Post on 10-Feb-2018
7/22/2019 IPS IDS Seguridad de la informacin
1/30
7/22/2019 IPS IDS Seguridad de la informacin
2/30
Tabla de contenido
Introduccin ..................................................................................................................... 3
Contenido ......................................................................................................................... 4
Sistemas de deteccin y prevencin de intrusos (IDS e IPS)............................................... 4
Caractersticas de IDS ................................................................................................................. 6
Caractersticas de IPS ................................................................................................................. 8
Ventajas y desventajas de IDS ................................................................................................ 11
Ventajas y desventajas de IPS ................................................................................................. 12
Ejemplos de IDS e IPS .............................................................................................................. 13
Sourcefire Defense Center................................................................................................ 13
Symantec Critical System Protection .................................................................................. 15
Snort ......................................................................................................................................... 16
Diferencias entre IDS e IPS .................................................................................................... 17
Estndares asociados a los IDS/IPS....................................................................................... 18
Ejemplo de configuracin de la actualizacin de IDS 4.1 a IPS 5.0................................... 18
Requisitos previos .................................................................................................................. 19
Componentes utilizados ........................................................................................................ 19
Convenciones ......................................................................................................................... 19
Actualizacin del sensor ........................................................................................................ 20
Informacin general................................................................................................................ 20
Opciones y comando de actualizacin................................................................................ 21
Uso del comando de actualizacin ...................................................................................... 22
Uso del comando de actualizacin automtica ................................................................. 24
Nueva imagen del sensor...................................................................................................... 27
Conclusin ..................................................................................................................... 28
Bibliografa ..................................................................................................................... 29
7/22/2019 IPS IDS Seguridad de la informacin
3/30
Introduccin
En los 80 comenzaron los primeros desarrollos de programas que monitorizaban el
uso de sistemas y redes. En los ltimos aos se ha producido un avance muy grande enesta rea, y la mayora de las empresas dedicadas a la seguridad ofrecen productos para
la deteccin de intrusiones.
Nuevas tecnologas adicionan complejidad, y el nmero y tipo de aplicaciones y
sistemas en una red no para de crecer. El riesgo de la seguridad de la informacin se
multiplica en nmero y escala en conformidad con la sofisticacin de los ataques.
El flujo de funcionarios en una empresa aumenta constantemente, los clientes y
aliados estratgicos exigen cada vez ms acceso en tiempo real a aplicaciones, bases dedatos y sistemas, forzando ms las barreras de un ambiente seguro.
Sistemas de deteccin y prevencin de intrusos (IDS e IPS) estn constantemente
vigilando, e incorporan mecanismos de anlisis de trfico y de anlisis de sucesos en
sistemas operativos y aplicaciones que les permiten detectar intrusiones en tiempo real.
Un IDS puede ser un dispositivo hardware auto contenido con una o varias
interfaces, que se conecta a una o varias redes; o bien una aplicacin que se ejecuta en
una o varias mquinas y analiza el trfico de red que sus interfaces ven y/o los eventosgenerados por el sistema operativo y las aplicaciones locales.
Para hablar sobre deteccin de intrusiones hay que definir qu entendemos por
intrusin. Las intrusiones se definen en relacin a una poltica de seguridad: una intrusin
es una violacin de la poltica de seguridad establecida. A menos que se conozca qu
est permitido en un sistema y qu no, no tiene sentido hablar de deteccin intrusiones.
De manera ms concisa se puede definir una intrusin como un conjunto de
acciones deliberadas dirigidas a comprometer la integridad (manipular informacin),confidencialidad (acceder ilegtimamente a informacin) o disponibilidad de un recurso
(perjudicar o imposibilitar el funcionamiento de un sistema).
7/22/2019 IPS IDS Seguridad de la informacin
4/30
Contenido
Sistemas de deteccin y prevencin de intrusos (IDS e IPS)
El trmino IDS (Sistema de deteccin de intrusiones) hace referencia a un
mecanismo que, sigilosamente, escucha el trfico en la red para detectar actividades
anormales o sospechosas, y de este modo, reducir el riesgo de intrusin.
Existen dos claras familias importantes de IDS:
El grupo N-IDS (Sistema de deteccin de intrusiones de red), que garantiza la
seguridad dentro de la red.
El grupo H-IDS(Sistema de deteccin de intrusiones en el host), que garantiza laseguridad en el host.
Un N-IDS necesita un hardware exclusivo. ste forma un sistema que puede
verificar paquetes de informacin que viajan por una o ms lneas de la red para descubrir
si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o ms de los
adaptadores de red exclusivos del sistema en modo promiscuo. ste es una especie de
modo "invisible" en el que no tienen direccin IP. Tampoco tienen una serie de protocolos
asignados. Es comn encontrar diversos IDS en diferentes partes de la red. Por lo
general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como
tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs
del firewall o que se han realizado desde dentro.
