Evaluación Sumativa 1

IPS e IDS

Asignatura: Seguridad en Redes e Información

Sección: (ITC8D-A)

Nombre del docente: Guillermo Fuentes Quijada

Nombre de los integrantes del grupo: Sergio Muñoz

Fecha de entrega

13/09/2019
Introducción

Presentación de la temática desarrollada en el informe, mediante una página que debe incluir información
de manera resumida con respecto a lo que se abordará (se recomienda redactar este apartado al finalizar
el cuerpo del informe).

Debido al creciente desarrollo de nuevos y potentes Sistemas Operativos, así como de tecnología por parte
de las empresas desarrolladoras de software libre como del licenciado, hace que más empresas tiendan a
la compra de este software para no quedarse atrás en la tecnología, mientras esto sucede hay gurús
informáticos que se dedican a descubrir las vulnerabilidades de los sistemas operativos con diversas
intenciones, por lo cual los clasificaremos en tres tipos:

"White Hats" (sombreros blancos, los buenos o hackers) o "Black Hats" ("sombreros negros", los malos o
crackers), según una clasificación de sus acciones (según sean sólo intrusivas o además destructivas).
Aunque recientemente también ha aparecido el término "Grey Hat" ("sombrero gris") para referirse a
aquellos hackers que ocasionalmente traspasan los límites entre un tipo u otro, o los que realizan acciones
que sin ser moralmente reprobables se pueden considerar como ilegales o viceversa. (Wikipedia, 2008)

Estas tres clasificaciones mencionadas anteriormente se convierten en intrusos de la red de datos de varias
empresas, ya que acceden de manera no autorizada y por vías ilegales a la información valiosa que en
muchos de los casos es la razón de ser de la empresa y esta no se puede ver amenazada o interceptada
por intrusos, por lo cual las organizaciones están optando por protegerse robusteciendo la red interna,
con herramientas como:

 IDS (Sistema de Detección de Intrusiones)

 IPS (Sistema de Prevención de Intrusiones)

Nombre del informe

2
 1 Desarrollo

1. Defina un IDS:

Un Sistema de Detección de Intrusos – IDS, (Intrusión Detection Sistema, siglas en inglés); es un programa
utilizado para analizar la detección de supuestos intrusos en la red o un computador, basado en sensores
virtuales, permiten monitorear el tráfico de la red, permitiendo así evitar posibles ataques. (cybsec, 2019)

El IDS, no solo analiza el tráfico de la red, sino su comportamiento y contenido. La cual es integrada por
lo general a un Firewall. Estos IDS, poseen una base de datos de ataques, con “firmas”. (cybsec, 2019)

1.1 Funcionamiento:

Se lo puede definir como un proceso de auditoría de la información del sistema de la red o de un

computador, logrando a través de una configuración y de una base de datos “firmas” prevenir y detectar
posibles ataques de intrusos.

El proceso de detección de intrusos, se lo define de la siguiente manera:

 Una base de datos con una recopilación de ataques anteriores.

Nombre del informe

3
  Un sistema actual debidamente configurado.
 Estado actual, referente en términos de comunicación y procesos.

1.2 Tipos de IDS:

• HIDS. - IDS basados en Host, estos solo procesan determinadas actividades de los usuarios o
computadoras. Ejemplos: Tripwire, SWATCH, LIDS RealSecure y NetIQ Vigilent.

• NIDS. - IDS basados en Red, realizan sniffing en algún punto de la red, en busca de intrusos. Bien ubicados
los NIDS en la red, puede ser una alternativa excelente para la prevención de los intrusos y un bajo impacto
en la red al abarcar grandes redes. Ejemplos: SNORT, RealSecure, NFR y el IDS de CISCO.

• DIDS. - Es parte del NIDS, solo que, distribuido en varios lugares de la red, con un consolido en un solo
banco de información.

• IDS basados en Log, revisa los archivos de Logs en busca de posibles intrusos, se caracteriza por su
precisión y completitud.

1.3 Características de IDS:

Un IDS, debe poseer las siguientes características:

• Escalable
• Ligero
• Confiable
• Robusto
• Distinguir lo que es un ataque de lo que es compartir un recurso del
• sistema.

