Buenas Tardes Profesor y compañeros, respondiendo a las pregunta de la semana del foro Nº 5,la

cual señala lo siguiente:

1. En su nuevo trabajo de docente de la asignatura de Redes y Seguridad, sus alumnos le solicitan

que realice una comparación entre las funciones básicas de los sistemas IDS y un IPS.

Explique cada uno de ellos.

¿Qué relación tiene el concepto MD5 con los HIPS? Comente.

Respuestas

Las principales actividades respecto a la lógica, física (monitoreo) y por supuesto a la seguridad. Es
decir que estos existen en un sistema de control en una red, en PC, laptops, software, entre otras
anomalías posibles. Lo cual significa que existe un sistema que podremos retroalimentar los
parámetros o otras situaciones que detectemos; efectuando correcciones fijadas en parámetros
que se establecen en un sistema IDS/IPS.

 Intrusion Detection System- IDS sistema de detección de intrusiones

 Intrusion Prevention System- IPS sistema de prevención de intrusiones
Estos son elemento que se encargan monitorizar el comportamiento de redes, host y/o
aplicaciones en búsqueda de patrones de comportamiento malicioso.

Tecnología del sistema de prevención de intrusos “IPS”

Según Securizando.com (s. f.):

Los sistemas de detección de intrusos (IDS, Intrusion Detection System) y los sistemas de
protección de intrusos (IPS, Intrusion Prevention System), estos son una evolución de sistemas
basados en un firewall. Se utilizan por Sysadmins para detectar anomalías o situaciones de riesgo,
para el chequeo de puertos, direcciones IP, etc.

Características IDS

Según Segu-info.com.ar (2009) las características principales de los IDS son:

 Estos deben funcionar sin el chequeo humano o supervisión, el sistema es fiable por si
mismo, para que este corriendo como un servicio en el sistema operativo.
 Deben ser tolerantes a fallos, pueden tolerar una caída de sistema.
 Es importante que sea resistente a situaciones de errores, podría ser monitoreado por
si mismo.
 Debe minimizar sobrecargas; un sistema que no debe generar una latencia.
 Debe chequear situaciones de desvío, bajo un comportamiento típico.
 Debe ser de fácil adaptación, al momento que se encuentre ya instalado. Cada sistema
tiene un patrón, todos funcionan de manera diferente y bajo un mecanismo de
defensa a patrones incluso sencillos.
 Debe hacer frente a los cambios de comportamiento del sistema según se añaden
nuevas aplicaciones al mismo.
 Debe ser fácil de que sea ‘invisible’, indetectable.
Debilidades de los IDS:

 Generan falsas alarmas.

 Producen fallos en las alarmas.
 No pasa a ser un sustituto para un Firewall standard, auditorias en seguridad son regulares
y estrictas como política de seguridad.
Características IPS

CertSi (2017, p. 31) indica que los IPS se asemejan el comportamiento de los cortafuegos, ya que
“ambos toman decisiones sobre la aceptación de paquetes en un sistema”. Sin embargo, “los
cortafuegos basan sus decisiones en los encabezados de paquetes entrantes, capas de red y de
transporte, mientras que los IPS basan sus decisiones tanto en los encabezados como en el
contenido de datos del paquete”.

Además, CertSi (2017, p. 32) indica que las características principales de los IPS son:

 Capacidad de reacción automática ante incidentes.

 Aplicación de nuevos filtros conforme detecta ataques en progreso.
 Bloqueo automático frente a ataques efectuados en tiempo real.
 Disminución de falsas alarmas de ataques a la red.
 Protección de sistemas no parcheados.
 Optimización en el rendimiento del tráfico de la red.
 Es posible distinguir dos generaciones históricas de los IPS:
 Los IPS de primera generación, al detectar un ataque proveniente de una dirección IP
determinada, descartaban todos los paquetes de esa dirección, estuvieran o no
involucrados en el ataque.
 La evolución de los IPS se debe a la capacidad de descartar únicamente los paquetes
relacionados con el ataque identificado, permitiendo el tráfico de otros paquetes
provenientes de la IP del atacante, siempre y cuando no estuvieran relacionados con el
ataque.

