Tabla de contenido

Introduccin ..................................................................................................................... 3
Contenido ......................................................................................................................... 4
Sistemas de deteccin y prevencin de intrusos (IDS e IPS) ............................................... 4
Caractersticas de IDS ................................................................................................................. 6
Caractersticas de IPS ................................................................................................................. 8
Ventajas y desventajas de IDS ................................................................................................ 11
Ventajas y desventajas de IPS................................................................................................. 12
Ejemplos de IDS e IPS .............................................................................................................. 13
Sourcefire Defense Center................................................................................................ 13
Symantec Critical System Protection .................................................................................. 15
Snort ......................................................................................................................................... 16
Diferencias entre IDS e IPS .................................................................................................... 17
Estndares asociados a los IDS/IPS ....................................................................................... 18
Ejemplo de configuracin de la actualizacin de IDS 4.1 a IPS 5.0 ................................... 18
Requisitos previos .................................................................................................................. 19
Componentes utilizados ........................................................................................................ 19
Convenciones ......................................................................................................................... 19
Actualizacin del sensor ........................................................................................................ 20
Informacin general................................................................................................................ 20
Opciones y comando de actualizacin ................................................................................ 21
Uso del comando de actualizacin ...................................................................................... 22
Uso del comando de actualizacin automtica ................................................................. 24
Nueva imagen del sensor...................................................................................................... 27
Conclusin ..................................................................................................................... 28
Bibliografa ..................................................................................................................... 29

Introduccin

En los 80 comenzaron los primeros desarrollos de programas que monitorizaban el

uso de sistemas y redes. En los ltimos aos se ha producido un avance muy grande en
esta rea, y la mayora de las empresas dedicadas a la seguridad ofrecen productos para
la deteccin de intrusiones.
Nuevas tecnologas adicionan complejidad, y el nmero y tipo de aplicaciones y
sistemas en una red no para de crecer. El riesgo de la seguridad de la informacin se
multiplica en nmero y escala en conformidad con la sofisticacin de los ataques.
El flujo de funcionarios en una empresa aumenta constantemente, los clientes y
aliados estratgicos exigen cada vez ms acceso en tiempo real a aplicaciones, bases de
datos y sistemas, forzando ms las barreras de un ambiente seguro.
Sistemas de deteccin y prevencin de intrusos (IDS e IPS) estn constantemente
vigilando, e incorporan mecanismos de anlisis de trfico y de anlisis de sucesos en
sistemas operativos y aplicaciones que les permiten detectar intrusiones en tiempo real.
Un IDS puede ser un dispositivo hardware auto contenido con una o varias
interfaces, que se conecta a una o varias redes; o bien una aplicacin que se ejecuta en
una o varias mquinas y analiza el trfico de red que sus interfaces ven y/o los eventos
generados por el sistema operativo y las aplicaciones locales.
Para hablar sobre deteccin de intrusiones hay que definir qu entendemos por
intrusin. Las intrusiones se definen en relacin a una poltica de seguridad: una intrusin
es una violacin de la poltica de seguridad establecida. A menos que se conozca qu
est permitido en un sistema y qu no, no tiene sentido hablar de deteccin intrusiones.
De manera ms concisa se puede definir una intrusin como un conjunto de
acciones deliberadas dirigidas a comprometer la integridad (manipular informacin),
confidencialidad (acceder ilegtimamente a informacin) o disponibilidad de un recurso
(perjudicar o imposibilitar el funcionamiento de un sistema).

Contenido
Sistemas de deteccin y prevencin de intrusos (IDS e IPS)

El trmino IDS (Sistema de deteccin de intrusiones) hace referencia a un

mecanismo que, sigilosamente, escucha el trfico en la red para detectar actividades
anormales o sospechosas, y de este modo, reducir el riesgo de intrusin.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de deteccin de intrusiones de red), que garantiza la
seguridad dentro de la red.
El grupo H-IDS (Sistema de deteccin de intrusiones en el host), que garantiza la
seguridad en el host.
Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede
verificar paquetes de informacin que viajan por una o ms lneas de la red para descubrir
si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o ms de los
adaptadores de red exclusivos del sistema en modo promiscuo. ste es una especie de
modo "invisible" en el que no tienen direccin IP. Tampoco tienen una serie de protocolos
asignados. Es comn encontrar diversos IDS en diferentes partes de la red. Por lo
general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como
tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs
del firewall o que se han realizado desde dentro.

