Trabajando juntos, una alianza por la seguridad

 hola muy buenas  tardes, días u noches el dia  de  hoy  vamos a  verificar  algunas opciones para dar mejor seguridad 

  ¿ Que es un IDS?                                                            

IDS (Intrusion Detection System) o sistema de detección de intrusiones: es una aplicación usada para detectar accesos no autorizados a un ordenador o a una red, es decir, son sistemas que monitorizan el tráfico entrante y lo cotejan con una base de datos actualizada de firmas de ataque conocidas. Ante cualquier actividad sospechosa, emiten una alerta a los administradores del sistema quienes han de tomar las medidas oportunas. Estos accesos pueden ser ataques esporádicos realizados por usuarios malintencionados o repetidos cada cierto tiempo, lanzados con herramientas automáticas. Estos sistemas sólo detectan los accesos sospechosos emitiendo alertas anticipatorias de posibles intrusiones, pero no tratan de mitigar la intrusión. Su actuación es reactiva. 

Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

 El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Tipos de IDS                                                                

Existen dos tipos de sistemas de detección de intrusos:

 HIDS (HostIDS): (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red, el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.


NIDS (NetworkIDS): (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host, un IDS basado en red, detectando ataques a todo el segmento de la red. Su [[interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.


¿Qué hacen los IDS?                                            

Los principales métodos utilizados por N-IDS para informar y bloquear intrusiones son:

 Reconfiguración de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y así poder bloquear una intrusión. Esta reconfiguración es posible a través del envío de datos que expliquen la alerta (en el encabezado del paquete).

Envío de una trampa SNMP a un hipervisor externo: Envío de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa como HP Open View Tivoli, Cabletron, Spectrum, etc.

Envío de un correo electrónico a uno o más usuarios: Envío de un correo electrónico a uno o más buzones de correo para informar sobre una intrusión seria.

Registro del ataque: Se guardan los detalles de la alerta en una base de datos central, incluyendo información como el registro de fecha, la dirección IP del intruso, la dirección IP del destino, el protocolo utilizado y la carga útil.

Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta.

Apertura de una aplicación: Se lanza un programa externo que realice una acción específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora).

Envío de un "ResetKill": Se construye un paquete de alerta TCP para forzar la finalización de una conexión (sólo válido para técnicas de intrusión que utilizan el protocolo de transporte TCP).

Notificación visual de una alerta: Se muestra una alerta en una o más de las consolas de administración.

 

Sensores Cisco IPS de la serie 4200                

 NOTA: Este producto ya no se vende

 bueno ahora  a continuación se muestra lo que se podia  realizar con ese equipo que como se explica  hace

se podía detectar  amenazas a la propiedad intelectual y los datos del cliente, con inspección modular en toda la red.

se podia detener  a los atacantes sofisticados detectando anomalías de comportamiento, evasión y ataques contra vulnerabilidades.

servía para prevenir amenazas con confianza utilizando el conjunto de acciones de prevención de amenazas más completo de la industria.

se podía enfocar  la respuesta con calificaciones de amenazas dinámicas y registro detallado

Rendimiento y flexibilidad

Se podia diseñar  las IPS para su red, con inspección completa de hasta 4Gbps y una variedad de opciones de interfaz de fibra y cobre de alta densidad

Los sensores de la serie Cisco IPS 4200 son un componente central de la solución Cisco Intrusion Prevention System (IPS).

Cisco Catalyst 6500 Series Switches                                        

De manera eficiente a escala, virtualización, seguridad, y gestionar su red de forma remota con los switches Cisco Catalyst 6500 Series. Ofrece un alto rendimiento, plataforma rica en características adecuadas para su implementación en el campus, los centros de datos, WAN, y redes Metro Ethernet, la serie Cisco Catalyst 6500 proporciona una base sólida para Borderless Networks, por lo que se puede conectar cualquier persona, dondequiera, en cualquier momento .

 

Servicios de escalar el rendimiento y la Red

 

2 terabits por segundo (Tbps) de tela proporciona capacidad de conmutación de 80 Gbps por ranura y escalas a 4 la capacidad del sistema Tbps con Cisco Catalyst Virtual Switching System (VSS)

40G con capacidad de sistema soporta hasta 360 puertos 10G y 1068 puertos 1G por sistema VSS

2T Supervisor Engine soporta hasta 720 Mpps de IPv4 y IPv6 de 390 Mpps

Proporciona grandes tamaños de mesa para el despliegue escalable con plano de control protegido .

Virtual Switching System

 

Activa todos los ancho de banda disponible a través de los sistemas redundantes Catalyst 6500 y elimina el enrutamiento asimétrico

Soporta conmutación por error interchassis de estado y proporciona la recuperación por debajo del segundo determinista

Proporciona un único punto de gestión

Elimina la necesidad de Protocolo de Resistencia primer salto (FHRP), apoya la simplificación de bucle sin topologías

Red de virtualización

 

Ofertas de consolidación de la infraestructura, proporcionando la segmentación, camino de aislamiento, a la intimidad, compartir el destino limitado, la definición de miembro, y las tecnologías del espacio de direcciones de separación

Entrega de extremo a extremo de virtualización de la red con IP / MPLS tecnologías.

