Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Foro #5
Foro #5
Respuestas
Las principales actividades respecto a la lógica, física (monitoreo) y por supuesto a la seguridad. Es
decir que estos existen en un sistema de control en una red, en PC, laptops, software, entre otras
anomalías posibles. Lo cual significa que existe un sistema que podremos retroalimentar los
parámetros o otras situaciones que detectemos; efectuando correcciones fijadas en parámetros
que se establecen en un sistema IDS/IPS.
Los sistemas de detección de intrusos (IDS, Intrusion Detection System) y los sistemas de
protección de intrusos (IPS, Intrusion Prevention System), estos son una evolución de sistemas
basados en un firewall. Se utilizan por Sysadmins para detectar anomalías o situaciones de riesgo,
para el chequeo de puertos, direcciones IP, etc.
Características IDS
Estos deben funcionar sin el chequeo humano o supervisión, el sistema es fiable por si
mismo, para que este corriendo como un servicio en el sistema operativo.
Deben ser tolerantes a fallos, pueden tolerar una caída de sistema.
Es importante que sea resistente a situaciones de errores, podría ser monitoreado por
si mismo.
Debe minimizar sobrecargas; un sistema que no debe generar una latencia.
Debe chequear situaciones de desvío, bajo un comportamiento típico.
Debe ser de fácil adaptación, al momento que se encuentre ya instalado. Cada sistema
tiene un patrón, todos funcionan de manera diferente y bajo un mecanismo de
defensa a patrones incluso sencillos.
Debe hacer frente a los cambios de comportamiento del sistema según se añaden
nuevas aplicaciones al mismo.
Debe ser fácil de que sea ‘invisible’, indetectable.
Debilidades de los IDS:
CertSi (2017, p. 31) indica que los IPS se asemejan el comportamiento de los cortafuegos, ya que
“ambos toman decisiones sobre la aceptación de paquetes en un sistema”. Sin embargo, “los
cortafuegos basan sus decisiones en los encabezados de paquetes entrantes, capas de red y de
transporte, mientras que los IPS basan sus decisiones tanto en los encabezados como en el
contenido de datos del paquete”.
Además, CertSi (2017, p. 32) indica que las características principales de los IPS son:
Se pueden distinguir dos tipos de generaciones a través del tiempo en los IPS:
CertSi (2017) indica que existen diferencias entre IPS e IDS, y son:
Mientras el IDS esta limitado a verificar y detectar intrusiones y que la detiene de algún
modo predefinido. A través de esto, el nivel de alertas de un IPS es considerado menor
que el nivel de alertas producido por un IDS.
La diferencia total entre IDS y IPS es fundamentalmente que estos últimos están en
capacidad de dejar bajo total inutilización paquetes que hayan sido interceptados en un
ataque, siendo modificados.
Red (Network IDS/IPS): Analiza lo que sucede en una red de datos, mientras captura
tráfico basándose en técnicas de análisis de paquetes. ‘Sniffing’, también. Bajo Wireless
IDS-IPS.
Host (Host IDS/IPS): Chequea el como un equipo en cuestión – por lo usual el Sistema
Operativo- y eventos relacionados con la seguridad.
Pasiva: No habrá una alteración activa del entorno. Son catalogados como IDS.
Activa: Aparte de una alerta, se genera una forma de detección correctiva que puede
alterar el entorno, puede finalizar una conexión o un proceso, bloqueando trafico que
pueda estar relacionado. Son catalogados como IPS.
2. En un colegio se ha generado un cargo para mantener los servidores de la institución. Para
adjudicarse el cargo, el comité de contratación le solicita que le indique cómo funciona un sistema
de prevención de intrusos y cuáles son las características del sistema de firmas. Explique.
Los sistemas para detectar intrusos, que operan en la red diferente a IDS/IPS basados en host. La
filosofía detrás de un diseño IDS/IPS va por el hecho de que escanea a nivel de enrutador, o host,
escanear cualquier paquete sospechoso, en un archivo de registros especiales con información
amplia. La red puede escanear su propia BBDD de firmas de ataques a la red y asignarles un nivel
de severidad para cada paquete. Bajo niveles críticos son bastante altos, en varios niveles para
chequear cualquier tipo de anomalía.
