Tecnológico de Estudios Superiores de Ecatepec.

División de Ingeniería en Sistemas Computacionales.

Práctica No. 1
Reglas y Políticas en IDS e IPS

Integrantes:
- Anguiano Blanco Juan Carlos
- Bello Pérez Ximena
- Calderón Calzada Oswaldo Jair
- Gámez Galindo Andrés
- Godina Cruz Juan Luis
- Ramos Elías Edson Roberto

Grupo: 5801
Materia: Conmutador y Enrutamiento de Redes de Datos
Profesor: Adolfo Meléndez Ramírez
 PRÁCTICA NO. 1
1.- Analizar las propuestas IDS e IPS
IDS
¿Qué es un IDS?
Un IDS o “sistema de detección de intrusiones” es un software especialmente
diseñado para brindar protección a una red o a un sistema contra el tráfico malicioso.
A menudo, cualquier actividad que parezca peligrosa se informa a un administrador.
Propuestas

• Dragon - Enterasys Networks. El IDS de Enterasys Networks, Dragon, toma

información sobre las actividades sospechosas de un sensor llamado Dragon
Sensor y de un módulo identificado como DragonSquire que es el encargado de
monitorizar los logs de los firewalls y otros sistemas. Esta información es enviada
a un producto llamado Dragon Server para futuros análisis y correlaciones. Cada
componente tiene algunas ventajas que compensan con debilidades de otro, un
ejemplo seria que el sensor Dragon Sensor es incapaz de interpretar tráfico
codificado de una sesión web SSL, pero el producto DragonSquire es capaz de
recocer los logs del servidor web y pasárselos a la máquina de análisis.
• NetRanger - Cisco Systems. El sistema de detección de intrusos de Cisco,
conocido formalmente por Cisco NetRanger, es una solución para detectar,
prevenir y reaccionar contra actividades no autorizadas a través de la red.
Cisco IDS Host Sensor v2.0 es capaz de identificar ataques y prevenir accesos
a recursos críticos del servidor antes de que ocurra cualquier transacción no
autorizada. Esto lo hace integrando sus capacidades de respuesta con el resto
de sus equipos.
La versión más reciente actualmente del sensor de cisco es la v3.0, que incluye
un mecanismo de actualización automática de firmas, un lenguaje robusto que
permite a los clientes escribir sus propias firmas y extensiones al módulo de
respuestas que añaden soporte para la familia de firewalls Cisco PIX y para los
conmutadores Cisco Catalyst.
• Ax3soft Sax2. Es un software utilizado para la detección y prevención de
intrusiones profesional (IDS) y sobresale en la captura en tiempo real de
paquetes, 24/7 es fácil de aislar, detecta vulnerabilidades a la red, identifica
amenazas, además ofrece diferentes tipos de informes de análisis de intrusión.
• Internet Security Systems. Almacena en una base de datos los eventos que
se derivan de la detección, prevención y respuesta, desde cualquier punto de la
red.
 De acuerdo a las necesidades de la red el sensor se acopla de forma casi
inmediata, adaptando las alertas y firman que especifican los usuarios además
la sintonización de firmas de ataque. Con la aplicación X-PressUpdate
automáticamente las firmas se actualizan.
• Enterasys. Es una compañía que elabora para los usuarios medidas de
seguridad y aplicaciones para el hardware de red orientado a los servicios. Un
ejemplo de producto desarrollado por Enterasys es Secure Gigabit Ethernet
Workgroup L2 Switch con Soporte de Políticas Opcional, llamado Enterasys D2.
Enterasys D2 proporciona 12 puertos Gigabit Ethernet (GbE) con conectividad
de10/100/1000 Mbps RJ45 con opciones integradas Power sobre Ethernet (PoE)
y soporte para potencia redundante.
IPS
¿Qué es un IPS?

