Sistemas IPS/IDS/HIPS

Iniciado por MagoAstral, Julio 28, 2013, 03:54:48 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Buenos días a todos, aquí les traigo mi primer aporte a la comunidad, el cual a muchos puede interesarles a otros no, pero eso deben de juzgarlo ustedes mismos, hablaré de los sistemas ips, ids e hips.
Por desgracia hoy en día un gran número de personas sufre constantemente ciber ataques y no saben cómo defenderse así que hoy pondremos en práctica las técnicas de mi abuela prevenir y detectar y para eso tenemos dos buenos amigos que nos van a ayudar los IPS e IDS, luego ya hablaremos del tercero pero por ahora nos centraremos en estos dos, pero antes vamos a diferenciar el IPS del IDS.

IDS: Sería un sistema de detección de intrusos, su función sería estar como un perro cuidando a las ovejas del rebaño, es decir, de forma reactiva, analizaría la red de forma constante y nos protegería ante un intruso, puede configurarse por ejemplo para captar un paquete ICMP (ping) y avisarnos de que nos están pingeando todo esto se deja a elección del dueño.
IPS: Este es un sistema de prevención de intrusos, dado que tomamos el ejemplo del perro y las ovejas pues el IPS sería la alambrada o cerca de las ovejas, es decir actúa de forma proactiva, dentro de sus funciones sería establecer unas políticas o reglas para prevenir al atacante.

Bueno, ahora que ya tenemos clara la diferencia vamos a pasar a los tipos de IDS / IPS, y cómo funcionan realmente.

IDS: En resumen el ID es un software el cual analiza y detecta supuestos intrusos en la red o un ordeandor, este sistema está basado en sensores virtuales, que nos  permiten monitorear el tráfico de la red, para así evitar dichos atacantes, pero este también permite analizar el comportamiento y el contenido de la red no solo el tráfico.
El IDS, no solo analiza el tráfico de la red, sino su comportamiento y contenido, también suelen tener una DB con un conjunto datos del atacante tipo Honeypot.

Funcionamiento:

El proceso de detección de los intrusos se caracteriza por:
- Una DB con información sobre anteriores atacantes.
- Una buena configuración.
- Un estado actual, referente en términos de comunicación y procesos.



Tipos de IDS:

- HIDS: IDS basados en Host..
- NIDS: IDS basados en Red.
- DIDS: Este formaría parte del NIDS, solo que tendría una distinta distribución en la red.


Recomendación personal a la hora de usar un IDS:
Debes de configurarlo bien y complementarlo con un buen Firewall para así tener una protección idónea.

IPS: Vale ahora llegó el turno de los IPS, estos tienen más que hablar dado que son un sistema complejo y a mi critero mejor que los IDS, por lógica más vale prevenir que detectar, los IPS a diferencia de los IDS  tiene la capacidad de descifrar protocolos como HTTP, FTP y SMTP, aunque tampoco vamos a extender el contenido por ahorá nos centraremos en lo básico.

Funcionamiento:

Los sistemas IPS utilizan menos recursos que los IDS, lo cual puede ser un pro para una empresa que esté interesada en adquirir dichos sistemas dado que puede reducir los costes, por otra parte los IPS no utilizan direcciones IP como lo hacen los firewalls, su función como había dicho consiste en  poner normas o reglas que permiten restringir el acceso a usuarios, aplicaciones y a host siempre y cuando se detectan que estos están realizando actividades malintencionadas o transfiriendo código malicioso en el tráfico de la red.

Tipos de IPS:

- Detección Basada en Firmas
- Detección Basada en Políticas
- Detección Basada en Anomalías
- Detección Honey Pot

También podríamos incluir los RBIPS y CBIPS, los cuales prevendrian bien de denegaciones de servicio distribuidas en caso del RBIPS o inspeccionar la DB del IPS como es el caso del CBIPS.

Y bueno hasta aquí llega la parte de los IPS / IDS ahora simplemente les diré unos ejemplos de estos sistemas los cuales serían por ejemplo Snort o Suricata este último es multiplataforma y muy recomendado, ya llevo más de 1 hora escribiendo así que acabaré rápido con los HIPS por arriba sin entrar mucho en contenido.

Un HIPS sería un sistema de prevención de los temibles 0day o exploits de 0 días, es decir una vulnerabilidad sin parche, es un sistema bastante complejo y poco frecuente pero hoy en día ya se empieza a utilizar y su función sería proporcionarnos protección a los usuarios durante ese período, además de protegernos contra spywares y demás malwares.

Y hasta aquí llego el aporte espero que sepan que son los IDS / IPS / HIPS y si les interesa puedo hacer algún aporte de cómo configurarlos y darles uso.

Un saludo,
MagoAstral.
Lo que sabemos es una gota de agua; lo que ignoramos es el océano.

