IPS IDS Seguridad de la información

7/22/2019 IPS IDS Seguridad de la informacin

1/30


2/30

Tabla de contenido

Introduccin ..................................................................................................................... 3

Contenido ......................................................................................................................... 4

Sistemas de deteccin y prevencin de intrusos (IDS e IPS)............................................... 4

Caractersticas de IDS ................................................................................................................. 6

Caractersticas de IPS ................................................................................................................. 8

Ventajas y desventajas de IDS ................................................................................................ 11

Ventajas y desventajas de IPS ................................................................................................. 12

Ejemplos de IDS e IPS .............................................................................................................. 13

Sourcefire Defense Center................................................................................................ 13

Symantec Critical System Protection .................................................................................. 15

Snort ......................................................................................................................................... 16

Diferencias entre IDS e IPS .................................................................................................... 17

Estndares asociados a los IDS/IPS....................................................................................... 18

Ejemplo de configuracin de la actualizacin de IDS 4.1 a IPS 5.0................................... 18

Requisitos previos .................................................................................................................. 19

Componentes utilizados ........................................................................................................ 19

Convenciones ......................................................................................................................... 19

Actualizacin del sensor ........................................................................................................ 20

Informacin general................................................................................................................ 20

Opciones y comando de actualizacin................................................................................ 21

Uso del comando de actualizacin ...................................................................................... 22

Uso del comando de actualizacin automtica ................................................................. 24

Nueva imagen del sensor...................................................................................................... 27

Conclusin ..................................................................................................................... 28

Bibliografa ..................................................................................................................... 29


3/30

Introduccin

En los 80 comenzaron los primeros desarrollos de programas que monitorizaban el

uso de sistemas y redes. En los ltimos aos se ha producido un avance muy grande enesta rea, y la mayora de las empresas dedicadas a la seguridad ofrecen productos para

la deteccin de intrusiones.

Nuevas tecnologas adicionan complejidad, y el nmero y tipo de aplicaciones y

sistemas en una red no para de crecer. El riesgo de la seguridad de la informacin se

multiplica en nmero y escala en conformidad con la sofisticacin de los ataques.

El flujo de funcionarios en una empresa aumenta constantemente, los clientes y

aliados estratgicos exigen cada vez ms acceso en tiempo real a aplicaciones, bases dedatos y sistemas, forzando ms las barreras de un ambiente seguro.

Sistemas de deteccin y prevencin de intrusos (IDS e IPS) estn constantemente

vigilando, e incorporan mecanismos de anlisis de trfico y de anlisis de sucesos en

sistemas operativos y aplicaciones que les permiten detectar intrusiones en tiempo real.

Un IDS puede ser un dispositivo hardware auto contenido con una o varias

interfaces, que se conecta a una o varias redes; o bien una aplicacin que se ejecuta en

una o varias mquinas y analiza el trfico de red que sus interfaces ven y/o los eventosgenerados por el sistema operativo y las aplicaciones locales.

Para hablar sobre deteccin de intrusiones hay que definir qu entendemos por

intrusin. Las intrusiones se definen en relacin a una poltica de seguridad: una intrusin

es una violacin de la poltica de seguridad establecida. A menos que se conozca qu

est permitido en un sistema y qu no, no tiene sentido hablar de deteccin intrusiones.

De manera ms concisa se puede definir una intrusin como un conjunto de

acciones deliberadas dirigidas a comprometer la integridad (manipular informacin),confidencialidad (acceder ilegtimamente a informacin) o disponibilidad de un recurso

(perjudicar o imposibilitar el funcionamiento de un sistema).


4/30

Contenido

Sistemas de deteccin y prevencin de intrusos (IDS e IPS)

El trmino IDS (Sistema de deteccin de intrusiones) hace referencia a un

mecanismo que, sigilosamente, escucha el trfico en la red para detectar actividades

anormales o sospechosas, y de este modo, reducir el riesgo de intrusin.

Existen dos claras familias importantes de IDS:

El grupo N-IDS (Sistema de deteccin de intrusiones de red), que garantiza la

seguridad dentro de la red.

El grupo H-IDS(Sistema de deteccin de intrusiones en el host), que garantiza laseguridad en el host.

Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede

verificar paquetes de informacin que viajan por una o ms lneas de la red para descubrir

si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o ms de los

adaptadores de red exclusivos del sistema en modo promiscuo. ste es una especie de

modo "invisible" en el que no tienen direccin IP. Tampoco tienen una serie de protocolos

asignados. Es comn encontrar diversos IDS en diferentes partes de la red. Por lo

general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como

tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs

del firewall o que se han realizado desde dentro.


5/30

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre unaamplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.

