianzas
RadWare Productos Seguridad IPS Cubertura Pymes y Empresas Soporte Sin Información
RadWare Productos IPS Defensepro 6000 6 Gbps Defensepro x20 3 Gbps Defensepro x02 500 Mbps Defensepro IPS
RadWare Defensepro hace uso de ASIC Bajo costo de mantenimiento Se centra en comportamiento de la red.
RadWare Alianzas
Check Point Productos Seguridad IPS Cubertura Pymes Empresas Soporte Argentina
Check Point Productos IPS Check Point Power-1 9070 6.1 Gbps Check Point Power-1 5070 4.5 Gbps
TrustWave Productos Seguridad IPS Cubertura Pymes y Empresas Soporte Estados Unidos y Canada
TrustWave
TrustWave TS 1000 Velocidad 1.3 Gbps Latencia 30 us
NETASQ Productos Seguridad IPS Cubertura Pymes y Empresas Soporte Europa Africa y Medio Oriente
NETASQ Productos UTM U1100 2,8 Gbps UTM U1500 3.8 Gbps UTM U 6000 5 Gbps
( Juniper ) IntruGuard Productos Seguridad IPS Cubertura Pymes y Empresas Soporte EEUU China y Corea
IntruGuard Productos IG200 0.1 Gbps Precios U$S 6995 IG2000 2 Gbps Usa ASICS a medida Latencia < 50 us
Force10 Productos Redes y Seguridad Cubertura Pymes y Grandes Empresas Soporte No figura solo referencia a Expocomm
Force10 Serie P Velocidad 10 Gbps 1 Mpps Latencia < 2 us
Force10 Alianzas
RioRey Productos IPS-DDOS Cubertura Pymes y Empresas Soporte EEUU
RioRey Productos RX1200 RX2300 RX3300
Productos Open Source Bro Snort
Snort Iniciado por Marty Roesch, actualmente ha alcanzado su versión 3 es uno de los IDS's más utilizados por los especialistas en seguridad. Mantenido por William Metcalf, extiende las funcionalidades de Snort con la capacidad de DROPear conexiones (IPS). Se integra con Netfilter / Iptables. Es incluido por Snort desde su versión 2.3.
Bro Basado en Redes Lenguaje de Scripting a Medida Scrips de Politicas pre escritos. Busquedad de Firmas de alta velocidad. Analisis de tráfico de red Deteccion seguida de acción
Indice Ataques y Vulnerabilidades IDS-IPS Metodos de Detección Bancos de Prueba Productos Entes certificadores
Entes certificadores Common Criteria NSS Labs http://www.nsslabs.com ICSA Labs https://www.icsalabs.com Gartner http://mediaproducts.gartner.com KISA http://www.kisa.or.kr Tolly Group http:/www.tolly.com
NSS Labs NSS Labs es lider mundial en test y certificación de seguridad con laboratorios en San Diego Chicago y francia.
Common Criteria 1 EAL1: Prueba de Funcionalidad 2 EAL2: Prueba estructural 3 EAL3: Metodicamente probado y chequeado 4 EAL4: Metodicamente Diseñado probado y revisado 5 EAL5: Semiformal Diseñado y probado 6 EAL6: Semiformal verificado diseñado y probado 7 EAL7: Formalmente verificado diseñado y probado
NSS Labs Ambiente de prueba Spirent Avalanche Spirent Reflector Cisco 6500 Equipo bajo Prueba Cisco 6500 AX/4000 Spirent Smartbits Spirent Smartbits
NSS Labs Pruebas Realizadas Reconocimiento de ataques Evasión de IPS Operación Stateful Detección y Bloqueo bajo carga Latencia y tiempo de repuesta Stabilidad y Fiabilidad Interfase de Administración
NSS Labs Reconocimiento de Ataques Test 1.1.1 - Backdoors Test 1.1.2 - DNS/WINS Test 1.1.3 - DOS Test 1.1.4 - Falso negativos Test 1.1.5 - Finger Test 1.1.6 - FTP Test 1.1.7 - HTTP Test 1.1.8 - ICMP Test 1.1.9 - Reconocimientos Test 1.1.10 - RPC Test 1.1.11 - SSH Test 1.1.12 - Telnet Test 1.1.13 Base de Datos Test 1.1.14 - Mail Test 1.1.15 - Voz
NSS Labs Reconocimiento de Ataques ARRD Attack Recognition Rating-Detect Only Ranquin de reconocimiento de ataque en modo detección solamente ARRB Attack Recognition Rating-Block Ranquin de reconocimiento de ataque en modo bloqueo Default Se prueban 100 vulnerabilidades de la CVE (Common Vulnerabilities Exposures). Custom se le da al cliente 48 horas para proveer una firma de las vulnerabilidades que fallo y se prueba de nuevo
NSS Labs Reconocimiento de Ataques Netkeeper NK-3256T Cisco IPS-4240 Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f Ataques 110 110 110 110 126 126 110 ARRD Def. 78 92 92 79 83 83 105 ARRB Def. 78 94 98 79 83 83 105 ARRD Cust 107 104 104 102 107 ARRB Cust 107 110 110 102 107 105 107 Res. Falso positivos 17/17 17/17 17/17 17/17 17/17