7/22/2019 IPS IDS Seguridad de la informacin
5/30
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre unaamplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS acta como un daemon o servicio estndar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la informacin particular almacenada en registros
(como registros de sistema, mensajes, lastlogs y wtmp) y tambin captura paquetes de la
red que se introducen/salen del host para poder verificar las seales de intrusin (como
ataques por denegacin de servicio, puertas traseras, troyanos, intentos de acceso no
autorizado, ejecucin de cdigos malignos o ataques de desbordamiento de bfer).
Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es
un software que ejerce el control de acceso en una red informtica para proteger a los
sistemas computacionales de ataques y abusos. La tecnologa de prevencin de intrusos
es considerada por algunos como una extensin de los sistemas de deteccin de
intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las
tecnologas cortafuegos.
7/22/2019 IPS IDS Seguridad de la informacin
6/30
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon
para resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al
situar sistemas de detecciones en la va del trfico. Los IPS presentan una mejora
importante sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de
control de acceso basados en los contenidos del trfico, en lugar de direcciones IP o
puertos. Tiempo despus, algunos IPS fueron comercializados por la empresa OneSecure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue
adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de
los sistemas IDS, continan en relacin.
Tambin es importante destacar que los IPS pueden actuar al nivel de equipo,
para combatir actividades potencialmente maliciosas.
Caractersticas de IDS
El trfico en la red (en todo caso, en Internet) generalmente est compuesto
por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a travs
de las conexiones fsicas a las que est sujeto. Un N-IDS contiene una lista TCP/IP que
7/22/2019 IPS IDS Seguridad de la informacin
7/30
se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes
tcnicas para detectar intrusiones:
Verificacin de la lista de protocolos: Algunas formas de intrusin, como "Ping de
la muerte" y "escaneo silencioso TCP" utilizan violaciones de los
protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificacin del
protocolo puede revelar paquetes no vlidos e indicar esta tctica comnmente utilizada.
Verificacin de los protocolos de la capa de aplicacin: Algunas formas de
intrusin emplean comportamientos de protocolos no vlidos, como "WinNuke", que utiliza
datos NetBIOS no vlidos (al agregar datos fuera de la banda). Para detectar eficazmente
estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos
de la capa de aplicacin, como NetBIOS, TCP/IP, etc.
Esta tcnica es rpida (el N-IDS no necesita examinar la base de datos de firmas
en su totalidad para secuencias de bytes particulares) y es tambin ms eficiente, ya que
elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede
diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (altopeligro).
Reconocimiento de ataques de "comparacin de patrones": Esta tcnica de
reconocimiento de intrusin es el mtodo ms antiguo de anlisis N-IDS y todava es de
uso frecuente.
7/22/2019 IPS IDS Seguridad de la informacin
8/30
Consiste en la identificacin de una intrusin al examinar un paquete y reconocer,
dentro de una serie de bytes, la secuencia que corresponde a una firma especfica. Por
ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar
provecho de un defecto del script CGI "phf". Este mtodo tambin se utiliza como
complemento de los filtros en direcciones IP, en destinatarios utilizados por conexiones ypuertos de origen y/o destino. Este mtodo de reconocimiento tambin se puede refinar si
se combina con una sucesin o combinacin de indicadores TCP.
Esta tctica est difundida por los grupos N-IDS "Network Grep", que se basan en
la captura de paquetes originales dentro de una conexin supervisada y en su posterior
comparacin al utilizar un analizador de "expresiones regulares". ste intentar hacer
coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete
capturado.
Caractersticas de IPS
Un sistema de prevencin de intrusos, al igual que un Sistema de Deteccin de
Intrusos, funciona por medio de mdulos, pero la diferencia es que este ltimo alerta al
administrador ante la deteccin de un posible intruso (usuario que activ algn Sensor),
mientras que un Sistema de Prevencin de Intrusos establece polticas de seguridad para
proteger el equipo o la red de un ataque; se podra decir que un IPS protege al equipo
proactivamente y un IDS lo protege reactivamente.
Los IPS se categorizan en la forma que detectan el trfico malicioso:
Deteccin basada en firmas: como lo hace un antivirus.
Deteccin basada en polticas: el IPS requiere que se declaren muy
especficamente las polticas de seguridad.
Deteccin basada en anomalas: en funcin con el patrn de comportamiento
normal de trfico.
Deteccin honey pot (jarra de miel): funciona usando un equipo que se configura
para que llame la atencin de los hackers.
Deteccin basada en firmas
7/22/2019 IPS IDS Seguridad de la informacin
9/30
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en
cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los
servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar
utilizando un cierto patrn de cadenas que pueda identificar ataques al servidor web. Sin
embargo, como este tipo de deteccin funciona parecido a un antivirus, el administrador
debe verificar que las firmas estn constantemente actualizadas.
Deteccin basada en polticas
En este tipo de deteccin, el IPS requiere que se declaren muy especficamente
las polticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin
con determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo descarta.