El H-IDS acta como un daemon o servicio estndar en el sistema de un host.

Tradicionalmente, el H-IDS analiza la informacin particular almacenada en registros

(como registros de sistema, mensajes, lastlogs y wtmp) y tambin captura paquetes de la

red que se introducen/salen del host para poder verificar las seales de intrusin (como

ataques por denegacin de servicio, puertas traseras, troyanos, intentos de acceso no

autorizado, ejecucin de cdigos malignos o ataques de desbordamiento de bfer).

Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es

un software que ejerce el control de acceso en una red informtica para proteger a los

sistemas computacionales de ataques y abusos. La tecnologa de prevencin de intrusos

es considerada por algunos como una extensin de los sistemas de deteccin de

intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las

tecnologas cortafuegos.


6/30

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon

para resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al

situar sistemas de detecciones en la va del trfico. Los IPS presentan una mejora

importante sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de

control de acceso basados en los contenidos del trfico, en lugar de direcciones IP o

puertos. Tiempo despus, algunos IPS fueron comercializados por la empresa OneSecure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue

adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de

los sistemas IDS, continan en relacin.

Tambin es importante destacar que los IPS pueden actuar al nivel de equipo,

para combatir actividades potencialmente maliciosas.

Caractersticas de IDS

El trfico en la red (en todo caso, en Internet) generalmente est compuesto

por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a travs

de las conexiones fsicas a las que est sujeto. Un N-IDS contiene una lista TCP/IP que


7/30

se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes

tcnicas para detectar intrusiones:

Verificacin de la lista de protocolos: Algunas formas de intrusin, como "Ping de

la muerte" y "escaneo silencioso TCP" utilizan violaciones de los

protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificacin del

protocolo puede revelar paquetes no vlidos e indicar esta tctica comnmente utilizada.

Verificacin de los protocolos de la capa de aplicacin: Algunas formas de

intrusin emplean comportamientos de protocolos no vlidos, como "WinNuke", que utiliza

datos NetBIOS no vlidos (al agregar datos fuera de la banda). Para detectar eficazmente

estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos

de la capa de aplicacin, como NetBIOS, TCP/IP, etc.

Esta tcnica es rpida (el N-IDS no necesita examinar la base de datos de firmas

en su totalidad para secuencias de bytes particulares) y es tambin ms eficiente, ya que

elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede

diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (altopeligro).

Reconocimiento de ataques de "comparacin de patrones": Esta tcnica de

reconocimiento de intrusin es el mtodo ms antiguo de anlisis N-IDS y todava es de

uso frecuente.


8/30

Consiste en la identificacin de una intrusin al examinar un paquete y reconocer,

dentro de una serie de bytes, la secuencia que corresponde a una firma especfica. Por

ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar

provecho de un defecto del script CGI "phf". Este mtodo tambin se utiliza como

complemento de los filtros en direcciones IP, en destinatarios utilizados por conexiones ypuertos de origen y/o destino. Este mtodo de reconocimiento tambin se puede refinar si

se combina con una sucesin o combinacin de indicadores TCP.

Esta tctica est difundida por los grupos N-IDS "Network Grep", que se basan en

la captura de paquetes originales dentro de una conexin supervisada y en su posterior

comparacin al utilizar un analizador de "expresiones regulares". ste intentar hacer

coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete

capturado.

Caractersticas de IPS

Un sistema de prevencin de intrusos, al igual que un Sistema de Deteccin de

Intrusos, funciona por medio de mdulos, pero la diferencia es que este ltimo alerta al

administrador ante la deteccin de un posible intruso (usuario que activ algn Sensor),

mientras que un Sistema de Prevencin de Intrusos establece polticas de seguridad para

proteger el equipo o la red de un ataque; se podra decir que un IPS protege al equipo

proactivamente y un IDS lo protege reactivamente.

Los IPS se categorizan en la forma que detectan el trfico malicioso:

Deteccin basada en firmas: como lo hace un antivirus.

Deteccin basada en polticas: el IPS requiere que se declaren muy

especficamente las polticas de seguridad.

Deteccin basada en anomalas: en funcin con el patrn de comportamiento

normal de trfico.

Deteccin honey pot (jarra de miel): funciona usando un equipo que se configura

para que llame la atencin de los hackers.

Deteccin basada en firmas


9/30

Una firma tiene la capacidad de reconocer una determinada cadena de bytes en

cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los

servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar

utilizando un cierto patrn de cadenas que pueda identificar ataques al servidor web. Sin

embargo, como este tipo de deteccin funciona parecido a un antivirus, el administrador

debe verificar que las firmas estn constantemente actualizadas.