Los IDS/IPS basados en la red se han vuelto muy populares a medida en que internet ha crecido en
tamaño y tráfico. Los IDS/IPS que son capaces de escanear grandes volúmenes de actividad en la
red y exitosamente etiquetar transmisiones sospechosas, son bien recibidos dentro de la industria
de seguridad. Debido a la inseguridad inherente de los protocolos TCP/IP, se ha vuelto imperativo
desarrollar escáneres, husmeadores y otras herramientas de auditoría y detección para así
prevenir violaciones de seguridad por actividades maliciosas en la red, tales como:
EL uso basado en HOST analiza diferentes áreas, para testear actividades maliciosas, intrusiones,
etc. Estos sistemas consultan diferentes tipos de registros de archivos (Kernel, sistemas servidores,
etc.) Los sistemas basados en Linux y UNIX utilizan mucho Syslogs para separar eventos y
registrarlos por severidad.
Los sistemas basados en host también pueden verificar la integridad de los datos de archivos y
ejecutables importantes. Estan en archivos confidenciales, y crea una suma de verificaciones en
una base de datos de archivos confidenciales y crea una suma de verificación de cada archivo con
una utilidad de resumen de archivos de mensajes tal como MD5 (algoritmo de 128-bit) o SHA1
(algoritmo de 160-bit) generados mediante “Funciones Hash”.
Tablas de enrutamiento
Según redes locales y globales (s. f.) “cada host y cada router mantienen el conjunto de
correspondencias entre direcciones IP de destino y las direcciones IP de los routers del próximo
salto para esos destinos en una tabla denominada tabla de enrutamiento IP”.
El router resuelve rutas de paquetes según su destino, y si se encuentran en algún tipo de interfaz
de red.
El sitio indica:
Que como un router es incapaz de tener un interfaz de red por cada red de destino, entonces, si
no delega en otros routers, sería incapaz de resolver el destino de la mayor parte de los paquetes.
Así cuando un router recibe un paquete, si no encuentra la dirección destino en su tabla de rutas,
encamina el paquete hacia un router de orden superior confiando en que él sepa resolverlo.
Rutas directas:
- Para redes conectadas localmente. En ese caso está conectada a la misma red y se pone
como Gateway (puerta de enlace) 0.0.0.0.
Rutas Indirectas:
- Para redes alcanzables vía uno o más routers. Se pone como gateway la ip del router en el
que se delega la búsqueda. Es decir, el próximo salto.
Una ruta por defecto:
- Que contiene la dirección IP de un router que se usa para todas las direcciones IP que no
cubren las rutas directas e indirectas. Se señaliza poniendo en el destino 0.0.0.0.
Los tipos de tablas de enrutamiento según Oracle.com (s. f.), son los siguientes:
Estático:
Dinámico:
- Enrutadores que conectan una red con enrutamiento estático y una red con enrutamiento
dinámico, y enrutadores de límite que conectan un sistema autónomo interior con redes
externas. La combinación del enrutamiento estático y dinámico en un sistema es una
práctica habitual.
Volviendo al tema de los IPS, comprueban valores HASH del host que está monitoreando. Si alguna
se modifica, el sistema tomará las medidas correspondientes para corregir la situación, o tomará
medidas.
Firmas del sistema de prevención de intrusos (IPS)
La detección basada en firmas analiza el tráfico en busca de patrones coincidentes con una base
de datos de firmas. Es un funcionamiento similar al de los antivirus.
- Pro: Pocos falsos positivos, permite detectar exploits u otro código malicioso.
- Contra: Hay que actualizar las firmas frecuentemente.
Según Cybsec.com (s. f., p.1 3), “los IPS reaccionan de forma automática a las alarmas, por
ejemplo, reconfigurando firewall, actualizando la lista negra del firewall, bloqueando puertos,
etc.”.
Un IPS seguro acciona una alarma cuando un paquete o una secuencia dado de paquetes se iguala
a las características de los perfiles del ataque conocido definidos en las firmas seguras de IPS”. Un
criterio de diseño crítico de la firma IPS es minimizar el acontecimiento del falso positivo y de las
alarmas negativas falsas.