Deteccin basada en anomalas
Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es
sumamente difcil determinar y medir una condicin normal. En este tipo de deteccintenemos dos opciones:
Deteccin estadstica de anormalidades: El IPS analiza el trfico de red por un
determinado periodo de tiempo y crea una lnea base de comparacin. Cuando el trfico
vara demasiado con respecto a la lnea base de comportamiento, se genera una alarma.
7/22/2019 IPS IDS Seguridad de la informacin
10/30
Deteccin no estadstica de anormalidades: En este tipo de deteccin, es el
administrador quien define el patrn normal de trfico. Sin embargo, debido a que con
este enfoque no se realiza un anlisis dinmico y real del uso de la red, es susceptible a
generar muchos falsos positivos.
Deteccin honey pot (jarra de miel)
Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda
lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de
ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se
puede monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa
forma implementar polticas de seguridad acordes en nuestros sistemas de uso real.
7/22/2019 IPS IDS Seguridad de la informacin
11/30
Red IDS / IPS para la deteccin de amenazas WLAN y Mitigacin
Ventajas y desventajas de IDS
Ventajas:
o Puede rastrear cada paso de un ataque de No se puede ser fcilmenteeludido
o La ventaja principal de esta tcnica radica en la facilidad de actualizacin y
tambin en la gran cantidad de firmas que se encuentran en la base N-IDS.
Sin embargo, cantidad no siempre significa calidad. Por ejemplo, los 8
bytes CE63D1D2 16E713CF, cuando se colocan al inicio de una
transferencia de datos UDP, indican un trfico Back Orifice con una
contrasea predeterminada. Aunque el 80% de las intrusiones utilicen la
contrasea predeterminada, el 20% utilizarn contraseas personalizadas yno sern necesariamente reconocidas por el N-IDS. Por ejemplo, si la
contrasea se cambia a "evadir", la serie de bytes se convertir en
"8E42A52C 0666BC4A", lo que automticamente la proteger de que el N-
IDS la capture. Adems, la tcnica inevitablemente conducir a un gran
nmero de falsas alarmas y falsos positivos.
7/22/2019 IPS IDS Seguridad de la informacin
12/30
Desventajas:
o No se puede bloquear el trfico de intrusos Slo tan fuerte como su base de
datos de la firma Posibilidad de falsas alarmas Establecer puede requerir un
cierto nivel de conocimiento de configuracin y de seguridad
Ventajas y desventajas de IPS
Ventajas
o Los IPS combinan mltiples funcionalidades, como firewall, IDS, inspeccin
statefull y deteccin de anomalas de protocolo, antivirus, valoracin de
vulnerabilidades, filtrado de contenidos, etc. De esta forma, consiguen proteger
automticamente de los ataques antes de que hayan impactado en la red,
poniendo el nfasis en la prevencin y en la automatizacin.
o Capacitados para analizar los protocolos de aplicacin individuales -como HTTP
para aplicaciones Web, SMTP para el correo electrnico o DNS para el hosting-,
estos IPS aseguran que slo los tipos de trfico y las peticiones con los protocolos
adecuados pasan a cada servidor. En general, todas estas capacidades cobran
una especial importancia teniendo en cuenta que la ms reciente generacin de
ataques DoS, as como las infecciones de spyware y malware estn diseados
para burlar los cortafuegos y explotar las brechas de seguridad en el nivel de las
aplicaciones. A estas ventajas se aade la capacidad para actuar de forma
coordinada con mecanismos de autenticacin basada en directorios sobre
servidores de polticas y servidores LDAP (Leightweigh Directory Access Protocol).
Desventajas
o De acuerdo a las tecnologas o mtodos utilizadas para detectar las intrusiones.
Se pueden identificar:
o Los basados en firmas de ataques. Los utilizan los NIDS que emplean firmas de
ataque pre-identificadas.
7/22/2019 IPS IDS Seguridad de la informacin
13/30
o Uso indebido del protocolo del sistema. Monitorizan las desviaciones del protocolo
normal. Este mtodo es til para detectar intentos por parte de un usuario o
aplicacin de intentar ganar acceso no autorizado a un sistema.
Ejemplos de IDS e IPS
Sourcefire Defense Center
Gestione la seguridad de su red con una interfaz poderosa y fcil de usar.
El Defense Center es el sistema nervioso del suite Sourcefire 3D. Consiste en una
interfaz grfica poderosa y bastante fcil de usar, donde se agregan y supervisan los
eventos de seguridad y compliance, generando informes y distribuyendo configuraciones
a travs de toda la arquitectura Sourcefire. La consola es accedida por cualquier
navegador y posee un visual de portal con widgets personalizables con caractersticas
de drag and drop. Existen configuraciones previas en que informaciones crticas son
dispuestas en forma de tablas y grficos. Adems de la facilidad de visualizacin de
informaciones crticas al negocio de la empresa, existen configuraciones avanzadas como
acceso de usuarios personalizado y granular y, funcin de circulacin por las principales
funcionalidades de forma peridica, muy til para monitores de un SOC, por ejemplo. Es
posible tallar el dashboard para atender de forma ms precisa las necesidades
especficas de cualquier negocio.