Seguridad

 

Identifica (802.1x suite), tags (EST), cifra (MACSec), y hace cumplir (grupo de seguridad de Access Control List) con Cisco TrustSec

Soporta dispositivos de red de control de admisión (NDAC) y el control de admisión variable (EAC)

Proporciona protección de inversiones con TrustSec de entrada / salida del reflector

Integra los servicios y la eficiencia operativa

 

Ayuda a unificar, simplificar y economizar su red con la próxima generación de módulos de servicios integrados

Facilita varias generaciones de los componentes en un chasis a través de un diseño modular

Interruptores monitores a través de la red con conmutación de Port Analyzer (SPAN) / remoto Switched Port Analyzer (RSPAN) y prácticamente se conecta un analizador para casi cualquier puerto de la red con el encapsulado remoto SPAN (ERSPAN)

Proporciona visibilidad de las aplicaciones a través flexible, de salida, Netflow la muestra, y la CPU Preservar exportación Netflow

Ofrece recuperación de la imagen y el registro de la consola a través del procesador de gestión de conectividad (CMP)

Ofrece la captura de paquetes a bordo con puerto mini analizador

¿Que es IPS (Intrusion Prevention System)?                           

IPS (Intrusion Prevention System) o sistema de prevención de intrusiones: es un software que se utiliza para proteger a los sistemas de ataques e intrusiones. Su actuación es preventiva. Estos sistemas llevan a cabo un análisis en tiempo real de las conexiones y los protocolos para determinar si se está produciendo o se va a producir un incidente, identificando ataques según patrones, anomalías o comportamientos sospechosos y permitiendo el control de acceso a la red, implementando políticas que se basan en el contenido del tráfico monitorizado, es decir, el IPS además de lanzar alarmas, puede descartar paquetes y desconectar conexiones.

 


Muchos proveedores ofrecen productos mixtos, llamándolos IPS/IDS, integrándose frecuentemente con cortafuegos y UTM (en inglés Unified Threat Management o Gestión Unificada de Amenazas) que controlan el acceso en función de reglas sobre protocolos y sobre el destino u origen del tráfico.


Las ventajas de un IPS son:                               

escalabilidad al gestionar multitud de dispositivos conectados a la misma red;

protección preventiva al comprobarse de forma automatizada comportamientos anómalos mediante el uso de reglas prefijadas;

fácil instalación, configuración y administración al estar disponibles multitud de configuraciones predefinidas y centralizar en un punto su gestión, aunque puede ser contraproducente para su escalabilidad;/

defensa frente a múltiples ataques, como intrusiones, ataques de fuerza bruta, infecciones por malware o modificaciones del sistema de archivos, entre otros;

aumento de la eficiencia y la seguridad de la prevención de intrusiones o ataques a la red.

Entre sus desventajas, destacan los efectos adversos que pueden producirse en el caso de que se detecte un falso positivo, si por ejemplo se ejecuta una política de aislamiento de las máquinas de la red o en el caso de que se reciban ataques de tipo DDoS o DoS que pueden provocar su inutilización.


Clasificación de los IPS                                

Existen diferentes maneras de clasificar los IPS. Estas pueden ser por el método que utilicen para la detección de amenazas y por la tecnología que los implementa.

 1.- Por el metodo de detección:

 

Sistemas de Prevención de Intrusos basados en signaturas: estos cuentan con una serie de información de “firmas”, donde reflejan patrones conocidos de  ataques a la seguridad de una red o dispositivo. Todos estos datos se suman al dispositivo que realizará la detección para que de esta forma, gracias a la búsqueda de similitudes, se consiga afirmar la existencia o no de un posible ataque y responder en consecuencia.

Sistema de Prevención de Intrusos basado en anomalías o basado en “perfil”: este elemento procura identificar alguna acción diferente que no se relaciona con lo que es, de alguna manera, se ha definido como una actuación normal de una red o dispositivo. Para asegurar este comportamiento se utiliza un importante análisis estadístico de indicadores de tráfico.

Sistema de Prevención de Intrusos basado en políticas: se necesita la declaración específica de las políticas de seguridad. Este sistema, reconoce el tráfico definido por el perfil ya establecido, aceptando o rechazando paquetes de datos, por lo que su actuación es semejante a la de un Firewall.

Sistema de Prevención de Intrusos basados en detección por Pote de Miel o mejor conocido como Honey Por: su funcionamiento se basa en el uso de un equipo configurado para que, desde la primera vista, finja ser interesante y vulnerable a un ataque, de tal forma que al ocurrir esto exista evidencia de la forma de actuar, y así, posteriormente se pueda implementar políticas de seguridad.

