Documentos de Académico
Documentos de Profesional
Documentos de Cultura
IPS IDS Seguridad de La Informacion
IPS IDS Seguridad de La Informacion
Introduccin ..................................................................................................................... 3
Contenido ......................................................................................................................... 4
Sistemas de deteccin y prevencin de intrusos (IDS e IPS) ............................................... 4
Caractersticas de IDS ................................................................................................................. 6
Caractersticas de IPS ................................................................................................................. 8
Ventajas y desventajas de IDS ................................................................................................ 11
Ventajas y desventajas de IPS................................................................................................. 12
Ejemplos de IDS e IPS .............................................................................................................. 13
Sourcefire Defense Center................................................................................................ 13
Symantec Critical System Protection .................................................................................. 15
Snort ......................................................................................................................................... 16
Diferencias entre IDS e IPS .................................................................................................... 17
Estndares asociados a los IDS/IPS ....................................................................................... 18
Ejemplo de configuracin de la actualizacin de IDS 4.1 a IPS 5.0 ................................... 18
Requisitos previos .................................................................................................................. 19
Componentes utilizados ........................................................................................................ 19
Convenciones ......................................................................................................................... 19
Actualizacin del sensor ........................................................................................................ 20
Informacin general................................................................................................................ 20
Opciones y comando de actualizacin ................................................................................ 21
Uso del comando de actualizacin ...................................................................................... 22
Uso del comando de actualizacin automtica ................................................................. 24
Nueva imagen del sensor...................................................................................................... 27
Conclusin ..................................................................................................................... 28
Bibliografa ..................................................................................................................... 29
Introduccin
Contenido
Sistemas de deteccin y prevencin de intrusos (IDS e IPS)
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon
para resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al
situar sistemas de detecciones en la va del trfico. Los IPS presentan una mejora
importante sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de
control de acceso basados en los contenidos del trfico, en lugar de direcciones IP o
puertos. Tiempo despus, algunos IPS fueron comercializados por la empresa One
Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue
adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de
los sistemas IDS, continan en relacin.
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo,
para combatir actividades potencialmente maliciosas.
Caractersticas de IDS
se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes
tcnicas para detectar intrusiones:
Verificacin de la lista de protocolos: Algunas formas de intrusin, como "Ping de
la
muerte"
"escaneo
silencioso
TCP"
utilizan
violaciones
de
los
protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificacin del
protocolo puede revelar paquetes no vlidos e indicar esta tctica comnmente utilizada.
Deteccin honey pot (jarra de miel): funciona usando un equipo que se configura
para que llame la atencin de los hackers.
Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda
lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de
ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se
puede monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa
forma implementar polticas de seguridad acordes en nuestros sistemas de uso real.
Ventajas:
o
Desventajas:
o
Ventajas
o
Desventajas
o
Los basados en firmas de ataques. Los utilizan los NIDS que emplean firmas de
ataque pre-identificadas.
Uso indebido del protocolo del sistema. Monitorizan las desviaciones del protocolo
normal. Este mtodo es til para detectar intentos por parte de un usuario o
aplicacin de intentar ganar acceso no autorizado a un sistema.
Configuraciones Centralizadas
Con el Defense Center, es posible tener control total
de las configuraciones de hasta 100 sensores a partir de una
nica consola de gestin. Todas las configuraciones ganan
una forma centralizada para edicin, aplicacin y backup.
Otras funcionalidades que ayudan bastante al administrador de la herramienta son: la
opcin de comparar dos polticas lado a lado; la fcil navegacin en la base de reglas y; el
proceso detallado de creacin de una nueva poltica de configuraciones.
Supervisin
de
la
configuracin: identifique
infracciones
de
polticas,
Administracin
centralizada: simplifique
la
administracin
de
sistemas
Beneficios clave
o
Alcance la proteccin total para vSphere mediante el uso de polticas listas para
usar de acuerdo con las pautas ms recientes de implementacin de mejoras de
seguridad de vSphere.
Snort
IDS/IPS
(Intrusion
Detection
System/Intrusion
Es
un
potente
IDS/IPS
(Intrusion
Detection
Posibilita
la
interoperabilidad
entre
herramientas.
