Tarea como parte del curso de Seguridad Informática
Trabajo como parte del
curso de Sistemas Distribuidos
Alumna: BARZOLA PEÑA, NICOLLE JENNY U19220483
DOCENTE: MARLON FRANK ACUÑA BENITES
22 de junio del 2022
¿Cómo se debería implementar un IPS? Mencione un ejemplo.
Montes e Iturrizaga (2015) mencionan que el sistema de prevención de intrusiones o IPS es un sistema que establece políticas de seguridad para proteger equipos o redes. A diferencia de IDS, que se encarga de alertar a los administradores sobre cualquier actividad sospechosa, IPS en realidad tiene políticas de seguridad preestablecidas que no permiten el acceso a ciertos tipos de tráfico o patrones. Luego de una evaluación e investigación en la empresa se optaría por realizar un IPS que puede depender de sus clasificaciones (por detección y por su tecnología) CLASES DE IPS SEGÚN SU DETECCIÓN I. IPS basado en firmas Para que IPS realice una detección basada en firmas, debe contener una base de datos de todos los patrones conocidos de un ataque determinado. Esta información se adjunta al dispositivo que realizará la detección para que al buscar coincidencias pueda saber si hay un ataque o no. II. IPS basado en anomalías Este tipo de IPS intenta identificar el comportamiento que se desvía de lo que se definió previamente de alguna manera como el "comportamiento normal" de la red. IPS se basa en desviaciones que también se basan en estadísticas. III. IPS basado en Análisis de Protocolo Es similar al IPS basado en firmas, pero realiza verificaciones mucho más profundas de los paquetes y también es más flexible para encontrar patrones de ataque específicos. CLASES DE IPS SEGÚN SU TECNOLOGÍA I. Basado en Host Este tipo de IPS, monitorea las características de un host en particular, así que detecta actividades dentro del mismo. Así mismo, las acciones de contingencia, lanzadas por este tipo de IPS, actúan sobre el host en el cual trabaja. Se enfocan en la protección de servidores, escritorios o laptops, o una aplicación de servicio. Este IPS también corre sus sensores sobre el host, consumiendo así sus recursos. Esto puede llegar a afectar el funcionamiento del host. II. Basado en Red Con esta tecnología de IPS, se realiza monitoreo sobre el tráfico de red que fluye a través de segmentos particulares, y analizan protocolos de red, de transporte y de aplicación para identificar actividades sospechosas. La principal diferencia entre esta tecnología, y la anterior, es la ubicación de sus sensores.
Las maneras en la que se implementan son:
Modo en línea (en línea) Modo SPAN
El dispositivo se coloca en el medio de la ruta del Utilizados directamente en el flujo de tráfico de la tráfico, evitando que el primer paquete de red, los paquetes se analizan detectando posibles ataque alcance su objetivo final, generando alertas y ataques y deteniéndolos incluso antes de que tomando medidas; sin embargo, en este modo no lleguen a su destino puede cambiar el tráfico a medida que se dirige al destino. Con ello un ejemplo para implementar IPS seria el siguiente diseño de arquitectura para evitar ataques, que son: “Smurf Attack” y “Ping Flood”.