Es posible distinguir dos generaciones históricas de los IPS:

Se pueden distinguir dos tipos de generaciones a través del tiempo en los IPS:

 Bajo los IPS de primera generación, interceptar ataques de una IP determinada, se

desacertaban todos los paquetes de esa dirección, estuvieras o no bajo en el ataque.
 Mientras ha existido una evolución de los IPS, esta es gracias a que se puede descartar
atacantes que puedan venir de un atacante, mientras no exista algún tema con el ataque.

Diferencias entre IPS e IDS

CertSi (2017) indica que existen diferencias entre IPS e IDS, y son:
  Mientras el IDS esta limitado a verificar y detectar intrusiones y que la detiene de algún
modo predefinido. A través de esto, el nivel de alertas de un IPS es considerado menor
que el nivel de alertas producido por un IDS.
 La diferencia total entre IDS y IPS es fundamentalmente que estos últimos están en
capacidad de dejar bajo total inutilización paquetes que hayan sido interceptados en un
ataque, siendo modificados.

Formas de detección de IPS/IDS

En el sitio PCI Hispano (Acosta, 2014) indica lo siguiente:

Formas de detección de los IPS/ IDS

Según el tipo de información cuya fuente analizada:

 Red (Network IDS/IPS): Analiza lo que sucede en una red de datos, mientras captura
tráfico basándose en técnicas de análisis de paquetes. ‘Sniffing’, también. Bajo Wireless
IDS-IPS.
 Host (Host IDS/IPS): Chequea el como un equipo en cuestión – por lo usual el Sistema
Operativo- y eventos relacionados con la seguridad.

Dependiendo del tipo de análisis ejecutado:

Según el tipo de análisis:

 Firmas: Se estructura en paquetes de ataques, usualmente como lo gestiona un antivirus.

 Heurística: Esta tomado en cuenta según el análisis y forma de comportamiento.

Según el tipo o forma de respuesta activada:

 Pasiva: No habrá una alteración activa del entorno. Son catalogados como IDS.
 Activa: Aparte de una alerta, se genera una forma de detección correctiva que puede
alterar el entorno, puede finalizar una conexión o un proceso, bloqueando trafico que
pueda estar relacionado. Son catalogados como IPS.
2. En un colegio se ha generado un cargo para mantener los servidores de la institución. Para
adjudicarse el cargo, el comité de contratación le solicita que le indique cómo funciona un sistema
de prevención de intrusos y cuáles son las características del sistema de firmas. Explique.

Además, le solicitan indicar:

1. ¿Qué son las tablas de enrutamiento?

2. ¿En qué dispositivos funcionan?

Implementación ips basada en red (NIPS)

En relación a este tema, el sitio Mit.edu (s.f. b). indica lo siguiente:

Los sistemas para detectar intrusos, que operan en la red diferente a IDS/IPS basados en host. La
filosofía detrás de un diseño IDS/IPS va por el hecho de que escanea a nivel de enrutador, o host,
escanear cualquier paquete sospechoso, en un archivo de registros especiales con información
amplia. La red puede escanear su propia BBDD de firmas de ataques a la red y asignarles un nivel
de severidad para cada paquete. Bajo niveles críticos son bastante altos, en varios niveles para
chequear cualquier tipo de anomalía.

Los IDS/IPS basados en la red se han vuelto muy populares a medida en que internet ha crecido en
tamaño y tráfico. Los IDS/IPS que son capaces de escanear grandes volúmenes de actividad en la
red y exitosamente etiquetar transmisiones sospechosas, son bien recibidos dentro de la industria
de seguridad. Debido a la inseguridad inherente de los protocolos TCP/IP, se ha vuelto imperativo
desarrollar escáneres, husmeadores y otras herramientas de auditoría y detección para así
prevenir violaciones de seguridad por actividades maliciosas en la red, tales como:

- Engaño de direcciones IP (IP Spoofing).

- Ataques de rechazo de servicio (DoS).
- Envenenamiento de caché arp.
- Corrupción de nombres DNS.
- Ataques de hombre en el medio.