Un
ejemplo
de
se
pusieron
en
funcionamiento
con
una
configuracin
despejada
informacin sobre el procedimiento utilizado para acceder a las descargas del software
IPS en Cisco.com.
Para llevar a cabo la actualizacin puede utilizar cualquiera de los mtodos indicados a
continuacin:
Una vez descargado el archivo de la actualizacin 5.0, consulte el archivo Readme para
obtener informacin sobre su instalacin con el comandoupgrade. Consulte la
seccin Uso del comando de actualizacin de este documento para obtener ms
informacin.
Si configur la opcin de actualizacin automtica para el sensor, copie el archivo de la
actualizacin 5.0 en el directorio del servidor donde el sensor busca las actualizaciones.
Consulte
la
seccin
de
este
documento Uso
del
comando
de
actualizacin
scp://<nombre
usuario>@<IP
servidor>//upgrade/<nombre
Ejemplo:
Nota: este comando se muestra en dos lneas debido a limitaciones de espacio.
sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
IPS-K9-maj-5.0-1-S149.rpm.pkg
Upgrade History:
IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004
Recovery Partition Version 1.1 - 5.0(1)S149
sensor#
Uso del comando de actualizacin automtica
Consulte la seccin Opciones y comando de actualizacin de este documento para
obtener ms informacin sobre los comandos auto-update.
Realice los siguientes pasos para programar actualizaciones automticas:
Inicie sesin en CLI con una cuenta que tenga privilegios de administrador.
Configure el sensor para que busque automticamente las nuevas actualizaciones en su
directorio de actualizacin.
sensor#configure terminal
sensor(config)#service host
sensor(config-hos)#auto-upgrade-option enabled
Especifique la programacin:
Para la programacin de calendario, que inicia las actualizaciones en horas especficas de
das concretos:
sensor(config-hos-ena)#schedule-option calendar-schedule
sensor(config-hos-ena-cal#days-of-week sunday
sensor(config-hos-ena-cal#times-of-day 12:00:00
Nota: si usa SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista
de hosts conocidos por SSH, para que el sensor se pueda comunicar con l mediante
SSH. Consulte Adding Hosts to the Known Hosts List (Adicin de hosts a la lista de hosts
conocidos) para obtener informacin sobre el procedimiento.
Compruebe la configuracin:
sensor(config-hos-ena)#show settings
enabled
----------------------------------------------schedule-option
----------------------------------------------periodic-schedule
----------------------------------------------start-time: 13:00:00
interval: 24 hours
----------------------------------------------ip-address: 10.1.1.1
directory: /tftpboot/update/5.0_dummy_updates
user-name: tester
password: <hidden>
file-copy-protocol: ftp default: scp
----------------------------------------------sensor(config-hos-ena)#
Salga del submodo de actualizacin automtica:
sensor(config-hos-ena)#exit
sensor(config-hos)#exit
Apply Changes:?[yes]:
Pulse Enter para aplicar los cambios o escriba no para descartarlos.
Nueva imagen del sensor
La imagen del sensor se puede rehacer de las siguientes maneras:
Para
dispositivos
IDS
con
una
unidad
de
CD-ROM,
utilice
el
CD
de
actualizacin/recuperacin.
Para todos los sensores, utilice el comando recover.
Para IDS-4215, IPS-4240 e IPS 4255, utilice ROMMON para restaurar la imagen del
sistema.
Para NM-CIDS, utilice el cargador de inicializacin.
Para IDSM-2, rehaga la imagen de la particin de la aplicacin desde la particin de
mantenimiento.
Para ASA-SSM, rehaga la imagen a partir de ASA con el comando hw-module module 1
recover [configure | boot].
Para obtener informacin sobre el procedimiento, consulte la seccin Installing the ASASSM System Image (Instalacin de la imagen del sistema ASA-SSM) de Configuring the
Cisco Intrusion Prevention System Sensor Using the Command Line Interface
5.0 (Configuracin del sensor Cisco Intrusion Prevention System utilizando la interfaz de
lnea de comandos 5.0).
Conclusin
Bibliografa