Un sistema de prevención de intrusos o Intrusion Prevention System (IPS), también

conocido como sistema de prevención de detección de intrusiones (IDPS), es una
tecnología que vigila una red para detectar cualquier actividad maliciosa que intente
aprovechar la vulnerabilidad conocida.
Propuestas

• FireEye: Ofrece una detección de amenazas superior y se ha ganado una

reputación concreta como proveedor de soluciones de seguridad. Ofrece
inteligencia dinámica contra amenazas y sistema de prevención de intrusiones
(IPS) integrados. Combina análisis de código, máquina de aprendizaje,
emulación, heurística en una única solución y mejora la eficacia de detección
junto con la inteligencia de primera línea.
FireEye XDR simplifica la investigación, la respuesta a incidentes y la detección
de amenazas al ver lo que es crítico y de nivel superior. Ayuda a proteger su
infraestructura de red con Detección bajo demanda, SmartVision y Protección
de archivos. También ofrece capacidades de análisis de contenido y archivos
para identificar comportamientos no deseados cuando sea necesario.
• Zscaler: Proteja su red de amenazas y restaure su visibilidad con IPS en la nube
Zscaler. Con Cloud IPS, puede poner la protección contra amenazas de IPS
donde el IPS estándar no puede llegar. Supervisa a todos los usuarios,
independientemente de su ubicación o tipo de conexión.
Obtenga la visibilidad y la protección contra amenazas siempre disponible que
necesita para su organización. Funciona con un conjunto completo de
tecnologías como sandbox, DLP, CASB y firewall para detener todo tipo de
ataque. Obtendrá una protección completa contra amenazas no deseadas,
botnets y zero-days.
• Splunk: Es probablemente uno de los sistemas de prevención de intrusiones
más populares. Está disponible en varias ediciones diferentes con diferentes
conjuntos de características. Splunk Enterprise Security ( o Splunk ES , como
suele llamarse) es lo que necesita para una verdadera prevención de intrusiones.
El software supervisa los datos de su sistema en tiempo real, en busca de
vulnerabilidades y signos de actividad anormal.
• Bro Monitor de seguridad de red: Es otro sistema gratuito de detección de
intrusos en la red con una funcionalidad similar a IPS. Funciona en dos fases,
primero registra el tráfico y luego lo analiza. Esta herramienta funciona en varias
capas hasta la capa de aplicación, lo que explica una mejor detección de intentos
de intrusión divididos. El módulo de análisis del producto se compone de dos
elementos. El primer elemento se llama el motor de eventos y su propósito es el
seguimiento de eventos desencadenantes, como conexiones TCP o solicitudes
HTTP. Los eventos son analizados por Policy Scripts, el segundo elemento. El
trabajo de Policy Scripts es decidir si activar una alarma, iniciar una acción o
ignorar el evento. Es la posibilidad de iniciar una acción que le da al Bro Security
Security Monitor su funcionalidad IPS.
• OSSEC: Open Source Security , o OSSEC , es uno de los principales sistemas
de detección de intrusos basados en host de código abierto. La herramienta
permite especificar acciones que se realizan automáticamente cada vez que se
activan alertas específicas, lo que brinda algunas capacidades de prevención de
intrusiones. OSSEC es propiedad de Trend Micro, uno de los nombres líderes
en seguridad de TI y fabricante de una de las mejores suites de protección contra
virus.
• SolarWinds Log & Event Manager: El Log & Event Manager SolarWinds cuenta
con detección instantánea de actividad sospechosa (una funcionalidad de
detección de intrusos) y respuestas automatizadas (una funcionalidad de
prevención de intrusiones). Esta herramienta también se puede utilizar para
llevar a cabo investigación de eventos de seguridad y análisis forense. Debido
a todas las características avanzadas del software, lo convierten más en una
plataforma de seguridad integrada, que solo en el sistema de administración de
eventos y registros.
2.- Cuadro comparativo SURICATA – SNORT
CUADRO COMPARATIVO SURICATA-SNORT
SURICATA
Definicion: Suricata es una solución de Definicion: Snort es un sistema de
monitorización de redes programada
en C y Rust y con licencia GPLv2.
Características:
• Inspección del tráfico de red
empleando tanto reglas
configurables como reglas ya
predefinidas para detectar
amenazas y comportamientos
sospechosos
• Soporte para scripts en Lua
para la detección de amenazas
más complejas
• Inspección y registro de
peticiones de varios protocolos
como HTTP, DNS, TSL/SSL,
etc.
• Integración con otras
herramientas como Kibana,
Elasticsearch, Splunk
Usos:
❖ Permite procesar la información
almacenada en plataformas
centralizadas.
SNORT
detección de intrusos en red, libre y
gratuito. Ofrece la capacidad de
almacenamiento de bitácoras en
archivos de texto.
Características:
➢ Puede instalarse en cualquier
entorno de red.
➢ Análisis de protocolo
➢ Crea registros
➢ Registro de paquetes
➢ Huellas digitales del SO
Facilita a los administradores de
redes y sistemas su uso, de
esta forma quieren hacer que
cualquier persona aprenda y
sepa funcionar Snort
➢
Usos:
▪ El primer modo, Sniffer Mode,
muestra los paquetes que
transitan por la red.
▪ El segundo modo de operación
otorgado por Snort es el Packet
 ❖ Se usan herramientas para Logger Mode. Permite al
registrar el comportamiento del usuario guardar los paquetes
malware a través de la red. detectados en el modo Sniffer
❖ Detección automática de para guardarlos en el disco
protocolos duro.
▪ Finalmente, el último modo es el
modo NIDS. Este modo es muy
similar al registrador de
paquetes, pero permite que se
apliquen reglas más específicas
a los paquetes, refinando los
paquetes que de hecho se
registran
SIMILITUDES ENTRE SURICATA Y SNORT
Ambos son de código abierto, configura un entorno de prueba es relativamente
rápido y económico.
3.- Topologías modelos
Topología física: es la ubicación de diversos componentes de una red.
Representado por cables de red físicos y los nodos representan los dispositivos de
red físicos.
Topología de red lógica: ilustra en el nivel más alto, cómo fluyen los datos dentro de
una red.

