No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Adquiere por un a帽o todos los cursos, escuelas y certificados por un precio especial.

Antes: $249

Currency
$219/a帽o

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Comprar ahora

Termina en:

0D
8H
9M
21S

IPS/IDS (Intrusion Prevention/Detection Systems)

21/37
Recursos

Aportes 18

Preguntas 1

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

IDS (Sistema de Detecci贸n de Intrusos) S贸lo Detecta actividades maliciosas.
IPS (Sistema de Prevenci贸n de Intrusos) Ejecuta una acci贸n ante actividades maliciosas y se encuentra In-line para bloquear la conexi贸n.

Identifican amenazas mediante:

  • Firmas

  • Anomal铆as

  • Pol铆ticas

Un Firewall s贸lo analiza los Headers TCP/IP, mientras que los IPS/IDS analizan todos los paquetes completos.

Existen diferentes tipos:
NIPS Network Intrusion Prevention System
Sistema basado en red
HIPS Host Intrusion Prevention System
Sistema basado en el Host, recopila host mediante el agente en cada equipo para analizarlos.
NBA Network Behavior Analysis
Analiza tr谩fico inusual (DDoS)
WIPS Wireless Intrusion Prevention System
Escanea redes WiFi

Beneficios:

  • Integraci贸n con otras soluciones

  • Mayor eficiencia en otros controles de seguridad

  • Ahorro de tiempo

  • Compliance

  • Personalizable

Existen como soluciones independientes, en Firewalls de Nueva Generaci贸n (NGFW) o en un Gestor Unificado de Amenazas (UTM) y pueden ser Open Source, proveedores de pago o en la nube.

IPS/IDS (Intrusion Prevention/Detection Systems)

El IDS es un sistema que permite monitorear el tr谩fico interno de la red con el fin de detectar anomal铆as generadas por un ataque.
El IPS es similar al IDS, pero adem谩s de detectar, permite tomar acciones como bloquear el tr谩fico o enviar alertas.

Dada la diferencia de comportamiento, el IPS debe conectarse a la red inmediatamente despu茅s del firewall, mientras que el IDS se conecta como un dispositivo m谩s de la red.

El IDS identifica amenazas bas谩ndose en:

  • Firmas: Busca patrones en los paquetes y los compara con los almacenados en una base de datos de patrones sospechosos.
  • Anomal铆as: Conociendo el comportamiento normal de la red, detecta paquetes inusuales.
  • Pol铆ticas: Definidas por el administrador, por ejemplo, bloquear un origen si se env铆an m谩s de 100 paquetes por segundo.

Existen diferentes tipos de IPS:

  • NIPS (Network Intrusion Prevention System): Analiza todo el tr谩fico de la red.
  • HIPS (Host Intrusion Prevention System): Software instalado en cada dispositivo.
  • NBA (Network Behavior Analysis): Analiza el comportamiento del tr谩fico.
  • WIPS (Wireless Intrusion Prevention System): Similar al NBA, pero para redes inal谩mbricas.

Beneficios:

  • Integraci贸n: Se integra f谩cilmente con otras sistemas.
  • Mayor eficiencia en otros controles: Al ser uno de los primero s controles, le quita carga a otros controles.
  • Ahorro de tiempo: Por lo mismo que el punto anterior.
  • Compliance: Permite cumplir con normas y est谩ndares de seguridad.
  • Personalizable: Se adaptan a las necesidades de la organizaci贸n.

Hoy en d铆a los Firewall de nueva generaci贸n pueden tener inclu铆da la funcionalidad de IDS e IPS.

IDS (Sistema de Detecci贸n de Intrusos)
Este alerta al administrador cuando detecta actividad maliciosa.

IPS (Sistema de Prevenci贸n de Intrusos)
Este adem谩s de alertar al administrador cuando detecta actividad maliciosa, puede bloquear, capturar o eliminar paquetes maliciosos.

Platzinautas del saber, en la p谩gina de Paloalto encontr茅 que es posible que estos IPs tambi茅n reaccionan ante malware y hasta exploits - esto 煤ltimo me pregunto c贸mo lo logra-. Aqu铆 dejo el link para que lo puedan validar por ustedes mismos.

Capa 3 y 4 del modelo OSI son los que m谩s frecuentemente reciben ataques.
.
Capa 3: Red. Aqu铆 encontramos por ejemplo al router
.
Capa 4: Transporte Ejemplo TCP

Un IDS basado en patrones, analiza paquetes en la red y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta t茅cnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patr贸n, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS ser谩 incapaz de identificar el ataque. Un IDS basado en heur铆stica, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este var铆a de aquel considerado como normal, clasific谩ndose como an贸malo.
Cuenta con una base de datos (firmas) de donde bas谩ndose en la t茅cnica de 鈥渃ensar鈥 paquetes, los compara y act煤a en consecuencia, respetando los par谩metros asignados a los que se configuran (env铆o de alarmas, mails, etc.).