Woooow, que bien, algún día me servirá, buen aporte! saludos
Tener éxito no es aleatorio, es una variable dependiente del esfuerzo.


Excelente info men se agradece bro ;)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenos días a todos, aquí les traigo mi primer aporte a la comunidad, el cual a muchos puede interesarles a otros no, pero eso deben de juzgarlo ustedes mismos, hablaré de los sistemas ips, ids e hips.
Por desgracia hoy en día un gran número de personas sufre constantemente ciber ataques y no saben cómo defenderse así que hoy pondremos en práctica las técnicas de mi abuela prevenir y detectar y para eso tenemos dos buenos amigos que nos van a ayudar los IPS e IDS, luego ya hablaremos del tercero pero por ahora nos centraremos en estos dos, pero antes vamos a diferenciar el IPS del IDS.

IDS: Sería un sistema de detección de intrusos, su función sería estar como un perro cuidando a las ovejas del rebaño, es decir, de forma reactiva, analizaría la red de forma constante y nos protegería ante un intruso, puede configurarse por ejemplo para captar un paquete ICMP (ping) y avisarnos de que nos están pingeando todo esto se deja a elección del dueño.
IPS: Este es un sistema de prevención de intrusos, dado que tomamos el ejemplo del perro y las ovejas pues el IPS sería la alambrada o cerca de las ovejas, es decir actúa de forma proactiva, dentro de sus funciones sería establecer unas políticas o reglas para prevenir al atacante.

Bueno, ahora que ya tenemos clara la diferencia vamos a pasar a los tipos de IDS / IPS, y cómo funcionan realmente.

IDS: En resumen el ID es un software el cual analiza y detecta supuestos intrusos en la red o un ordeandor, este sistema está basado en sensores virtuales, que nos  permiten monitorear el tráfico de la red, para así evitar dichos atacantes, pero este también permite analizar el comportamiento y el contenido de la red no solo el tráfico.
El IDS, no solo analiza el tráfico de la red, sino su comportamiento y contenido, también suelen tener una DB con un conjunto datos del atacante tipo Honeypot.

Funcionamiento:

El proceso de detección de los intrusos se caracteriza por:
- Una DB con información sobre anteriores atacantes.
- Una buena configuración.
- Un estado actual, referente en términos de comunicación y procesos.



Tipos de IDS:

- HIDS: IDS basados en Host..
- NIDS: IDS basados en Red.
- DIDS: Este formaría parte del NIDS, solo que tendría una distinta distribución en la red.


Recomendación personal a la hora de usar un IDS:
Debes de configurarlo bien y complementarlo con un buen Firewall para así tener una protección idónea.

IPS: Vale ahora llegó el turno de los IPS, estos tienen más que hablar dado que son un sistema complejo y a mi critero mejor que los IDS, por lógica más vale prevenir que detectar, los IPS a diferencia de los IDS  tiene la capacidad de descifrar protocolos como HTTP, FTP y SMTP, aunque tampoco vamos a extender el contenido por ahorá nos centraremos en lo básico.

Funcionamiento:

Los sistemas IPS utilizan menos recursos que los IDS, lo cual puede ser un pro para una empresa que esté interesada en adquirir dichos sistemas dado que puede reducir los costes, por otra parte los IPS no utilizan direcciones IP como lo hacen los firewalls, su función como había dicho consiste en  poner normas o reglas que permiten restringir el acceso a usuarios, aplicaciones y a host siempre y cuando se detectan que estos están realizando actividades malintencionadas o transfiriendo código malicioso en el tráfico de la red.

Tipos de IPS:

- Detección Basada en Firmas
- Detección Basada en Políticas
- Detección Basada en Anomalías
- Detección Honey Pot

También podríamos incluir los RBIPS y CBIPS, los cuales prevendrian bien de denegaciones de servicio distribuidas en caso del RBIPS o inspeccionar la DB del IPS como es el caso del CBIPS.

Y bueno hasta aquí llega la parte de los IPS / IDS ahora simplemente les diré unos ejemplos de estos sistemas los cuales serían por ejemplo Snort o Suricata este último es multiplataforma y muy recomendado, ya llevo más de 1 hora escribiendo así que acabaré rápido con los HIPS por arriba sin entrar mucho en contenido.

Un HIPS sería un sistema de prevención de los temibles 0day o exploits de 0 días, es decir una vulnerabilidad sin parche, es un sistema bastante complejo y poco frecuente pero hoy en día ya se empieza a utilizar y su función sería proporcionarnos protección a los usuarios durante ese período, además de protegernos contra spywares y demás malwares.

Y hasta aquí llego el aporte espero que sepan que son los IDS / IPS / HIPS y si les interesa puedo hacer algún aporte de cómo configurarlos y darles uso.

Un saludo,
MagoAstral.

¡Muchas gracias por toda tu explicación!! Seguro que ya te lo han comentado, pero para los que estamos empezando es genial, ¡una buena diferenciación!