En este sitio también se indica que los falsos positivos (activadores benignos) o avisos falsos
ocurren cuando el IPS señala cierta actividad benigna como malévola. Esto requiere la
intervención humana diagnosticar el evento. Un gran número de falsos positivos pueden drenar
perceptiblemente los recursos, y las habilidades especializadas requeridas analizarlos son costosas
y difíciles de encontrar.
Acciones de firma IPS
Gómez (s. f., p. 20) indica que “las respuestas que proporcionan estos sistemas son acciones
automatizadas tomadas cuando se detectan ciertos tipos de intrusiones. Se tienen tres categorías
de respuestas activas”.
- Cuando se sospecha de información que pueda significa run ataque, podría incrementarse
la el nivel de sensibilidad y fuentes, así como activaciones, para capturar lo no restringido
solamente a un puerto, o pc.
Cambiar el ambiente:
He leido los contenidos y las respuestas de mi compañero Cristian. Muy completa y clara
explicacion.
Los sistemas IDS e IPS son dos partes de la infraestructura de red que detectan y previenen las
intrusiones de los piratas informáticos. Ambos sistemas comparan el tráfico y los paquetes de la
red con una base de datos de ciberamenazas. Luego, los sistemas marcan los paquetes ofensivos.
La principal diferencia entre los dos es que uno monitorea mientras que el otro controla. Los
sistemas IDS en realidad no cambian los paquetes. Simplemente escanean los paquetes y los
comparan con una base de datos de amenazas conocidas. Sin embargo, los sistemas IPS impiden la
entrega del paquete a la red.
Sistemas de detección de intrusos (IDS): los sistemas IDS supervisan y analizan el tráfico de la red
en busca de paquetes y otros signos de invasión de la red. Luego, el sistema marca las amenazas
conocidas y los métodos de piratería. Los sistemas IDS detectan escáneres de puertos, malware y
otras violaciones de las políticas de seguridad del sistema.
Sistemas de prevención de intrusiones (IPS): los sistemas IPS residen en la misma área que un
firewall, entre la red interna y la Internet externa. Si el sistema IDS marca algo como una amenaza,
el sistema IPS rechaza el tráfico malicioso. Si el tráfico representa una amenaza conocida en las
bases de datos, el IPS cerrará la amenaza y no entregará ningún paquete malicioso.
Si bien ambos sistemas analizan las amenazas, son los pasos que se toman después de la
identificación de amenazas lo que los distingue. Estas diferencias incluyen:
333 palabras
Responder
Re: Foro semana 5
Los sistemas IPS residen en la misma área que un firewall, entre la red interna y la Internet
externa. Si el sistema IDS marca algo como una amenaza, el sistema IPS rechaza el tráfico
malicioso. Si el tráfico representa una amenaza conocida en las bases de datos, el IPS cerrará la
amenaza y no entregará ningún paquete malicioso.
El sistema de prevención de intrusiones (IPS) compara el tráfico con las firmas de amenazas
conocidas y bloquea el tráfico cuando se detecta una amenaza. Las intrusiones en la red son
ataques u otros usos indebidos de los recursos de la red. Para detectar dicha actividad, IPS utiliza
firmas.
Una firma especifica los tipos de intrusiones en la red que desea que el dispositivo detecte e
informe. Cada vez que se encuentra un patrón de tráfico coincidente con una firma, IPS activa la
alarma y bloquea el tráfico para que no llegue a su destino. La base de datos de firmas es uno de
los principales componentes de IPS. Contiene definiciones de diferentes objetos, como objetos de
ataque, objetos de firma de aplicaciones y objetos de servicio, que se utilizan para definir reglas de
política IPS.
Para mantener las políticas de IPS organizadas y manejables, los objetos de ataque se pueden
agrupar. Un grupo de objetos de ataque puede contener uno o más tipos de objetos de ataque.
• Grupo estático: contiene una lista de ataques que se especifican en la definición del ataque.
Los objetos de ataque de firma usan una firma de ataque con estado (un patrón que siempre
existe dentro de una sección específica del ataque) para detectar ataques conocidos. También
incluyen:
• Las propiedades que son específicas de los ataques de firma: contexto de ataque, dirección de
ataque, patrón de ataque y parámetros específicos del protocolo (campos de encabezado TCP,
UDP, ICMP o IP).