Deteccin basada en polticas

En este tipo de deteccin, el IPS requiere que se declaren muy especficamente

las polticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin

con determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo descarta.

Deteccin basada en anomalas

Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es

sumamente difcil determinar y medir una condicin normal. En este tipo de deteccintenemos dos opciones:

Deteccin estadstica de anormalidades: El IPS analiza el trfico de red por un

determinado periodo de tiempo y crea una lnea base de comparacin. Cuando el trfico

vara demasiado con respecto a la lnea base de comportamiento, se genera una alarma.


10/30

Deteccin no estadstica de anormalidades: En este tipo de deteccin, es el

administrador quien define el patrn normal de trfico. Sin embargo, debido a que con

este enfoque no se realiza un anlisis dinmico y real del uso de la red, es susceptible a

generar muchos falsos positivos.

Deteccin honey pot (jarra de miel)

Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda

lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de

ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se

puede monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa

forma implementar polticas de seguridad acordes en nuestros sistemas de uso real.


11/30

Red IDS / IPS para la deteccin de amenazas WLAN y Mitigacin

Ventajas y desventajas de IDS

Ventajas:

o Puede rastrear cada paso de un ataque de No se puede ser fcilmenteeludido

o La ventaja principal de esta tcnica radica en la facilidad de actualizacin y

tambin en la gran cantidad de firmas que se encuentran en la base N-IDS.

Sin embargo, cantidad no siempre significa calidad. Por ejemplo, los 8

bytes CE63D1D2 16E713CF, cuando se colocan al inicio de una

transferencia de datos UDP, indican un trfico Back Orifice con una

contrasea predeterminada. Aunque el 80% de las intrusiones utilicen la

contrasea predeterminada, el 20% utilizarn contraseas personalizadas yno sern necesariamente reconocidas por el N-IDS. Por ejemplo, si la

contrasea se cambia a "evadir", la serie de bytes se convertir en

"8E42A52C 0666BC4A", lo que automticamente la proteger de que el N-

IDS la capture. Adems, la tcnica inevitablemente conducir a un gran

nmero de falsas alarmas y falsos positivos.


12/30

Desventajas:

o No se puede bloquear el trfico de intrusos Slo tan fuerte como su base de

datos de la firma Posibilidad de falsas alarmas Establecer puede requerir un

cierto nivel de conocimiento de configuracin y de seguridad

Ventajas y desventajas de IPS

Ventajas

o Los IPS combinan mltiples funcionalidades, como firewall, IDS, inspeccin

statefull y deteccin de anomalas de protocolo, antivirus, valoracin de

vulnerabilidades, filtrado de contenidos, etc. De esta forma, consiguen proteger

automticamente de los ataques antes de que hayan impactado en la red,

poniendo el nfasis en la prevencin y en la automatizacin.

o Capacitados para analizar los protocolos de aplicacin individuales -como HTTP

para aplicaciones Web, SMTP para el correo electrnico o DNS para el hosting-,

estos IPS aseguran que slo los tipos de trfico y las peticiones con los protocolos

adecuados pasan a cada servidor. En general, todas estas capacidades cobran

una especial importancia teniendo en cuenta que la ms reciente generacin de

ataques DoS, as como las infecciones de spyware y malware estn diseados

para burlar los cortafuegos y explotar las brechas de seguridad en el nivel de las

aplicaciones. A estas ventajas se aade la capacidad para actuar de forma

coordinada con mecanismos de autenticacin basada en directorios sobre

servidores de polticas y servidores LDAP (Leightweigh Directory Access Protocol).

Desventajas

o De acuerdo a las tecnologas o mtodos utilizadas para detectar las intrusiones.

Se pueden identificar:

o Los basados en firmas de ataques. Los utilizan los NIDS que emplean firmas de

ataque pre-identificadas.


13/30

o Uso indebido del protocolo del sistema. Monitorizan las desviaciones del protocolo

normal. Este mtodo es til para detectar intentos por parte de un usuario o

aplicacin de intentar ganar acceso no autorizado a un sistema.

Ejemplos de IDS e IPS

Sourcefire Defense Center

Gestione la seguridad de su red con una interfaz poderosa y fcil de usar.

El Defense Center es el sistema nervioso del suite Sourcefire 3D. Consiste en una

interfaz grfica poderosa y bastante fcil de usar, donde se agregan y supervisan los

eventos de seguridad y compliance, generando informes y distribuyendo configuraciones

a travs de toda la arquitectura Sourcefire. La consola es accedida por cualquier

navegador y posee un visual de portal con widgets personalizables con caractersticas

de drag and drop. Existen configuraciones previas en que informaciones crticas son

dispuestas en forma de tablas y grficos. Adems de la facilidad de visualizacin de

informaciones crticas al negocio de la empresa, existen configuraciones avanzadas como

acceso de usuarios personalizado y granular y, funcin de circulacin por las principales

funcionalidades de forma peridica, muy til para monitores de un SOC, por ejemplo. Es

posible tallar el dashboard para atender de forma ms precisa las necesidades

especficas de cualquier negocio.

