Este documento compara los sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusos (IPS). Explica que los IDS monitorean el tráfico de red para detectar posibles ataques, mientras que los IPS pueden bloquear el tráfico malicioso en tiempo real. También describe los diferentes tipos de IDS y IPS, como los basados en host, red o aplicaciones, así como su funcionamiento y características.

1. Seguridad Informática
IDS VS IPS
Maestría en Tecnología y
Sistemas de Información
Curso:
Seguridad de redes de datos
mayo, 2011 Julia

2. Funcionamiento
Tipos
Concepto
Características
Concepto
IDS
Ventajas
Algunos IDS
Características
Sourcefire
IPS Netwokt Sensor
Tipos
Evolución de las
categorías
mayo, 2011 Julia

3. IDS
Concepto
•Sistema de Detección de Intrusos
•Analiza la detección de intrusos
•Se basa en sensores virtuales
•Permite monitorear el tráfico de la red
•Evita posibles ataques
•Analiza el tráfico de la red, su
comportamiento y contenido
mayo, 2011 Julia

4. IDS
Funcionamiento
Base de Datos Configuración
Alarmas
Detección Detección
Acciones
Sondas
Auditorías
Información del Sistema
mayo, 2011 Julia

5. IDS
Tipos
• HIDS.-IDS: procesan actividades de usuarios.
• NIDS.-IDS: realizan sniffing en algún punto de la red.
• DIDS: Distribuidos en varios lugares de la red.
• IDS basados en Log: Precisión y completitud.
mayo, 2011 Julia

6. IDS
Características
•Escalable
•Ligero
•Confiable
•Robusto
•Distinguir entre ataque y compartir
recursos
mayo, 2011 Julia

7. IDS
Algunos IDS
•IDS Comerciales
 DRAGON
Intruder Alert
NetProwler
ISS RealSecure
Cisco NetRanger
• IDS Gratuitos
Shadow
Network Fligh Recorder
Tripwire
mayo, 2011
Snort Julia

8. IDS
Sourcefire Netware Sensor
•Detección de amenaza más completa
•Método de detección basado en reglas
•Detecta: ataques conocidos y
comportamientos anómalos.
•Características:
Instalación rápida
Interfaz fácil de usar basada en Web
Desarrollo de sensores
mayo, 2011 Julia

9. IPS
Concepto
•Monitorean el tráfico de la red en tiempo
real.
•Previene el filtro de actividades maliciosas.
•Descifra protocolos HTTP, FTP y SMTP.
•Algunos permiten establecer reglas.
•Proporciona información sobre actividades
maliciosas, malas conexiones, el contenido
inapropiado.
mayo, 2011 Julia

10. IPS
Ventajas
•Protección preventiva.
•Defensa completa.
•Maximiza la seguridad y aumenta la
eficiencia.
•Fácil instalación, configuración y
administración.
•Es escalable y permite la actualización.
•No requiere tanta dedicación
mayo, 2011 Julia

11. IPS
Características
•Capacidad de reacción automática.
•Aplicación de nuevos filtros.
•Mínima vigilancia.
•Disminución de falsas alarmas.
•Bloqueo automático en tiempo real.
•Protección de sistemas no parchados.
•Optimización en el rendimiento del
tráfico de la red.
mayo, 2011 Julia

12. IPS
Tipos
• HIPS: Previene posibles ataques en nodos débiles.
 Symantec SygateTM Enterprise Protection:
Protege los puntos finales.
Host de McAfee v6.0: Protección integral contra
exploits.
• PIN: Previene la intrusión en una red específica de
host.
CBIPS: Inspecciona el contenido de la BD.
Protocolo de análisis: decodifica la aplicaicón
nativa de la capa de red protocolos.
RBIPS: Impiden la Negación de Servicio
Distribuido.
mayo, 2011 Julia

13. IPS
Tipos Continuación…….
•Plataformas en Software de IPS basados en red
 Tipping Point: bloquea ataques phishing;
protege de vulnerabilidades, de
coincidencia de patrones; basado en
comportamientos.
StoneGate IPS-2000: utiliza técnicas
múltiples y precisas de análisis de tráfico de
la red. Protege aplicaciones vulnerables y
los sistemas operativos.
mayo, 2011 Julia

14. IPS
Tipos Continuación…….
•DFL-300
Protege contra ataques de piratas informáticos.
Proporciona una interfaz basada en Web.
Inspecciona el estado de los paquetes.
Detecta ataques de hackers.
Evita que paquetes intrusos entren a la red de
oficinas.
mayo, 2011 Julia

15. IPS
Tipos Continuación…….
•IPS vs HIPS
HIPS: maneja tráfico cifrado y sin cifrar.
PIN: no utiliza el procesador y la memoria del
host. Es un punto único de fallo, es más sencillo
de mantener. Detecta eventos dispersos a
través de la red.
mayo, 2011 Julia

16. IPS
Evolución de las categorías
•Las categorías dependen del
funcionamiento, capacidad y ubicación
en la arquitectura de la red.
IPS inline: evolución de los NIDS. Hacen la
función de puente a nivel de capa 2. Puede
realizar conexiones al DNS y obtener la
identidad del atacante.
 Switchs a nivel de la capa de aplicación:
Balancean la carga entre varios servidores y
tomar decisiones de enrutamiento.
mayo, 2011 Julia

17. IPS
Evolución de las categorías
Continuación…….
Firealls de aplicación IDS:
Funcionan a nivel de host
 Switchs híbridos:
Funcionan sobre dispositivos hardware
Conoce detalladamente el tráfico.
Aplicaciones engañosas:
 Aprenden del comportamiento normal
para pasar desapercibidas.
mayo, 2011 Julia

18. Conclusiones
• Los IDS son útiles para detectar intrusos pero
deben ser bien configurados.
• Los IDS detectan y notifican de la intrusión.
• Los IPS toman la decisión debloquear y prevenir
intrusiones en la red.
• Los IDS requieren poco tiempo para enterarse,
analizar y determinar la acción correctiva, luego
reaccionan manualmente al ataque.
• Los IPS, debidamente configurados, reaccionan
automáticamente.
mayo, 2011 Julia

19. Recomendaciones
• Los patrones de análisis de los IPS deben ser
bien configurados, para evitar que sean
bloqueados por error.
• Seleccionar IPS con características avanzadas
para identificar al atacante de manera eficaz y
bloquearlo.
• Uso en conjunto de IPS de host y de red para
proteger efectivamente los puntos vulnerables.
mayo, 2011 Julia

20. mayo, 2011 Julia