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una

amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS acta como un daemon o servicio estndar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la informacin particular almacenada en registros
(como registros de sistema, mensajes, lastlogs y wtmp) y tambin captura paquetes de la
red que se introducen/salen del host para poder verificar las seales de intrusin (como
ataques por denegacin de servicio, puertas traseras, troyanos, intentos de acceso no
autorizado, ejecucin de cdigos malignos o ataques de desbordamiento de bfer).
Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es
un software que ejerce el control de acceso en una red informtica para proteger a los
sistemas computacionales de ataques y abusos. La tecnologa de prevencin de intrusos
es considerada por algunos como una extensin de los sistemas de deteccin de
intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las
tecnologas cortafuegos.

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon
para resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al
situar sistemas de detecciones en la va del trfico. Los IPS presentan una mejora
importante sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de
control de acceso basados en los contenidos del trfico, en lugar de direcciones IP o
puertos. Tiempo despus, algunos IPS fueron comercializados por la empresa One
Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue
adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de
los sistemas IDS, continan en relacin.
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo,
para combatir actividades potencialmente maliciosas.
Caractersticas de IDS

El trfico en la red (en todo caso, en Internet) generalmente est compuesto

por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a travs
de las conexiones fsicas a las que est sujeto. Un N-IDS contiene una lista TCP/IP que

se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes
tcnicas para detectar intrusiones:
Verificacin de la lista de protocolos: Algunas formas de intrusin, como "Ping de
la

muerte"

"escaneo

silencioso

TCP"

utilizan

violaciones

de

los

protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificacin del
protocolo puede revelar paquetes no vlidos e indicar esta tctica comnmente utilizada.

Verificacin de los protocolos de la capa de aplicacin: Algunas formas de

intrusin emplean comportamientos de protocolos no vlidos, como "WinNuke", que utiliza
datos NetBIOS no vlidos (al agregar datos fuera de la banda). Para detectar eficazmente
estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos
de la capa de aplicacin, como NetBIOS, TCP/IP, etc.
Esta tcnica es rpida (el N-IDS no necesita examinar la base de datos de firmas
en su totalidad para secuencias de bytes particulares) y es tambin ms eficiente, ya que
elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede
diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto
peligro).
Reconocimiento de ataques de "comparacin de patrones": Esta tcnica de
reconocimiento de intrusin es el mtodo ms antiguo de anlisis N-IDS y todava es de
uso frecuente.

Consiste en la identificacin de una intrusin al examinar un paquete y reconocer,

dentro de una serie de bytes, la secuencia que corresponde a una firma especfica. Por
ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar
provecho de un defecto del script CGI "phf". Este mtodo tambin se utiliza como
complemento de los filtros en direcciones IP, en destinatarios utilizados por conexiones y
puertos de origen y/o destino. Este mtodo de reconocimiento tambin se puede refinar si
se combina con una sucesin o combinacin de indicadores TCP.
Esta tctica est difundida por los grupos N-IDS "Network Grep", que se basan en
la captura de paquetes originales dentro de una conexin supervisada y en su posterior
comparacin al utilizar un analizador de "expresiones regulares". ste intentar hacer
coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete
capturado.
Caractersticas de IPS

Un sistema de prevencin de intrusos, al igual que un Sistema de Deteccin de

Intrusos, funciona por medio de mdulos, pero la diferencia es que este ltimo alerta al
administrador ante la deteccin de un posible intruso (usuario que activ algn Sensor),
mientras que un Sistema de Prevencin de Intrusos establece polticas de seguridad para
proteger el equipo o la red de un ataque; se podra decir que un IPS protege al equipo
proactivamente y un IDS lo protege reactivamente.
Los IPS se categorizan en la forma que detectan el trfico malicioso:
Deteccin basada en firmas: como lo hace un antivirus.

Deteccin basada en polticas: el IPS requiere que se declaren muy

especficamente las polticas de seguridad.

Deteccin basada en anomalas: en funcin con el patrn de comportamiento

normal de trfico.

Deteccin honey pot (jarra de miel): funciona usando un equipo que se configura
para que llame la atencin de los hackers.

Deteccin basada en firmas

Una firma tiene la capacidad de reconocer una determinada cadena de bytes en

cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los
servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar
utilizando un cierto patrn de cadenas que pueda identificar ataques al servidor web. Sin
embargo, como este tipo de deteccin funciona parecido a un antivirus, el administrador
debe verificar que las firmas estn constantemente actualizadas.

Deteccin basada en polticas

En este tipo de deteccin, el IPS requiere que se declaren muy especficamente

las polticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin
con determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo descarta.