Defensa de red centralizada: Agregue y supervise
Toda la comunicacin que existe entre los sensores y
el DC es hecha de una manera segura y cifrada, permitiendo
que el almacenaje y el anlisis se den de forma centralizada.
La consola de gestin correlaciona, en tiempo real, los
ataques con las vulnerabilidades de red y, de forma inteligente, clasifica el incidente de
acuerdo a su relevancia y severidad de ataque. Esto permite que el equipo de TI se
preocupe con lo que de hecho es relevante, ahorrando tiempo y energa. El nmero de
falso positivos es reducido en hasta 99%.
7/22/2019 IPS IDS Seguridad de la informacin
14/30
Alertas e Informes Personalizados
Con el Defense Center es posible trabajar
con una gama de informes y alertas personalizados.
Los usuarios pueden escoger entre una variedad de
informes predefinidos o crear algo totalmente moldeado a sus necesidades. Los informes,
adems, pueden ser exportados en PDF, HTML y CSV, mientras que los alertas pueden
ser disparados por Syslog, email y SNMP.
Configuraciones Centralizadas
Con el Defense Center, es posible tener control total
de las configuraciones de hasta 100 sensores a partir de unanica consola de gestin. Todas las configuraciones ganan
una forma centralizada para edicin, aplicacin y backup.
Otras funcionalidades que ayudan bastante al administrador de la herramienta son: la
opcin de comparar dos polticas lado a lado; la fcil navegacin en la base de reglas y; el
proceso detallado de creacin de una nueva poltica de configuraciones.
Escalabilidad Sin Lmites
Para grandes corporaciones con una necesidad
superior a 100 sensores, es posible usar un Defense Center
3000 como gestor de otros 10 defense centers, aumentando
el nmero de sensores abajo de un punto nico de gestin
de centenas.
Integracin con Otros Dispositivos
Sourcefire ofrece muchas posibilidades de integracin con otros dispositivos de
otros fabricantes. Es posible exportar los eventos a un correlacionador de eventos a
travs de la herramienta eStreamer. Otra posibilidad es la integracin con equipos
Cisco y Checkpoint para crear remediaciones en tiempo real para problemas inherentes.
7/22/2019 IPS IDS Seguridad de la informacin
15/30
Finalmente, es posible trabajar con el scan de vulnerabilidades Qualys para obtener un
resultado an ms apurado de las vulnerabilidades de la red.
Symantec Critical System Protection
Las organizaciones lderes utilizan Symantec Critical System Protection para
proteger los datacenters de datos fsicos y virtuales. Mediante funciones de deteccin
(HIDS) y prevencin de intrusiones (HIPS) basadas en host, Symantec ofrece una
solucin integral comprobada para la seguridad de los servidores. Obtenga proteccin
total para VMware vSphere, detenga los ataques dirigidos y de da cero, y consiga
visibilidad en tiempo real y control del cumplimiento de polticas con Symantec Critical
System Protection.
Supervisin de la integridad de archivos: identifique cambios en los archivos en
tiempo real, incluyendo quin los implement y qu se modific en el archivo.
Supervisin de la configuracin: identifique infracciones de polticas,
administradores sospechosos o actividad de intrusos en tiempo real.
Poltica de prevencin orientada: responda de manera inmediata a intromisiones o
riesgos para el servidor con polticas de refuerzo que pueden personalizarse
rpidamente.
Polticas granulares de prevencin de intrusiones: protjase contra las amenazas
de da cero y restrinja el comportamiento de las aplicaciones aprobadas, incluso
despus de que se haya autorizado su ejecucin con controles de acceso de
privilegio mnimo.
Bloqueo de administracin, sistemas y archivos: refuerce los servidores fsicos y
virtuales para maximizar el tiempo en servicio del sistema y evitar los costos
continuos del soporte para los sistemas operativos antiguos.
Amplia compatibilidad con plataformas fsicas: supervise y proteja las plataformas
basadas en Windows, y las que no estn basadas en Windows, incluidas Solaris,
Linux, AIX, HP-UX. Adems, utilice los agentes virtuales para las plataformas
menos comunes e incompatibles.
Proteja y supervise vSphere: al aprovechar las polticas listas para usar de
acuerdo con las pautas ms recientes de implementacin de mejoras de seguridad
7/22/2019 IPS IDS Seguridad de la informacin
16/30
de vSphere, las organizaciones pueden proteger por completo su entorno en el
servidor de administracin, el hipervisor y el invitado.