驴QUE HACEN LOS IDS?
鈼 Reconfiguraci贸n de dispositivos externos (firewalls o ACL en routers) Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y as铆 poder bloquear una intrusi贸n. Esta reconfiguraci贸n es posible a trav茅s del env铆o de datos que expliquen la alerta (en el encabezado del paquete).
鈼 Env铆o de una trampa SNMP a un hipervisor externo
Env铆o de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa.
鈼 Env铆o de un correo electr贸nico a uno o m谩s usuarios Env铆o de un correo electr贸nico a uno o m谩s buzones de correo para informar sobre una intrusi贸n ser铆a.
鈼 Registro del ataque Se guardan los detalles de la alerta en una base de datos central, incluyendo informaci贸n como el registro de fecha, la direcci贸n IP del intruso, la direcci贸n IP del destino, el protocolo utilizado y la carga 煤til.
鈼 Almacenamiento de paquetes sospechosos Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta.
鈼 Apertura de una aplicaci贸n: Se lanza un programa externo que realice una acci贸n espec铆fica (env铆o de un mensaje de texto SMS o la emisi贸n de una alarma sonora).
鈼 Notificaci贸n visual de una alerta Se muestra una alerta en una o m谩s de las consolas de administraci贸n.

De acuerdo a su estructura, se cuentan con dos tipos que son especiales para redes:
NIDS: basados en hardware o software, para analizar segmentos de red donde est茅n conectados, garantizando la seguridad dentro de una red.
HIDS: basado en software, generalmente aplicado sobre el sistema operativo del equipo a proteger, garantizando la seguridad de un host.

Los HIDS, analizan la informaci贸n almacenada en registros, aparte de capturar paquetes que entran o salen del dispositivo, dando la posibilidad de detectar:
Ataques de denegaci贸n de servicio 鈥 Troyanos 鈥 Ejecuci贸n de c贸digos maliciosos 鈥 Ataques de desbordamiento de buffer 鈥 Intentos de acceso no autorizado. Y por 煤ltimo tenemos el IPS (Intrusion Prevention Systems) que a diferencia de los IDS, este analiza en tiempo real, teniendo para contemplar esa posibilidad, un puerto de entrada y otro de salida. Una de sus funciones m谩s importantes es monitorear el tr谩fico de red y/o las actividades de un
sistema en busca de actividad maliciosa.

Si bien es muy 煤til, hay que tener en cuenta, que analiza todo tr谩fico entrante y saliente, bas谩ndose en anomal铆as y firmas, por lo que habr谩 que hacer un chequeo exhaustivo para que no ocasione problemas de rendimiento en la red.
Cuenta con varios m茅todos de detecci贸n, explicaremos los m谩s importantes:
鈼 Detecci贸n basada en firmas: Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patr贸n de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este tipo de detecci贸n funciona parecido a un antivirus, el administrador debe verificar que las firmas est茅n constantemente actualizadas.
鈼 Detecci贸n basada en pol铆ticas: Declarar espec铆ficamente las pol铆ticas de seguridad. El IPS reconoce el tr谩fico fuera del perfil permitido y lo descarta.
鈼 Detecci贸n basada en anomal铆as: Se define qu茅 se va entender como SITUACI脫N NORMAL. Detecci贸n estad铆stica de anormalidades: El IPS analiza el tr谩fico de red por un determinado periodo de tiempo y crea una l铆nea base de comparaci贸n. Cuando el tr谩fico var铆a demasiado con respecto a la l铆nea base de comportamiento, se genera una alarma. Detecci贸n no estad铆stica de anormalidades: En este tipo de detecci贸n, es el administrador quien define el patr贸n 芦normal禄 de tr谩fico. Sin embargo, debido a que con este enfoque no se realiza un an谩lisis din谩mico y real del uso de la red, es susceptible a generar muchos falsos positivos.

