PDF de programación - Tema: IDS vs IPS - IX Maestría de gerencia de sistemas - Módulo de seguridad informática

2008 



TEMA: IDS VS IPS
IX MAESTRÍA DE GERENCIA DE SISTEMAS

MÓDULO DE SEGURIDAD 
INFORMÁTICA

Liliana Gordillo 

Miguel Montalvo 

Prof: Lic. Julio Ardita ‐ 
CYBSEC S.A.  

21/03/2008

t t
INDICE 



1. IDS SISTEMA DE DETECCIÓN DE INTRUSIONES...........................................................3

1.2 Funcionamiento..........................................................................................................3

1.3 Tipos de IDS..................................................................................................................4

1.4 Características de IDS................................................................................................4

1.5 Algunos IDS ..................................................................................................................4

1.5.1 IDS Comerciales ...................................................................................................4

1.5.2 IDS Gratuitos.........................................................................................................5

1.6 Sourcefire Network Sensor.........................................................................................6

2. IPS SISTEMA DE PREVENCIÓN DE INTRUSIONES .........................................................7

2.1 Ventajas .......................................................................................................................7

2.2 Características de un IPS...........................................................................................8

2.3 Tipos de IPS...................................................................................................................8

2.4 Evolución de las Categorías de los IPS ................................................................11

3. CONCLUSIONES...........................................................................................................13

4. RECOMENDACIONES .................................................................................................14



1




INTRODUCCION 



Debido al creciente desarrollo de nuevos y potentes Sistemas Operativos así
como de tecnología por parte de las empresas desarrolladoras de software libre como
del licenciado, hace que más empresas tiendan a la compra de este software para no
quedarse atrás en la tecnología, mientras esto sucede hay gurús informáticos que se
dedican a descubrir las vulnerabilidades de los sistemas operativos con diversas
intenciones, por lo cual los clasificaremos en tres tipos:

"White Hats" (sombreros blancos, los buenos o hackers) o "Black Hats"
("sombreros negros", los malos o crackers), según una clasificación de sus
acciones (según sean sólo
intrusivas o además destructivas). Aunque
recientemente también ha aparecido el término "Grey Hat" ("sombrero gris")
para referirse a aquellos hackers que ocasionalmente traspasan los límites entre
un tipo u otro, o los que realizan acciones que sin ser moralmente reprobables
se pueden considerar como ilegales o viceversa. (Wikipedia, 2008)i1

Estas tres clasificaciones mencionadas anteriormente se convierten en intrusos
de la red de datos de varias empresas, ya que acceden de manera no autorizada y por
vías ilegales a la información valiosa que en muchos de los casos es la razón de ser
de la empresa y esta no se puede ver amenazada o interceptada por intrusos, por lo
cual las organizaciones están optando por protegerse robusteciendo la red interna, con
herramientas como:

• Firewall

• Cortafuegos

•

•

IDS (Sistema de Detección de Intrusiones)

IPS (Sistema de Prevención de Intrusiones)

Que logran aplacar este tipo de ataques a la red, que en la actualidad son más
comunes al igual que los spam, gusanos, troyanos y virus que son creados por los
crackers, para obtener algún beneficio o simplemente por el hecho de realizar una
acción destructiva en contra de alguna empresa.

Este documento analizara dos herramientas IDS vs. IPS, destacando sus
características positivas y negativas para luego determinar cuál de las dos ofrece
mayor protección y es la más apropiada para la protección de la información dentro de
una organización en la cual el valor de los datos es muy importante.



1 Extracto sacado de http://es.wikipedia.org/wiki/Hacker



2



1. IDS SISTEMA DE DETECCIÓN DE INTRUSIONES 

Un Sistema de Detección de Intrusos – IDS, (Intrusion Detection System, siglas

en inglés); es un programa utilizado para analizar la detección de supuestos intrusos
en la red o un computador, basado en sensores virtuales, permiten monitorear el
tráfico de la red, permitiendo así evitar posibles ataques.

El IDS, no solo analiza el tráfico de la red, sino su comportamiento y contenido.

La cual es integrada por lo general a un Firewall. Estos IDS, poseen una base de
datos de ataques, con “firmas”.

1.2 Funcionamiento 



Se lo puede definir como un proceso de auditoria de la información del sistema
de la red o de un computador, logrando a través de un configuración y de una base de
datos “firmas” prevenir y detectar posibles ataques de intrusos.



El proceso de detección de intrusos, se lo define de la siguiente manera:

• Una base de datos con una recopilación de ataques anteriores.

