Detectores de intrusos IDS vs IPS la seguridad es fundamental PDF

Preview

Summary

Resumen de los protocolos IDS e IPS en tecnólogas de la información donde muestra en detalle en que consiste como funcionan algunos métodos de detección de intrusos, etc...

Description

DETECTOR DE INTRUSOS (IDS VRS IPS) Seguridad y aseguramiento de la información Mod: ITI-513-01-PII21

12 DE AGOSTO DE 2021

Contenido El IDS ..................................................................................................................................................2 ¿Qué es el IDS? ...............................................................................................................................2 Como funciona ...............................................................................................................................2 Características de un IDS ................................................................................................................2 Tipos de IDS ....................................................................................................................................3 El IPS ...................................................................................................................................................3 ¿Qué es el IPS? ...............................................................................................................................3 Como funciona ...............................................................................................................................4 Tipos o métodos de IPS ..................................................................................................................4 Referencias:........................................................................................................................................5

El IDS ¿Qué es el IDS? Un sistema de detección de intrusiones IDS (Intrusion Detection System) es un componente dentro del modelo de seguridad informática de una organización. Consiste en detectar actividades inapropiadas, incorrectas o anómalas, desde fuera o dentro de un dispositivo o una infraestructura de red. El IDS se basa en la hipótesis de que el patrón de comportamiento de un intruso es diferente al de un usuario legítimo, que se utiliza para su detección mediante análisis de estadísticas de uso.

Como funciona La mayoría de los IDS suelen tener una base de datos de firmas de ataques conocidas, que permiten distinguir entre el uso normal de un dispositivo y el uso fraudulento, entre el tráfico de red normal y el tráfico que puede ser el resultado de un ataque o intento del mismo. En una red de comunicaciones, un IDS no solo analiza qué tipo de tráfico se utiliza, sino que también revisa su contenido y comportamiento; Además, vigila si se produce un escaneo de puertos o la transmisión de paquetes de datos mal formados, entre otros aspectos. Normalmente, un IDS se integra con un firewall, preferiblemente en un dispositivo que funciona como puerta de entrada a una red. Esta asociación es muy poderosa, ya que combina la inteligencia del IDS y el poder de bloqueo del firewall, en el punto donde los paquetes deben pasar y pueden ser bloqueados antes de ingresar a la red.

Características de un IDS Cualquier sistema de detección de intrusos, sea cual sea su tipo y base operativa, debe tener las siguientes características: •

• • • • •

Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente confiable para poder ejecutarse en segundo plano como parte del dispositivo o red que se está vigilando. Debe ser tolerante a fallas en el sentido de que debe poder sobrevivir a un bloqueo del sistema. Debe ser resistente a las perturbaciones, en el sentido de que pueda controlarse a sí mismo para asegurarse de que no ha sido perturbado. Debería imponer una sobrecarga mínima al sistema. No se debe utilizar un sistema que consume muchos recursos computacionales. Debe observar las desviaciones del comportamiento estándar. Debe ser fácilmente adaptable al sistema operativo ya instalado, ya que cada uno tiene un patrón de funcionamiento y el mecanismo de defensa debe adaptarse fácilmente a esos patrones.

•

Debe hacer frente a los cambios en el comportamiento del sistema a medida que se le agregan nuevas aplicaciones. Debería ayudar a identificar de dónde provienen los ataques y recopilar pruebas que puedan usarse para identificar a los intrusos. Deben ser "difíciles de violar" y proporcionar a los especialistas en seguridad "algo de tranquilidad".

Tipos de IDS Algunos sistemas de detección de intrusos se pueden clasificar según el tipo de evento que monitorean y cómo se implementan: •

•

•

IDS basado en la red: el sistema de detección de intrusiones en la red monitorea el tráfico de la red en un segmento o dispositivo y analiza la red y la actividad del protocolo para identificar la actividad sospechosa. Este sistema también es capaz de detectar innumerables tipos de eventos de interés, y generalmente se implementa en una topología de seguridad como frontera entre dos redes, donde se alinea el tráfico; en muchos casos, el propio IDS acaba por integrarse directamente en el cortafuegos. IDS basado en host o suscriptor de red: El sistema de detección de intrusiones del host se refiere a una computadora o activo en sí. En este caso, se considera un host, por ejemplo, el dispositivo personal de un usuario o un servidor de aplicaciones. La detección de intrusiones, en este formato, monitorea las características del dispositivo y los eventos que ocurren con él en busca de actividad sospechosa. Los IDS basados en host generalmente se pueden instalar individualmente, tanto para computadoras corporativas dentro de una red corporativa como para terminales personales. Entre las principales características que las acompañan, destacan el tráfico de red para el dispositivo, los procesos en ejecución, los registros del sistema, así como el acceso y cambio en archivos y aplicaciones.