Defensa de red centralizada: Agregue y supervise

Toda la comunicacin que existe entre los sensores y

el DC es hecha de una manera segura y cifrada, permitiendo

que el almacenaje y el anlisis se den de forma centralizada.

La consola de gestin correlaciona, en tiempo real, los

ataques con las vulnerabilidades de red y, de forma inteligente, clasifica el incidente de

acuerdo a su relevancia y severidad de ataque. Esto permite que el equipo de TI se

preocupe con lo que de hecho es relevante, ahorrando tiempo y energa. El nmero de

falso positivos es reducido en hasta 99%.


14/30

Alertas e Informes Personalizados

Con el Defense Center es posible trabajar

con una gama de informes y alertas personalizados.

Los usuarios pueden escoger entre una variedad de

informes predefinidos o crear algo totalmente moldeado a sus necesidades. Los informes,

adems, pueden ser exportados en PDF, HTML y CSV, mientras que los alertas pueden

ser disparados por Syslog, email y SNMP.

Configuraciones Centralizadas

Con el Defense Center, es posible tener control total

de las configuraciones de hasta 100 sensores a partir de unanica consola de gestin. Todas las configuraciones ganan

una forma centralizada para edicin, aplicacin y backup.

Otras funcionalidades que ayudan bastante al administrador de la herramienta son: la

opcin de comparar dos polticas lado a lado; la fcil navegacin en la base de reglas y; el

proceso detallado de creacin de una nueva poltica de configuraciones.

Escalabilidad Sin Lmites

Para grandes corporaciones con una necesidad

superior a 100 sensores, es posible usar un Defense Center

3000 como gestor de otros 10 defense centers, aumentando

el nmero de sensores abajo de un punto nico de gestin

de centenas.

Integracin con Otros Dispositivos

Sourcefire ofrece muchas posibilidades de integracin con otros dispositivos de

otros fabricantes. Es posible exportar los eventos a un correlacionador de eventos a

travs de la herramienta eStreamer. Otra posibilidad es la integracin con equipos

Cisco y Checkpoint para crear remediaciones en tiempo real para problemas inherentes.


15/30

Finalmente, es posible trabajar con el scan de vulnerabilidades Qualys para obtener un

resultado an ms apurado de las vulnerabilidades de la red.

Symantec Critical System Protection

Las organizaciones lderes utilizan Symantec Critical System Protection para

proteger los datacenters de datos fsicos y virtuales. Mediante funciones de deteccin

(HIDS) y prevencin de intrusiones (HIPS) basadas en host, Symantec ofrece una

solucin integral comprobada para la seguridad de los servidores. Obtenga proteccin

total para VMware vSphere, detenga los ataques dirigidos y de da cero, y consiga

visibilidad en tiempo real y control del cumplimiento de polticas con Symantec Critical

System Protection.

Supervisin de la integridad de archivos: identifique cambios en los archivos en

tiempo real, incluyendo quin los implement y qu se modific en el archivo.

Supervisin de la configuracin: identifique infracciones de polticas,

administradores sospechosos o actividad de intrusos en tiempo real.

Poltica de prevencin orientada: responda de manera inmediata a intromisiones o

riesgos para el servidor con polticas de refuerzo que pueden personalizarse

rpidamente.

Polticas granulares de prevencin de intrusiones: protjase contra las amenazas

de da cero y restrinja el comportamiento de las aplicaciones aprobadas, incluso

despus de que se haya autorizado su ejecucin con controles de acceso de

privilegio mnimo.

Bloqueo de administracin, sistemas y archivos: refuerce los servidores fsicos y

virtuales para maximizar el tiempo en servicio del sistema y evitar los costos

continuos del soporte para los sistemas operativos antiguos.

Amplia compatibilidad con plataformas fsicas: supervise y proteja las plataformas

basadas en Windows, y las que no estn basadas en Windows, incluidas Solaris,

Linux, AIX, HP-UX. Adems, utilice los agentes virtuales para las plataformas

menos comunes e incompatibles.

Proteja y supervise vSphere: al aprovechar las polticas listas para usar de

acuerdo con las pautas ms recientes de implementacin de mejoras de seguridad


16/30

de vSphere, las organizaciones pueden proteger por completo su entorno en el

servidor de administracin, el hipervisor y el invitado.

