Está en la página 1de 50

Seguridad Informática

Presentación del Curso


Doc. Fidel Garcia
Unidad 3:
Implementación de Tecnologías de Seguridad
de la Red
Logro de la Unidad:
Al finalizar la unidad el estudiante conoce como
implementar algunas tecnologías de seguridad de
las redes

Datos/Observaciones
Unidad 3:
Implementación de Tecnologías de Seguridad de
la Red
Semana 13:
Implementación de un sistema de prevención de
intrusos.
• Tecnologías IPS/IDS
• Características de las firmas de un
IPS
Datos/Observaciones
Conceptos de IDS e IPS
Semana 13
Logro de la Sesión:

Al culminar la sesión el alumno identifica


la los conceptos de IDS e IPS

Datos/Observaciones
Temas a tratar en la sesión 01
Semana 13
• Conceptos de IDS e IPS
– ¿Qué es un IDS?
– ¿Qué es un IPS?
– ¿Porqué se requieren?
– Diferencias entre IDS e IPS
– Tipos de IDS e IPS
• Firmas vs Anomalías
• NIDS/NIPS
• HIDS/HIPS
• Dispositivos/software integrados

Datos/Observaciones
Ataques y Orígenes

Para una correcta distinción hay que tener en


cuenta las tres distintas posibilidades que
existen en un ataque, atendiendo a quién es
el que lo lleva a cabo:
✓ Ingresos externos
✓ Ingresos internos
✓ Abuso de recursos

Datos/Observaciones
Ataques y Orígenes
Ingresos Externos

Que se define como la intrusión que se


lleva a cabo a partir un usuario o un
sistema de computadores no autorizado
desde otra red.

Datos/Observaciones
Ataques y Orígenes

Ingresos
Externos

Datos/Observaciones
Ataques y Orígenes
Ingresos Internos

Son aquellos que llevan a cabo por


usuarios internos que no están
autorizados al acceso.

Datos/Observaciones
Ataques y Orígenes

Ingresos
Internos

Datos/Observaciones
Ataques y Orígenes
Abusos de Recursos

Se define como el abuso que un


usuario lleva a cabo sobre unos datos o
recursos de un sistema al que está
autorizado su acceso

Datos/Observaciones
Ataques y Orígenes

Abuso
Recursos

Datos/Observaciones
¿Qué es un IDS?
Un sistema de detección de intrusos (o IDS) es un programa
usado para detectar accesos desautorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos Hackers,
o de Script Kiddies que usan herramientas automáticas.

Datos/Observaciones
¿Qué es un IDS?
✓ El IDS suele tener
sensores virtuales (por
ejemplo, un sniffer de red)
con los que el núcleo del
IDS puede obtener datos
externos (generalmente
sobre el tráfico de red).

✓ El IDS detecta, gracias a


dichos sensores,
anomalías que pueden ser
indicio de la presencia de
ataques o falsas alarmas.
Datos/Observaciones
¿Qué es un IDS?

• IDS (Sistema de Detección de Intrusos)


• Monitoreo pasivo con el fin de detectar indicios de actividad
inapropiada, incorrecta o anómala.
• Categorías de sistemas de detección de intrusos
• “Intrusion Detection" & "Misuse”

Datos/Observaciones
Funcionamiento del IDS
El funcionamiento de estas
herramientas se basa en:
• En que IDS (ya sea de hardware o
una aplicación de software) que
utiliza firmas de intrusión conocidas
para detectar y analizar el tráfico de
red entrante y saliente en busca de
actividades anormales. También
para detectar comportamientos
sospechosos, como puede ser el
escaneo de puertos, paquetes
malformados,
Datos/Observaciones
etc.
Funcionamiento del IDS
• Los IDS suelen disponer de una
base de datos de “firmas” de
ataques conocidos.
• Dichas firmas permiten al IDS
distinguir entre el uso normal del
PC y el uso fraudulento, y/o entre
el tráfico normal de la red y el
tráfico que puede ser resultado de
un ataque o intento del mismo.

Datos/Observaciones
Funcionamiento del IDS

Datos/Observaciones
Tipos de IDS
• HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz
corre en modo individual
• La ventaja es que la carga de procesado es mucho menor.

Datos/Observaciones
Tipos de IDS
• NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de
la red.
• Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

Datos/Observaciones
Implementación
• Es posible su implementación a nivel de hardware o software
• En redes es necesario considerar el lugar de colocación del IDS.
• Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo
el tráfico de la red realizando una conexión a cualquier puerto
• En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un
puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.