El IPS ¿Qué es el IPS? El IPS es un sistema de prevención de intrusiones este sistema es una tecnología que se basa en un funcionamiento de supervisar el flujo y tráfico de datos en una red y muy importante prevenir la actividad maliciosa los IPS internamente tiene un componente que se comporta y actúa como un IDS pero van mucho más allá porque pueden tomar decisiones y por lo tanto el control de ciertas situaciones de tráfico de datos y la actividad de red informática puede estar trasladando código malicioso con intención de explotar vulnerabilidades de unos y otros sistemas de aplicaciones o servicios que hay en tu red y en los sistemas que forman parte de la red y estas herramientas el IPS lo que intenta detectar mediante análisis y monitorización y prevención que circulan esos datos o que tengan lugar actividades no autorizadas.

Como funciona Los sistemas IPS es un sistema activo en contraposición a un sistema IDS que es pasivo es decir el IPS está continuamente buscando y supervisando y tomar el control y llevar a cabo acción con tal de prevenir un ataque o intrusión cuando hablo de que puede tomar decisiones me refiero a que puede bloquear el tráfico de una fuente de datos o rechazar bloquear conexiones o flujos de datos pueden extraer los paquetes de datos maliciosas pueden eliminar amenazas etcétera para tomar estas decisiones del IPS de ser un sistema que consiga un alto rendimiento es decir por una parte debilita ralentiza el buen funcionamiento de la red Pero por otra parte de ese rápido y ágil para tomar decisiones ya que hay Sprite que no se detectan hasta que entran en ejecución y esto es como en las urgencias de los hospitales sin entrar en agravios comparativos o actuar rápidamente mientras están iniciando el daño si no adiós al sistema es por eso que suele situarse justo detrás del firewall en la red interna para canalizar todo el tráfico.

Tipos o métodos de IPS El IPS para detectar la inclusión entre otros métodos vamos a rescatar tres tipos: • • •

Detección basada en firmas: esta se basa en una serie de reglas o firma establecida para reconocer a un determinado conjunto de posibles amenazas o taques Detección basada en políticas: Requiere de la declaración de políticas de seguridad, por ejempla hosts establecidos de comunicación. Detección basada en anomalías: por lo general este tipo de detección se hace mediante tiempos de meditación y estadísticas, es decir, se analiza la red en periodos de tiempo y se aplican procesos estadísticos para determinar su comportamiento, también se incluyen patrones de comportamiento para determinar posibles inconsistencias.

estos son los métodos o mecanismos más habituales, aunque no son los únicos llegados a este punto ya sabrán Cuál es la diferencia entre ambos dos términos entre IDS e IPS aparte de lo que te explicaba. los sistemas IDS monitoriza y alertan mientras que los sistemas IPS monitoriza alerta y pueden tomar control para la prevención de actividades no autorizada donde de paquetes de datos detección de intrusiones etcétera ser varas que hay fabricantes que están unificando ambos sistemas el IDS y IPS en un único entorno Cómo son los UTM gestión de amenazas unificadas los UTMS entre otras muchas funciones pueden incluir un IDS o un IPS recuerda que internamente un IPS lleva un IDS también.

Referencias: LOGITEK, C. I. B. (2020, 8 JULIO). IDS VS IPS ¿C UÁL ES LA DIFERENCIA? - CIBERSEGURIDAD INDUSTRIAL LOGITEK . CIBERSEGURIDAD I NDUSTRIAL , BY LOGITEK . HTTPS:// WWW. CIBERSEGURIDADLOGITEK . COM/IDS-VS-IPS-CUAL ES -LA-DI FERENCIA/ J., & J. (2019, 5 MARZO ). BREVE INTRODUCCIÓN A L AS DI FERENCIAS ENTRE IDS E IPS PARA LA SEGURIDAD EN REDES . COMUNI DAD HUAWEI E NTERPRISE . HTTPS://FORUM .HUAWEI .COM / ENTERPRISE / ES / BREVE INTRODUCCI %C3%B3N -A -LAS- DIFERENCIAS -ENTRE -IDS -E -IPS - PARA -LA-SEGURIDAD -EN REDES / THREAD /507479-100233 IDS - SISTEMA DE DETECCIÓN DE INTRUSOS. (2019, 12 MARZO ). I NFOTECS. HTTPS://INFOTECS.MX/ BLOG/SI STEMA-DE DETECCION - DE -I NTRUSOS .HTML...