Administracin centralizada: simplifique la administracin de sistemas

heterogneos con visibilidad en tiempo real de funciones de elaboracin de

informes grficos y eventos. Integracin con soluciones SIEM y GRC de TI: integracin compatible con

Symantec Control Compliance Suite para la evaluacin y supervisin unificadas de

la infraestructura y la informacin, as como con Symantec Security Information

Manager para la administracin y la correlacin avanzadas de incidentes.

Beneficios clave

o Alcance la proteccin total para vSphere mediante el uso de polticas listas para

usar de acuerdo con las pautas ms recientes de implementacin de mejoras deseguridad de vSphere.

o Detenga los ataques de da cero y dirigidos en servidores con polticas de

prevencin dirigidas.

o Visibilidad en tiempo real y control del cumplimiento de polticas en una sola

solucin de supervisin y prevencin en tiempo real.

Snort

IDS/IPS (Intrusion Detection System/Intrusion

Prevention System) por medio de la herramienta OpenSource

Snort. Es un potente IDS/IPS (Intrusion Detection

System/Intrusion Prevention System) que se ha convertido en

un estndar en el campo de la seguridad de sistemas

informticos. Es una herramienta que utiliza una filosofa muy

similar a IPTables, ya que utiliza reglas sobre los paquetes que

viajan en una red, sin embargo, dependiendo del modo de

ejecucin va un poco mas all, permitiendo tomar decisiones

sobre la informacin intercambiada y la deteccin de posibles

ataques sobre peticiones que aunque aparentemente son

legitimas, pueden encajar en algn patrn de ataque.


17/30

Diferencias entre IDS e IPS

El IPS es un sistema de prevencin/proteccin para defenderse de las intrusiones

y no slo para reconocerlas e informar sobre ellas, como hacen la mayora de los IDS.

Existen dos caractersticas principales que distinguen a un IDS (de red) de un IPS (de

red):

El IPS se sita en lnea dentro de la red IPS y no slo escucha pasivamente a la

red como un IDS (tradicionalmente colocado como un rastreador de puertos en la red).

Un IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar

el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa

que el IPS puede filtrar y bloquear paquetes en modo nativo (al utilizar tcnicas como la


18/30

cada de una conexin, la cada de paquetes ofensivos o el bloqueo de un intruso).

Cisco Unified Wireless e IPS Modos de implementacin.

Estndares asociados a los IDS/IPS

Dos estndares utilizados en IDS/IPS son: (1) IDMEF (Intrusion Detection

Message Exchange Format) del IETF. El objetivo del IDWG (Intrusion Detection Working

Group) es definir el formato de datos, definir el procedimiento de intercambio y especificar

un lenguaje de intrusin comn. El IDMEF es un formato de datos estndar e

interoperable que utiliza XML. Los tpicos despliegues son las comunicaciones entre

sensor y gestor, el almacenamiento en la base de datos, la interaccin con la consola

centralizada y el sistema de correlacin de eventos. (2) CVE (Common Vulnerabilities and

Exposures). Posibilita la interoperabilidad entre herramientas. Un ejemplo de

nomenclatura es CVE-2000-0809, se trata de una entrada a la lista CVE que estandariza

un problema de seguridad, en este caso un buffer overflow en la herramienta VPN-

1/Firewall-1 v4.1 de CheckPoint.

Ejemplo de configuracin de la actualizacin de IDS 4.1 a IPS 5.0


19/30

A continuacin se describe cmo actualizar el software Cisco Intrusion Detection Sensor

(IDS) de la versin 4.1 a Cisco Intrusion Prevention System (IPS) 5.0.

Nota: desde la versin 5.x y posteriores, Cisco IPS sustituye a Cisco IDS, que se aplica

hasta la versin 4.1.

Para obtener ms informacin sobre cmo recuperar el dispositivo Cisco Secure IDS

(anteriormente NetRanger) y los mdulos para las versiones 3.x y 4.x, consulte Password

Recovery Procedure for the Cisco IDS Sensor and IDS Services Modules (IDSM-1, IDSM-

2) (Procedimiento de recuperacin de contrasea para el sensor IDS y los mdulos de

servicios IDS (IDSM-1, IDSM-2) de Cisco).

Requisitos previos

Para poder llevar a cabo la actualizacin a la versin 5.0, se requiere como mnimo la

4.1(1).

Componentes utilizados

La informacin del documento se basa en el hardware Cisco IDS serie 4200 que ejecuta

la versin 4.1 del software (que se actualizar a la 5.0).

La informacin que contiene este documento se cre a partir de los dispositivos en un

ambiente de laboratorio especfico. Todos los dispositivos que se utilizan en este

documento se pusieron en funcionamiento con una configuracin despejada

(predeterminada). Si la red est en produccin, asegrese de comprender el impacto que

pueda tener cualquier comando.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos tcnicos de

Cisco) para obtener ms informacin sobre las convenciones del documento.

