Sistemas IPS e IDS

Instituto Tecnolgico Superior de Calkin en el Estado de

Campeche


23/06/2014
Isc C
Libna Kantn


Sistemas IPS e IDS

pg. 1
Sistemas IDS
Un Sistema de Deteccin de Intrusos o IDS es una herramienta de seguridad
encargada de monitorizar los eventos que ocurren en un sistema informtico en
busca de intentos de intrusin.
Definimos intento de intrusin como cualquier intento de comprometer la
confidencialidad, integridad o disponibilidad de un sistema informtico, o de eludir
los mecanismos de seguridad de ste.
Un IDS tiene varios componentes:
Sensors[sensores]: Generan eventos de seguridad.
Console [consola]: Monitorea eventos y alertas enviados por los sensores
y controla los sensores.
Engine [motor]: Graba los eventos registrados por los sensores en una
base de datos y utiliza un sistema de reglas para generar alertas en funcin
de los eventos de seguridad recibidos.
Por qu utilizar un IDS?
Prevenir problemas al disuadir a individuos hostiles.
Detectar violaciones de seguridad que no pueden ser prevenidas por otros
medios.
Detectar prembulos de ataques.
Documentar el riesgo de la organizacin.
Proveer informacin til sobre las intrusiones que ocurren

Clasificacin
1. Segn localizacin:
NIDS (Network Intrusion Detection System): Analiza el trfico de toda
la red. Examina paquetes en bsqueda de opciones no permitidas y
diseadas para no ser detectadas por los cortafuegos. Produce
alertas cuando se intenta explorar algn fallo de un programa de un
servidor.
HIDS (Host Intrusion Detection System): Analiza el trfico sobre un
servidor o un PC. Detecta intentos fallidos de acceso. Detecta
modificaciones en archivos crticos
2. Segn modelo de deteccin:
Deteccin de mal uso: Verificacin sobre tipos ilegales de trfico de
red. Se implementa observando cmo explotar los puntos dbiles de
los sistemas y describindolos mediante patrones
Sistemas IPS e IDS

pg. 2
Deteccin de uso anmalo: Estadsticas sobre trfico tpico en la
red.Detecta cambios en los patrones de utilizacin o comportamiento
del sistema. Utiliza modelos estadsticos y busca desviaciones
estadsticas significantes.

3. Segn naturaleza
Pasivos: Detectan la posible violacin de la seguridad, la registran y
generan alerta.
Reactivos: Responde ante una actividad ilegal de forma activa,
sacando al usuario del sistema o reprogramando el firewall.
Topologia de IDS

Ejemplos de IDS No Comerciales
Snort
Disponible en UNIX y Windows.
Nmero uno en IDSs en este momento.
Balanceo de carga complicado (hasta la fecha).
www.snort.org

Shadow
Idea: construir interfaz rpida para una DMZ caliente.
No es en tiempo real no es til para anlisis forense.
www.nswc.navy.mil/ISSEC/CID/

Ejemplos de IDS Comerciales
RealSecure
Sistema comercial ms desplegado.
Sistemas IPS e IDS

pg. 3
Dividido en dos partes: directores y sensores.
Permite definir normativas que se configuran en el director y se
descargan en los sensores.
Back-end: Microsoft Access

NetRanger
Dispone de equipos R con capacidad de respuesta.
Sensores, director y equipos R se comunican por medio de un protocolo
patentado.
Ventajas: gran integracin con routers Cisco y sensores avanzados.
Inconvenientes: coste, bajo rendimiento del director.

Sistemas IPS
El Sistema de Prevencin de Intrusos (IPS) es una tecnologa de software ms
hardware que ejerce el control de acceso en una red de computadores para
protegerla de ataques y abusos. La tecnologa de Prevencin de Intrusos (IPS) es
considerada por algunos como una extensin de los Sistemas de Deteccin de
Intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a
las tecnologas de firewalls; incluso los complementan.
Los Sistemas de Deteccin de Intrusos (IPS) tienen como ventaja respecto de los
Firewalls tradicionales (Cortafuegos), el que toman decisiones de control de
acceso basados en los contenidos del trfico, en lugar dehacerlo basados en
direcciones o puertos IP.
La diferencia entre un Sistema de Prevencin de Intrusos(IPS) frente a un
Sistema de Deteccin de Intrusos (IDS), es que este ltimo es reactivo pues
alerta al administrador ante la deteccin de un posible intruso (usuario que activ
algn sensor), mientras que un Sistema de Prevencin de Intrusos (IPS) es
proactivo, pues establece polticas de seguridad para proteger el equipo o la red
de un posible ataque.
Los Sistemas de Prevencin de Intrusos (IPS) tienen varias formas de detectar el
trfico malicioso:
1. Deteccin Basada en Firmas, como lo hace un antivirus,
2. Deteccin Basada en Polticas: el IPS requiere que se declaren muy
especficamente las polticas de seguridad,
3. Deteccin Basada en Anomalas: funciona con el patrn de
comportamiento normal de trfico ( el cual se obtiene de mediciones reales
de trfico o es predeterminado por el administrador de la red), el cual es
comparado permanentemente con el trfico en lnea, enviando una alarma
cuando el trfico real vara mucho con respecto del patrn normal, y
4. Deteccin Honey Pot (Jarra de Miel): funciona usando un equipo que se
configura para que llame la atencin de los hackers, de forma que estos
Sistemas IPS e IDS

pg. 4
ataquen el equipo y dejen evidencia de sus formas de accin, con lo cual
posteriormente se pueden implementar polticas de seguridad.
Los sistemas de prevencin de intrusiones se pueden clasificar en cuatro tipos
diferentes:
Basada en la red de prevencin de intrusiones (PIN): los monitores de
toda la red para el trfico sospechoso mediante el anlisis de la actividad de
protocolo.
Sistemas de prevencin de intrusiones inalmbricas (WIPS): los
monitores de una red inalmbrica para el trfico sospechoso mediante el
anlisis de protocolos de redes inalmbricas.
Anlisis de comportamiento de la red (NBA): examina el trfico de red
para identificar las amenazas que generan flujos de trfico inusuales, como
la denegacin de servicio distribuido (DDoS), ciertas formas de malware, y
violacines de poltica.
Basada en el host de prevencin de intrusiones (HIPS): un paquete de
software que controla un nico host para detectar actividades sospechosas
mediante el anlisis de los acontecimientos que ocurren dentro de ese
sistema.