Deteccin basada en anomalas

Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es

sumamente difcil determinar y medir una condicin normal. En este tipo de deteccin
tenemos dos opciones:
Deteccin estadstica de anormalidades: El IPS analiza el trfico de red por un
determinado periodo de tiempo y crea una lnea base de comparacin. Cuando el trfico
vara demasiado con respecto a la lnea base de comportamiento, se genera una alarma.

Deteccin no estadstica de anormalidades: En este tipo de deteccin, es el

administrador quien define el patrn normal de trfico. Sin embargo, debido a que con
este enfoque no se realiza un anlisis dinmico y real del uso de la red, es susceptible a
generar muchos falsos positivos.

Deteccin honey pot (jarra de miel)

Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda
lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de
ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se
puede monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa
forma implementar polticas de seguridad acordes en nuestros sistemas de uso real.

Red IDS / IPS para la deteccin de amenazas WLAN y Mitigacin

Ventajas y desventajas de IDS

Ventajas:
o

Puede rastrear cada paso de un ataque de No se puede ser fcilmente

eludido

La ventaja principal de esta tcnica radica en la facilidad de actualizacin y

tambin en la gran cantidad de firmas que se encuentran en la base N-IDS.
Sin embargo, cantidad no siempre significa calidad. Por ejemplo, los 8
bytes CE63D1D2 16E713CF, cuando se colocan al inicio de una
transferencia de datos UDP, indican un trfico Back Orifice con una
contrasea predeterminada. Aunque el 80% de las intrusiones utilicen la
contrasea predeterminada, el 20% utilizarn contraseas personalizadas y
no sern necesariamente reconocidas por el N-IDS. Por ejemplo, si la
contrasea se cambia a "evadir", la serie de bytes se convertir en
"8E42A52C 0666BC4A", lo que automticamente la proteger de que el NIDS la capture. Adems, la tcnica inevitablemente conducir a un gran
nmero de falsas alarmas y falsos positivos.

Desventajas:
o

No se puede bloquear el trfico de intrusos Slo tan fuerte como su base de

datos de la firma Posibilidad de falsas alarmas Establecer puede requerir un
cierto nivel de conocimiento de configuracin y de seguridad

Ventajas y desventajas de IPS

Ventajas
o

Los IPS combinan mltiples funcionalidades, como firewall, IDS, inspeccin

statefull y deteccin de anomalas de protocolo, antivirus, valoracin de
vulnerabilidades, filtrado de contenidos, etc. De esta forma, consiguen proteger
automticamente de los ataques antes de que hayan impactado en la red,
poniendo el nfasis en la prevencin y en la automatizacin.

Capacitados para analizar los protocolos de aplicacin individuales -como HTTP

para aplicaciones Web, SMTP para el correo electrnico o DNS para el hosting-,
estos IPS aseguran que slo los tipos de trfico y las peticiones con los protocolos
adecuados pasan a cada servidor. En general, todas estas capacidades cobran
una especial importancia teniendo en cuenta que la ms reciente generacin de
ataques DoS, as como las infecciones de spyware y malware estn diseados
para burlar los cortafuegos y explotar las brechas de seguridad en el nivel de las
aplicaciones. A estas ventajas se aade la capacidad para actuar de forma
coordinada con mecanismos de autenticacin basada en directorios sobre
servidores de polticas y servidores LDAP (Leightweigh Directory Access Protocol).

Desventajas
o

De acuerdo a las tecnologas o mtodos utilizadas para detectar las intrusiones.

Se pueden identificar:

Los basados en firmas de ataques. Los utilizan los NIDS que emplean firmas de
ataque pre-identificadas.

Uso indebido del protocolo del sistema. Monitorizan las desviaciones del protocolo
normal. Este mtodo es til para detectar intentos por parte de un usuario o
aplicacin de intentar ganar acceso no autorizado a un sistema.

Ejemplos de IDS e IPS

Sourcefire Defense Center

Gestione la seguridad de su red con una interfaz poderosa y fcil de usar.

El Defense Center es el sistema nervioso del suite Sourcefire 3D. Consiste en una
interfaz grfica poderosa y bastante fcil de usar, donde se agregan y supervisan los
eventos de seguridad y compliance, generando informes y distribuyendo configuraciones
a travs de toda la arquitectura Sourcefire. La consola es accedida por cualquier
navegador y posee un visual de portal con widgets personalizables con caractersticas
de drag and drop. Existen configuraciones previas en que informaciones crticas son
dispuestas en forma de tablas y grficos. Adems de la facilidad de visualizacin de
informaciones crticas al negocio de la empresa, existen configuraciones avanzadas como
acceso de usuarios personalizado y granular y, funcin de circulacin por las principales
funcionalidades de forma peridica, muy til para monitores de un SOC, por ejemplo. Es
posible tallar el dashboard para atender de forma ms precisa las necesidades
especficas de cualquier negocio.
Defensa de red centralizada: Agregue y supervise
Toda la comunicacin que existe entre los sensores y
el DC es hecha de una manera segura y cifrada, permitiendo
que el almacenaje y el anlisis se den de forma centralizada.
La consola de gestin correlaciona, en tiempo real, los
ataques con las vulnerabilidades de red y, de forma inteligente, clasifica el incidente de
acuerdo a su relevancia y severidad de ataque. Esto permite que el equipo de TI se
preocupe con lo que de hecho es relevante, ahorrando tiempo y energa. El nmero de
falso positivos es reducido en hasta 99%.