Configuracin

La descarga de la actualizacin de Cisco 4.1 a 5.0 est disponible en Cisco.com.

Consulte Obtaining Cisco IPS Software (Obtencin del software Cisco IPS) para obtener


20/30

informacin sobre el procedimiento utilizado para acceder a las descargas del software

IPS en Cisco.com.

Para llevar a cabo la actualizacin puede utilizar cualquiera de los mtodos indicados a

continuacin:

Una vez descargado el archivo de la actualizacin 5.0, consulte el archivo Readme para

obtener informacin sobre su instalacin con el comandoupgrade. Consulte la

seccin Uso del comando de actualizacin de este documento para obtener ms

informacin.

Si configur la opcin de actualizacin automtica para el sensor, copie el archivo de la

actualizacin 5.0 en el directorio del servidor donde el sensor busca las actualizaciones.

Consulte la seccin de este documento Uso del comando de actualizacin

automtica para obtener ms informacin.

Si instala una actualizacin en el sensor y ste no se puede utilizar tras su reinicio, debe

rehacer la imagen del sensor. La actualizacin de un sensor desde cualquier versin de

Cisco IDS anterior a la 4.1 tambin requiere el uso del comando recover o del CD de

actualizacin/recuperacin. Consulte la seccin de este documento Nueva imagen del

sensor para obtener ms informacin.

Actualizacin del sensor

En estas secciones se explica cmo utilizar el comando upgrade para actualizar el

software del sensor:

Informacin general

El sensor se puede actualizar con los siguientes archivos, todos ellos con extensin .pkg:

Actualizaciones de firma; por ejemplo, IPS-sig-S150-minreq-5.0-1.pkg

Actualizaciones principales; por ejemplo, IPS-K9-maj-6.0-1-pkg

Actualizaciones normales; por ejemplo, IPS-K9-min-5.1-1.pkg

Actualizaciones de service pack; por ejemplo, IPS-K9-sp-5.0-2.pkg


21/30

Actualizaciones de particiones de recuperacin; por ejemplo, IPS-K9-r-1.1-a-5.0-1.pkg

Con la actualizacin del sensor se cambia su versin de software.

Opciones y comando de actualizacin

Utilice el comando auto-upgrade-option enabled en el submodo de host de servicio para

configurar las actualizaciones automticas.

Se aplican las siguientes opciones:

default: vuelve a establecer el valor en la configuracin predeterminada del sistema.

directory: directorio donde se ubican los archivos de actualizacin en el servidor de

archivos.

file-copy-protocol: protocolo de copia de archivos utilizado para descargar archivos del

servidor. Los valores vlidos son ftp o scp.

Nota: si usa SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista

de hosts conocidos por SSH, para que el sensor se pueda comunicar con l mediante

SSH. Consulte Adding Hosts to the Known Hosts List (Adicin de hosts a la lista de hosts

conocidos) para obtener informacin sobre el procedimiento.

ip-address: direccin IP del servidor de archivos.

password: contrasea de usuario para la autenticacin en el servidor de archivos.

schedule-option: programa el momento en que se producen las actualizaciones

automticas. La programacin de calendario inicia las actualizaciones en horas

especficas de das concretos. La programacin peridica comienza las actualizaciones

en intervalos peridicos especficos.

calendar-schedule: configura los das de la semana y las horas del da en que se llevan a

cabo las actualizaciones automticas.

days-of-week: das de la semana en los que se llevan a cabo actualizaciones automticas.

Se pueden seleccionar varios das. Los valores vlidos son de domingo a sbado.

no: elimina una seleccin o entrada.


22/30

times-of-day: horas del da en las que comienzan las actualizaciones automticas. Se

pueden seleccionar varias horas. El valor vlido se expresa como hh:mm[:ss].

periodic-schedule: configura la hora en la que se debe realizar la primera actualizacin

automtica y cunto tiempo se debe esperar entre sucesivas actualizaciones.

interval: nmero de horas que se debe esperar entre actualizaciones automticas. Los

valores vlidos se encuentran entre 0 y 8760.

start-time: hora del da en la que se inicia la primera actualizacin automtica. El valor

vlido se expresa como hh:mm[:ss].

user-name: nombre de usuario para la autenticacin en el servidor de archivos.

Uso del comando de actualizacin

Complete los siguientes pasos para actualizar el sensor:

Descargue el archivo de actualizacin principal (IPS-K9-maj-5.0-1-S149.rpm.pkg) a un

servidor FTP, SCP, HTTP o HTTPS al que pueda acceder el sensor.

