Seguridad 2

Telemática

Seguridad II

Actividad 1

Unidad 3. Técnicas y metodologías avanzadas

en seguridad

Alumno/a: Yesenia gonzalez velasquez

Profesor: Juan Alberto Castillo Cabrera.

Universidad Abierta y a Distancia de México

 Seguridad 2

Column1 Column2 Column3 Column4

Actividad
Trabajando juntos, una alianza por la seguridad.  
1:
       
Instrucciones: Investigar cuál es la función de un IPS y de un IDS:  
  1 Mencionar su funcionamiento en específico.  

  2 Ventajas de implementar cada uno de estos equipos en una LAN corporativa.  

  3 Costos aproximados.  

Mencionar cómo podría ayudar a tu organización/insitutución la

  4  
implementación de estos equipos (no considerar costo).

Hacer un diagrama a MANO en donde se identifiquen los equipos IPS e IDS

  5 integrados a la red LAN (o alguno de los dos y mencionar por qué se descartó  
el otro).
  6 Ver el siguiente video: https://youtu.be/tjvCimdGD-0  
  7 Realizar un resumen de una cuartilla del video anterior.  
Entrega: En un documento PDF integrar todos los puntos anteriores:  

    Primera: Cubrir los puntos del 1 al 5.

Escanear o tomarle una foto al diagrama

    Segunda:
hecho a mano y colocar en el documento.

Anexar el resumen del video en una

    Tercera:
cuartilla dentro del documento a entregar.
 Seguridad 2

Importante: Solamente entregar un PDF el cual deberá tener la siguiente estructura:  

Sin portada, en un encabezado de página colorar su nombre completo, su

  a  
matrícula, clave de la asignatura, nombre de la actividad y fecha.

Toda la información del documento debe ser con fuente Arial 11 -

  b  
justificado.
  c Agregar una conclusión general de toda la actividad.  
  d Colocar referencia de consulta de cibergrafía en formato APA.  
Sube tu archivo a la plataforma con la siguiente nomenclatura:
  e  
KSG2_U3_A1_XXYZ y envíalo para su revisión.
Como límite se entrega esta actividad el día miércoles 11 de marzo
Fecha de entrega:  
antes de las 23:55.
Seguridad 2
 Seguridad 2
Investigar cuál es la función de un IPS y de un IDS:

El IDS es un sistema de detección de intrusos, como su nombre en inglés lo dice “intrusión

Detection System”, se utiliza para detectar accesos no permitidos a una red.

El IDS posee sensores que les permite obtener datos, de manera que cuando el IDS detecta

el tráfico puede identificar por intermedio de anomalías o comportamientos extraños si se

trata de un ataque o un falso positivo. El modo de funcionamiento del IDS es analizar a

nivel muy profundo todo el tráfico de red, en el momento que dicho tráfico pasa se con

firmas de ataques ya reconocidos, así como también se controlan los comportamientos

extraños como el escaneo de puertos, por ejemplo. Este equipo debe funcionar junto con un

Firewall debido a que el IDS no tiene la funcionalidad de bloquear un ataque.

Tipos de IDS:

 HIDS: busca datos que hayan dejado los atacantes en un equipo cuando intentan

tomar control del mismo, con toda la información que consiguen saca sus

conclusiones

 NIDS: IDS de red, detecta ataques a nivel de toda la red. Debe ver todo el tráfico

que entra a la red.

IPS (Intrusion Prevention System)

Controla el acceso de usuarios ilegítimos adicionando la posibilidad de bloquear los

ataques, no simplemente de monitorearlos. Tiene varias opciones para implementarlo,

Hardware, software o combinación de ambas. Los IPS se categorizan según el modo en el

que detectan el tráfico malicioso:

 Seguridad 2
 Basado en firmas: compara el tráfico con firmas de ataques conocidos, debe tener la

lista de firmas actualizada.

 Basado en políticas: se definen políticas de seguridad estrictas, si el tráfico esta

permitido el IPS permite el tráfico, si no lo está lo bloquea.

 Basado en anomalías: este método es el que mas falsos positivos genera debido a

que es muy difícil que es lo normal o estándar. En este modo encontramos dos

opciones:

 Detección estadística de Anormalidades: analiza todo el trafico durante un tiempo

determinado, luego de este tiempo crea una línea de lo que es “normal o estandar”.

Luego de terminado este período si el comportamiento varía mucho en comparación

a la regla creada, se toma como una posibilidad de ataque.

 Detección no Estadística de Anormalidades: en esta opción el Administrador define

la línea de lo que es lo “normal o estándar” que va a ser la base para la comparación

del tráfico.

IPS VENTAJAS

Se puede parar paquetes en tiempo real, incluso de un solo paquete de ataques. Puede

utilizar técnicas de normalización de la red.