NSS Labs Evasión ips Netkeeper NK-3256T Cisco IPS-4240 Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f McAfee Inrru Shield 4010 Evasión 07/07 7/7 7/7 7/7 13/13 13/13 7/7 13/13 Fragmentación 21/21 20/20 20/20 20/20 25/25 25/25 20/20 25/25 URL Ofuscac. 09/09 9/9 9/9 9/9 15/15 15/15 9/9 15/15 Ofusc. Tecn. 5/7 7/7 7/7 7/7 3/3 3/3 4/7 3/3 Oper. Stateful NOC 1000.000 8/10 8/10 8/10 8/10 12/12 12/12 7/10 11/12
NSS Labs Detección y Bloqueo UDP 1514 lp Netkeeper NK-3256T Cisco IPS-4240 Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f McAfee Inrru Shield 4010 Bloqueo 100Mbps 100% 100% 100% 100% 100% 100% 100% 100% Detec.100Mbps 100% 100% 100% 100% 100% 100% 100% 100% Bloqueo 500Mbps 100% 100% 100% 100% 100% 100% Detec.500Mbps 100% 100% 100% 100% 100% 100% Bloqueo 1000Mbps 100% 100% 100% 100% Detec. 1000Mbps 100% 100% 100% 100% Bloqueo 2000Mbps 100% Detec. 2000Mbps 100%
NSS Labs Detección y Bloqueo HTTP 2000 conexiones por segundo sin retardo Netkeeper NK-3256T Cisco IPS-4240 Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f McAfee Inrru Shield 4010 Bloqueo 100Mbps 100% 100% 100% 100% 100% 100% 100% Detec.100Mbps 100% 100% 100% 100% 100% 100% 100% Bloqueo 500Mbps 100% 100% 100% 100% 100% 100% Detec.500Mbps 100% 100% 100% 100% 100% 100% Bloqueo 1000Mbps 100% 100% 100% Detec. 1000Mbps 100% 100% 100% Bloqueo 2000Mbps 100% Detec. 2000Mbps 100%
NSS Labs Latencia y tiempo de repuesta Latencia us tamaño de paquete 1000 Byte bt = trafico de fondo Netkeeper NK-3256T Cisco IPS-4240 Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f McAfee Inrru Shield 4010 Sin bt <100Mbps 218,25 184,00 169,00 191,00 138,00 Con bt <100Mbps 327,00 *397,00 175,00 Sin bt <500Mps 201,00 209,00 94,00 94,00 145,00 95,00 Con bt< 500Mbps 110,00 110,00 162,00 Sin bt< 1000Mbps 115,00 115,00 96,00 Con bt <1000Mbps 131,00 131,00 182,00 Sin bt 2000Mbps 105,00 Con bt 2000Mbps 862,00
NSS Labs Estabilidad fiabilidad e interfase de usuario Netkeeper NK-3256T Cisco IPS-4240 Cisco IPS-4255 SecureWorks Isensor 850 Proventia IPSGX5108 Proventia GX4004 Juniper IDP 600f McAfee Inrru Shield 4010 Bloqueo bajo ataq. 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% 100,00% Traf. Leg bajo ataq. 99,98% 99,50% 100,00% 99,99% 100,00% 100,00% 100,00% 100,00% ISIC/ESIC pasa pasa pasa pasa pasa pasa pasa pasa Interfase de Adm. Puertos abiertos pasa pasa pasa pasa pasa pasa pasa pasa ISIC/ESIC pasa pasa pasa pasa pasa pasa pasa pasa ISIC ataques IM no pasa no pasa no pasa pasa no pasa no pasa no pasa parcial
ICSA ICSA Labs, es una división independiente de Verizon Business ex International Computer Security Association
ICSA Labs El programa de pruebas incluye Vulnerabilidades focalizada en pruebas de ataques Pruebas de evación Pruebas de denegación de servicio Pruebas de rendimiento y latencia Pruenas de funcionalidad administrativa.
ICSA Labs Lista de productos certificados Fortinet FortiGate FG50B, FWF60B, FG300A, FG500A, FG800, FG1000A, FG3016B, FG3600, FG3600A, FG3800A, FG5001FA2, FG5005FA2 Sourcefire Sourcefire 3D System 3D3800 Stonesoft StoneGate IPS-2000
ICSA Labs Modelo Fortigate 800 Fortigate 300 Sourcefire 3D3800 Stonegate IPS2000 Fabricante Fortinet Fortinet Sourcefire Stonesoft Velocidad Mbps 75 40 535 200 Latencia en us 305 375 228 502 Ataques DoS cumple cumple cumple cumple Ataques de logs cumple cumple cumple cumple Ataques actualización cumple cumple cumple cumple No falsos positivos cumple cumple cumple cumple Crea reportrs si si si si Ataques que usan evasion cumple cumple cumple cumple Ataques server side cumple cumple cumple cumple Ataques cliente side no testeado no testeado no testeado no testeado
Proventia GX6116
Gartner Consultora en tecnologia IT Cubre 80 paises
Gartner Productos Evaluados Cisco Tipping Point Source fire IBM McAfee Juniper Enterasys Reflex Security Top Layer Network Nitro Security Still Secure Deep Nine Radware Check Point
Gartner
Tolly Group Trustwave TS-1000 High-Speed IPA IntruGuard Devices, Inc. IG2000 Force10 Networks P-Series, Model P10 IPS Reflex Security IPS100 NETASQ F2000 IPS Radware, Inc. DefensePro 3000 IBM Proventia IPAG2000 Top Layer Networks Attack Mitigator IPS 5500 Tipping Point Technologies