qué es un ips e ids
TRANSCRIPT
IPS E IDS
Gabriel Enrique Carballo Portillo
Descripción breve Definición de IPS e IDS y mención de 3 firewall más conocidos.
¿Qué es un IPS? Sus siglas en ingles son Intrusion Prevention System, en español Sistema de Prevención de
Intrusos, se utiliza para detectar accesos no permitidos a una red.
Un sistema de prevención de intrusos (IPS) va más allá de la determinación de una actividad
o posible actividad ilegal. El IPS además bloquea el host que está intentando realizar esta
actividad determinada como ilegal de forma tal que aún en caso de que la actividad pueda
ser potencialmente peligrosa, el atacante se quedará impedido de entrar al servicio que se
ofrece puesto que el IPS le bloquea a nivel de red.
El IPS se sitúa en línea dentro de la red IPS y no sólo escucha pasivamente a la red como
un IDS (tradicionalmente colocado como un rastreador de puertos en la red).
El IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar el
protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa
que el IPS puede filtrar y bloquear paquetes en modo nativo (al utilizar técnicas como la
caída de una conexión, la caída de paquetes ofensivos, el bloqueo de un intruso, etc.).
¿Qué es un IDS?
Sus siglas en ingles son Intrusion Detection System, en español Sistema de Detección de
Intrusos, se utiliza para detectar accesos no permitidos a una red.
Es aquel que determina cada vez que se está intentando realizar una actividad ilegal contra
el sistema y guarda la evidencia de esta actividad para que el administrador pueda verificar
y tomar medidas posteriores al intento de ataque.
El IDS posee sensores que les permite obtener datos, de manera que cuando el IDS detecta
el tráfico puede identificar por intermedio de anomalías o comportamientos extraños si se
trata de un ataque o un falso positivo.
El modo de funcionamiento del IDS es analizar a nivel muy profundo todo el tráfico de red,
en el momento que dicho tráfico pasa se con firmas de ataques ya reconocidos, así como
también se controlan los comportamientos extraños como el escaneo de puertos por
ejemplo.
Este equipo debe funcionar junto con un Firewall debido a que el IDS no tiene la
funcionalidad de bloquear un ataque.
3 Firewall más conocidos.
Un firewall es un programa o hardware diseñado para bloquear las conexiones no deseadas
a través de una red (por ejemplo Internet) mientras que permite las conexiones autorizadas.
Los más comunes son:
1) Router con Filtrado de Paquetes.
2) Gateway a Nivel de Aplicación.
3) Gateway a Nivel de Circuitos + (Host Bastión).
Router con Filtrado de Paquetes
Aplica un set de reglas para cada paquete entrante y luego lo reenvía o descarta.
Filtra paquetes en ambas direcciones.
El filtrado de paquetes se setea típicamente como una lista de reglas (ACL: Access
Control List) basadas en “matches” de campos de cabeceras IP o TCP/UDP.
Dos políticas por default: discard/deny o forward/allow
Mejor habilitar explícitamente (default= deny)
Se implementa con notación específica de cada router.
Ventajas
Simplicidad
Transparencia hacia usuarios
Alta velocidad
Desventajas
Dificultad en el seteo de reglas de filtrado
Falta de Autenticación
Posibles ataques y Contramedidas apropiadas
IP Address Spoofing (mentir dirección IP) Descartar paquetes con dirección IP
interna que arribe del exterior.
Ataques Source Routing (paquete IP con opción ruteo fuente) Descartar todos los
paquetes que usen esta opción.
Ataques por Tiny Fragments (fragmentos muy pequeños) Descartar todos
paquetes donde tipo protocolo sea TCP y Offset de Fragmento=1 en Header_IP.
Gateway a Nivel Aplicación (o Proxy Server)
Son hosts corriendo Proxy servers, que evitan tráfico directo entre redes.
Actúa como un relay (conmutador) de tráfico a nivel de aplicación.
Más eficiente y posible control de contenidos.
Puede ponerse un AV en el gateway.
Proxy de Aplicación: programa que representa a toda la red interna, ocultando la LAN de la
red pública. Toma decisiones de forwarding en los 2 sentidos.
Hará el forward de clientes autorizados a servers del exterior y traerá las respuestas
a dichos clientes.
Proxy HTTP puede mantener páginas web en caché.
Ventajas
Más seguros que filtros de paquetes.
Sólo necesita discriminar unas pocas aplicaciones permitidas (Telnet, HTTP, etc.), no
a nivel de IP o TCP.
Fácil control de log y auditar todo el tráfico entrante
Desventajas
Overhead de procesamiento adicional en cada conexión, ya que hay dos conexiones
divididas y el Gateway que actúa como splice, debe examinar y reenviar todo el
tráfico.
Gateway a Nivel de Circuitos:
Puede ser un sistema stand-alone o una función especializada realizada por un GW
de nivel aplicación.
No permite conexiones TCP end-to-end, sino que GW setea 2 conexiones TCP entre
usuarios TCP externo e interno con él.
GW hace conmutación de segmentos TCP de una conexión a otra sin examinar
contenido.
La función de seguridad consiste en determinar qué conexiones serán permitidas.
Usado típicamente en situaciones donde el administrador del sistema confía en los
usuarios internos.
Un ejemplo de implementación es el paquete SOCKS (v.5 en RFC 1928)
Capa entre niveles de Transporte y Aplicación
No provee servicios de GW a capa de red, como el forwarding de mensajes ICMP.
Consiste de Server Socks, Librerías de clientes socks y Programas clientes sock-
ificados de las aplicaciones estándares.
Ventajas
Tres niveles de defensa ante intrusos.
El Router Externo sólo declara hacia la Internet la existencia de la subred protegida;
la red interna es invisible para la Internet.
El Router Interno sólo declara hacia la red interna la existencia de la subred
protegida; los sistemas de la red interna no pueden construir rutas directas hacia
Internet. Los routers sólo permiten tráfico a/desde la red DMZ.