Administracin centralizada: simplifique la administracin de sistemas
heterogneos con visibilidad en tiempo real de funciones de elaboracin de
informes grficos y eventos. Integracin con soluciones SIEM y GRC de TI: integracin compatible con
Symantec Control Compliance Suite para la evaluacin y supervisin unificadas de
la infraestructura y la informacin, as como con Symantec Security Information
Manager para la administracin y la correlacin avanzadas de incidentes.
Beneficios clave
o Alcance la proteccin total para vSphere mediante el uso de polticas listas para
usar de acuerdo con las pautas ms recientes de implementacin de mejoras deseguridad de vSphere.
o Detenga los ataques de da cero y dirigidos en servidores con polticas de
prevencin dirigidas.
o Visibilidad en tiempo real y control del cumplimiento de polticas en una sola
solucin de supervisin y prevencin en tiempo real.
Snort
IDS/IPS (Intrusion Detection System/Intrusion
Prevention System) por medio de la herramienta OpenSource
Snort. Es un potente IDS/IPS (Intrusion Detection
System/Intrusion Prevention System) que se ha convertido en
un estndar en el campo de la seguridad de sistemas
informticos. Es una herramienta que utiliza una filosofa muy
similar a IPTables, ya que utiliza reglas sobre los paquetes que
viajan en una red, sin embargo, dependiendo del modo de
ejecucin va un poco mas all, permitiendo tomar decisiones
sobre la informacin intercambiada y la deteccin de posibles
ataques sobre peticiones que aunque aparentemente son
legitimas, pueden encajar en algn patrn de ataque.
7/22/2019 IPS IDS Seguridad de la informacin
17/30
Diferencias entre IDS e IPS
El IPS es un sistema de prevencin/proteccin para defenderse de las intrusiones
y no slo para reconocerlas e informar sobre ellas, como hacen la mayora de los IDS.
Existen dos caractersticas principales que distinguen a un IDS (de red) de un IPS (de
red):
El IPS se sita en lnea dentro de la red IPS y no slo escucha pasivamente a la
red como un IDS (tradicionalmente colocado como un rastreador de puertos en la red).
Un IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar
el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa
que el IPS puede filtrar y bloquear paquetes en modo nativo (al utilizar tcnicas como la
7/22/2019 IPS IDS Seguridad de la informacin
18/30
cada de una conexin, la cada de paquetes ofensivos o el bloqueo de un intruso).
Cisco Unified Wireless e IPS Modos de implementacin.
Estndares asociados a los IDS/IPS
Dos estndares utilizados en IDS/IPS son: (1) IDMEF (Intrusion Detection
Message Exchange Format) del IETF. El objetivo del IDWG (Intrusion Detection Working
Group) es definir el formato de datos, definir el procedimiento de intercambio y especificar
un lenguaje de intrusin comn. El IDMEF es un formato de datos estndar e
interoperable que utiliza XML. Los tpicos despliegues son las comunicaciones entre
sensor y gestor, el almacenamiento en la base de datos, la interaccin con la consola
centralizada y el sistema de correlacin de eventos. (2) CVE (Common Vulnerabilities and
Exposures). Posibilita la interoperabilidad entre herramientas. Un ejemplo de
nomenclatura es CVE-2000-0809, se trata de una entrada a la lista CVE que estandariza
un problema de seguridad, en este caso un buffer overflow en la herramienta VPN-
1/Firewall-1 v4.1 de CheckPoint.
Ejemplo de configuracin de la actualizacin de IDS 4.1 a IPS 5.0
7/22/2019 IPS IDS Seguridad de la informacin
19/30
A continuacin se describe cmo actualizar el software Cisco Intrusion Detection Sensor
(IDS) de la versin 4.1 a Cisco Intrusion Prevention System (IPS) 5.0.
Nota: desde la versin 5.x y posteriores, Cisco IPS sustituye a Cisco IDS, que se aplica
hasta la versin 4.1.
Para obtener ms informacin sobre cmo recuperar el dispositivo Cisco Secure IDS
(anteriormente NetRanger) y los mdulos para las versiones 3.x y 4.x, consulte Password
Recovery Procedure for the Cisco IDS Sensor and IDS Services Modules (IDSM-1, IDSM-
2) (Procedimiento de recuperacin de contrasea para el sensor IDS y los mdulos de
servicios IDS (IDSM-1, IDSM-2) de Cisco).
Requisitos previos
Para poder llevar a cabo la actualizacin a la versin 5.0, se requiere como mnimo la
4.1(1).
Componentes utilizados
La informacin del documento se basa en el hardware Cisco IDS serie 4200 que ejecuta
la versin 4.1 del software (que se actualizar a la 5.0).
La informacin que contiene este documento se cre a partir de los dispositivos en un
ambiente de laboratorio especfico. Todos los dispositivos que se utilizan en este
documento se pusieron en funcionamiento con una configuracin despejada
(predeterminada). Si la red est en produccin, asegrese de comprender el impacto que
pueda tener cualquier comando.
Convenciones
Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos tcnicos de
Cisco) para obtener ms informacin sobre las convenciones del documento.
