IPS e IDS

Preparado por: Hctor Meja 30811189

Auditora de Sistemas

7 de mayo de 2011

IPS e IDS

Contenido
Introduccin ........................................................................................................................................ 2 Objetivos ............................................................................................................................................. 2 IDS ....................................................................................................................................................... 2 IPS ........................................................................................................................................................ 3 Productos en el Mercado .................................................................................................................... 3 StillSecure Strata Guard .................................................................................................................. 3 Top Layer Intrusion Prevention System Solution ............................................................................ 4 SourceFire 3D System...................................................................................................................... 4 Fortinet ............................................................................................................................................ 5 WatchGuard XTM ............................................................................................................................ 5 CISCO ASA Advanced Inspection and Prevention Security Services ............................................... 5 Open Information Security Foundation Suricata ............................................................................ 6 Conclusiones ....................................................................................................................................... 7 Bibliografa .......................................................................................................................................... 8

Pgina 1

IPS e IDS

Introduccin
El tema de la seguridad de la informacin, cada vez cobra mayor relevancia e inters en las organizaciones que reconocen la informacin como uno de sus activos ms importantes. Los riesgos a los cuales se enfrentan las organizaciones as como las diferentes regulaciones que les obligan a cumplir con ciertos estndares y condiciones mnimas de seguridad, los llevan a realizar inversiones sustanciales en temas de Tecnologas de la Informacin y las Comunicaciones, dentro de las cuales est como punto importantsimo, el tema de proteccin de los recursos y las redes. En el presente trabajo se realizar una investigacin de dos tipos de proteccin que actualmente son utilizados por dichas empresas como son el IPS (Sistema de Prevencin de Intrusiones) y el IDS (Sistema de Deteccin de Intrusiones).

Objetivos
Establecer cul es la diferencia entre ambos trminos Identificar diferentes soluciones disponibles en el mercado de cada uno de ellos.

IDS
Es Sistema de Deteccin de Intrusiones por sus siglas en ingls (Intrusion Detection System), en su forma ms bsica, es pasivo. Observa los paquetes de datos a medida circulan por la red desde un puerto de monitoreo. El trfico se compara con reglas preestablecidas y conocidas, activando una alarma (alerta) si detecta algo sospechoso. Puede detectar varios tipos de trfico malicioso que probablemente pasaran desapercibidos ante un firewall comn, incluyendo ataques a servicios, ataques a aplicaciones de datos, ataques a servicios hospedados como ser logins no autorizados, malware y virus, troyanos y gusanos. La mayora posee varios mtodos para detectar las amenazas, normalmente deteccin basada en firmas, en anomalas o anlisis de protocolos de estado. El motor IDS registra en una base de datos los incidentes y genera alertas que son enviadas al administrador de la red. Como provee gran visibilidad sobre la actividad en la red, puede ser til para encontrar problemas con las polticas de seguridad de una empresa, documentar amenazas existentes, disuadir a los usuarios de la violacin de las polticas de seguridad de la empresa. La principal queja del IDS, sera la cantidad de falsos-positivos1 que arroja, sin embargo el truco est en configurar la solucin de la forma que sea lo ms efectiva posible en el reconocimiento de amenazas reduciendo los falsos-positivos. Esa configuracin debe ser constante a medida que aparecen nuevas amenazas o se altera la estructura de nuestra red. (Editors)

Un falso positivo se refiere a un evento (trfico) que es detectado como amenaza cuando no lo es.

Pgina 2

IPS e IDS

IPS
El Sistema de Prevencin de Intrusiones por sus siglas en ingls (Intrusion Protection System), se considera la evolucin del IDS. En su forma ms bsica, tiene todas las funcionalidades de un IDS, pero tambin puede detener el trfico malicioso antes de que invada la red de la empresa. Se establece en la misma lnea que el trfico en la red, terminando activamente los ataques o intentos de ataque a medida son enviados por el cableado. Puede terminar el ataque, terminando la conexin de red o la sesin de usuario que origina el ataque, bloqueando acceso al blanco desde la cuenta del usuario, direccin IP, o cualquier otro atributo asociado al atacante, o bloqueando todo acceso al blanco sea este un host, servicio o aplicacin. Adicionalmente puede responder a los riesgos de dos maneras adicionales: reconfigurando otros controles de seguridad, como un firewall o router para bloquear el ataque. Incluso pueden aplicar parches si el host tiene vulnerabilidades identificables. Tambin algunos dispositivos pueden remover el contenido malicioso para mitigar los paquetes, como por ejemplo eliminando un adjunto infectado antes de enviar el correo al usuario. (Editors)