Modelos de topologías: los modelos de topología definen un mapa tanto físico como
lógico de una red para intercambiar datos de la mejor manera posible y estructurada.
Existen 8 modelos que son los siguientes:

• Bus: se caracteriza por tener un único bus de comunicaciones el cuál

conectan diferentes dispositivos. Esto quiere decir que los dispositivos
comparten el mismo canal.
• Estrella: este modelo se tiene una red donde los equipos están conectados
a un único punto central.
• Mixta: es una topología donde las redes pueden ocupar diversas topologías
para conectarse. Por lo general derivan de la unión de estas diversas
topologías.
• Anillo: esta topología consta de una red donde están conectados únicamente
a otros dos nodos, al anterior y posterior, de tal forma que la cadena de nodos
se llega a cerrar formando un anillo.
• Doble anillo: esta topología consta de 2 anillos donde cada Host de la red
está conectado directamente entre sí. Aunque es análoga a la topología de
anillo simple, dado a que se incrementa la flexibilidad de la red para conectar
los mismos dispositivos, esta topología actúa como si fueran dos anillos
independientes de los cuáles se usa solamente por una vez.
• Árbol: es una topología en donde los nodos están colocados en forma de
árbol. Aunque visto de manera topológica parece una red en forma de estrella
interconectada. La diferencia es que parte de un punto central, donde es la
raíz y se despliegan mas nodos que van formando nuevos caminos dando
unos nodos de partida. No tiene un concentrador central.
• Malla: es una topología de red en donde los dispositivos o nodos están
conectados entre sí, ramificando otros dispositivos o nodos. Son eficaces
entre dispositivos y cliente. Ayudan a las organizaciones a proporcionar uan
conexión consistente en todo un espacio físico.
• Totalmente conexa: es una topología en donde hay un enlace directo entre
todos los nodos pares de sus nodos. Es una red que incluye los n nodos,
siempre hay n(n-1)/2 enlaces directos.
4.- 10 reglas a probar y validar
1. Action: corresponde con la acción (drop, alert, etc.) que realizará Suricata
cuando se identifica la regla en el flujo de red.
2. Header: esta sección corresponde al flujo de red en concreto que se va a
analizar. De origen a destino. Con la palabra “any” podemos indicarle a
Suricata que se analizarán todos los puertos.
3. Rule: regla a implementar para detectar en nuestro caso el malware. Dentro
de este campo existen palabras claves que nos ayuda a crear nuestra regla:
4. Msg: mensaje de alerta que emitirá Suricata.
5. flow: flujo de red.
6. Content: contiene la cadena de caracteres que se debe buscar dentro del
tráfico.
7. Reference: contiene referencias, en este caso colocamos un hash MD5 de
verificación de una muestra de Trickbot.
8. Sid: ID de la regla identificada.
9. Rev: versión de la regla.
10. Classtype: brinda información sobre la clasificación de las reglas y alertas.
5.- Conclusiones
Anguiano Blanco Juan Carlos
Dentro de la gama de servicios de seguridad podemos encontrar una amplia
variedad de opciones dónde podemos elegir el que más nos convenga, dentro de
los mismos sus características son muy variadas, dependerá de nosotros elegir el
que mejor se adapte a nuestras necesidades en general, por suerte pudimos darnos
cuenta en qué no solamente se trata de un par de opciones sino que hay
prácticamente para elegir el que más nos guste, es interesante saber cómo
funcionan estos sistemas y sus características similares y opuestas.