Protección preventiva antes de que ocurra el ataque

• Defensa completa (Vulnerabilidades del Sistema Operativo, Puertos, Trafico de IP,

códigos maliciosos e intrusos)

 Seguridad 2
• Maximiza la seguridad y aumenta la eficiencia en la prevención de intrusiones o

ataques a la red de una empresa.

• Fácil instalación, configuración y administración

• Es escalable y permite la actualización de dispositivos a medida que crece la empresa

• No requiere tanta dedicación como un IDS tradicional; esto en consecuencia

requeriría menos inversión en recursos para administrar y operar estos sistemas (en

comparación con un IDS).

Ventajas IDS

• Protección preventiva antes de que ocurra el ataque

• Defensa completa (Vulnerabilidades del Sistema Operativo, Puertos, Trafico de IP,

códigos maliciosos e intrusos)• Maximiza la seguridad y aumenta la eficiencia en la

prevención de intrusiones o ataques a la red de una empresa.

• Fácil instalación, configuración y administración

• Es escalable y permite la actualización de dispositivos a medida que crece la empresa

• No requiere tanta dedicación como un IDS tradicional; esto en consecuencia

requeriría menos inversión en recursos para administrar y operar estos sistemas (en

comparación con un IDS).

 Seguridad 2
En la empresa que laboro ya tienen implementado uso del firewall Fortinet y vlan estos

tiene sus propias de usar estos recursos.

el fabricante Fortinet nos permite la configuración de alguna de las interfaces físicas en un

modo denominado “One-arm-Sniffer”. Este modo, a diferencia de las habituales para

permitir o denegar el flujo de comunicaciones, permitirá analizar mediante los motores IPS

y Control de Aplicación el tráfico enviado desde un puerto espejo un dispositivo TAP. En

caso de coincidencia con alguna de las firmas, se genera el correspondiente log y registro,

descartándose el tráfico recibido.

De esta manera podremos utilizar nuestro equipo Fortinet Fortigate como un IDS o detectar

qué tráfico a nivel de capa 7 que como hablamos en la entrada “Más que IPs y Puertos para

proteger entornos industriales”.

Resumen de: https://youtu.be/tjvCimdGD-0

 Seguridad 2
DETECCION DE INTRUSIONES

El objetivo principal detector acceso y/o comportamiento no deseados también sirven

para poder corregir funcionamientos o configuraciones de igual manera se usa para actuar a

tiempo frente a un intruso/ataque.

Para que sean efectivas es necesario tener seguridad en profundidad como barreras de

contención por ejemplo usuarios con privilegios limitados, nodos con acceso limitado,

segmentación de la red corporativa.

Todas estas medidas son tomadas con la única intención de poder reaccionar a tiempo

frente a una intrusión.

Las herramientas que se encargan de analizar el comportamiento del sistema y alertarnos

de posibles intrusiones es el IDS el cual nos alertara en caso de una actividad sospechosa y

cuando sucede esto puede cambiar la configuración del sistema.

Una de las características principales es que se encarga de buscar anomalías o

desviaciones frente al comportamiento que se espera además de buscar firmas las cuales

son acciones o elementos conocidos obtenidas de otros ataques y se guardan en una base de

datos para poder consultar de manera automática en los IDS, como ya sabemos todo tiene

su limitantes y esta no es ninguna excepción pues en ocasiones nos puede dar falsos

positivos y falsos negativos, la seguridad de los IDS pueden ser vulneradas.

Actualmente existen tres tipos de HIDS:

Tarros de miel: honeypots and honeynets. Son entornos desarrollados como trampas

para ser atacados.

 Seguridad 2
HIDS: IDS de nodo(host-based IDS): Se encarga de monitorizar la actividad del sistema

en que están instalados .

NIDS: IDS de red (network IDS): Monitorizan la actividad de las redes conectadas

Estos están encargados de monitorizar la actividad de la red para ello se analizan

cabeceras y contenidos.

Para la detección de anomalías se implementa el análisis estadístico-tráfico normal y el

análisis de protocolos el cual consiste en analizar el trafico de paquetes y verificar si encaja

con el protocolo.

Se hace uso de la detección de firmas a través de patrones que identifican intentos de

intrusión

Posibles limitaciones de los NIDS.

NO TODO ES OBSERVABLE:

Eventos en otras redes, NIDS no operativos, paquetes descartados.

NO TODO ES ANALIZABLE: factores humanos.

LOS ATACANTES USAN TECNICAS DE EVACIÓN:

Comprueban las reglas estándar, dividen el tráfico en paquetes y fragmentos, usan

codificadores evasiva.

CONSLUSIÒN
 Seguridad 2
En muchas empresas ya se están implementando IDS/IPS puesto que el IDS va

complementado con IPS, esto nos protege de amenazas externas en la red o redes que

estemos conectados, en conjunto se encargan de monitorizar el tráfico para determinar y

prevenir comportamientos sospechosos. Se integran con frecuencia con cortafuegos que

realizan la función de bloquear el tráfico sospechoso.