Un honeypot (en ingl茅s 芦tarro de miel禄) es un sistema muy flexible dentro de la seguridad inform谩tica, que se encarga de atraer y analizar el comportamiento de los atacantes en internet, y que provee a un investigador o analista inform谩tico forense de una informaci贸n extremadamente valiosa. La pregunta ser铆a: 驴para qu茅 puede querer una persona atraer atacantes a su propio sistema? Esto puede resultar muy contradictorio, pero lo que se busca con esta implementaci贸n es capturar todo el tr谩fico de red entrante y conocer todos los detalles acerca de las tendencias y metodolog铆as de ataque de los atacantes as铆 como los fallos de seguridad en nuestra red con el fin de subsanarlos. Los honeypots pueden ejecutarse bajo cualquier sistema operativo y bajo cualquier servicio. Los servicios configurados determinan los vectores de ataque disponibles para que el intruso comprometa y ponga a prueba el sistema.
Finalidad de los Honeypots Estas son algunas de las posibilidades que nos ofrecen los honeypots:
鈼 Desviar y distraer la atenci贸n del atacante.
鈼 Detectar y aprender nuevas vulnerabilidades.
鈼 Obtener informaci贸n sobre el atacante (geolocalizaci贸n, ip, puertos, etc).
鈼 Obtener tendencias de ataque y pa铆ses m谩s atacados.
Detectar nuevas muestras de malware que a煤n no se conozcan.
鈼 Recopilar y estudiar tendencias de ataque
Clasificaci贸n de Honeypots Los honeypots se clasifican seg煤n su implementaci贸n (virtual o f铆sica) y su nivel de interacci贸n (baja, media, alta).

Un IDS open source muy bueno es Wazuh, b谩sicamente si lo complementas con otras herramientas como Snort y graylog te da toda la funci贸n que tiene un SIEM

**Seguridad en redes
**Dentro de una red, encontraremos maneras de poder securizar la misma, mediante la instalaci贸n y configuraci贸n de dispositivos que cumplen con las medidas necesarias brindando un comportamiento de cuidado en la red. Dispositivos como: Firewall / IDS / IPS / NIDS / HIDS. Tambi茅n en los routers y switches, existen configuraciones y appliances que nos brindar铆an esa seguridad. Dentro de estos dispositivos, por ejemplo, existe lo que se llama ACL (access-list), que nos da la posibilidad de negar o permitir un determinado servicio o comunicaci贸n en la red. El Firewall es un dispositivo de red, donde su funci贸n principal es la de bloquear todo acceso hacia la red y desde ella, mediante configuraciones llamadas 鈥渞eglas o pol铆ticas鈥. El mismo trabaja revisando todo tr谩fico especificado y compar谩ndolo con la l贸gica de permitir o negar seg煤n criterios de comportamiento.
Restrictivo: lo que no sea expl铆citamente permitido, ser谩 negado.
Permisivo: lo que no sea expl铆citamente negado, ser谩 permitido.
Un firewall puede ser no solamente un dispositivo de red, sino que tambi茅n lo podemos encontrar mediante un software de un sistema operativo, cumpliendo igualmente la funci贸n de permitir o negar. Donde se instale el firewall, nos indicar谩 como intermedia las comunicaciones de la red que desea inspeccionar o proteger.

DUAL-HOMED FIREWALL: el equipo cuenta con dos dispositivos o interfaces, que permitir谩n interactuar tanto con la red p煤blica como con la privada.

Los firewalls de Nueva Generacion NFGW cuentan ya con esa tecnologia

IPS/IDS (Intrusion Prevention/Detection Systems)

IDS: Es una herramienta de seguridad en la red que analiza el tr谩fico interno para detectar actividad maliciosa y alertar al administrador del sistema.

IPS: Se puede ver como una evoluci贸n de los IDS, adem谩s de alertar al administrador del sistema cuando detecta actividad maliciosa; puede bloquear, capturar o eliminar paquetes maliciosos.

Funcionamiento

Estos se encuentran inline para analizar todo el tr谩fico en la red detr谩s del firewall. Identifican amenazas seg煤n los siguientes factores:

  • Firmas
  • Anomal铆as
  • Pol铆ticas

驴Que diferencia un IDS/IPS de un Firewall?

El Firewall lo que hace es proteger un paquete de datos especifico, como el header que cubre a que ip, puerto va a ir. En cambio el IPS Analiza todo el tr谩fico interno de la red, despu茅s de pasar el firewall

Clasificaci贸n

  1. NIPS (Network Intrusion Prevention System) - Sistema basado en la red: Dispositivo que se coloca despu茅s del firewall y analiza los datos antes de entrar a la red interna.

  2. HIPS (Host Intrusion Prevention System) - Sistema basado en el host (PC): Hay una aplicaci贸n instalada en cada dispositivo de la red interna empresarial.

  3. NBA (Network Behavior Analysis) - Analiza tr谩fico inusual (DDoS): Analiza si llegan muchos paquetes de momento y puede prevenir el ataque de DDoS

  4. WIPS (Wireless Intrusion Prevention System) - Escanea redes WiFi: Escanea las redes a las cuales se conectan dispositivos IoT.