IPS basados en HOST (HIPS)

El Mit.edu (s.f. a), indica lo siguiente respecto al tema:

EL uso basado en HOST analiza diferentes áreas, para testear actividades maliciosas, intrusiones,
etc. Estos sistemas consultan diferentes tipos de registros de archivos (Kernel, sistemas servidores,
etc.) Los sistemas basados en Linux y UNIX utilizan mucho Syslogs para separar eventos y
registrarlos por severidad.
Los sistemas basados en host también pueden verificar la integridad de los datos de archivos y
ejecutables importantes. Estan en archivos confidenciales, y crea una suma de verificaciones en
una base de datos de archivos confidenciales y crea una suma de verificación de cada archivo con
una utilidad de resumen de archivos de mensajes tal como MD5 (algoritmo de 128-bit) o SHA1
(algoritmo de 160-bit) generados mediante “Funciones Hash”.

Tablas de enrutamiento

Según redes locales y globales (s. f.) “cada host y cada router mantienen el conjunto de
correspondencias entre direcciones IP de destino y las direcciones IP de los routers del próximo
salto para esos destinos en una tabla denominada tabla de enrutamiento IP”.

El router resuelve rutas de paquetes según su destino, y si se encuentran en algún tipo de interfaz
de red.

El sitio indica:

Que como un router es incapaz de tener un interfaz de red por cada red de destino, entonces, si
no delega en otros routers, sería incapaz de resolver el destino de la mayor parte de los paquetes.
Así cuando un router recibe un paquete, si no encuentra la dirección destino en su tabla de rutas,
encamina el paquete hacia un router de orden superior confiando en que él sepa resolverlo.

Se pueden encontrar tres tipos de correspondencia en las tablas de enrutamiento:

Correspondencias en tablas de enrutamiento

Rutas directas:

- Para redes conectadas localmente. En ese caso está conectada a la misma red y se pone
como Gateway (puerta de enlace) 0.0.0.0.

Rutas Indirectas:

- Para redes alcanzables vía uno o más routers. Se pone como gateway la ip del router en el
que se delega la búsqueda. Es decir, el próximo salto.
Una ruta por defecto:

- Que contiene la dirección IP de un router que se usa para todas las direcciones IP que no
cubren las rutas directas e indirectas. Se señaliza poniendo en el destino 0.0.0.0.

Tipos de tablas de enrutamiento

Los tipos de tablas de enrutamiento según Oracle.com (s. f.), son los siguientes:

Tipos de tablas de enrutamiento

Estático:

- Hosts y redes de tamaño pequeño obtienen rutas de enrutados predeterminados. Estos

necesitan, solo conocer uno o dos enrutadores en los consiguientes saltos.

Dinámico:

- Interredes de mayor tamaño, enrutadores, con múltiples hosts y hosts de sistemas

autónomos de gran tamaño. El enrutamiento dinámico es la mejor opción para los
sistemas en la mayoría de las redes.

Estático y dinámico combinados:

- Enrutadores que conectan una red con enrutamiento estático y una red con enrutamiento
dinámico, y enrutadores de límite que conectan un sistema autónomo interior con redes
externas. La combinación del enrutamiento estático y dinámico en un sistema es una
práctica habitual.

Volviendo al tema de los IPS, comprueban valores HASH del host que está monitoreando. Si alguna
se modifica, el sistema tomará las medidas correspondientes para corregir la situación, o tomará
medidas.
Firmas del sistema de prevención de intrusos (IPS)

Características de la firma IPS

La detección basada en firmas analiza el tráfico en busca de patrones coincidentes con una base
de datos de firmas. Es un funcionamiento similar al de los antivirus.

- Pro: Pocos falsos positivos, permite detectar exploits u otro código malicioso.
- Contra: Hay que actualizar las firmas frecuentemente.

Alarmas de firma IPS

Según Cybsec.com (s. f., p.1 3), “los IPS reaccionan de forma automática a las alarmas, por
ejemplo, reconfigurando firewall, actualizando la lista negra del firewall, bloqueando puertos,
etc.”.

