No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

IPS/IDS (Intrusion Prevention/Detection Systems)

21/37
Recursos

Aportes 20

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

IDS (Sistema de Detección de Intrusos) Sólo Detecta actividades maliciosas.
IPS (Sistema de Prevención de Intrusos) Ejecuta una acción ante actividades maliciosas y se encuentra In-line para bloquear la conexión.

Identifican amenazas mediante:

  • Firmas

  • Anomalías

  • Políticas

Un Firewall sólo analiza los Headers TCP/IP, mientras que los IPS/IDS analizan todos los paquetes completos.

Existen diferentes tipos:
NIPS Network Intrusion Prevention System
Sistema basado en red
HIPS Host Intrusion Prevention System
Sistema basado en el Host, recopila host mediante el agente en cada equipo para analizarlos.
NBA Network Behavior Analysis
Analiza tráfico inusual (DDoS)
WIPS Wireless Intrusion Prevention System
Escanea redes WiFi

Beneficios:

  • Integración con otras soluciones

  • Mayor eficiencia en otros controles de seguridad

  • Ahorro de tiempo

  • Compliance

  • Personalizable

Existen como soluciones independientes, en Firewalls de Nueva Generación (NGFW) o en un Gestor Unificado de Amenazas (UTM) y pueden ser Open Source, proveedores de pago o en la nube.

IPS/IDS (Intrusion Prevention/Detection Systems)

El IDS es un sistema que permite monitorear el tráfico interno de la red con el fin de detectar anomalías generadas por un ataque.
El IPS es similar al IDS, pero además de detectar, permite tomar acciones como bloquear el tráfico o enviar alertas.

Dada la diferencia de comportamiento, el IPS debe conectarse a la red inmediatamente después del firewall, mientras que el IDS se conecta como un dispositivo más de la red.

El IDS identifica amenazas basándose en:

  • Firmas: Busca patrones en los paquetes y los compara con los almacenados en una base de datos de patrones sospechosos.
  • Anomalías: Conociendo el comportamiento normal de la red, detecta paquetes inusuales.
  • Políticas: Definidas por el administrador, por ejemplo, bloquear un origen si se envían más de 100 paquetes por segundo.

Existen diferentes tipos de IPS:

  • NIPS (Network Intrusion Prevention System): Analiza todo el tráfico de la red.
  • HIPS (Host Intrusion Prevention System): Software instalado en cada dispositivo.
  • NBA (Network Behavior Analysis): Analiza el comportamiento del tráfico.
  • WIPS (Wireless Intrusion Prevention System): Similar al NBA, pero para redes inalámbricas.

Beneficios:

  • Integración: Se integra fácilmente con otras sistemas.
  • Mayor eficiencia en otros controles: Al ser uno de los primero s controles, le quita carga a otros controles.
  • Ahorro de tiempo: Por lo mismo que el punto anterior.
  • Compliance: Permite cumplir con normas y estándares de seguridad.
  • Personalizable: Se adaptan a las necesidades de la organización.

Hoy en día los Firewall de nueva generación pueden tener incluída la funcionalidad de IDS e IPS.

Un IDS basado en patrones, analiza paquetes en la red y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque. Un IDS basado en heurística, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándose como anómalo.
Cuenta con una base de datos (firmas) de donde basándose en la técnica de “censar” paquetes, los compara y actúa en consecuencia, respetando los parámetros asignados a los que se configuran (envío de alarmas, mails, etc.).

¿QUE HACEN LOS IDS?
● Reconfiguración de dispositivos externos (firewalls o ACL en routers) Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y así poder bloquear una intrusión. Esta reconfiguración es posible a través del envío de datos que expliquen la alerta (en el encabezado del paquete).
● Envío de una trampa SNMP a un hipervisor externo
Envío de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa.
● Envío de un correo electrónico a uno o más usuarios Envío de un correo electrónico a uno o más buzones de correo para informar sobre una intrusión sería.
● Registro del ataque Se guardan los detalles de la alerta en una base de datos central, incluyendo información como el registro de fecha, la dirección IP del intruso, la dirección IP del destino, el protocolo utilizado y la carga útil.
● Almacenamiento de paquetes sospechosos Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta.
● Apertura de una aplicación: Se lanza un programa externo que realice una acción específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora).
● Notificación visual de una alerta Se muestra una alerta en una o más de las consolas de administración.