• Un sistema actual debidamente configurado.

• Estado actual, referente en términos de comunicación y procesos.



3

1.3 Tipos de IDS 



• HIDS.- IDS basados en Host, estos solo procesan determinadas actividades de
los usuarios o computadoras. Ejemplos: Tripwire, SWATCH, LIDS RealSecure
y NetIQ Vigilent.

• NIDS.- IDS basados en Red, realizan sniffing en algún punto de la red, en
busca de intrusos. Bien ubicados los NIDS en la red, puede ser una alternativa
excelente para la prevención de los intrusos y un bajo impacto en la red al
abarcar grandes redes. Ejemplos: SNORT, RealSecure, NFR y el IDS de
CISCO.

• DIDS.- Es parte del NIDS, solo que distribuido en varios lugares de la red, con

un consolido en un solo banco de información.

•

IDS basados en Log, revisa los archivos de Logs en busca de posibles
intrusos, se caracteriza por su precisión y completitud.

1.4 Características de IDS 


Un IDS, debe poseer las siguientes características:

• Escalable

• Ligero

• Confiable

• Robusto

• Distinguir lo que es un ataque de lo que es compartir un recurso del

sistema.

1.5 Algunos IDS  

1.5.1 IDS Comerciales


• DRAGON

•

Intruder Alert

• NetProwler

•

ISS RealSecure

• Cisco NetRanger



4

• Cyber Cop

• OMNIGUARD Intruder Alert

• POLYCENTER Security Intrusion Detector

• G-Server

• Watch Dog

• CMDS (Computer Misuse and Detection System)

•

INTOUCH NSA (Network Security Agent)



1.5.2 IDS Gratuitos

• Shadow

• Network Flight Recorder

• Tripwire

• Snort


1.5 Snort


SNORT es una fuente abierta de prevención y detección de intrusos de red y
sistema, utiliza una norma impulsada por el idioma, que combina los beneficios de la
firma, protocolo y anomalía basada en métodos de inspección. Con millones de
descargas hasta la fecha, Snort es la herramienta de detección y prevención de
intrusiones, se ha convertido en el estándar de facto para la industria.

Características:

• Más de 700 firmas.

• Ligero.

• Distribución Gratuita.

• Análisis de tráfico en Tiempo Real.

• Uso de Filtros

• Detección de Strings o Host Arbitrarios.



5



1.6 Sourcefire Network Sensor 


Sourcefire NS ofrece la detección de amenazas más completa del mercado. Mediante
la implantación de un método de detección basado en reglas, el sensor detecta tanto
ataques conocidos como comportamientos anómalos. Las reglas se utilizan para
examinar los campos de protocolo y se pueden configurar para casos específicos de
ataques contra un protocolo o para estudiar las condiciones de un ataque.



Características:

•

•

Instalación rápida

Interfaz Fácil de usar basada en la Web

o Análisis de datos y de investigación informática
o Creación de reglas, carga y gestión
o Configuración de redes y alertas
o Redacción detallada de consultas e informes

• Los sensores pueden desarrollarse como sistemas separados o en grupo de

gestión centralizada de sensores remotos.



6

2. IPS SISTEMA DE PREVENCIÓN DE INTRUSIONES 


Este sistema fue desarrollado en 1990, fue diseñado para monitorear el trafico de una
red, en tiempo real y prevenir que se filtre cualquier actividad maliciosa conocida
como intrusión en la misma, cuando se produce la caída de un paquete o este pasa
dañado o incompleto, en una transmisión de información, inmediatamente la red
bloquea la transmisión por prevenir un posible ataque o deformaciones en la
transferencia de datos, es considerado una mejora con respeto a los Firewalls, y
Cortafuegos, su diseño es una evolución de los IDS (Sistema de Detección de
Intrusos).

A diferencia de los IDS esta nueva tecnología no se limita solo a escuchar el trafico de
la red y a mandar alertas en una consola, después de que ocurre una intrusión, el IPS
funciona a nivel de la capa 7 tiene la capacidad de descifrar protocolos como HTTP,
FTP y SMTP, algunos IPS permiten establecer reglas como se lo hace en los
Firewalls. La tecnología IPS ofrece una visión más profunda de las operaciones de la
red proporcionando información sobre actividades maliciosas, malas conexiones, el
contenido inapropiado de la red y muchas otras funciones de la capa de Aplicación,
utiliza menos recursos que un IDS, siendo una soluc