Alertas e Informes Personalizados

Con el Defense Center es posible trabajar
con una gama de informes y alertas personalizados.
Los usuarios pueden escoger entre una variedad de
informes predefinidos o crear algo totalmente moldeado a sus necesidades. Los informes,
adems, pueden ser exportados en PDF, HTML y CSV, mientras que los alertas pueden
ser disparados por Syslog, email y SNMP.

Configuraciones Centralizadas
Con el Defense Center, es posible tener control total
de las configuraciones de hasta 100 sensores a partir de una
nica consola de gestin. Todas las configuraciones ganan
una forma centralizada para edicin, aplicacin y backup.
Otras funcionalidades que ayudan bastante al administrador de la herramienta son: la
opcin de comparar dos polticas lado a lado; la fcil navegacin en la base de reglas y; el
proceso detallado de creacin de una nueva poltica de configuraciones.

Escalabilidad Sin Lmites

Para grandes corporaciones con una necesidad
superior a 100 sensores, es posible usar un Defense Center
3000 como gestor de otros 10 defense centers, aumentando
el nmero de sensores abajo de un punto nico de gestin
de centenas.

Integracin con Otros Dispositivos

Sourcefire ofrece muchas posibilidades de integracin con otros dispositivos de
otros fabricantes. Es posible exportar los eventos a un correlacionador de eventos a
travs de la herramienta eStreamer. Otra posibilidad es la integracin con equipos
Cisco y Checkpoint para crear remediaciones en tiempo real para problemas inherentes.

Finalmente, es posible trabajar con el scan de vulnerabilidades Qualys para obtener un

resultado an ms apurado de las vulnerabilidades de la red.

Symantec Critical System Protection

Las organizaciones lderes utilizan Symantec Critical System Protection para

proteger los datacenters de datos fsicos y virtuales. Mediante funciones de deteccin

(HIDS) y prevencin de intrusiones (HIPS) basadas en host, Symantec ofrece una
solucin integral comprobada para la seguridad de los servidores. Obtenga proteccin
total para VMware vSphere, detenga los ataques dirigidos y de da cero, y consiga
visibilidad en tiempo real y control del cumplimiento de polticas con Symantec Critical
System Protection.

Supervisin de la integridad de archivos: identifique cambios en los archivos en

tiempo real, incluyendo quin los implement y qu se modific en el archivo.

Supervisin

de

la

configuracin: identifique

infracciones

de

polticas,

administradores sospechosos o actividad de intrusos en tiempo real.

Poltica de prevencin orientada: responda de manera inmediata a intromisiones o

riesgos para el servidor con polticas de refuerzo que pueden personalizarse
rpidamente.

Polticas granulares de prevencin de intrusiones: protjase contra las amenazas

de da cero y restrinja el comportamiento de las aplicaciones aprobadas, incluso
despus de que se haya autorizado su ejecucin con controles de acceso de
privilegio mnimo.

Bloqueo de administracin, sistemas y archivos: refuerce los servidores fsicos y

virtuales para maximizar el tiempo en servicio del sistema y evitar los costos
continuos del soporte para los sistemas operativos antiguos.

Amplia compatibilidad con plataformas fsicas: supervise y proteja las plataformas

basadas en Windows, y las que no estn basadas en Windows, incluidas Solaris,
Linux, AIX, HP-UX. Adems, utilice los agentes virtuales para las plataformas
menos comunes e incompatibles.

Proteja y supervise vSphere: al aprovechar las polticas listas para usar de

acuerdo con las pautas ms recientes de implementacin de mejoras de seguridad

de vSphere, las organizaciones pueden proteger por completo su entorno en el

servidor de administracin, el hipervisor y el invitado.

Administracin

centralizada: simplifique

la

administracin

de

sistemas

heterogneos con visibilidad en tiempo real de funciones de elaboracin de

informes grficos y eventos.