Y Cisco.com (s.f. b) indica que:

Un IPS seguro acciona una alarma cuando un paquete o una secuencia dado de paquetes se iguala
a las características de los perfiles del ataque conocido definidos en las firmas seguras de IPS”. Un
criterio de diseño crítico de la firma IPS es minimizar el acontecimiento del falso positivo y de las
alarmas negativas falsas.

En este sitio también se indica que los falsos positivos (activadores benignos) o avisos falsos
ocurren cuando el IPS señala cierta actividad benigna como malévola. Esto requiere la
intervención humana diagnosticar el evento. Un gran número de falsos positivos pueden drenar
perceptiblemente los recursos, y las habilidades especializadas requeridas analizarlos son costosas
y difíciles de encontrar.
Acciones de firma IPS

Gómez (s. f., p. 20) indica que “las respuestas que proporcionan estos sistemas son acciones
automatizadas tomadas cuando se detectan ciertos tipos de intrusiones. Se tienen tres categorías
de respuestas activas”.

Acciones de los sistemas IPS

Incrementar la sensibilidad de las fuentes de información:

- Cuando se sospecha de información que pueda significa run ataque, podría incrementarse
la el nivel de sensibilidad y fuentes, así como activaciones, para capturar lo no restringido
solamente a un puerto, o pc.

Cambiar el ambiente:

- Esto consiste en detener un ataque en progreso a través de la reconfiguración de

dispositivos como routers o sistemas de protección perimetral parabloquear el acceso del
atacante.

Tomar acciones contra el atacante:

- Significa lanzar ataques en contra del intruso o intentar activamente, obteniendo

onformacion acerca de la computadora del atacante o del sitio donde se encuentra. Sin
embargo, este tipo de respuesta no es recomendable, debido a que los atacantes utilizan
direcciones IP falsas.

He leido los contenidos y las respuestas de mi compañero Cristian. Muy completa y clara
explicacion.

Al respecto y para la pregunta NO. 1, En su nuevo trabajo de docente de la asignatura de Redes y

Seguridad, sus alumnos le solicitan que realice una comparación entre las funciones básicas de los
sistemas IDS y un IPS. Explique cada uno de ellos, propongo la siguiente explicacion:

Explicación acerca de un IDS

Los sistemas IDS e IPS son dos partes de la infraestructura de red que detectan y previenen las
intrusiones de los piratas informáticos. Ambos sistemas comparan el tráfico y los paquetes de la
red con una base de datos de ciberamenazas. Luego, los sistemas marcan los paquetes ofensivos.

La principal diferencia entre los dos es que uno monitorea mientras que el otro controla. Los
sistemas IDS en realidad no cambian los paquetes. Simplemente escanean los paquetes y los
comparan con una base de datos de amenazas conocidas. Sin embargo, los sistemas IPS impiden la
entrega del paquete a la red.

Definiciones de IDS e IPS

Sistemas de detección de intrusos (IDS): los sistemas IDS supervisan y analizan el tráfico de la red
en busca de paquetes y otros signos de invasión de la red. Luego, el sistema marca las amenazas
conocidas y los métodos de piratería. Los sistemas IDS detectan escáneres de puertos, malware y
otras violaciones de las políticas de seguridad del sistema.
Sistemas de prevención de intrusiones (IPS): los sistemas IPS residen en la misma área que un
firewall, entre la red interna y la Internet externa. Si el sistema IDS marca algo como una amenaza,
el sistema IPS rechaza el tráfico malicioso. Si el tráfico representa una amenaza conocida en las
bases de datos, el IPS cerrará la amenaza y no entregará ningún paquete malicioso.

¿Cuáles son las diferencias entre los sistemas IDS e IPS?

