Está en la página 1de 21

NIPS & NIDS

INTRODUCCIN

Es por ello que desde la dcada de los 80 se ha


venido trabajando en sistemas IDS, desde un
primer trabajo sobre este as como a su
elaboracin creado por Peter Neumann,
posteriormente se cre uno orientado al host
elaborado por la universidad de California. En
los 90 ante el crecimiento exponencial de las
redes de ordenadores se orienta el trabajo
hacia la deteccin en red y con ello aparecen
los primeros productos comerciales.

NIPS (Network Intrusion Prevention


System)

Este un IDS que funciona como un dispositivo de red


independiente, con su propio sistema operativo y capacidades de
procesamiento y almacenamiento. Es situado estratgicamente en
ciertos sectores de la red para poder realizar su trabajo de
inspeccin del trfico; su gestin es ms sencilla por ser un punto
central de monitoreo y de deteccin de posibles ataques en la red.

NIPS (Network Intrusion


Prevention System)

El NIPS es la forma ms comn y efectiva de implementacin de un


sistema de prevencin de intrusos en las redes modernas; su
posicionamiento en lnea y de una forma estratgica dentro del
diseo de la red, hacen que la deteccin (herencia del IDS) y
bloqueo del trfico malicioso sean los puntos altos de este modelo de
seguridad de red.

MODELOS DE INSPECCIN
Basado en Firmas (Signature Based)
Este es el modelo ms comn de inspeccin del trfico; cada
fabricante desarrolla un conjunto de firmas (signatures) y las pone a
disposicin de sus clientes bajo un modelo contractual similar al de los
sistemas antivirus. Las actualizaciones constantes de los IPS son vitales
para el correcto funcionamiento de este modelo, ya que el motor
(engine) de inspeccin se alimenta constantemente de las nuevas
firmas o de cambios en los patrones de las ya existentes.

MODELOS DE INSPECCIN
Deteccin de anomalas (Anomaly detection):
Este modo de operacin se basa en la creacin de una lnea base de
operacin normal de la red, y cualquier desviacin a esta lnea se
considera un comportamiento anormal, y por ende que se necesite
bloquear. El IPS es capaz de aprender estos patrones de trfico y
tomar decisiones cuando determine que existen anormalidades en el
funcionamiento de la red. Este modelo no necesita ningn esquema
de licenciamiento, puesto que no es basado en firmas ni necesita
constantes actualizaciones, ms all de las propias del sistema
operativo del dispositivo.

MODELOS DE INSPECCIN
Inspeccin profunda de Paquetes (Deep Packet Inspection) y filtro de
trfico:
Esta tcnica permite que el dispositivo analice el funcionamiento de
un protocolo, y determine anormalidades dentro de su operacin. Es
una caracterstica principalmente de los firewalls que tambin el IPS la
utiliza como parte de la deteccin y prevencin de ataques en la red.
Un ejemplo es el protocolo HTTP. Su funcin bsica es acarrear el
trfico de aplicaciones Web, pero puede ser utilizado por
aplicaciones del tipos P2P o Tunneling, las cuales pueden ser
potenciales medios para la generacin y dispersin de malware en la
red.

SOLUCIONES POR SOFTWARE


SNORT

solucin completa pudiendo trabajar como HIDS o NIDS adems


de volverse un HIPS o NIPS al integrarse a otras herramientas de la
red como firewall o appliance de seguridad, trabaja analizando los
paquetes, marca las transmisiones que sean potencialmente
maliciosas y las almacena en un registro formateado.

SOLUCIONES POR HARDWARE

NIDS

Analiza el trfico de toda la red

Examina paquetes en bsqueda de opciones no permitidas y


diseadas para no ser detectadas por los cortafuegos

Produce alertas cuando se intenta explorar algn fallo de un


programa de un servidor

Componentes

Sensores (agentes): situado en un segmento de red monitoriza en


busca de trfico sospechoso

Una consola: recibe las alarmas de los sensores y reacciona segn


el tipo de alarma recibida

Ventajas y Desventajas
Ventajas
Detectan accesos no deseados en la red
No necesitan software adicional en los servidores
Fcil instalacin y actualizacin (sistemas dedicados)
Desventajas

Nmero de falsos-positivos
Sensores distribuidos en cada segmento de la red
Trfico adicional en la red
Difcil deteccin de los ataques de sesiones encriptadas

Topologa

Antes del cortafuegos

En la DMZ

En la intranet

Tipos de Monitoreo

FIRMAS

ANOMALAS

HEURSTICA

EN BASE A REGLAS

Tipos e ataques

Insercion

Deteccin

Tipos de Ataques

DoS

ARP Spoofing

Evasion SSL

Port Scaning

OS Fingerprinting

Desbordamiento de Bfer

Conclusiones

NIDS es un complemento de seguridad de los cortafuegos

Buscar soluciones que se adapten a los recursos de la empresa

Integrar los NIDS en la poltica de seguridad de la empresa

https://www.youtube.com/watch?v=O2Gz-v8WswQ