De acuerdo a su estructura, se cuentan con dos tipos que son especiales para redes:
NIDS: basados en hardware o software, para analizar segmentos de red donde estén conectados, garantizando la seguridad dentro de una red.
HIDS: basado en software, generalmente aplicado sobre el sistema operativo del equipo a proteger, garantizando la seguridad de un host.

**Seguridad en redes
**Dentro de una red, encontraremos maneras de poder securizar la misma, mediante la instalación y configuración de dispositivos que cumplen con las medidas necesarias brindando un comportamiento de cuidado en la red. Dispositivos como: Firewall / IDS / IPS / NIDS / HIDS. También en los routers y switches, existen configuraciones y appliances que nos brindarían esa seguridad. Dentro de estos dispositivos, por ejemplo, existe lo que se llama ACL (access-list), que nos da la posibilidad de negar o permitir un determinado servicio o comunicación en la red. El Firewall es un dispositivo de red, donde su función principal es la de bloquear todo acceso hacia la red y desde ella, mediante configuraciones llamadas “reglas o políticas”. El mismo trabaja revisando todo tráfico especificado y comparándolo con la lógica de permitir o negar según criterios de comportamiento.
Restrictivo: lo que no sea explícitamente permitido, será negado.
Permisivo: lo que no sea explícitamente negado, será permitido.
Un firewall puede ser no solamente un dispositivo de red, sino que también lo podemos encontrar mediante un software de un sistema operativo, cumpliendo igualmente la función de permitir o negar. Donde se instale el firewall, nos indicará como intermedia las comunicaciones de la red que desea inspeccionar o proteger.

DUAL-HOMED FIREWALL: el equipo cuenta con dos dispositivos o interfaces, que permitirán interactuar tanto con la red pública como con la privada.

Un honeypot (en inglés «tarro de miel») es un sistema muy flexible dentro de la seguridad informática, que se encarga de atraer y analizar el comportamiento de los atacantes en internet, y que provee a un investigador o analista informático forense de una información extremadamente valiosa. La pregunta sería: ¿para qué puede querer una persona atraer atacantes a su propio sistema? Esto puede resultar muy contradictorio, pero lo que se busca con esta implementación es capturar todo el tráfico de red entrante y conocer todos los detalles acerca de las tendencias y metodologías de ataque de los atacantes así como los fallos de seguridad en nuestra red con el fin de subsanarlos. Los honeypots pueden ejecutarse bajo cualquier sistema operativo y bajo cualquier servicio. Los servicios configurados determinan los vectores de ataque disponibles para que el intruso comprometa y ponga a prueba el sistema.
Finalidad de los Honeypots Estas son algunas de las posibilidades que nos ofrecen los honeypots:
● Desviar y distraer la atención del atacante.
● Detectar y aprender nuevas vulnerabilidades.
● Obtener información sobre el atacante (geolocalización, ip, puertos, etc).
● Obtener tendencias de ataque y países más atacados.
Detectar nuevas muestras de malware que aún no se conozcan.
● Recopilar y estudiar tendencias de ataque
Clasificación de Honeypots Los honeypots se clasifican según su implementación (virtual o física) y su nivel de interacción (baja, media, alta).

Los HIDS, analizan la información almacenada en registros, aparte de capturar paquetes que entran o salen del dispositivo, dando la posibilidad de detectar:
Ataques de denegación de servicio – Troyanos – Ejecución de códigos maliciosos – Ataques de desbordamiento de buffer – Intentos de acceso no autorizado. Y por último tenemos el IPS (Intrusion Prevention Systems) que a diferencia de los IDS, este analiza en tiempo real, teniendo para contemplar esa posibilidad, un puerto de entrada y otro de salida. Una de sus funciones más importantes es monitorear el tráfico de red y/o las actividades de un
sistema en busca de actividad maliciosa.