Si bien ambos sistemas analizan las amenazas, son los pasos que se toman después de la
identificación de amenazas lo que los distingue. Estas diferencias incluyen:

333 palabras

Enlace permanente Mostrar mensaje anterior

Responder
Re: Foro semana 5

de Sergio Enrique Cerda Maluenda - lunes, 23 de mayo de 2022, 22:53

En respuesta a la pregunta No. 2 y esperando que la explicacion sea clara, En un colegio se ha

generado un cargo para mantener los servidores de la institución. Para adjudicarse el cargo, el
comité de contratación le solicita que le indique cómo funciona un sistema de prevención de
intrusos y cuáles son las características del sistema de firmas. Explique, y luego de haber leido los
comentarios de mi compañero Cristian, indico a continuacion:

Explicación de sistemas IPS

Los sistemas IPS residen en la misma área que un firewall, entre la red interna y la Internet
externa. Si el sistema IDS marca algo como una amenaza, el sistema IPS rechaza el tráfico
malicioso. Si el tráfico representa una amenaza conocida en las bases de datos, el IPS cerrará la
amenaza y no entregará ningún paquete malicioso.

Funcionamiento de un IPS y el sistema de firmas

El sistema de prevención de intrusiones (IPS) compara el tráfico con las firmas de amenazas
conocidas y bloquea el tráfico cuando se detecta una amenaza. Las intrusiones en la red son
ataques u otros usos indebidos de los recursos de la red. Para detectar dicha actividad, IPS utiliza
firmas.

Una firma especifica los tipos de intrusiones en la red que desea que el dispositivo detecte e
informe. Cada vez que se encuentra un patrón de tráfico coincidente con una firma, IPS activa la
alarma y bloquea el tráfico para que no llegue a su destino. La base de datos de firmas es uno de
los principales componentes de IPS. Contiene definiciones de diferentes objetos, como objetos de
ataque, objetos de firma de aplicaciones y objetos de servicio, que se utilizan para definir reglas de
política IPS.

Para mantener las políticas de IPS organizadas y manejables, los objetos de ataque se pueden
agrupar. Un grupo de objetos de ataque puede contener uno o más tipos de objetos de ataque.

• Firma IPS: contiene objetos presentes en la base de datos de firmas.

• Grupo dinámico: contiene objetos de ataque basados en ciertos criterios coincidentes. Durante
una actualización de firma, la pertenencia a un grupo dinámico se actualiza automáticamente en
función de los criterios coincidentes para ese grupo. Por ejemplo, puede agrupar dinámicamente
los ataques relacionados con una aplicación específica utilizando filtros de grupos de ataques
dinámicos.

• Grupo estático: contiene una lista de ataques que se especifican en la definición del ataque.

Los objetos de ataque de firma usan una firma de ataque con estado (un patrón que siempre
existe dentro de una sección específica del ataque) para detectar ataques conocidos. También
incluyen:

• El protocolo o servicio utilizado para perpetrar el ataque y el contexto en el que se produce el

ataque.

• Las propiedades que son específicas de los ataques de firma: contexto de ataque, dirección de
ataque, patrón de ataque y parámetros específicos del protocolo (campos de encabezado TCP,
UDP, ICMP o IP).

Las firmas pueden producir falsos positivos, porque cierta actividad normal de la red puede
interpretarse como maliciosa. Por ejemplo, algunas aplicaciones de red o sistemas operativos
envían numerosos mensajes ICMP, que un sistema de detección basado en firmas podría
interpretar como un intento de un atacante de mapear un segmento de red. Se pueden minimizar
los falsos positivos editando los parámetros de la firma (para ajustar las mismas).

543 palabras

Enlace permanente Mostrar mensaje anterior

Responder

Re: Foro semana 5

de Sergio Enrique Cerda Maluenda - lunes, 23 de mayo de 2022, 23:11

Siguiendo y complementando con la pregunta no. 2, relacionado con Además, le solicitan indicar:
¿Qué son las tablas de enrutamiento? ¿En qué dispositivos funcionan?

Fundamente su respuesta enfocándose hacia la clasificación y características de cada uno de

estos.

Definición de una tabla de enrutamiento

Una tabla de enrutamiento es un conjunto de reglas, a menudo vistas en formato de tabla, que se
utiliza para determinar hacia dónde se dirigirán los paquetes de datos que viajan a través de una
red de Protocolo de Internet (IP).
Una tabla de enrutamiento contiene la información necesaria para reenviar un paquete por la
mejor ruta hacia su destino. Cada paquete contiene información sobre su origen y destino. Cuando
se recibe un paquete, un dispositivo de red lo examina y lo compara con la entrada de la tabla de
enrutamiento que proporciona la mejor coincidencia para su destino. Luego, la tabla proporciona
al dispositivo instrucciones para enviar el paquete al siguiente salto en su ruta a través de la red.