Beneficios

  • Integraci贸n con otras soluciones: Se puede integrar con un sistema SIEM, que es un sistema que recopila logs de muchas fuentes.
  • Mayor eficiencia en otros controles de seguridad: Les llega menos trafico a los sistemas despu茅s del IPS, debido a que bloquea la actividad maliciosa
  • Ahorro de Tiempo
  • Compliance
  • Personalizable

Soluciones

  • Soluci贸n independiente: Una aplicaci贸n que funcione como un IDS y nada m谩s.
  • Firewall de nueva Generaci贸n (NGFW)
  • Gestor Unificado de Amenazas (UTM)

IDS (Sistema de Detecci贸n de Intrusos) / IPS (Sistema de Prevenci贸n de Intrusos)

Sistema de Detecci贸n de Intrusos o Intrusion Detection System (IDS): es un sistema de supervisi贸n que detecta actividades sospechosas y genera alertas al detectarlas.
Enlace de consulta: https://www.checkpoint.com/es/cyber-hub/what-is-an-intrusion-detection-system-ids/

Sistema de Prevenci贸n de Intrusos o Intrusion Prevention System (IPS): La funci贸n principal de un sistema de prevenci贸n de intrusos es identificar cualquier actividad sospechosa y detectar y permitir (IDS) o prevenir (IPS) la amenaza.
Enlace de consulta: https://www.checkpoint.com/es/cyber-hub/what-is-ips/

Clasificaci贸n

  1. Network Intrusion Prevention System (NIPS): Sistema basado en la red.
  2. Host Intrusion Prevention System (HIPS): Sistema basado en el host (PC).
  3. Network Behavior Analysis (NBA): Analiza tr谩fico inusual (DDoS9.
  4. Wireless Intrusion Prevention (WIPS): Escanea redes WiFi.

Beneficios

  1. Integraci贸n con otras soluciones.
  2. Mayor eficiencia en otros controles de seguridad.
  3. Ahorro de tiempo.
  4. Compliance.
  5. Personalizable.

Los IPS/IDS son herramientas de seguridad en la red que analizan el tr谩fico interno para detectar actividad maliciosa y alertar al administrador del sistema. Los IPS, adem谩s de alertar, pueden bloquear, capturar o eliminar paquetes maliciosos. Funcionan inline para analizar todo el tr谩fico en la red detr谩s del firewall, identificando amenazas mediante firmas, anomal铆as y pol铆ticas. Los beneficios incluyen integraci贸n con otras soluciones, mayor eficiencia en otros controles de seguridad, ahorro de tiempo, compliance y personalizaci贸n. Las soluciones incluyen soluci贸n independiente, firewall de nueva generaci贸n y gestor unificado de amenazas.

Proveedores Open Source IDS/IPS

  • OSSEC
  • SNORT
  • SURICATA

IPS/IDS (Intrusion Prevention/Detection Systems)
IDS (Sistema de Detenci贸n de intrusos): Esta herramienta analiza el tr谩fico interno de la empresa, con la finalidad de alertar al administrador de sistemas sobre amenazas o actividad maliciosa.
IPS (Sistemas de prevenci贸n de intrusos): adem谩s de generar una alerta, toma una acci贸n para bloquear los ataques o proteger el sistema inform谩tico. El ips analiza el tr谩fico y elimina el c贸digo malicioso.
Funcionamiento
鈥 Firmas: analiza el patr贸n del paquete, y lo analiza con las bases de datos para identificar c贸digo malicioso.
鈥 Anomal铆as: cuando se encuentra, por ejemplo, un aumento en tr谩fico.
鈥 Pol铆ticas: cuando dejamos configurados ciertas pol铆ticas de acciones que debe de tomar, ante una acci贸n de alerta, cuando llegan peticiones que sobre pasen las reglas que dejamos configuradas, u otro factor. El IPS analiza todo el tr谩fico dentro de la organizaci贸n o red interna.
Clasificaci贸n:
鈥 NIPS (Network intrusi贸n prevention System):sistema basado en la red
鈥 HIPS (Host intrusi贸n prevention sysstem): sistema basado en el host (Pc)
鈥 NBA (Network Behavior Analysis): Analiza tr谩fico anual (DDoS)
鈥 WIPS (Wireless instrusion Prevention System): Escarea redes wifi.
Beneficios
鈥 Integraci贸n con otras soluciones.
鈥 Mayor eficiencia en otros controles de seguridad. Aumenta la rapidez y limpia la informaci贸n.
鈥 Ahorro de tiempo. Al poder configurar una serie de reglas, hace que sea m谩s r谩pido.
鈥 Compliance.
鈥 Personalizable.
Soluciones:
鈥 Soluci贸n independiente
鈥 Firewall de nueva generaci贸n (NGFW)
鈥 Gestor unificado de amenazas (UTM).