Productos en el Mercado
StillSecure Strata Guard
Es un IDP/IPS de alta velocidad que brinda proteccin en tiempo real y proteccin para ataques de red y trfico malicioso previniendo: Malware, spyware, escaneo de puertos, viruses, DoS2 y DDoS3 que comprometen los hosts Cadas de dispositivos y red Fuga de Datos Protocoles de alto riesgo, como ser: BitTorrent, Kazaa, y TelNet Acceso no autorizado a datos sensitivos La configuracin clsica sera como en el siguiente diagrama:

(StillSecure)
2 3

Ataque de Denegacin de Servicio Ataque de Denegacin de Servicio Distribuido

Pgina 3

IPS e IDS

Top Layer Intrusion Prevention System Solution

Provee proteccin de red como solucin IPS. Incluye: Un dispositivo que se implementa in-line de forma transparente Software Analizados de seguridad de red, con potente gestor de eventos Software controlador de IPS, modulo centralizados de gestin para implementacin de mltiples dispositivos TopResponse un servicio de actualizacin comprensivo y Soporte y mantenimiento para hardware y software Provee proteccin en 3 dimensiones:

(Security)

SourceFire 3D System
Es una de las soluciones de seguridad ciberntica inteligente. Es una solucin que provee tanto IDS/IPS. Como productos complementarios SourceFire ofrece: Gestin centralizada Est disponible para correr sobre VMWare y plataforma XEN Inspeccin SSL Anti-malware Un punto importante es que las soluciones ofrecidas por SourceFire se basan en Snort que es la tecnologa de prevencin y deteccin de intrusiones ms vendida en el mundo. (SourceFire)

Pgina 4

IPS e IDS

Fortinet
La tecnologa de prevencin de intrusiones de Fortinet, est disponible en las plataformas FortiGate y FortiWifi, puede ser instalada en el permetro de la red o en el corazn de la red para proteger aplicaciones de negocio crticas tanto de ataques internos como externos. Son respaldados por las actualizaciones en tiempo real conocidas como FortiGuard, que es un servicio de prevencin de intrusiones. La tecnologa combina una base de datos parametrizable de miles de amenazas conocidas para detener ataques que evaden las defensas tradicionales de los firewalls, deteccin basada en anomalas que permite al sistema reconocer amenazas que no tienen un firma que hay sido desarrollada an. Esta combinacin combinada con la integracin de otras tecnologas Fortinet de seguridad, permite a los sistemas FortiGate detener los ataques ms dainos en los puntos de chequeo independientemente de que la red sea cableada, inalmbrica, extranet de un socio o la conexin con una sucursal. (Fortinet)

WatchGuard XTM
Los dispositivos WatchGuard XTM, brindan un nuevo tipo de seguridad basada en el rendimiento. Con una velocidad de firewall de hasta 5 Gbps y caractersticas de seguridad como inspeccin completa de HTTPS, soporte para VoIP y el control de aplicacin opcional, las empresas ya no necesitan comprometer la proteccin para satisfacer las crecientes demandas de red. Este proporciona solucin tanto IPS como IDS. Incluye caractersticas como: La inspeccin del contenido de la capa de aplicacin reconoce y bloquea las amenazas que los firewalls de paquetes stateful no pueden detectar. La proteccin del proxy de amplio rango brinda una seguridad robusta en HTTP, HTTPS, FTP, SMTP, POP3, DNS, TCP/UDP. Un conjunto de suscripciones de seguridad incrementa la proteccin en reas crticas de ataque para una completa administracin de las amenazas. Agregar fcilmente el control de la aplicacin para mantener las aplicaciones no productivas, inapropiadas y peligrosas fuera de los lmites. (WatchGuard)