Configuracin
La descarga de la actualizacin de Cisco 4.1 a 5.0 est disponible en Cisco.com.
Consulte Obtaining Cisco IPS Software (Obtencin del software Cisco IPS) para obtener
7/22/2019 IPS IDS Seguridad de la informacin
20/30
informacin sobre el procedimiento utilizado para acceder a las descargas del software
IPS en Cisco.com.
Para llevar a cabo la actualizacin puede utilizar cualquiera de los mtodos indicados a
continuacin:
Una vez descargado el archivo de la actualizacin 5.0, consulte el archivo Readme para
obtener informacin sobre su instalacin con el comandoupgrade. Consulte la
seccin Uso del comando de actualizacin de este documento para obtener ms
informacin.
Si configur la opcin de actualizacin automtica para el sensor, copie el archivo de la
actualizacin 5.0 en el directorio del servidor donde el sensor busca las actualizaciones.
Consulte la seccin de este documento Uso del comando de actualizacin
automtica para obtener ms informacin.
Si instala una actualizacin en el sensor y ste no se puede utilizar tras su reinicio, debe
rehacer la imagen del sensor. La actualizacin de un sensor desde cualquier versin de
Cisco IDS anterior a la 4.1 tambin requiere el uso del comando recover o del CD de
actualizacin/recuperacin. Consulte la seccin de este documento Nueva imagen del
sensor para obtener ms informacin.
Actualizacin del sensor
En estas secciones se explica cmo utilizar el comando upgrade para actualizar el
software del sensor:
Informacin general
El sensor se puede actualizar con los siguientes archivos, todos ellos con extensin .pkg:
Actualizaciones de firma; por ejemplo, IPS-sig-S150-minreq-5.0-1.pkg
Actualizaciones principales; por ejemplo, IPS-K9-maj-6.0-1-pkg
Actualizaciones normales; por ejemplo, IPS-K9-min-5.1-1.pkg
Actualizaciones de service pack; por ejemplo, IPS-K9-sp-5.0-2.pkg
7/22/2019 IPS IDS Seguridad de la informacin
21/30
Actualizaciones de particiones de recuperacin; por ejemplo, IPS-K9-r-1.1-a-5.0-1.pkg
Con la actualizacin del sensor se cambia su versin de software.
Opciones y comando de actualizacin
Utilice el comando auto-upgrade-option enabled en el submodo de host de servicio para
configurar las actualizaciones automticas.
Se aplican las siguientes opciones:
default: vuelve a establecer el valor en la configuracin predeterminada del sistema.
directory: directorio donde se ubican los archivos de actualizacin en el servidor de
archivos.
file-copy-protocol: protocolo de copia de archivos utilizado para descargar archivos del
servidor. Los valores vlidos son ftp o scp.
Nota: si usa SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista
de hosts conocidos por SSH, para que el sensor se pueda comunicar con l mediante
SSH. Consulte Adding Hosts to the Known Hosts List (Adicin de hosts a la lista de hosts
conocidos) para obtener informacin sobre el procedimiento.
ip-address: direccin IP del servidor de archivos.
password: contrasea de usuario para la autenticacin en el servidor de archivos.
schedule-option: programa el momento en que se producen las actualizaciones
automticas. La programacin de calendario inicia las actualizaciones en horas
especficas de das concretos. La programacin peridica comienza las actualizaciones
en intervalos peridicos especficos.
calendar-schedule: configura los das de la semana y las horas del da en que se llevan a
cabo las actualizaciones automticas.
days-of-week: das de la semana en los que se llevan a cabo actualizaciones automticas.
Se pueden seleccionar varios das. Los valores vlidos son de domingo a sbado.
no: elimina una seleccin o entrada.
7/22/2019 IPS IDS Seguridad de la informacin
22/30
times-of-day: horas del da en las que comienzan las actualizaciones automticas. Se
pueden seleccionar varias horas. El valor vlido se expresa como hh:mm[:ss].
periodic-schedule: configura la hora en la que se debe realizar la primera actualizacin
automtica y cunto tiempo se debe esperar entre sucesivas actualizaciones.
interval: nmero de horas que se debe esperar entre actualizaciones automticas. Los
valores vlidos se encuentran entre 0 y 8760.
start-time: hora del da en la que se inicia la primera actualizacin automtica. El valor
vlido se expresa como hh:mm[:ss].
user-name: nombre de usuario para la autenticacin en el servidor de archivos.
Uso del comando de actualizacin
Complete los siguientes pasos para actualizar el sensor:
Descargue el archivo de actualizacin principal (IPS-K9-maj-5.0-1-S149.rpm.pkg) a un
servidor FTP, SCP, HTTP o HTTPS al que pueda acceder el sensor.
Consulte Obtaining Cisco IPS Software (Obtencin del software Cisco IPS) para obtener
informacin sobre cmo localizar software en Cisco.com.