Si bien es muy útil, hay que tener en cuenta, que analiza todo tráfico entrante y saliente, basándose en anomalías y firmas, por lo que habrá que hacer un chequeo exhaustivo para que no ocasione problemas de rendimiento en la red.
Cuenta con varios métodos de detección, explicaremos los más importantes:
● Detección basada en firmas: Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este tipo de detección funciona parecido a un antivirus, el administrador debe verificar que las firmas estén constantemente actualizadas.
● Detección basada en políticas: Declarar específicamente las políticas de seguridad. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta.
● Detección basada en anomalías: Se define qué se va entender como SITUACIÓN NORMAL. Detección estadística de anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento, se genera una alarma. Detección no estadística de anormalidades: En este tipo de detección, es el administrador quien define el patrón «normal» de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red, es susceptible a generar muchos falsos positivos.

IDS (Sistema de Detección de Intrusos)
Este alerta al administrador cuando detecta actividad maliciosa.

IPS (Sistema de Prevención de Intrusos)
Este además de alertar al administrador cuando detecta actividad maliciosa, puede bloquear, capturar o eliminar paquetes maliciosos.

Platzinautas del saber, en la página de Paloalto encontré que es posible que estos IPs también reaccionan ante malware y hasta exploits - esto último me pregunto cómo lo logra-. Aquí dejo el link para que lo puedan validar por ustedes mismos.

Capa 3 y 4 del modelo OSI son los que más frecuentemente reciben ataques.
.
Capa 3: Red. Aquí encontramos por ejemplo al router
.
Capa 4: Transporte Ejemplo TCP

IPS/IDS (Intrusion Prevention/Detection Systems)

IDS: Es una herramienta de seguridad en la red que analiza el tráfico interno para detectar actividad maliciosa y alertar al administrador del sistema.

IPS: Se puede ver como una evolución de los IDS, además de alertar al administrador del sistema cuando detecta actividad maliciosa; puede bloquear, capturar o eliminar paquetes maliciosos.

Funcionamiento

Estos se encuentran inline para analizar todo el tráfico en la red detrás del firewall. Identifican amenazas según los siguientes factores:

  • Firmas
  • Anomalías
  • Políticas

¿Que diferencia un IDS/IPS de un Firewall?

El Firewall lo que hace es proteger un paquete de datos especifico, como el header que cubre a que ip, puerto va a ir. En cambio el IPS Analiza todo el tráfico interno de la red, después de pasar el firewall

Clasificación

  1. NIPS (Network Intrusion Prevention System) - Sistema basado en la red: Dispositivo que se coloca después del firewall y analiza los datos antes de entrar a la red interna.

  2. HIPS (Host Intrusion Prevention System) - Sistema basado en el host (PC): Hay una aplicación instalada en cada dispositivo de la red interna empresarial.

  3. NBA (Network Behavior Analysis) - Analiza tráfico inusual (DDoS): Analiza si llegan muchos paquetes de momento y puede prevenir el ataque de DDoS

  4. WIPS (Wireless Intrusion Prevention System) - Escanea redes WiFi: Escanea las redes a las cuales se conectan dispositivos IoT.

Beneficios

  • Integración con otras soluciones: Se puede integrar con un sistema SIEM, que es un sistema que recopila logs de muchas fuentes.
  • Mayor eficiencia en otros controles de seguridad: Les llega menos trafico a los sistemas después del IPS, debido a que bloquea la actividad maliciosa
  • Ahorro de Tiempo
  • Compliance
  • Personalizable

Soluciones

  • Solución independiente: Una aplicación que funcione como un IDS y nada más.
  • Firewall de nueva Generación (NGFW)
  • Gestor Unificado de Amenazas (UTM)

IDS (Sistema de Detección de Intrusos) / IPS (Sistema de Prevención de Intrusos)

Sistema de Detección de Intrusos o Intrusion Detection System (IDS): es un sistema de supervisión que detecta actividades sospechosas y genera alertas al detectarlas.
Enlace de consulta: https://www.checkpoint.com/es/cyber-hub/what-is-an-intrusion-detection-system-ids/

