1.

- En su nuevo trabajo de docente de la asignatura de Redes y

Seguridad, sus alumnos le solicitan que realice una comparación
entre las funciones básicas de los sistemas IDS y un IPS.
Explique cada uno de ellos.

¿Qué relación tiene el concepto MD5 con los HIPS? Comente.

QUE ES IPS
Es un software que ejerce el control de acceso en una red informática para
proteger a los sistemas computacionales de ataques y abusos.
Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos
tradicionales, al tomar decisiones de control de acceso basados en los contenidos
del tráfico, en lugar de direcciones IP o puertos
CARACTERÌSTICAS
 El IPS se sitúa en línea dentro de la red IPS y no sólo escucha pasivamente a
la red como un IDS (tradicionalmente colocado como un rastreador de puertos
en la red).
 El IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin
importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo
externo. Esto significa que el IPS puede filtrar y bloquear paquetes en modo
nativo (al utilizar técnicas como la caída de una conexión, la caída de paquetes
ofensivos, el bloqueo de un intruso, etc.)

LOS IPS SE CATEGORIZAN EN LA FORMA QUE DETECTAN EL TRÁFICO

MALICIOSO
 Detección basada en firmas: como lo hace un antivirus.
 Detección basada en políticas: el IPS requiere que se declaren muy
específicamente las políticas de seguridad.
 Detección basada en anomalías: en función con el patrón de comportamiento
normal de tráfico.
 Detección honey pot (jarra de miel): funciona usando un equipo que se
configura para que llame la atención de los hackers
QUE ES IDS
Es un programa usado para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos crackers, o de Script
Kiddies que usan herramientas automáticas.

FUNCIONAMIENTO
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del
tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques
conocidos, o comportamientos sospechosos, como puede ser el escaneo de
puertos, paquetes mal formados, etc. El IDS no sólo analiza qué tipo de tráfico es,
sino que también revisa el contenido y su comportamiento.
TIPOS DE IDS
 HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del
éxito de los intrusos, que generalmente dejaran rastros de sus actividades
en el equipo atacado, cuando intentan adueñarse del mismo, con propósito
de llevar a cabo otras actividades. El HIDS intenta detectar tales
modificaciones en el equipo afectado, y hacer un reporte de sus
conclusiones.
 NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el
segmento de la red. Su interfaz debe funcionar en modo promiscuo
capturando así todo el tráfico de la red.

MD5: Es un algoritmo que proporciona un código asociado a un archivo o un texto

concretos. De esta forma, a la hora de descargar un determinado archivo, como
puede ser un instalador, el código generado por el algoritmo, también llamado
hash, viene “unido” al archivo.
HIPS: El Sistema de prevención de intrusiones basado en el Host se encuentra
incluido en ESET NOD32 Antivirus y ESET Smart Security 5. HIPS monitorea la
actividad del sistema y emplea un conjunto de reglas predefinidas con el fin de
reconocer un comportamiento sospechoso del sistema. Cuando esta clase de
actividad es identificada, el mecanismo de autodefensa de HIPS detiene el
programa o proceso amenazante para evitar la potencial actividad dañina.
2.- En un colegio se ha generado un cargo para mantener los
servidores de la institución. Para adjudicarse el cargo, el comité
de contratación le solicita que le indique cómo funciona un
sistema de prevención de intrusos y cuáles son las
características del sistema de firmas. Explique.

Además, le solicitan indicar: ¿Qué son las tablas de

enrutamiento?
¿En qué dispositivos funcionan?
Buenas noches profesor y compañeros
Respondiendo el foro de esta semana:
Funcionamiento del Sistema de Prevención de Intrusos
Un Sistema de Prevención de Intrusos o Intrusion Prevention System ("IPS" en
sus siglas en inglés), es un dispositivo de seguridad de red que monitoriza el
tráfico de red y/o las actividades de un sistema, en busca de actividad maliciosa.
Entre sus principales funciones, se encuentran no sólo la de identificar la actividad
maliciosa, sino la de intentar detener esta actividad. Siendo esta última una
característica que distingue a este tipo de dispositivos de los llamados Sistemas
de Detección de Intrusos o Intrusion Detection Systems ("IDS" en sus siglas en
inglés).

Entre otras funciones (como en el caso del IDS) se tiene que poder alertar al
administrador ante la detección de intrusiones o actividad maliciosa, mientras que
es exclusivo de un Sistema de Prevención de Intrusos (IPS) establecer políticas de
seguridad para proteger al equipo o a la red de un ataque.

De ahí que se diga que un IPS protege a una red o equipo de manera proactiva
mientras que un IDS lo hace de manera reactiva.

