Técnicas y

Herramientas de
Seguridad Proactiva
Tema 5
IDS e IPS

Seguridad en Redes 2/22

Técnicas y
Herramientas de
Seguridad Proactiva
Sistemas de Detección y
Prevención de Intrusos
IDS

▪ Los sistemas IDS permiten la detección de

ataques de
▪ Exploración de red o de un sistema
▪ Sistema operativo de los equipos
▪ Versiones de software
▪ Hosts activos
▪ Escáner de vulnerabilidades
▪ Topología de la red…
▪ Ataques de denegación de servicio (DoS o DDoS)
▪ Ataques de acceso a sistemas

Seguridad en Redes 4/22

IDS

▪ En función de la fuente de la que obtengan los

datos utilizados para esta detección de ataques
se pueden clasificar los IDS en dos tipos:
▪ Sistemas de detección de intrusos basados en
equipo (Host Intrusion Detection System —
HIDS)
▪ Utilizan programas instalados en los equipos para intentar
detectar modificaciones en equipos afectados por un ataque,
y hace un reporte de sus conclusiones

Seguridad en Redes 5/22

IDS
▪ Sistemas de detección de intrusos basados en
red (Network Intrusion Detection System —
NIDS): Detecta accesos no deseados a la red
▪ Este tipo de IDS suele incorporar un analizador de paquetes
de red (sniffer) con los que el núcleo del NIDS puede
obtener información sobre el tráfico que circula por la red
▪ Mediante el análisis del tráfico capturado el IDS detecta
anomalías que pueden ser indicio de la presencia de ataques
o falsas alarmas
▪ Su interfaz debe funcionar en modo promiscuo para capturar
todo el tráfico que circula por la red

Seguridad en Redes 6/22

IDS
▪ Los NIDS suelen desplegarse en modo escucha («Tap
mode»)
▪ Para poder utilizar este modo es necesario contar con un equipo
que tenga dos interfaces de red
▪ Una de la interfaces se encargará de monitorizar el tráfico de
la red
▪ Mientras que la otra se encargará de tareas de gestión y
administración
▪ La interfaz de monitorización está conectada a un
dispositivo de escucha («networktap ») que permite
capturar el tráfico de la red
▪ Esta interfaz no tiene asignada una dirección IP con el fin de
reducir las posibilidades de que el atacante la descubra

Seguridad en Redes 7/22

IDS

Seguridad en Redes 8/22

IDS

Seguridad en Redes 9/22

IDS
▪ Los sistemas IDS también pueden clasificarse en
función de la técnica de detección de ataques
utilizada:
▪ Sistemas de detección de intrusos basados en
firmas
▪ Disponen de una base de datos de firmas de ataques conocidos
que utilizan para la detección de los mismos
▪ Sistemas de detección de intrusos basados en
anomalías
▪ Disponen de un patrón de comportamiento normal («baseline»)
frente al que comparan el tráfico de red o el comportamiento de
un sistema para detectar posibles anomalías que representen un
ataque
▪ Para que un sistema IDS sea efectivo debe
actualizarse periódicamente

Seguridad en Redes 10/22

IDS

▪ Ejemplo IDS basado en firmas (snort)

Regla para ICMP para detección de uso de
traceroute
alert icmp $EXTERNAL_NAT any -> $HOME_NET
any (msg:”ICMP traceroute”; itype:8; ttl:1;
reference:arachnids, 118; classtype:attempted-
recon; sid:385; rev:4;)

Seguridad en Redes 11/22

IPS

▪ Los IPS ofrecen nuevas funcionalidades con

respecto a los IDS ya que además de permitir la
detección de ataques son capaces de prevenirlos

Seguridad en Redes 12/22

IPS
▪ Los IPS suelen desplegarse en modo en línea («in-
line mode»)
▪ El propio IPS se sitúa como un puente entre la red a
proteger y el resto
▪ Dispone de al menos tres interfaces de red:
▪ Una para recibir tráfico del exterior
▪ Otra para redirigir el tráfico a la red interna
▪ El último para tareas de gestión y administración
▪ Esta arquitectura hace posible tener un control
total sobre el tráfico que atraviesa la red
▪ Para que un sistema IPS sea efectivo debe actualizarse
periódicamente

Seguridad en Redes 13/22

IPS

Seguridad en Redes 14/22

IPS

Seguridad en Redes 15/22

IPS
▪ A continuación algunos ejemplos de dispositivos, además
del ya comentado IDS + Cortafuegos, que ofrecen
funcionalidades de IPS
▪ Switch* de nivel de aplicación
▪ Normalmente un switch trabaja en la capa dos del modelo OSI,
pero debido a la necesidad de trabajar con grandes anchos de
banda cada vez son más comunes los conmutadores de nivel
de aplicación, capa siete del modelo OSI
▪ Estos dispositivos analizan la información de aplicación (DNS,
HTTP, FTP…) para realizar tareas de balanceo de carga entre
varios servidores
▪ Además, algunos conmutadores incorporan capacidades que
proporcionan protección frente a ataques de denegación de
servicio (DoS o DDoS)
▪ * Este va a ser referido como IDS de red

Seguridad en Redes 16/22

IPS
▪ IPS de host a nivel aplicación
▪ Al igual que los switches a nivel de aplicación, estos
sistemas trabajan en la capa siete del modelo OSI
▪ Estas herramientas se instalan sobre el sistema final a
proteger y analizan elementos como la gestión de la
memoria, llamadas al sistema o intentos de conexión de
una aplicación
▪ Para funcionar necesita que el administrador defina unos
perfiles en los que se realiza una fase de entrenamiento
que permite establecer un modelo de comportamiento
normal de las aplicaciones y se definen unas políticas de
seguridad (IPS basado en anomalías)
▪ Todas las acciones que no estén definidas en el perfil se
considerarán un intento de intrusión y serán bloqueadas por el
sistema

Seguridad en Redes 17/22

IPS
▪ Conmutador híbrido
▪ Estos dispositivos pueden ser considerados un híbrido
entre los switches de nivel de aplicación y los IPS de host
a nivel aplicación, ya que se instalan de la misma manera
que los primeros pero funcionan a través de la definición
de políticas de seguridad como los segundos
▪ Tiene conocimiento tanto del tipo de servidor que protege como
de las aplicaciones concretas que estás corriendo sobre ellos
▪ Estos dispositivos tienen la ventaja de que pueden ser
configurados mediante la importación de datos obtenidos
mediante un escáner de vulnerabilidades ejecutado sobre
el sistema a proteger
▪ Puede utilizarse en conjunto con un switch de nivel de
aplicación que le redirija únicamente el tráfico que considere
malicioso para reducir la carga de trabajo

Seguridad en Redes 18/22

Técnicas y
Herramientas de
Seguridad Proactiva
Verificadores de Integridad
Verificadores de integridad

▪ Utiliza funciones criptográficas de tipo resumen (hash) o

código de verificación (checksum) para calcular los valores
correspondientes y compararlos con valores de referencia con
la intención de encontrar diferencias en los ficheros
▪ Los intrusos pueden modificar o borrar ficheros que oculten
su actividad y eliminen las huellas que hayan podido dejar.
También podrían dejar una puerta trasera por la que volver
a acceder al sistema
▪ Este tipo de sistemas solo pueden detectar intrusiones si el
atacante ha modificado algún fichero

Seguridad en Redes 20/22

Verificadores de integridad

Seguridad en Redes 21/22

Técnicas y
Herramientas de
Seguridad Proactiva
Tema 5
IDS e IPS
Profesor: José Alfredo Torres Solano