IPS y

IPS e IDS

Son herramientas de seguridad que proporcionan una defensa corporativa contra intrusos dentro de la red.

En los aos 1960 y 1970 fue que se hizo mas fuerte potencial dedicado a la creacin de redes de trasferencia de datos ms recientes como las que ahora conocemos y es ah en donde surge el potencial de la intrusin a esas redes, de igual manera surge la necesidad de crear un sistema de deteccin de intrusos.Y de ah surge una definicin simple de lo que es el propsito de estas tecnologas Seguridad = Visibiliad + Control

1

Seguridad = Visibilidad + ControlFrmula para representar la idea de la seguridad.Tiene la visibilidad de lo que est sucediendo en las redes y la capacidad de almacenar esta informacin para anlizarla y presentar informes en una fecha posterior.El control se refiere en ms detalle al trabajo de la investigacin de la tecnologa IPS. Es la tecnologa IPS la que proporciona una capacidad activa para controlar las redes.

2

IDS (Intrusion Detection System)Sistema de deteccin de intrusosMecanismo que sigilosamente, escucha el trfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusin.

Herramienta que permite determinar si una computadora en red o un servidor ha tenido una entrada no autorizada.Otra definicin puede ser el are de la deteccin de una actividad inapropiada, una actividad incorrecta o anomalias en la red.

El concepto ms importante en el despliegue de un IDS es que un IDS es una herramienta utilizado para capturar y dar visibilidad a una red corporativa. 3

TIPOS DE IDSHIDS (HostIDS)

NIDS (NetworkIDS)

El H-IDS acta como un daemon o servicio estndar en el sistema de un host.Analiza la informacin particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y tambin captura paquetes de la red que se introducen/salen del host para poder verificar las seales de intrusin.

Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. 4

HIDS Host-based Intrusion Detection SystemEs un servidor o estacin de trabajo.Analiza los datos locales de esa mquina, como archivos de registro del sistema, cambios en el sistema de archivos y a veces los procesos del sistema.Puede tomar medidas protectoras.El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

Basado en host Intrusion Detection System (HIDS)HIDS alerta al administrador en caso de una violacin de las reglas preestablecidas ocurre.Busca detectar anomalas que indican un riesgo potencial, revisando las actividades en Las funciones de este tipo de software son muy similares a las de los IDS. Envan sus resultados a un servidor centralizado que los analizar en busca de los riegos y mandar las alertas en casos necesarios.5NIDS (NetworkIDS)Es un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la red.ste es una especie de modo "invisible" en el que no tienen direccin IP. Tampoco tienen una serie de protocolos asignados.

Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han realizado desde dentro. 6Intrusion Prevention System (IPS)Es un sistema control de acceso en una red para proteger a los equipos internos de ataques.Se utiliza para desconectar conexiones que no tienen autorizacin.Los IPS presentan una mejora importante sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del trfico, en lugar de direcciones IP o puertos.

Su funcionalidad bsica es la de tener la capacidad de detectar y prevenir la actividad en la red o de la intrusin a una red corporativa

La tecnologa tambin es comnmente una extensin de la tecnologa de deteccin de intruso.7

Instalacin de un IDS fuera de la frontera del firewall y del RouterPermiten ver la amplitud de los intentos de ataques en contra de la empresa.Proporciona herramienta que captura datos para el anlisis y posiblemente estudios forenses.Fuera de la arquitectura de banda, se sita en un punto compartido en donde captura tantos paquetes como se pueda para manejar en un modo promiscuo y pueda dar informes de los resultados.

Instalar un IDS fuera de la frontera del firewall y del Router:Tambin proporciona una herramienta que captura datos para el anlisis y posiblemente forense, segn sea necesario.

8Instalacin de IDS en despliegue en lneaTodos los datos procedentes de entrada y salida deben pasar a travs del dispositivo.De igual manera cuenta con desventajas como:Si el dispositivo en lnea falla, la conexin se detendr y de igual manera la visibilidad del IDS, hasta que el mismo se fije o se elimine.

Un ejemplo de un dispositivo que utiliza una arquitectura en lnea es un router o un firewall.

Tener una lnea IDS significa que todos los datos sern capturados antes de que los paquetes sigan o corran dentro de la red.

Cualquiera de estos despliegues en lnea IDS sita a la empresa en riesgo si el dispositivo no configura adecuadamente para permitir o denegar el trfico dentro de la empres y que pueda fluir adecuadamente con su supervisin ms confiable.

