248-CAPITULO 6.qxp:Layout 1
12/24/09
9:49 AM
Página 253
Administrar dispositivos de red
Los dispositivos que soportan CSM y CS-MARS son: Cisco ASA, IPS de la familia 4200; módulos de seguridad asociados; ISR, como las familias 800, 1800, 2800, 3800 y 7600; y switches Catalyst de las familias 3000, 4000 y 6500.
Los productos disponibles de la familia Cisco que direccionan las dos problemáticas mencionadas anteriormente son: Cisco Secure Manager (CSM) y Cisco Monitoring, Analy sis and Response Sy stem (CS-MARS). Cisco Secure Manager es una aplicación que nos permite realizar la administración centralizada de varias soluciones de seguridad a través de una única interfaz. Se encuentra dirigida a la administración de firewalls, redes privadas virtuales y sistemas de prevención de intrusiones. El objetivo de esta herramienta es tener una administración centralizada de todos estos dispositivos. Esto puede lograrse debido a que estos elementos comparten características que pueden ser cargadas una única vez para, luego, ser aplicadas a través de toda la red con el fin de reducir los tiempos de implementación y los costos de administración a través de la generación de perfiles. Esta solución puede administrar de manera eficiente desde redes pequeñas, compuestas por algunas decenas de dispositivos, hasta otras más grandes, integradas por cientos de ellos. La administración de los dispositivos a través de CSM se realiza desde una interfaz gráfica, que permite al administrador realizar configuraciones de forma intuitiva y rápida. Esta herramienta brinda no sólo una interfaz de configuración, sino también una serie de herramientas destinadas a evitar errores en el proceso, como los conflictos entre las reglas definidas del firewall y sencillos asistentes. Por su parte, Cisco MARS (Monitoring, Analysis and Response System) es una herramienta dedicada al monitoreo de los dispositivos de red a través de la recolección y almacenamiento de los eventos que éstos generan, su análisis y la ejecución o recomendación de una respuesta, en caso de ser necesario. Como se puede apreciar en la tabla CSM y MARS, las funciones de uno no se solapan con las de otro, sino que son complementarias. Por ejemplo, por un lado, CS-MARS recomienda las mitigaciones de las posibles amenazas, y CSM puede ejecutarlas de forma centralizada sobre todos los dispositivos presentes en la red.
CSM Y MARS FUNCIÓN
CISCO SECURIY MANAGER
CISCO MARS
Administración de políticas de seguridad
Sí
No
Monitoreo
No
Sí
Análisis y correlación
No
Sí
Mitigación
Sí
Sí
CS-MARS es uno de los últimos escalones en las redes autodefensivas. Esta aplicación tiene por objetivo recolectar los eventos generados por los dispositivos de red para, luego, analizarlos y, eventualmente, ejecutar las acciones que sean necesarias para mitigar un posible ataque. Posee una interfaz de administración Web sencilla e intuitiva, que nos permitirá administrar el dispositivo. CS-MARS está en conocimiento absoluto de lo que sucede en la red a través del análisis de los logs que son enviados a MARS a través de diferentes métodos. Esta herramienta es capaz de generar reportes concisos y compactos por medio de plantillas predefinidas que mapean sobre estándares internacionales. MARS brinda una forma de ejecutar evaluaciones de vulnerabilidades sobre cualquier dispositivo de red y, a través de esta información, puede determinar el grado de éxito que podría haber tenido cierto ataque. Con el conocimiento absoluto de la topología de red, MARS es capaz de dibujar el vector de ataque de un incidente en nuestra red hasta el punto de detectar su origen, incluso, a través de dispositivos que ejecuten NAT. 253