Sistemas Ips - Ids
Páginas: 15 (3662 palabras)
Publicado: 22 de julio de 2012
IPS / IDS
IPS (Sistema de Prevención de Intrusos)
es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a lastecnologías cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos deltráfico, en lugar dedirecciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación.
También es importante destacar que los IPS pueden actuar al nivel deequipo, para combatir actividades potencialmente maliciosas.
Los sistemas de prevención de intrusiones de red (NIPS Network Intrusion Prevention Systems por sus siglas en ingles de aquí en adelante se denominara IPS) de red son una tecnología novedosa que esta diseñada para detectar y prevenir los ataques antes de que logren ingresar a la red objetivo. Y como dichos sistemas son desplegados en line aen la red para que cumplan su objetivo, los mismos deben ser probados. Sin embargo la falta de una metodología Standard a menudo reduce la exactitud de las pruebas, adicionalmente bastantes complicaciones pueden surgir una vez el dispositivo es puesto en producción.
Por lo anterior, este documento intenta proveer una metodología disponible de forma pública que pueda ayudar a los expertos enseguridad para hacer las pruebas de sus IPS en el contexto adecuado.
un IPS no es un IDS. El IPS esta diseñado para bloquear los ataques y asegurar que el segmento de la infraestructura que protege se mantiene seguro. Por lo tanto reportar es necesario pero la exactitud de los reportes se convierte en menos importante que en un IDS, siempre y cuando se este bloqueando de manera apropiada.
Comoejemplo una herramienta como SNOT esta diseñada para inundar los IDS con paquetes de firmas incluyendo ataques, estos paquetes no están en ninguna sesión TCP, incluyen serán bloqueados por un IPS stateful, dependiendo de la configuración y el diseño implementado; entonces son reportados como trafico bloqueado por el IPS por ser trafico no legitimo.
Como parte integral de la misión de un IPS, debe estaren capacidad de reforzar las políticas de seguridad de la red, reportando y/o bloqueando la posibilidad de ingreso como ROOT a los sistemas sin canal encriptado por ejemplo es deseable en dichos sistemas. Cada organización tiene diferente políticas de seguridad por lo tanto no todos los refuerzos de políticas deben estar habilitados de forma predeterminada, sin embargo si debe permitirlo. Yadicionalmente ser suficientemente flexible como para poder configurarlo con esto en mente.
Operaciones realizadas por un IPS
Tres operaciones se pueden distinguir en la operación de un IPS. Su implementación esta altamente ligada a las necesidades de la organización, no todas las funcionalidades son necesariamente probadas.
· Bloqueo de de intentos de Intrusión: mitigar los ataques quepueden conducir a un escalamiento de privilegios y/o a la ejecución de código remoto en el sistema objetivo.
· Reducir los DoS y refuerzo de políticas de trafico: proteger la infraestructura de ataques lanzados con el propósito de interrumpir el servicio total o parcialmente y/o inundar los enlaces de comunicaciones.
· Investigación de Túneles: detectar canales de comunicación ...
IPS (Sistema de Prevención de Intrusos)
es un dispositivo que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de Prevención de Intrusos es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a lastecnologías cortafuegos.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos deltráfico, en lugar dedirecciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación.
También es importante destacar que los IPS pueden actuar al nivel deequipo, para combatir actividades potencialmente maliciosas.
Los sistemas de prevención de intrusiones de red (NIPS Network Intrusion Prevention Systems por sus siglas en ingles de aquí en adelante se denominara IPS) de red son una tecnología novedosa que esta diseñada para detectar y prevenir los ataques antes de que logren ingresar a la red objetivo. Y como dichos sistemas son desplegados en line aen la red para que cumplan su objetivo, los mismos deben ser probados. Sin embargo la falta de una metodología Standard a menudo reduce la exactitud de las pruebas, adicionalmente bastantes complicaciones pueden surgir una vez el dispositivo es puesto en producción.
Por lo anterior, este documento intenta proveer una metodología disponible de forma pública que pueda ayudar a los expertos enseguridad para hacer las pruebas de sus IPS en el contexto adecuado.
un IPS no es un IDS. El IPS esta diseñado para bloquear los ataques y asegurar que el segmento de la infraestructura que protege se mantiene seguro. Por lo tanto reportar es necesario pero la exactitud de los reportes se convierte en menos importante que en un IDS, siempre y cuando se este bloqueando de manera apropiada.
Comoejemplo una herramienta como SNOT esta diseñada para inundar los IDS con paquetes de firmas incluyendo ataques, estos paquetes no están en ninguna sesión TCP, incluyen serán bloqueados por un IPS stateful, dependiendo de la configuración y el diseño implementado; entonces son reportados como trafico bloqueado por el IPS por ser trafico no legitimo.
Como parte integral de la misión de un IPS, debe estaren capacidad de reforzar las políticas de seguridad de la red, reportando y/o bloqueando la posibilidad de ingreso como ROOT a los sistemas sin canal encriptado por ejemplo es deseable en dichos sistemas. Cada organización tiene diferente políticas de seguridad por lo tanto no todos los refuerzos de políticas deben estar habilitados de forma predeterminada, sin embargo si debe permitirlo. Yadicionalmente ser suficientemente flexible como para poder configurarlo con esto en mente.
Operaciones realizadas por un IPS
Tres operaciones se pueden distinguir en la operación de un IPS. Su implementación esta altamente ligada a las necesidades de la organización, no todas las funcionalidades son necesariamente probadas.
· Bloqueo de de intentos de Intrusión: mitigar los ataques quepueden conducir a un escalamiento de privilegios y/o a la ejecución de código remoto en el sistema objetivo.
· Reducir los DoS y refuerzo de políticas de trafico: proteger la infraestructura de ataques lanzados con el propósito de interrumpir el servicio total o parcialmente y/o inundar los enlaces de comunicaciones.
· Investigación de Túneles: detectar canales de comunicación ...
Leer documento completo
Regístrate para leer el documento completo.