IPS E IDS

Descripcin breve
Definicin de IPS e IDS y mencin de 3 firewall ms conocidos.

Gabriel Enrique Carballo Portillo

Qu es un IPS?
Sus siglas en ingles son Intrusion Prevention System, en espaol Sistema de Prevencin de Intrusos, se utiliza para detectar accesos no permitidos a una red. Un sistema de prevencin de intrusos (IPS) va ms all de la determinacin de una actividad o posible actividad ilegal. El IPS adems bloquea el host que est intentando realizar esta actividad determinada como ilegal de forma tal que an en caso de que la actividad pueda ser potencialmente peligrosa, el atacante se quedar impedido de entrar al servicio que se ofrece puesto que el IPS le bloquea a nivel de red. El IPS se sita en lnea dentro de la red IPS y no slo escucha pasivamente a la red como un IDS (tradicionalmente colocado como un rastreador de puertos en la red). El IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa que el IPS puede filtrar y bloquear paquetes en modo nativo (al utilizar tcnicas como la cada de una conexin, la cada de paquetes ofensivos, el bloqueo de un intruso, etc.).

Qu es un IDS?
Sus siglas en ingles son Intrusion Detection System, en espaol Sistema de Deteccin de Intrusos, se utiliza para detectar accesos no permitidos a una red. Es aquel que determina cada vez que se est intentando realizar una actividad ilegal contra el sistema y guarda la evidencia de esta actividad para que el administrador pueda verificar y tomar medidas posteriores al intento de ataque. El IDS posee sensores que les permite obtener datos, de manera que cuando el IDS detecta el trfico puede identificar por intermedio de anomalas o comportamientos extraos si se trata de un ataque o un falso positivo. El modo de funcionamiento del IDS es analizar a nivel muy profundo todo el trfico de red, en el momento que dicho trfico pasa se con firmas de ataques ya reconocidos, as como tambin se controlan los comportamientos extraos como el escaneo de puertos por ejemplo. Este equipo debe funcionar junto con un Firewall debido a que el IDS no tiene la funcionalidad de bloquear un ataque.

3 Firewall ms conocidos.
Un firewall es un programa o hardware diseado para bloquear las conexiones no deseadas a travs de una red (por ejemplo Internet) mientras que permite las conexiones autorizadas. Los ms comunes son: 1) Router con Filtrado de Paquetes. 2) Gateway a Nivel de Aplicacin. 3) Gateway a Nivel de Circuitos + (Host Bastin).

Router con Filtrado de Paquetes

Aplica un set de reglas para cada paquete entrante y luego lo reenva o descarta. Filtra paquetes en ambas direcciones. El filtrado de paquetes se setea tpicamente como una lista de reglas (ACL: Access Control List) basadas en matches de campos de cabeceras IP o TCP/UDP. Dos polticas por default: discard/deny o forward/allow Mejor habilitar explcitamente (default= deny) Se implementa con notacin especfica de cada router.

Ventajas Simplicidad Transparencia hacia usuarios Alta velocidad

Desventajas Dificultad en el seteo de reglas de filtrado Falta de Autenticacin

Posibles ataques y Contramedidas apropiadas IP Address Spoofing (mentir direccin IP) Descartar paquetes con direccin IP interna que arribe del exterior. Ataques Source Routing (paquete IP con opcin ruteo fuente) Descartar todos los paquetes que usen esta opcin. Ataques por Tiny Fragments (fragmentos muy pequeos) Descartar todos paquetes donde tipo protocolo sea TCP y Offset de Fragmento=1 en Header_IP.

Gateway a Nivel Aplicacin (o Proxy Server)

Son hosts corriendo Proxy servers, que evitan trfico directo entre redes. Acta como un relay (conmutador) de trfico a nivel de aplicacin. Ms eficiente y posible control de contenidos. Puede ponerse un AV en el gateway.

Proxy de Aplicacin: programa que representa a toda la red interna, ocultando la LAN de la red pblica. Toma decisiones de forwarding en los 2 sentidos. Har el forward de clientes autorizados a servers del exterior y traer las respuestas a dichos clientes. Proxy HTTP puede mantener pginas web en cach.

Ventajas Ms seguros que filtros de paquetes. Slo necesita discriminar unas pocas aplicaciones permitidas (Telnet, HTTP, etc.), no a nivel de IP o TCP. Fcil control de log y auditar todo el trfico entrante

Desventajas Overhead de procesamiento adicional en cada conexin, ya que hay dos conexiones divididas y el Gateway que acta como splice, debe examinar y reenviar todo el trfico.

Gateway a Nivel de Circuitos:

Puede ser un sistema stand-alone o una funcin especializada realizada por un GW

de nivel aplicacin. No permite conexiones TCP end-to-end, sino que GW setea 2 conexiones TCP entre usuarios TCP externo e interno con l. GW hace conmutacin de segmentos TCP de una conexin a otra sin examinar contenido. La funcin de seguridad consiste en determinar qu conexiones sern permitidas. Usado tpicamente en situaciones donde el administrador del sistema confa en los usuarios internos. Un ejemplo de implementacin es el paquete SOCKS (v.5 en RFC 1928) Capa entre niveles de Transporte y Aplicacin No provee servicios de GW a capa de red, como el forwarding de mensajes ICMP. Consiste de Server Socks, Libreras de clientes socks y Programas clientes sockificados de las aplicaciones estndares.

Ventajas Tres niveles de defensa ante intrusos. El Router Externo slo declara hacia la Internet la existencia de la subred protegida; la red interna es invisible para la Internet. protegida; los sistemas de la red interna no pueden construir rutas directas hacia Internet. Los routers slo permiten trfico a/desde la red DMZ.

El Router Interno slo declara hacia la red interna la existencia de la subred