Nombre del informe

4
 2. Defina un IPS:

Este sistema fue diseñado para monitorear el tráfico de una red, en tiempo real y prevenir que se filtre
cualquier actividad maliciosa conocida como intrusión en la misma, cuando se produce la caída de un
paquete o este pasa dañado o incompleto, en una transmisión de información, inmediatamente la red
bloquea la transmisión por prevenir un posible ataque o deformaciones en la transferencia de datos, es
considerado una mejora con respeto a los Firewalls, y Cortafuegos, su diseño es una evolución de los IDS
(Sistema de Detección de Intrusos). (cybsec, 2019)

2.1 Ventajas
• Protección preventiva antes de que ocurra el ataque
• Defensa completa (Vulnerabilidades del Sistema Operativo, Puertos, Trafico de IP, códigos
maliciosos e intrusos)
• Maximiza la seguridad y aumenta la eficiencia en la prevención de
• intrusiones o ataques a la red de una empresa.
• Fácil instalación, configuración y administración
• Es escalable y permite la actualización de dispositivos a medida que
• crece la empresa
• No requiere tanta dedicación como un IDS tradicional; esto en consecuencia requeriría menos
inversión en recursos para administrar y operar estos sistemas (en comparación con un IDS).

Nombre del informe

5
 3. ¿Cuáles son sus diferencias?

A diferencia de los IDS los IPS no se limitan solo a escuchar el tráfico de la red y a mandar alertas en una
consola, después de que ocurre una intrusión, el IPS funciona a nivel de la capa 7 tiene la capacidad de
descifrar protocolos como HTTP, FTP y SMTP, algunos IPS permiten establecer reglas como se lo hace en
los Firewalls. La tecnología IPS ofrece una visión más profunda de las operaciones de la red proporcionando
información sobre actividades maliciosas, malas conexiones, el contenido inapropiado de la red y muchas
otras funciones de la capa de Aplicación, utiliza menos recursos que un IDS, siendo una solución ideal que
contribuye a la seguridad de la información que se transmite por una red y disminución de costos, para
una empresa que opta por adquirir sistemas de este tipo para preservar los datos que posee.

El IPS no utiliza dirección IP como lo hace un firewall, ni funciona igual que un cortafuego, el IPS permite
poner normas y restringir acceso a usuarios, aplicaciones y a host siempre y cuando se detectan que estos
están teniendo actividades mal intencionadas o código malicioso en el tráfico de la red.

Nombre del informe

6
 2 Conclusiones

• Los IDS, son útiles para la detección de intrusos en una red, pero deben ser bien configurados porque
pueden ocasionar que la red se vuelva lenta.

• A parte de un IDS, se debe complementar con otros dispositivos, como un Firewall.

• Se ha visto que la diferencia entre los IDS y los IPS: los primeros se limitan a detectar y notificar de la
intrusión mientras que los segundos puede tomar la decisión de bloquearlos y así prevenir intrusiones en
la red.

• Los IDS requieren de un corto lapso de tiempo para enterarse, analizar y determinar la acción correctiva
a adoptar frente a la intrusión, para finalmente reaccionar manualmente al ataque.

• Los IPS son la solución adecuada que reacciona automáticamente, siempre y cuando estén debidamente
configurados y puestos a punto con el fin de maximizar su nivel de precisión.

• La efectividad de los IDS/IPS está altamente ligada a la cantidad de recursos destinados para su
operación.
• Los IPS reaccionan de forma automática a las alarmas por ejemplo reconfigurando firewall, actualizando
la lista negra del firewall, bloqueando puertos, etc.

• Incorporan nuevos servicios como control de admisión de red, funciones de gestión de tráfico, valoración
del comportamiento de red, firmas de vulnerabilidades, de exploits, de anomalías de protocolo y de
comportamiento. Simulan servicios o servidores Proxy y pasan desapercibidos.

Nombre del informe

7
3 Bibliografía
cybsec. (09 de 06 de 2019). http://www.cybsec.com. Obtenido de http://www.cybsec.com:
http://www.cybsec.com/upload/ESPE_IDS_vs_IPS.pdf

Nombre del informe

8