Datos/Observaciones
Ventajas y desventajas
Ventajas:
• Transparente ante fallas
• No añade latencia
• (NIDS) Puede monitorear tráfico entre estaciones
• Requiere menos recursos.
• Bajo costo incluso gratis
Desventajas.
• Bajo nivel de protección
• Monitoreo pasivo

Datos/Observaciones
¿Qué es un IPS?
Los IPS tienen la capacidad de parar ataques contra la
red y debe proporcionar los siguientes mecanismos de
defensa activos :
• Detección - identifica ataques contra recursos de la
red y los hosts.

Datos/Observaciones
Funcionamiento
• Toman decisiones de control de acceso en base a
contenidos del trafico
• No es muy necesario parcharlos
• Estos sistemas son un mecanismo PROACTIVO designado
para detectar paquetes maliciosos dentro del trafico normal
de la red. Detiene intrusiones bloqueando el trafico antes
que este provoque un daño lo que es mas efectivo que
enviar un alerta una vez que el trafico a sido liberado
• IPS actúa a nivel de equipo (HW)

Datos/Observaciones
Funcionamiento

UN BUEN IPS
• Bloqueo automático de ataques
• Protección de sistemas no parchados
• Debe ser muy confiable
• No debe afectar negativamente el funcionamiento
• No debe bloquear trafico legitimo
• Mejora el rendimiento de las redes

Datos/Observaciones
Proactivamente: IPS

Datos/Observaciones
Tipos de IPS
HIPS (HostIPS):
• Tal como los sistemas de HIDS, el HIPS requiere
de un agente instalado en el sistema que esta
siendo protegido.
• Esto esta ligado al Kernel del sistema Operativo
y servicios, monitoreando e interceptando
llamadas al sistema para el Kernel o las APIs
para prevenir ataques tan bien como analizando
los Log
Datos/Observaciones
Tipos de IPS
NIPS (NetworkIPS):
• Los NIPS combinan características de los IDS
convencionales, de IPS y Firewall.
• Son conocidos como dispositivos IN-LINE. Como un
típico firewall los NIPS poseen dos interfaces de red
designadas como interna y externa.
• Los paquetes pasan en ambas interfaces por un motor
de detección.

Datos/Observaciones
Implementación
Los NIPS, tal como su
nombre los indica, se
instalan en línea con el
trafico, esto quiere decir
que el trafico externo o
untrusted se conecta a un
interfaz del IPS (este
corresponde al trafico
proveniente del router de
Internet), la otra interfaz
se conecta al Firewall.
Datos/Observaciones
Funcionamiento IPS

Datos/Observaciones
Ventajas y desventajas

Datos/Observaciones
¿Porqué se requieren?

Datos/Observaciones
¿Porqué se requieren?

Datos/Observaciones
Diferencias entre IDS e IPS

Datos/Observaciones
Diferencias entre IDS e IPS

Datos/Observaciones
Diferencias entre IDS e IPS

Datos/Observaciones
Diferencias entre IDS e IPS

Datos/Observaciones
Diferencias entre IDS e IPS

Datos/Observaciones
Tipos de IDS e IPS

Datos/Observaciones
Tipos de IDS e IPS

Datos/Observaciones
Tipos de IDS e IPS

Datos/Observaciones
Tipos de IDS e IPS
Dispositivos/software integrados
• Utilizan el concepto de ‘todo en uno’
• IPS
• Antivirus
• Firewall
• ‘Application Compliance’
• AntiSpam
• Filtro de Contenidos
• Etc

Datos/Observaciones
Tipos de IDS e IPS

Datos/Observaciones
Tipos de IDS e IPS
Ventajas
• Reducen el tiempo empleado en analizar los
paquetes
• Usualmente menor costo que comprar cada
uno de los componentes por separado
Desventajas:
• Usualmente son punto único de fallas
• Usualmente se obtienen mejores resultados
usando el mejor producto para cada
necesidad (Best Of Breed, Gartner)

Datos/Observaciones
Tipos de IDS e IPS
• La implementación de sistemas IDS o IPS no reemplazan a un Firewall
o a una plataforma Antivirus.
• Plataformas IDS e IPS deben considerarse como herramientas
complementarias, que en conjunto con sus productos de seguridad
standard, aumenten su seguridad perimetral.

Datos/Observaciones
Tipos de IDS e IPS

Datos/Observaciones
Tipos de IDS e IPS
Basados en Software:
• Symantec Gateway Security 3.0

• ISA Server 2006

Datos/Observaciones
Tipos de IDS e IPS
Hardware
Cisco IP Sensor
4200

McAfee IntruShield Network IPS Appliances

Datos/Observaciones
Tipos de IDS e IPS
• TRIPWIRE
http://www.tripwire.com/products/enterprise/ost/#
• SWATCH
• http://sourceforge.net/projects/swatch/
• LIDS
http://www.lids.org

Datos/Observaciones
Preguntas o Consultas??

También podría gustarte