Sistema de Prevención de Intrusos o Intrusion Prevention System (IPS): La función principal de un sistema de prevención de intrusos es identificar cualquier actividad sospechosa y detectar y permitir (IDS) o prevenir (IPS) la amenaza.
Enlace de consulta: https://www.checkpoint.com/es/cyber-hub/what-is-ips/

Clasificación

  1. Network Intrusion Prevention System (NIPS): Sistema basado en la red.
  2. Host Intrusion Prevention System (HIPS): Sistema basado en el host (PC).
  3. Network Behavior Analysis (NBA): Analiza tráfico inusual (DDoS9.
  4. Wireless Intrusion Prevention (WIPS): Escanea redes WiFi.

Beneficios

  1. Integración con otras soluciones.
  2. Mayor eficiencia en otros controles de seguridad.
  3. Ahorro de tiempo.
  4. Compliance.
  5. Personalizable.

Proveedores Open Source IDS/IPS

  • OSSEC
  • SNORT
  • SURICATA

Un IDS open source muy bueno es Wazuh, básicamente si lo complementas con otras herramientas como Snort y graylog te da toda la función que tiene un SIEM

gracias

IDS (Sistema de Detección de Intrusos)
_

  • Es una herramienta de seguridad en la red que analiza el trafico interno para detectar actividad maliciosa yalertar al administrador del sistema._

IPS (Sistema de Prevención de Intrusos)
_

  • Es la evolucion de los IDS. Este, ademas de alertar al administrador del sistema cuando detecta actividad maliciosa; puede bloquear, capturar o eliminar paquetes maliciosos._

Los firewalls de Nueva Generacion NFGW cuentan ya con esa tecnologia

Los IPS/IDS son herramientas de seguridad en la red que analizan el tráfico interno para detectar actividad maliciosa y alertar al administrador del sistema. Los IPS, además de alertar, pueden bloquear, capturar o eliminar paquetes maliciosos. Funcionan inline para analizar todo el tráfico en la red detrás del firewall, identificando amenazas mediante firmas, anomalías y políticas. Los beneficios incluyen integración con otras soluciones, mayor eficiencia en otros controles de seguridad, ahorro de tiempo, compliance y personalización. Las soluciones incluyen solución independiente, firewall de nueva generación y gestor unificado de amenazas.

IPS/IDS (Intrusion Prevention/Detection Systems)
IDS (Sistema de Detención de intrusos): Esta herramienta analiza el tráfico interno de la empresa, con la finalidad de alertar al administrador de sistemas sobre amenazas o actividad maliciosa.
IPS (Sistemas de prevención de intrusos): además de generar una alerta, toma una acción para bloquear los ataques o proteger el sistema informático. El ips analiza el tráfico y elimina el código malicioso.
Funcionamiento
• Firmas: analiza el patrón del paquete, y lo analiza con las bases de datos para identificar código malicioso.
• Anomalías: cuando se encuentra, por ejemplo, un aumento en tráfico.
• Políticas: cuando dejamos configurados ciertas políticas de acciones que debe de tomar, ante una acción de alerta, cuando llegan peticiones que sobre pasen las reglas que dejamos configuradas, u otro factor. El IPS analiza todo el tráfico dentro de la organización o red interna.
Clasificación:
• NIPS (Network intrusión prevention System):sistema basado en la red
• HIPS (Host intrusión prevention sysstem): sistema basado en el host (Pc)
• NBA (Network Behavior Analysis): Analiza tráfico anual (DDoS)
• WIPS (Wireless instrusion Prevention System): Escarea redes wifi.
Beneficios
• Integración con otras soluciones.
• Mayor eficiencia en otros controles de seguridad. Aumenta la rapidez y limpia la información.
• Ahorro de tiempo. Al poder configurar una serie de reglas, hace que sea más rápido.
• Compliance.
• Personalizable.
Soluciones:
• Solución independiente
• Firewall de nueva generación (NGFW)
• Gestor unificado de amenazas (UTM).