Nota: para poder descargar el archivo, se debe iniciar sesin en Cisco.com con unacuenta con privilegios criptogrficos. No cambie el nombre del archivo. Debe conservar el
nombre original para que el sensor pueda aceptar la actualizacin.
Inicie sesin en CLI con una cuenta que tenga privilegios de administrador.
Indique el modo de configuracin:
sensor#configure terminal
Actualice el sensor:
sensor(config)#upgrade scp://@//upgrade/
7/22/2019 IPS IDS Seguridad de la informacin
23/30
Ejemplo:
Nota: este comando se muestra en dos lneas debido a limitaciones de espacio.
sensor(config)#upgrade scp://tester@10.1.1.1//upgrade/
IPS-K9-maj-5.0-1-S149.rpm.pkg
Introduzca la contrasea cuando se le solicite:
Enter password: ********
Re-enter password: ********
Escriba yes para completar la actualizacin.
Nota: las actualizaciones principales, normales y de service pack pueden requerir un
reinicio de los procesos de IPS o incluso un reinicio del sensor para finalizar la instalacin.
Por lo tanto, se produce una interrupcin del servicio de dos minutos como mnimo. Sin
embargo, para las actualizaciones de firma no es necesario reiniciar una vez realizada la
actualizacin. Consulte la pgina de descargas de actualizaciones de firma (slo para
clientes registrados) para obtener las actualizaciones ms recientes.
Compruebe la nueva versin del sensor:
sensor#show version
Application Partition:
Cisco Intrusion Prevention System, Version 5.0(1)S149.0
OS Version 2.4.26-IDS-smp-bigphys
Platform: ASA-SSM-20
Serial Number: 021
No license present
Sensor up-time is 5 days.
7/22/2019 IPS IDS Seguridad de la informacin
24/30
Using 490110976 out of 1984704512 bytes of available memory (24% usage)
system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
application-data is using 37.7M out of 166.6M bytes of
available disk space (24 usage)
boot is using 40.5M out of 68.5M bytes of available disk space (62% usage)
MainApp 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running
AnalysisEngine 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600 Running
CLI 2005_Mar_04_14.23 (Release) 2005-03-04T14:35:11-0600
Upgrade History:
IDS-K9-maj-5.0-1- 14:16:00 UTC Thu Mar 04 2004
Recovery Partition Version 1.1 - 5.0(1)S149
sensor#
Uso del comando de actualizacin automtica
Consulte la seccin Opciones y comando de actualizacin de este documento para
obtener ms informacin sobre los comandos auto-update.
Realice los siguientes pasos para programar actualizaciones automticas:
Inicie sesin en CLI con una cuenta que tenga privilegios de administrador.
Configure el sensor para que busque automticamente las nuevas actualizaciones en su
directorio de actualizacin.
sensor#configure terminal
sensor(config)#service host
sensor(config-hos)#auto-upgrade-option enabled
7/22/2019 IPS IDS Seguridad de la informacin
25/30
Especifique la programacin:
Para la programacin de calendario, que inicia las actualizaciones en horas especficas de
das concretos:
sensor(config-hos-ena)#schedule-option calendar-schedule
sensor(config-hos-ena-cal#days-of-week sunday
sensor(config-hos-ena-cal#times-of-day 12:00:00
Para la programacin peridica, que comienza las actualizaciones en intervalos
peridicos especficos:
sensor(config-hos-ena)#schedule-option periodic-schedule
sensor(config-hos-ena-per)#interval 24
sensor(config-hos-ena-per)#start-time 13:00:00
Especifique la direccin IP del servidor de archivos:
sensor(config-hos-ena-per)#exit
sensor(config-hos-ena)#ip-address 10.1.1.1
Indique el directorio donde se ubican los archivos de actualizacin en el servidor de
archivos:
sensor(config-hos-ena)#directory /tftpboot/update/5.0_dummy_updates
Especifique el nombre de usuario para la autenticacin en el servidor de archivos:
sensor(config-hos-ena)#user-name tester
7/22/2019 IPS IDS Seguridad de la informacin
26/30
Indique la contrasea del usuario:
sensor(config-hos-ena)#password
Enter password[]: ******
Re-enter password: ******
Especifique el protocolo del servidor de archivos:
sensor(config-hos-ena)#file-copy-protocol ftp
Nota:si usa SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista
de hosts conocidos por SSH, para que el sensor se pueda comunicar con l mediante
SSH. Consulte Adding Hosts to the Known Hosts List (Adicin de hosts a la lista de hosts
conocidos) para obtener informacin sobre el procedimiento.
Compruebe la configuracin:
sensor(config-hos-ena)#show settingsenabled-----------------------------------------------schedule-option-----------------------------------------------periodic-schedule-----------------------------------------------start-time: 13:00:00interval: 24 hours-----------------------------------------------
ip-address: 10.1.1.1directory: /tftpboot/update/5.0_dummy_updatesuser-name: testerpassword: file-copy-protocol: ftp default: scp-----------------------------------------------sensor(config-hos-ena)#Salga del submodo de actualizacin automtica:sensor(config-hos-ena)#exit
7/22/2019 IPS IDS Seguridad de la informacin
27/30
sensor(config-hos)#exitApply Changes:?[yes]:
Pulse Enter para aplicar los cambios o escriba no para descartarlos.