Integracin con soluciones SIEM y GRC de TI: integracin compatible con

Symantec Control Compliance Suite para la evaluacin y supervisin unificadas de
la infraestructura y la informacin, as como con Symantec Security Information
Manager para la administracin y la correlacin avanzadas de incidentes.

Beneficios clave
o

Alcance la proteccin total para vSphere mediante el uso de polticas listas para
usar de acuerdo con las pautas ms recientes de implementacin de mejoras de
seguridad de vSphere.

Detenga los ataques de da cero y dirigidos en servidores con polticas de

prevencin dirigidas.

Visibilidad en tiempo real y control del cumplimiento de polticas en una sola

solucin de supervisin y prevencin en tiempo real.

Snort

IDS/IPS

(Intrusion

Detection

System/Intrusion

Prevention System) por medio de la herramienta OpenSource

Snort.

Es

un

potente

IDS/IPS

(Intrusion

Detection

System/Intrusion Prevention System) que se ha convertido en

un estndar en el campo de la seguridad de sistemas
informticos. Es una herramienta que utiliza una filosofa muy
similar a IPTables, ya que utiliza reglas sobre los paquetes que
viajan en una red, sin embargo, dependiendo del modo de
ejecucin va un poco mas all, permitiendo tomar decisiones
sobre la informacin intercambiada y la deteccin de posibles
ataques sobre peticiones que aunque aparentemente son
legitimas, pueden encajar en algn patrn de ataque.

Diferencias entre IDS e IPS

El IPS es un sistema de prevencin/proteccin para defenderse de las intrusiones
y no slo para reconocerlas e informar sobre ellas, como hacen la mayora de los IDS.
Existen dos caractersticas principales que distinguen a un IDS (de red) de un IPS (de
red):
El IPS se sita en lnea dentro de la red IPS y no slo escucha pasivamente a la
red como un IDS (tradicionalmente colocado como un rastreador de puertos en la red).
Un IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar
el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa
que el IPS puede filtrar y bloquear paquetes en modo nativo (al utilizar tcnicas como la

cada de una conexin, la cada de paquetes ofensivos o el bloqueo de un intruso).

Cisco Unified Wireless e IPS Modos de implementacin.

Estndares asociados a los IDS/IPS

Dos estndares utilizados en IDS/IPS son: (1) IDMEF (Intrusion Detection
Message Exchange Format) del IETF. El objetivo del IDWG (Intrusion Detection Working
Group) es definir el formato de datos, definir el procedimiento de intercambio y especificar
un lenguaje de intrusin comn. El IDMEF es un formato de datos estndar e
interoperable que utiliza XML. Los tpicos despliegues son las comunicaciones entre
sensor y gestor, el almacenamiento en la base de datos, la interaccin con la consola
centralizada y el sistema de correlacin de eventos. (2) CVE (Common Vulnerabilities and
Exposures).

Posibilita

la

interoperabilidad

entre

herramientas.

Un

ejemplo

de

nomenclatura es CVE-2000-0809, se trata de una entrada a la lista CVE que estandariza

un problema de seguridad, en este caso un buffer overflow en la herramienta VPN1/Firewall-1 v4.1 de CheckPoint.

Ejemplo de configuracin de la actualizacin de IDS 4.1 a IPS 5.0

A continuacin se describe cmo actualizar el software Cisco Intrusion Detection Sensor

(IDS) de la versin 4.1 a Cisco Intrusion Prevention System (IPS) 5.0.
Nota: desde la versin 5.x y posteriores, Cisco IPS sustituye a Cisco IDS, que se aplica
hasta la versin 4.1.
Para obtener ms informacin sobre cmo recuperar el dispositivo Cisco Secure IDS
(anteriormente NetRanger) y los mdulos para las versiones 3.x y 4.x, consulte Password
Recovery Procedure for the Cisco IDS Sensor and IDS Services Modules (IDSM-1, IDSM2) (Procedimiento de recuperacin de contrasea para el sensor IDS y los mdulos de
servicios IDS (IDSM-1, IDSM-2) de Cisco).
Requisitos previos
Para poder llevar a cabo la actualizacin a la versin 5.0, se requiere como mnimo la
4.1(1).
Componentes utilizados
La informacin del documento se basa en el hardware Cisco IDS serie 4200 que ejecuta
la versin 4.1 del software (que se actualizar a la 5.0).
La informacin que contiene este documento se cre a partir de los dispositivos en un
ambiente de laboratorio especfico. Todos los dispositivos que se utilizan en este
documento

se

pusieron

en

funcionamiento

con

una

configuracin

despejada

(predeterminada). Si la red est en produccin, asegrese de comprender el impacto que