Bello Pérez Ximena

Esta práctica personalmente me gustó bastante ya que me permitió conocer los
sistemas de prevención y detección que existen.

Dentro de los sistemas de prevención y detección tenemos diversas propuestas que

nos permiten prevenir, detectar y evitar ataques de seguridad, dependerá de cada
uno de nosotros la propuesta que sea de nuestro agrado, considero que
implementar estos sistemas principalmente nos ayudan hacer un respaldo de todo
aquello que contamos dentro de un equipo o en una red, ya sea información
personal o incluso datos de toda una empresa; por eso hacer uso de sistemas de
prevención y detección resulta bastante importante al momento de hablar de
dispositivos electrónicos o en general dentro de la tecnologías de la información.
Calderón Calzada Oswaldo Jair

Realizar esta práctica me ayudó mucho porque obtuvo información de seguridad en

la red. Además, nos permite saber que tipos de sistemas existen e incluso nos da
un amplio margen de cual podemos elegir en base al equipo que tenemos, elegir
uno será en base al que mejor nos agrade o funcione. También me agradó porque
creo que esta información me servirá demasiado para algún futuro laboral. En
cuanto a mis compañeros de equipo me agradó su desempeño y de igual manera
mi desempeño también fue bueno, pero me esforzaré más.
Gámez Galindo Andrés
Sabemos bien que las protecciones dentro de los sistemas computacionales son
importantes debido a que mucha información está en riesgo a todas horas los 365
días. Es por eso que siempre debemos tener en cuenta las cuestiones de asegurar
tanto nuestra información como nuestra comunicación, dejando de lado a los
intrusos y virus que pudieran afectar los de una u otra forma.
Cada uno tiene sus ventajas como desventajas dependiendo de las necesidades de
cada usuario, por ello es importante que, a pesar de elegir una opción, es importante
tener noción de ellas.
Godina Cruz Juan Luis

Visto las características de cada una de las topologías se puede decir que los
topologías candidatas son árbol, estrella en maya. Debido a que las características
y el cómo están diseñadas brindan una flexibilidad de implementación de IDS e IPS
para cada nodo y cada máquina que será terminal. Se comentó las ideas de la
topología al equipo y y se aceptaron las propuestas de las tres topologías de las 8
mencionadas dentro de la práctica.

Ramo Elías Edson Roberto

En conclusión, en base a lo visto en esta práctica nos damos cuenta de todas las
reglas que conlleva, estos con el objeto de poder nosotros aplicar e implementar el
uso de estás, las reglas son importantes debido a que esto se requiere para que
funcione de manera correcta.
Además, conocer las propuestas de sistemas prevención nos permite estar al tanto
de aquellas opciones qué tenemos para proteger nuestra información o
simplemente asegurar un correcto funcionamiento de nuestros dispositivos.
BIBLIOGRAFÍA
• https://1library.co/article/productos-comerciales-propuesta-
implementaci%C3%B3n-sistema-detecci%C3%B3n-intrusos.z311d68y
• https://ccnadesdecero.es/mejores-sistemas-prevencion-intrusiones-ips/
• https://geekflare.com/es/best-ids-and-ips-tools/
• https://www.checkpoint.com/es/cyber-hub/what-is-ips/#IDSeIPS
• https://versa-networks.com/es/sd-wan/ids-ips/
• https://hernangarciawolf.medium.com/suricata-ids-ips-introducction-parte-1-
486972a3ed22
• https://protecciondatos-lopd.com/empresas/snort-deteccion-intrusos/
• http://www.maestrosdelweb.com/snort/
• https://www.incibe.es/protege-tu-empresa/blog/son-y-sirven-los-siem-ids-e-
ips
• https://geekflare.com/es/ids-vs-ips-network-security-solutions/