9Instalacin de dispositivos IDS en puntos primarios de red para proporcionar visibilidad.Este tipo de despliegue proporciona los datos necesarios para localizar a potenciales amenazas internas, as como los que se plantean en contra de la empresa desde el exterior.

Todava hoy el mayor riesgo proviene de las amenazas internas. La importancia de la implementacin de un mecanismo para controlar el trfico interno es primordial.El ser subrayado clave en este punto es la visibilidad.

10Preocupaciones de los despliegues de IDS El factor de rendimiento.El cifrado.Con el crecimiento explosivo de VPN y otros datos cifrados han desarrollado la necesidad de tener una solucin como IPS en donde el permetro es cada vez ms necesario.

El rendimiento es una cuestin clave en ambos IDS y despliegues de IPS. Actualmente, la mayora de las soluciones de IDS no tienen la capacidad de descifrar los paquetes entrantes o salientes y estn a ciegas administradores de seguridad en cuanto a lo que es que entra y salir de las redes de la empresa. 11IDS puede convertirse en obsoletoNo puede cifrar el trfico analizado.Con el tiempo las redes crecen y necesitan cada vez de ms equipos, por lo tanto necesitan mas nmero de sensores (IDS) a lo cual el costo tambin aumenta.Genera una cantidad muy grande de posibles ataques cuando estos pueden no serlo.

Para erradicar los problemas con IDS.Aadir IDS basados en host (HIDS).

El uso de un HIDS ofrece la visibilidad necesaria para identificar y rastrear intrusiones, intentos de filtrado en un host o una aplicacin especfica.

13Tecnologas en IPSLas tecnologas IPS en software o hardware son relativamente nuevas.Se puede decir que los firewalls y las listas de acceso son consideradas como IPS bsicas.Al combinar las capacidades de bloqueo de un firewall con un IDS se obtiene un IPS7.La tecnologa IPS es fundamental porque el tiempo es dinero y la disponibilidad de la red es fundamental para todas las organizaciones. Es una tecnologa que ayuda a asegurar la red, el tiempo de actividad y disponibilidad mediante la identificacin y posiblemente, la prevencin de intrusiones en la red y los ataques que normalmente seran la causa de la inactividad de la red.14Despliegues de IPS no generan ingresosPor esta razn es difcil justificar el gasto en empresas.Por lo contrario; sin visibilidad de la red, y la capacidad de prevenir intrusos y ataques a la red existe un argumento de los costos asociados con esta actividad.

15Argumentos para implementar IPSPodra ahorrar dinero a travs de la identificacin y la prevencin de un ataque de gusano o virus.Por lo general las empresas desarrollar matrices para cuantificar la cantidad de dinero y/o el tiempo perdido debido a virus o a los ataques de gusanos, est informacin se puede obtener con el IPS .Ahorros potenciales asociados con la prevencin en tiempo de inactividad.Hacer frente a las amenazas internas.

Colocar estratgicamente tecnologas IPS en el permetro de la red para ayudar en la prevencin de cero ataques como gusanos o virus a travs de reglas basadas en anomalas, as como inspeccin basada en la firma de paquetes. RecomendacionesUsar correctamente una solucin IPS en todos los puntos de ingreso/egreso ayudar a asegurar que las amenazas ms nuevas no ingresen al permetro.Asegurar que solo el trfico legitimo pueda pasar.El uso de este tipo de arquitectura promueve el tiempo de actividad al tiempo que subraya la necesidad de la vigilancia de la informacin privilegiada.Con la tecnologa IPS el trfico sigue pasando pero, cualquier actividad sospechosa se encuentra en posicin de investigacin. 17

Dotacin de personal y formacinEncontrar y retener al personal de seguridad calificado y capacitado.Es difcil encontrar a personal adecuado, con las habilidades y el conocimiento necesario para la implementacin de estas labores dentro de la empresa, pero una vez encontrado se debe de capacitar ms con el proveedor y No dejarlo ir!.

Actualmente, la defensa contra los virus y gusanos generalmente cae en los hombros de los administradores de sistemas de parches y mantener las definiciones de virus en todos los sistemas de servidores y escritorio son labores de los administradores.Una buena tctica es emplear a los analistas y formadores en proporcionar informacin y formacin a los usuarios sobre conciencia para ayudar a evitar la propagacin de virus y gusanos.Los administradores son los principales responsables de mantener una seguridad en la red, pero hay que ser consientes que ellos invierten demaciado tiempo en la bsqueda de nuevos parches para las liberaciones de nuevos gusanos y virus.18DatosAlumna: Veronica Serrano ContrerasGrupo: GITI5113-sMateria: Seguridad de la Informacin