Una tabla de enrutamiento básica incluye la siguiente información:

• Destino: la dirección IP del destino final del paquete

• Siguiente salto: la dirección IP a la que se reenvía el paquete

• Interfaz: la interfaz de red saliente que el dispositivo debe usar al reenviar el paquete al
siguiente salto o destino final

• Métrica: asigna un costo a cada ruta disponible para que se pueda elegir la ruta más rentable

• Rutas: incluye subredes conectadas directamente , subredes indirectas que no están conectadas
al dispositivo pero a las que se puede acceder a través de uno o más saltos, y rutas
predeterminadas para usar con ciertos tipos de tráfico o cuando falta información.

Las tablas de enrutamiento se pueden mantener de forma manual o dinámica. Las tablas para
dispositivos de red estáticos no cambian a menos que un administrador de red las cambie
manualmente. En el enrutamiento dinámico, los dispositivos crean y mantienen sus tablas de
enrutamiento automáticamente mediante el uso de protocolos de enrutamiento para
intercambiar información sobre la topología de red circundante. Las tablas de enrutamiento
dinámico permiten que los dispositivos "escuchen" la red y respondan a eventos como fallas en los
dispositivos y congestión de la red.
Las entradas de la tabla de enrutamiento se pueden usar para almacenar los siguientes tipos de
rutas:

• Identificadores de red conectados directamente

• ID de red remota

• Rutas anfitrionas

• Ruta por defecto

• Destino

Dispositivos en los que funcionan las tablas de enrutamiento

Todos los dispositivos habilitados para IP, incluidos los enrutadores y conmutadores , utilizan las
tablas de enrutamiento.

Los routers dentro de una red juegan diferentes roles. Normalmente un router es responsable de
la conexión de una red a Internet, así como de la conexión de redes de oficinas remotas. Su
función básica es dirigir paquetes de información a través de las redes, pero terminan haciendo
mucho más que dirigir el tráfico. Los routers también juegan un papel importante en el
mantenimiento de la seguridad de una red. Dadas sus posiciones, estacionados entre dos
segmentos de red, tienen la oportunidad perfecta para evitar que el tráfico no deseado atraviese
los límites de la red. Los routers en realidad trabajan juntos para mantener el tráfico directo a
través de las mejores rutas en la red y para mantener la accesibilidad de los segmentos de la red al
redirigir el tráfico alrededor de las fallas de la red.

556 palabras

Enlace permanente Mostrar mensaje anterior

Responder

Re: Foro semana 5

de Sergio Enrique Cerda Maluenda - lunes, 23 de mayo de 2022, 23:31

Para cerrar la pregunta 1 del foro, ¿Qué relación tiene el concepto MD5 con los HIPS?
Comente, expongo lo siguiente y creo que se aproxima a lo solicitado. Espero que mi compañero y
usted profesor comparta mi punto de vista. 

Que es MD5: Es un algoritmo que proporciona un código asociado a un archivo o un texto

concreto. De esta forma, a la hora de descargar un determinado archivo, como puede ser un
instalador, el código generado por el algoritmo, también llamado hash, viene “unido” al archivo.

Que es HIPS: monitorea la actividad del sistema y emplea un conjunto de reglas predefinidas con
el fin de reconocer un comportamiento sospechoso del sistema. Cuando esta clase de actividad es
identificada, el mecanismo de autodefensa de HIPS detiene el programa o proceso amenazante
para evitar la potencial actividad dañina.

En conclusión, el HIPS por medio del algoritmo MD5, realiza la comprobación de las sumas ya
almacenadas en un archivo de texto plano, y periódicamente realiza una comparación de las
sumas, verificando los valores existentes en el archivo de texto y en el caso de que no concuerden,
el sistema generará una al administrador a través de un correo electrónico o a un mensaje al
celular si es necesaria su intervención.