pueda tener cualquier comando.
Convenciones
Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos tcnicos de
Cisco) para obtener ms informacin sobre las convenciones del documento.
Configuracin
La descarga de la actualizacin de Cisco 4.1 a 5.0 est disponible en Cisco.com.
Consulte Obtaining Cisco IPS Software (Obtencin del software Cisco IPS) para obtener

informacin sobre el procedimiento utilizado para acceder a las descargas del software
IPS en Cisco.com.
Para llevar a cabo la actualizacin puede utilizar cualquiera de los mtodos indicados a
continuacin:
Una vez descargado el archivo de la actualizacin 5.0, consulte el archivo Readme para
obtener informacin sobre su instalacin con el comandoupgrade. Consulte la
seccin Uso del comando de actualizacin de este documento para obtener ms
informacin.
Si configur la opcin de actualizacin automtica para el sensor, copie el archivo de la
actualizacin 5.0 en el directorio del servidor donde el sensor busca las actualizaciones.
Consulte

la

seccin

de

este

documento Uso

del

comando

de

actualizacin

automtica para obtener ms informacin.

Si instala una actualizacin en el sensor y ste no se puede utilizar tras su reinicio, debe
rehacer la imagen del sensor. La actualizacin de un sensor desde cualquier versin de
Cisco IDS anterior a la 4.1 tambin requiere el uso del comando recover o del CD de
actualizacin/recuperacin. Consulte la seccin de este documento Nueva imagen del
sensor para obtener ms informacin.
Actualizacin del sensor
En estas secciones se explica cmo utilizar el comando upgrade para actualizar el
software del sensor:
Informacin general
El sensor se puede actualizar con los siguientes archivos, todos ellos con extensin .pkg:
Actualizaciones de firma; por ejemplo, IPS-sig-S150-minreq-5.0-1.pkg
Actualizaciones principales; por ejemplo, IPS-K9-maj-6.0-1-pkg
Actualizaciones normales; por ejemplo, IPS-K9-min-5.1-1.pkg
Actualizaciones de service pack; por ejemplo, IPS-K9-sp-5.0-2.pkg

Actualizaciones de particiones de recuperacin; por ejemplo, IPS-K9-r-1.1-a-5.0-1.pkg

Con la actualizacin del sensor se cambia su versin de software.
Opciones y comando de actualizacin
Utilice el comando auto-upgrade-option enabled en el submodo de host de servicio para
configurar las actualizaciones automticas.
Se aplican las siguientes opciones:
default: vuelve a establecer el valor en la configuracin predeterminada del sistema.
directory: directorio donde se ubican los archivos de actualizacin en el servidor de
archivos.
file-copy-protocol: protocolo de copia de archivos utilizado para descargar archivos del
servidor. Los valores vlidos son ftp o scp.
Nota: si usa SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista
de hosts conocidos por SSH, para que el sensor se pueda comunicar con l mediante
SSH. Consulte Adding Hosts to the Known Hosts List (Adicin de hosts a la lista de hosts
conocidos) para obtener informacin sobre el procedimiento.
ip-address: direccin IP del servidor de archivos.
password: contrasea de usuario para la autenticacin en el servidor de archivos.
schedule-option: programa el momento en que se producen las actualizaciones
automticas. La programacin de calendario inicia las actualizaciones en horas
especficas de das concretos. La programacin peridica comienza las actualizaciones
en intervalos peridicos especficos.
calendar-schedule: configura los das de la semana y las horas del da en que se llevan a
cabo las actualizaciones automticas.
days-of-week: das de la semana en los que se llevan a cabo actualizaciones automticas.
Se pueden seleccionar varios das. Los valores vlidos son de domingo a sbado.
no: elimina una seleccin o entrada.

times-of-day: horas del da en las que comienzan las actualizaciones automticas. Se

pueden seleccionar varias horas. El valor vlido se expresa como hh:mm[:ss].
periodic-schedule: configura la hora en la que se debe realizar la primera actualizacin
automtica y cunto tiempo se debe esperar entre sucesivas actualizaciones.
interval: nmero de horas que se debe esperar entre actualizaciones automticas. Los
valores vlidos se encuentran entre 0 y 8760.
start-time: hora del da en la que se inicia la primera actualizacin automtica. El valor
vlido se expresa como hh:mm[:ss].
user-name: nombre de usuario para la autenticacin en el servidor de archivos.
Uso del comando de actualizacin
Complete los siguientes pasos para actualizar el sensor:
Descargue el archivo de actualizacin principal (IPS-K9-maj-5.0-1-S149.rpm.pkg) a un
servidor FTP, SCP, HTTP o HTTPS al que pueda acceder el sensor.
Consulte Obtaining Cisco IPS Software (Obtencin del software Cisco IPS) para obtener
informacin sobre cmo localizar software en Cisco.com.
Nota: para poder descargar el archivo, se debe iniciar sesin en Cisco.com con una
cuenta con privilegios criptogrficos. No cambie el nombre del archivo. Debe conservar el
nombre original para que el sensor pueda aceptar la actualizacin.
Inicie sesin en CLI con una cuenta que tenga privilegios de administrador.
Indique el modo de configuracin:
sensor#configure terminal
Actualice el sensor:
sensor(config)#upgrade
archivo>