Las firmas pueden producir falsos positivos, porque cierta actividad normal de la red puede
interpretarse como maliciosa. Por ejemplo, algunas aplicaciones de red o sistemas operativos
envían numerosos mensajes ICMP, que un sistema de detección basado en firmas podría
interpretar como un intento de un atacante de mapear un segmento de red. Se pueden minimizar
los falsos positivos editando los parámetros de la firma (para ajustar las mismas).
543 palabras
Responder
Una tabla de enrutamiento es un conjunto de reglas, a menudo vistas en formato de tabla, que se
utiliza para determinar hacia dónde se dirigirán los paquetes de datos que viajan a través de una
red de Protocolo de Internet (IP).
Una tabla de enrutamiento contiene la información necesaria para reenviar un paquete por la
mejor ruta hacia su destino. Cada paquete contiene información sobre su origen y destino. Cuando
se recibe un paquete, un dispositivo de red lo examina y lo compara con la entrada de la tabla de
enrutamiento que proporciona la mejor coincidencia para su destino. Luego, la tabla proporciona
al dispositivo instrucciones para enviar el paquete al siguiente salto en su ruta a través de la red.
• Interfaz: la interfaz de red saliente que el dispositivo debe usar al reenviar el paquete al
siguiente salto o destino final
• Métrica: asigna un costo a cada ruta disponible para que se pueda elegir la ruta más rentable
• Rutas: incluye subredes conectadas directamente , subredes indirectas que no están conectadas
al dispositivo pero a las que se puede acceder a través de uno o más saltos, y rutas
predeterminadas para usar con ciertos tipos de tráfico o cuando falta información.
Las tablas de enrutamiento se pueden mantener de forma manual o dinámica. Las tablas para
dispositivos de red estáticos no cambian a menos que un administrador de red las cambie
manualmente. En el enrutamiento dinámico, los dispositivos crean y mantienen sus tablas de
enrutamiento automáticamente mediante el uso de protocolos de enrutamiento para
intercambiar información sobre la topología de red circundante. Las tablas de enrutamiento
dinámico permiten que los dispositivos "escuchen" la red y respondan a eventos como fallas en los
dispositivos y congestión de la red.
Las entradas de la tabla de enrutamiento se pueden usar para almacenar los siguientes tipos de
rutas:
• ID de red remota
• Rutas anfitrionas
• Destino
Todos los dispositivos habilitados para IP, incluidos los enrutadores y conmutadores , utilizan las
tablas de enrutamiento.
Los routers dentro de una red juegan diferentes roles. Normalmente un router es responsable de
la conexión de una red a Internet, así como de la conexión de redes de oficinas remotas. Su
función básica es dirigir paquetes de información a través de las redes, pero terminan haciendo
mucho más que dirigir el tráfico. Los routers también juegan un papel importante en el
mantenimiento de la seguridad de una red. Dadas sus posiciones, estacionados entre dos
segmentos de red, tienen la oportunidad perfecta para evitar que el tráfico no deseado atraviese
los límites de la red. Los routers en realidad trabajan juntos para mantener el tráfico directo a
través de las mejores rutas en la red y para mantener la accesibilidad de los segmentos de la red al
redirigir el tráfico alrededor de las fallas de la red.
556 palabras
Responder
Para cerrar la pregunta 1 del foro, ¿Qué relación tiene el concepto MD5 con los HIPS?
Comente, expongo lo siguiente y creo que se aproxima a lo solicitado. Espero que mi compañero y
usted profesor comparta mi punto de vista.
Que es HIPS: monitorea la actividad del sistema y emplea un conjunto de reglas predefinidas con
el fin de reconocer un comportamiento sospechoso del sistema. Cuando esta clase de actividad es
identificada, el mecanismo de autodefensa de HIPS detiene el programa o proceso amenazante
para evitar la potencial actividad dañina.
En conclusión, el HIPS por medio del algoritmo MD5, realiza la comprobación de las sumas ya
almacenadas en un archivo de texto plano, y periódicamente realiza una comparación de las
sumas, verificando los valores existentes en el archivo de texto y en el caso de que no concuerden,
el sistema generará una al administrador a través de un correo electrónico o a un mensaje al
celular si es necesaria su intervención.