Nueva imagen del sensor
La imagen del sensor se puede rehacer de las siguientes maneras:
Para dispositivos IDS con una unidad de CD-ROM, utilice el CD de
actualizacin/recuperacin.
Para todos los sensores, utilice el comando recover.
Para IDS-4215, IPS-4240 e IPS 4255, utilice ROMMON para restaurar la imagen del
sistema.
Para NM-CIDS, utilice el cargador de inicializacin.
Para IDSM-2, rehaga la imagen de la particin de la aplicacin desde la particin de
mantenimiento.
Para ASA-SSM, rehaga la imagen a partir de ASA con el comando hw-module module 1
recover [configure | boot].
Para obtener informacin sobre el procedimiento, consulte la seccin Installing the ASA-SSM System Image (Instalacin de la imagen del sistema ASA-SSM) de Configuring the
Cisco Intrusion Prevention System Sensor Using the Command Line Interface
5.0 (Configuracin del sensor Cisco Intrusion Prevention System utilizando la interfaz de
lnea de comandos 5.0).
7/22/2019 IPS IDS Seguridad de la informacin
28/30
Conclusin
En la prensa especializada, cada vez resuena ms el trmino IPS (Sistema de prevencin
de intrusiones) que viene a sustituir al IDS "tradicional" o para hacer una distincin entreellos.
Un IDS/IPS monitoriza y detecta comportamientos maliciosos e identifica patrones
sospechosos que pueden comprometer la seguridad de la red/sistema de computacin. El
IDS es un sistema pasivo, detecta una brecha potencial de seguridad, registra la
informacin y seala una alerta. El IPS es un sistema tanto reactivo, respondiendo a la
actividad sospechosa reconfigurando los firewall para bloquear el trfico de red o
eliminando trfico de la red como proactivo tomando medidas con anticipacin en base a
indicios detectados.
Algunas razones de la necesidad de los IDS/IPS son hacer frente a las prdidas de
propiedad intelectual, de integridad de datos, de control de procesos, al espionaje
industrial, etc. posibilitan el registro de secuencias de eventos
7/22/2019 IPS IDS Seguridad de la informacin
29/30
Bibliografa
Areitio, J. and Areitio, G. Identificacin, anlisis y defensas en torno al malware o cdigomalicioso. Revista Conectrnica. N 107. Mayo 2007.
-Areitio, J. Identificacin y anlisis en torno a las tecnologas de autenticacin deusuarios. Revista Conectrnica. N 106. Abril 2007.
Areitio, J. Integracin slida entre la gestin de incidentes y el anlisis forense deseguridad de la informacin. Revista Conectrnica. N 103. Enero 2007.
Areitio, J. Necesidad de complementar los firewall: sistemas de deteccin-prevencin deintrusiones y valoracin de vulnerabilidades. Revista Conectrnica. N 101. Octubre
2006.
Areitio, J. Seguridad de la Informacin: Redes, Informtica y Sistemas de Informacin.Cengage Learning Paraninfo. 2008.
Cox, K. and Gerg, C. Managing Security with Snort and IDS Tools. OReilly Media, Inc.Sebastopol, CA. 2004.
Beale, J., Baker, A. and Esler, J. Snort IDS and IPS Toolkit. Syngress Publishing, Inc.Rockland, MA. 2007.
Provos, N. and Holz, T. Virtual Honeypots: From Botnets Tracking to Intrusion Detection.Addison-Wesley. Upper Saddle River. NJ. 2008.
Huang, C-T. and Gouda, M.G. Hop Integrity: A Defence Against Denial-of-ServiceAttacks. Springer. 2005.
Snort, http://www.snort.org. Herramienta open source del tipo NIDS creada por MartinRoesch, fundador de la compaa de productos de seguridad Sourcefire.
Nmap, http://insecure.org/nmap/. Herramienta de exploracin de puertos para pruebas deintrusin e identificacin de servicios.
Sitio Web CVE que clasifica las vulnerabilidades existentes, http://cve.mitre.org/cve.Herramienta.
7/22/2019 IPS IDS Seguridad de la informacin
30/30
Kasabov, N. Foundations of Neural Networks, Fuzzy Systems and KnowledgeEngineering. MIP Press. Cambridge. MA. 1998.
Manikopoulos, C.N. Intrusion Detection and Network Security: Statistical Anomaly
Approaches. CRC. 2008.
Di Pietro, R. and Mancini, L.V. Intrusion Detection Systems. Springer. 2008.
Flegel, U. Privacy-Respecting Intrusion Detection. Springer. 2007.