2.- Por el uso de su tecnología:

 

Sistema de Prevención de intrusos basado en host: supervisa características de un dispositivo de un abonado de la red en particular, para que se detecte acciones dentro del mismo. Dichas características son: tráfico de red inalámbrica o cableada, acceso de usuarios, modificaciones de archivos, registros del sistema y ejecución de procesos, las acciones de contingencia lanzadas, racionan de igual formal sobre el host en cual se trabaja. Este tipo de sistema se utiliza frecuentemente cuando se trata de la protección de servidores y dispositivos con aplicaciones de servicios ininterrumpidos.

Sistema de Prevención de Intrusos basados en la red: gracias a esta tecnología se efectúa el monitoreo sobre el tráfico que circula por medio de segmentos específicos, y además, se estudian los protocolos de la red, de transporte y de aplicación para hallar actividades inadecuadas o sospechosas. La característica principal de su funcionamiento es el análisis en tiempo real de los paquetes de datos de tráfico ya sea inalámbrico o cableado, buscando patrones que supongan algún tipo de ataque o riesgo. Una solución que siempre es recomendada para identificar intrusos que provengan de redes no fiables, es que el sistema IPS permanezca junto con el Firewall en el mismo dispositivo.


bueno después  de  verificar las  maneras  de poder  analizar la seguridad  se puede entonces determinar que con esto se puede controlar los accesos no deseados mediante  software y hardware 

Bibliografía

btob. (s.f.). btob. Obtenido de btob: https://btob.com.mx/ciberseguridad/que-es-ips-o-sistema-de-prevencion-de-intrusosintrusion-prevention-system/

cisco. (s.f.). cisco. Obtenido de cisco: https://www.cisco.com/c/dam/global/es_es/assets/publicaciones/07-08-cisco-IPS.pdf

ecured. (s.f.). ecured. Obtenido de ecured: https://www.ecured.cu/IDS

incibe. (s.f.). incibe. Obtenido de incibe: https://www.incibe.es/protege-tu-empresa/blog/son-y-sirven-los-siem-ids-e-ips

rediris. (s.f.). rediris. Obtenido de rediris: https://www.rediris.es/cert/doc/unixsec/node26.html

wordpress. (s.f.). wordpress. Obtenido de wordpress: https://grupo2safa.wordpress.com/sdfasdf/routers/gran-empresa/wan/cisco-catalyst-6500-series-switches/

 

Comentarios

Publicar un comentario

Entradas populares de este blog

Que es lo que hace el Firewalls

Imagen
  hola  buenos días, tardes u noches  bueno el dia de  hoy les traigo el tema  de los firewalls si quieres  disfrutar de musica mientras lees  dale play  al reproductor si no pues no Firewall significa en español pared de fuego   su objetivo principal es   separar la red interna de una organización de los peligros que   existen en las redes externas las separan colocándolas en un segmento diferente así se limita el daño potencial que pueda venir del exterior Firewalls básicamente consiste en un par de mecanismos que realizan las siguientes funciones: 1) Mecanismo que bloquea el paso de tráfico 2) Mecanismo que permite el paso de tráfico ¿cómo se puede implementar un Firewall? Mediante software y hardware y   también se pueden combinar para poder tener una mejor seguridad   contra las redes externas   Algunos de los servicios que proporciona los Firewalls   son :   •   Filtrado estático...
Leer más

S6. Actividad 2: Entrevistas. Y diario de recorrido 2

Imagen
 Al  realizar el contacto con mis  compañera  Karla garzon logre  realizar  el siguiente   guion  de preguntas para la actividad 1.        ¿te  has conectado a internet de forma inalámbrica? 2.        ¡con que  frecuencia  usas redes inalámbricas? 3.        ¿ te has conectado a una red que no sea  tuya y por qué motivo ? 4.        Sabe  si le están robando  la señal 5.        ¿tienes datos sensibles en tu teléfono o pc dígase   como números de tarjeta de crédito  contraseñas? etc? 6.        ¿alguna   vez  has  cambiado la contraseña de tu modem? 7.        ¿conoces algún método para proteger tu  red inalámbrica? 8.      ...
Leer más

S3. Actividad 3 Campaña de difusión

Imagen
Hey   hola  gente  sean bienvenidos de nuevo  a mi  blog    el  día de hoy les traigo un ejemplo de campaña publicitaria  en vídeo    acerca de  universidad en linea  llamada  UNADM  en la cual  soy  aspirante  espero poderme quedar  en  fin  sin mas Les dejo  como mas o menos  debe ir un vídeo  de  campaña de difusión  y  abajo  del mismo les dejo   un ejemplo de como elaborar un script  para  realizar  un medio de vídeo  Nota: no todo esta tal cual en el vídeo   así  que te recomiendo verlo  Bienvenido  a la   universidad  abierta y a distancia de Mexico, un espacio  donde  podrás  estudiar  diversas  carreras en  en linea  y de la cual te platico  hoy es de la licenciatura en matemáticas,  si te in...
Leer más