Consulte Obtaining Cisco IPS Software (Obtencin del software Cisco IPS) para obtener

informacin sobre cmo localizar software en Cisco.com.

Nota: para poder descargar el archivo, se debe iniciar sesin en Cisco.com con unacuenta con privilegios criptogrficos. No cambie el nombre del archivo. Debe conservar el

nombre original para que el sensor pueda aceptar la actualizacin.

Inicie sesin en CLI con una cuenta que tenga privilegios de administrador.

Indique el modo de configuracin:

sensor#configure terminal

Actualice el sensor:

sensor(config)#upgrade scp://@//upgrade/


23/30

Ejemplo:

Nota: este comando se muestra en dos lneas debido a limitaciones de espacio.

sensor(config)#upgrade scp://[email protected]//upgrade/

IPS-K9-maj-5.0-1-S149.rpm.pkg

Introduzca la contrasea cuando se le solicite:

Enter password: ********

Re-enter password: ********

Escriba yes para completar la actualizacin.

Nota: las actualizaciones principales, normales y de service pack pueden requerir un

reinicio de los procesos de IPS o incluso un reinicio del sensor para finalizar la instalacin.

Por lo tanto, se produce una interrupcin del servicio de dos minutos como mnimo. Sin

embargo, para las actualizaciones de firma no es necesario reiniciar una vez realizada la

actualizacin. Consulte la pgina de descargas de actualizaciones de firma (slo para

clientes registrados) para obtener las actualizaciones ms recientes.

Compruebe la nueva versin del sensor:

sensor#show version

Application Partition:

Cisco Intrusion Prevention System, Version 5.0(1)S149.0

OS Version 2.4.26-IDS-smp-bigphys

Platform: ASA-SSM-20

Serial Number: 021

No license present

Sensor up-time is 5 days.


24/30

Using 490110976 out of 1984704512 bytes of available memory (24% usage)

system is using 17.3M out of 29.0M bytes of available disk space (59% usage)

application-data is using 37.7M out of 166.6M bytes of

available disk space (24 usage)

boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)

MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running

AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running

CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600

Upgrade History:

IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004

Recovery Partition Version 1.1 - 5.0(1)S149

sensor#

Uso del comando de actualizacin automtica

Consulte la seccin Opciones y comando de actualizacin de este documento para

obtener ms informacin sobre los comandos auto-update.

Realice los siguientes pasos para programar actualizaciones automticas:

Inicie sesin en CLI con una cuenta que tenga privilegios de administrador.

Configure el sensor para que busque automticamente las nuevas actualizaciones en su

directorio de actualizacin.

sensor#configure terminal

sensor(config)#service host

sensor(config-hos)#auto-upgrade-option enabled


25/30

Especifique la programacin:

Para la programacin de calendario, que inicia las actualizaciones en horas especficas de

das concretos:

sensor(config-hos-ena)#schedule-option calendar-schedule

sensor(config-hos-ena-cal#days-of-week sunday

sensor(config-hos-ena-cal#times-of-day 12:00:00

Para la programacin peridica, que comienza las actualizaciones en intervalos

peridicos especficos:

sensor(config-hos-ena)#schedule-option periodic-schedule

sensor(config-hos-ena-per)#interval 24

sensor(config-hos-ena-per)#start-time 13:00:00

Especifique la direccin IP del servidor de archivos:

sensor(config-hos-ena-per)#exit

sensor(config-hos-ena)#ip-address 10.1.1.1

Indique el directorio donde se ubican los archivos de actualizacin en el servidor de

archivos:

sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates

Especifique el nombre de usuario para la autenticacin en el servidor de archivos:

sensor(config-hos-ena)#user-name tester


26/30

Indique la contrasea del usuario:

sensor(config-hos-ena)#password

Enter password[]: ******

Re-enter password: ******

Especifique el protocolo del servidor de archivos:

sensor(config-hos-ena)#file-copy-protocol ftp

Nota:si usa SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista

de hosts conocidos por SSH, para que el sensor se pueda comunicar con l mediante

SSH. Consulte Adding Hosts to the Known Hosts List (Adicin de hosts a la lista de hosts

conocidos) para obtener informacin sobre el procedimiento.

Compruebe la configuracin:

sensor(config-hos-ena)#show settingsenabled-----------------------------------------------schedule-option-----------------------------------------------periodic-schedule-----------------------------------------------start-time: 13:00:00interval: 24 hours-----------------------------------------------

ip-address: 10.1.1.1directory: /tftpboot/update/5.0_dummy_updatesuser-name: testerpassword: file-copy-protocol: ftp default: scp-----------------------------------------------sensor(config-hos-ena)#Salga del submodo de actualizacin automtica:sensor(config-hos-ena)#exit


27/30

sensor(config-hos)#exitApply Changes:?[yes]:

Pulse Enter para aplicar los cambios o escriba no para descartarlos.