scp://<nombre

usuario>@<IP

servidor>//upgrade/<nombre

Ejemplo:
Nota: este comando se muestra en dos lneas debido a limitaciones de espacio.
sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
IPS-K9-maj-5.0-1-S149.rpm.pkg

Introduzca la contrasea cuando se le solicite:

Enter password: ********
Re-enter password: ********
Escriba yes para completar la actualizacin.
Nota: las actualizaciones principales, normales y de service pack pueden requerir un
reinicio de los procesos de IPS o incluso un reinicio del sensor para finalizar la instalacin.
Por lo tanto, se produce una interrupcin del servicio de dos minutos como mnimo. Sin
embargo, para las actualizaciones de firma no es necesario reiniciar una vez realizada la
actualizacin. Consulte la pgina de descargas de actualizaciones de firma (slo para
clientes registrados) para obtener las actualizaciones ms recientes.
Compruebe la nueva versin del sensor:
sensor#show version
Application Partition:
Cisco Intrusion Prevention System, Version 5.0(1)S149.0
OS Version 2.4.26-IDS-smp-bigphys
Platform: ASA-SSM-20
Serial Number: 021
No license present
Sensor up-time is 5 days.

Using 490110976 out of 1984704512 bytes of available memory (24% usage)

system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
application-data is using 37.7M out of 166.6M bytes of
available disk space (24 usage)
boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
MainApp

2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running

AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running

CLI

2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600

Upgrade History:
IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004
Recovery Partition Version 1.1 - 5.0(1)S149
sensor#
Uso del comando de actualizacin automtica
Consulte la seccin Opciones y comando de actualizacin de este documento para
obtener ms informacin sobre los comandos auto-update.
Realice los siguientes pasos para programar actualizaciones automticas:
Inicie sesin en CLI con una cuenta que tenga privilegios de administrador.
Configure el sensor para que busque automticamente las nuevas actualizaciones en su
directorio de actualizacin.
sensor#configure terminal
sensor(config)#service host
sensor(config-hos)#auto-upgrade-option enabled

Especifique la programacin:
Para la programacin de calendario, que inicia las actualizaciones en horas especficas de
das concretos:
sensor(config-hos-ena)#schedule-option calendar-schedule
sensor(config-hos-ena-cal#days-of-week sunday
sensor(config-hos-ena-cal#times-of-day 12:00:00

Para la programacin peridica, que comienza las actualizaciones en intervalos

peridicos especficos:
sensor(config-hos-ena)#schedule-option periodic-schedule
sensor(config-hos-ena-per)#interval 24
sensor(config-hos-ena-per)#start-time 13:00:00

Especifique la direccin IP del servidor de archivos:

sensor(config-hos-ena-per)#exit
sensor(config-hos-ena)#ip-address 10.1.1.1

Indique el directorio donde se ubican los archivos de actualizacin en el servidor de

archivos:
sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates

Especifique el nombre de usuario para la autenticacin en el servidor de archivos:

sensor(config-hos-ena)#user-name tester

Indique la contrasea del usuario:

sensor(config-hos-ena)#password

Enter password[]: ******

Re-enter password: ******

Especifique el protocolo del servidor de archivos:

sensor(config-hos-ena)#file-copy-protocol ftp

Nota: si usa SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista
de hosts conocidos por SSH, para que el sensor se pueda comunicar con l mediante
SSH. Consulte Adding Hosts to the Known Hosts List (Adicin de hosts a la lista de hosts
conocidos) para obtener informacin sobre el procedimiento.
Compruebe la configuracin:
sensor(config-hos-ena)#show settings
enabled
----------------------------------------------schedule-option
----------------------------------------------periodic-schedule
----------------------------------------------start-time: 13:00:00
interval: 24 hours
----------------------------------------------ip-address: 10.1.1.1
directory: /tftpboot/update/5.0_dummy_updates
user-name: tester
password: <hidden>
file-copy-protocol: ftp default: scp
----------------------------------------------sensor(config-hos-ena)#
Salga del submodo de actualizacin automtica:
sensor(config-hos-ena)#exit