CISCO ASA Advanced Inspection and Prevention Security Services

Este es un mdulo de servicio para el firewall CISCO ASA 5500 que provee servicios de inspeccin y prevencin que detienen el trfico malicioso, incluyendo ataques por gusanos y virus de red, antes de que estos afecten la red. Protege haciendo uso de:

Pgina 5

IPS e IDS
Tecnologas adecuadas de prevencin in-line Identificacin de amenaza multivector Colaboracin nica de red Poderosa gestin, correlacin de eventos y servicios de soporte (CISCO)

Open Information Security Foundation Suricata

Como ejemplo de un sistema de IDS/IPS basado en software tenemos el producto Suricata, basado en cdigo abierto y promovido por la OISF. El motor de Suricata es de ltima generacin basado en cdigo abierto, provee tanto deteccin como prevencin de intrusiones. El motor no tiene como objetivo reemplazar ni emular las herramientas existentes en la industria, pero puede traer nuevas ideas y tecnologas al campo de la seguridad de las redes. Est basado en reglas, el motor utiliza conjuntos de reglas desarrollados externamente para monitorear el trfico y proveer alertas al administrador de sistema cuando ocurren eventos sospechosos. Est diseado para ser compatible con componentes existentes de la red, provee funcionalidad unificada de salida y libreras adaptables para aceptar llamadas desde otras aplicaciones. (OISF)

Pgina 6

IPS e IDS

Conclusiones
La seguridad basada en capas es esencial para la proteccin de cualquier tamao de red, y para muchas compaas, esto puede significar la implementacin de ambas soluciones. Esto no es cuestin de qu tecnologa agregar a nuestra infraestructura, si se piensa seriamente en la seguridad y en proteccin mxima deberamos optar por ambas soluciones para proteccin ante el trfico malicioso. Los fabricantes hoy en da es posible que estn combinando ambas soluciones en un solo producto. Ya que las soluciones se estableces o funcionan en diferentes puntos en la red, pueden y en efecto deberan ser usadas concurrentemente. Lo normal sera implementar un IPS en el permetro de la red para detener trfico malicioso entrante, e implementar un IDS en la red interna para monitorear el trfico malicioso. Si pensamos en costo y efectividad quiz debamos escoger una solucin que ofrezca ambas herramientas. Seleccionar cualquiera de los productos del mercado conllevar un anlisis detallado y minucioso de las necesidades de una empresa para poder invertir en una solucin que sea capaz de cubrir sus necesidades, pero que pueda cambiar o adaptarse a futuro segn cambian las amenazas y posiblemente la infraestructura de red de la empresa.

Pgina 7

IPS e IDS

Bibliografa
CISCO. (s.f.). CISCO ASA Advances Inspection and Prevention Security Services Module. Obtenido de CISCO: http://www.cisco.com/en/US/products/ps6825/index.html Editors, F. (s.f.). IDS vs. IPS Explained. Obtenido de Focus: http://www.focus.com/fyi/itsecurity/ids-vs-ips/ Fortinet. (s.f.). IPS Solutions. Obtenido de Fortinet: http://www.fortinet.com/solutions/ips.html OISF. (s.f.). Suricata. Obtenido de Open Information Security Foundation: http://www.openinfosecfoundation.org/ Security, T. L. (s.f.). Intrusion Prevention System Solution. Obtenido de Top Layer Security: http://www.toplayer.com/content/products/intrusion_detection/attack_mitigator.jsp SourceFire. (s.f.). SourceFire 3D System. Obtenido de SourceFire: http://www.sourcefire.com/security-technologies/cyber-security-products/3d-system StillSecure. (s.f.). StillSecure. Obtenido de StillSecure Strata Guard: http://www.stillsecure.com/strataguard/ WatchGuard. (s.f.). XTM 8 Series Firewall Appliance. Obtenido de WatchGuard: http://www.watchguard.com/products/xtm-8/overview.asp

Pgina 8