Nueva imagen del sensor

La imagen del sensor se puede rehacer de las siguientes maneras:

Para dispositivos IDS con una unidad de CD-ROM, utilice el CD de

actualizacin/recuperacin.

Para todos los sensores, utilice el comando recover.

Para IDS-4215, IPS-4240 e IPS 4255, utilice ROMMON para restaurar la imagen del

sistema.

Para NM-CIDS, utilice el cargador de inicializacin.

Para IDSM-2, rehaga la imagen de la particin de la aplicacin desde la particin de

mantenimiento.

Para ASA-SSM, rehaga la imagen a partir de ASA con el comando hw-module module 1

recover [configure | boot].

Para obtener informacin sobre el procedimiento, consulte la seccin Installing the ASA-SSM System Image (Instalacin de la imagen del sistema ASA-SSM) de Configuring the

Cisco Intrusion Prevention System Sensor Using the Command Line Interface

5.0 (Configuracin del sensor Cisco Intrusion Prevention System utilizando la interfaz de

lnea de comandos 5.0).


28/30

Conclusin

En la prensa especializada, cada vez resuena ms el trmino IPS (Sistema de prevencin

de intrusiones) que viene a sustituir al IDS "tradicional" o para hacer una distincin entreellos.

Un IDS/IPS monitoriza y detecta comportamientos maliciosos e identifica patrones

sospechosos que pueden comprometer la seguridad de la red/sistema de computacin. El

IDS es un sistema pasivo, detecta una brecha potencial de seguridad, registra la

informacin y seala una alerta. El IPS es un sistema tanto reactivo, respondiendo a la

actividad sospechosa reconfigurando los firewall para bloquear el trfico de red o

eliminando trfico de la red como proactivo tomando medidas con anticipacin en base a

indicios detectados.

Algunas razones de la necesidad de los IDS/IPS son hacer frente a las prdidas de

propiedad intelectual, de integridad de datos, de control de procesos, al espionaje

industrial, etc. posibilitan el registro de secuencias de eventos


29/30

Bibliografa

Areitio, J. and Areitio, G. Identificacin, anlisis y defensas en torno al malware o cdigomalicioso. Revista Conectrnica. N 107. Mayo 2007.

-Areitio, J. Identificacin y anlisis en torno a las tecnologas de autenticacin deusuarios. Revista Conectrnica. N 106. Abril 2007.

Areitio, J. Integracin slida entre la gestin de incidentes y el anlisis forense deseguridad de la informacin. Revista Conectrnica. N 103. Enero 2007.

Areitio, J. Necesidad de complementar los firewall: sistemas de deteccin-prevencin deintrusiones y valoracin de vulnerabilidades. Revista Conectrnica. N 101. Octubre

2006.

Areitio, J. Seguridad de la Informacin: Redes, Informtica y Sistemas de Informacin.Cengage Learning Paraninfo. 2008.

Cox, K. and Gerg, C. Managing Security with Snort and IDS Tools. OReilly Media, Inc.Sebastopol, CA. 2004.

Beale, J., Baker, A. and Esler, J. Snort IDS and IPS Toolkit. Syngress Publishing, Inc.Rockland, MA. 2007.

Provos, N. and Holz, T. Virtual Honeypots: From Botnets Tracking to Intrusion Detection.Addison-Wesley. Upper Saddle River. NJ. 2008.

Huang, C-T. and Gouda, M.G. Hop Integrity: A Defence Against Denial-of-ServiceAttacks. Springer. 2005.

Snort, http://www.snort.org. Herramienta open source del tipo NIDS creada por MartinRoesch, fundador de la compaa de productos de seguridad Sourcefire.

Nmap, http://insecure.org/nmap/. Herramienta de exploracin de puertos para pruebas deintrusin e identificacin de servicios.

Sitio Web CVE que clasifica las vulnerabilidades existentes, http://cve.mitre.org/cve.Herramienta.


30/30

Kasabov, N. Foundations of Neural Networks, Fuzzy Systems and KnowledgeEngineering. MIP Press. Cambridge. MA. 1998.

Manikopoulos, C.N. Intrusion Detection and Network Security: Statistical Anomaly

Approaches. CRC. 2008.

Di Pietro, R. and Mancini, L.V. Intrusion Detection Systems. Springer. 2008.

Flegel, U. Privacy-Respecting Intrusion Detection. Springer. 2007.

IPS IDS Seguridad de la información

Documents

Transcript of IPS IDS Seguridad de la información