sensor(config-hos)#exit
Apply Changes:?[yes]:
Pulse Enter para aplicar los cambios o escriba no para descartarlos.
Nueva imagen del sensor
La imagen del sensor se puede rehacer de las siguientes maneras:
Para

dispositivos

IDS

con

una

unidad

de

CD-ROM,

utilice

el

CD

de

actualizacin/recuperacin.
Para todos los sensores, utilice el comando recover.
Para IDS-4215, IPS-4240 e IPS 4255, utilice ROMMON para restaurar la imagen del
sistema.
Para NM-CIDS, utilice el cargador de inicializacin.
Para IDSM-2, rehaga la imagen de la particin de la aplicacin desde la particin de
mantenimiento.
Para ASA-SSM, rehaga la imagen a partir de ASA con el comando hw-module module 1
recover [configure | boot].
Para obtener informacin sobre el procedimiento, consulte la seccin Installing the ASASSM System Image (Instalacin de la imagen del sistema ASA-SSM) de Configuring the
Cisco Intrusion Prevention System Sensor Using the Command Line Interface
5.0 (Configuracin del sensor Cisco Intrusion Prevention System utilizando la interfaz de
lnea de comandos 5.0).

Conclusin

En la prensa especializada, cada vez resuena ms el trmino IPS (Sistema de prevencin

de intrusiones) que viene a sustituir al IDS "tradicional" o para hacer una distincin entre
ellos.
Un IDS/IPS monitoriza y detecta comportamientos maliciosos e identifica patrones
sospechosos que pueden comprometer la seguridad de la red/sistema de computacin. El
IDS es un sistema pasivo, detecta una brecha potencial de seguridad, registra la
informacin y seala una alerta. El IPS es un sistema tanto reactivo, respondiendo a la
actividad sospechosa reconfigurando los firewall para bloquear el trfico de red o
eliminando trfico de la red como proactivo tomando medidas con anticipacin en base a
indicios detectados.
Algunas razones de la necesidad de los IDS/IPS son hacer frente a las prdidas de
propiedad intelectual, de integridad de datos, de control de procesos, al espionaje
industrial, etc. posibilitan el registro de secuencias de eventos

Bibliografa

Areitio, J. and Areitio, G. Identificacin, anlisis y defensas en torno al malware o cdigo

malicioso. Revista Conectrnica. N 107. Mayo 2007.
-Areitio, J. Identificacin y anlisis en torno a las tecnologas de autenticacin de
usuarios. Revista Conectrnica. N 106. Abril 2007.
Areitio, J. Integracin slida entre la gestin de incidentes y el anlisis forense de
seguridad de la informacin. Revista Conectrnica. N 103. Enero 2007.
Areitio, J. Necesidad de complementar los firewall: sistemas de deteccin-prevencin de
intrusiones y valoracin de vulnerabilidades. Revista Conectrnica. N 101. Octubre
2006.
Areitio, J. Seguridad de la Informacin: Redes, Informtica y Sistemas de Informacin.
Cengage Learning Paraninfo. 2008.
Cox, K. and Gerg, C. Managing Security with Snort and IDS Tools. OReilly Media, Inc.
Sebastopol, CA. 2004.
Beale, J., Baker, A. and Esler, J. Snort IDS and IPS Toolkit. Syngress Publishing, Inc.
Rockland, MA. 2007.
Provos, N. and Holz, T. Virtual Honeypots: From Botnets Tracking to Intrusion Detection.
Addison-Wesley. Upper Saddle River. NJ. 2008.
Huang, C-T. and Gouda, M.G. Hop Integrity: A Defence Against Denial-of-Service
Attacks. Springer. 2005.
Snort, http://www.snort.org. Herramienta open source del tipo NIDS creada por Martin
Roesch, fundador de la compaa de productos de seguridad Sourcefire.
Nmap, http://insecure.org/nmap/. Herramienta de exploracin de puertos para pruebas de
intrusin e identificacin de servicios.
Sitio Web CVE que clasifica las vulnerabilidades existentes, http://cve.mitre.org/cve.
Herramienta.

Kasabov, N. Foundations of Neural Networks, Fuzzy Systems and Knowledge

Engineering. MIP Press. Cambridge. MA. 1998.
Manikopoulos, C.N. Intrusion Detection and Network Security: Statistical Anomaly
Approaches. CRC. 2008.
Di Pietro, R. and Mancini, L.V. Intrusion Detection Systems. Springer. 2008.

Flegel, U. Privacy-Respecting Intrusion Detection. Springer. 2007.