Otras funciones importantes de estos dispositivos de red, son las de grabar

información histórica de esta actividad y generar reportes.
Los IPS se clasifican en cuatro diferentes tipos:

 Basados en Red Lan (NIPS): monitorizan la red lan en busca de tráfico de red
sospechoso al analizar la actividad por protocolo de comunicación lan.
 Basados en Red Wireless (WIPS): monitorean la red inalámbrica en busca de
tráfico sospechoso al analizar la actividad por protocolo de comunicación
inalámbrico.
 Análisis de comportamiento de red (NBA): Examina el tráfico de red para
identificar amenazas que generan tráfico inusual, como ataques de denegación
de servicio ciertas formas de malware y violaciones a políticas de red.
 Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de
software que monitoriza un host único en busca de actividad sospechosa.

Los IPS categorizan la forma en que detectan el tráfico malicioso:

 Detección basada en firmas: como lo hace un antivirus.
 Detección basada en políticas: el IPS requiere que se declaren muy
específicamente las políticas de seguridad.
 Detección basada en anomalías: en función con el patrón de comportamiento
normal de tráfico.
DETECCIÓN BASADA EN FIRMAS
La detección basada en firmas analiza el tráfico en busca de patrones
coincidentes con una base de datos de firmas. Es un funcionamiento similar al de
los antivirus.
 Pro: Pocos falsos positivos, permite detectar exploits u otro código malicioso.
 Contra: Hay que actualizar las firmas frecuentemente.
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en
cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los
servidores Web generalmente toman la forma de URLs. Por lo tanto se puede
buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al
servidor web. Sin embargo, como este tipo de detección funciona parecido a un
antivirus, el administrador debe verificar que las firmas estén constantemente
actualizadas.
QUE SON LAS TABLAS DE ENRUTAMIENTO
 Son unas tablas que el sistema operativo utiliza para poder comunicarse con
otros dispositivos y redes
 Estas tablas contienen la información de los protocolos IPv4 e IPv6
QUE INFORMACIÓN MUESTRA
 El destino
 La máscara de subred
 Puerta de enlace
 interfaz

Buenas noches profesor y compañeros

Complementando más sobre el tema de las tablas de enrutamiento se puede

mencionar que una tabla de enrutamiento, también conocida como tabla de
encaminamiento, es un documento electrónico que almacena las rutas a los
diferentes nodos en una red informática. Los nodos pueden ser cualquier tipo de
dispositivo electrónico conectado a la red. La tabla de enrutamiento generalmente
se almacena en un router o en una red en forma de una base de datos o archivo.
Cuando los datos deben ser enviados desde un nodo a otro de la red, se hace
referencia a la tabla de enrutamiento con el fin de encontrar la mejor ruta para la
transferencia de datos.

Tabla de enrutamiento (cmd de windows)

Hop-by-hop es un método común de enrutamiento en redes en las que hay nodos

intermedios entre la fuente y el destino, va a la dirección del siguiente nodo
principal hasta el punto de destino en la lista. Así que cuando un paquete de datos
llega a un nodo en particular, usa la tabla de rutas para encontrar la dirección del
siguiente nodo. Una vez que llega a ese nodo, de nuevo usa la tabla de
enrutamiento para la dirección del siguiente salto, y así sucesivamente, hasta
llegar al destino final.
Para una amplia red compuesta de un número de nodos y routers, las tablas en
todos los encaminadores deben ser coherentes, en su defecto, esto puede crear
problemas, especialmente en redes que utilizan el hop-by-hop de enrutamiento en
el que el modelo de paquetes de datos puede llegar a ser enviado en un bucle
infinito. Los Bucles de enrutamiento siempre han sido un problema recurrente en
las redes y uno de los principales objetivos del diseño de protocolos de
enrutamiento es el cuidado de evitar estos bucles de enrutamiento.

Las tablas de enrutamiento generalmente pueden mantenerse manualmente

cuando la red es pequeña y estática. Las mismas, para todos los dispositivos de
red no cambian hasta que el administrador de la red los cambie manualmente. En
el enrutamiento dinámico, los dispositivos automáticamente construyen y
mantienen sus propias tablas de enrutamiento. Lo hacen mediante el intercambio
de información relativa a la topología de red utilizando protocolos de enrutamiento.
Esto permite a los dispositivos de la red adaptarse automáticamente a los cambios
dentro de la red, como fallos y congestión cuando se produzcan. Para ver la tabla
de enrutamiento de nuestro router podemos acceder al perfil de administración
que poseen los router o bien desde el comando "route print" o "netstat -r" desde el
cmd.exe de windows.