Breaking News
Loading...
» » » IPS - Sistema de Prevención de Intrusos
jueves, 3 de abril de 2014

Info Post

En el entorno de amenazas de hoy, las organizaciones, ya no se pueden dar el lujo de sacrificar la seguridad por rendimiento. La visibilidad y administración son preocupaciones claves, ya que las redes se han vuelto más dinámicas.
Debido a esto y otros factores se han desarrollado e implementado diferentes tecnologías orientadas a la seguridad, entre ellas IPS que es el motivo de esta investigación.

En el desarrollo de este documento se busca explicar que es IPS, como funciona, ventajas y desventajas, entre otra información pertinente.
Para comprender más fácilmente este tema y los contenidos propuestos dentro de el podemos definir palabras claves que nos permitirán generar un conocimiento y criterio del tema.

¿Qué significa seguridad?

“Se puede referir a la seguridad como la ausencia de riesgo o también a la confianza puesta en algo o alguien.”

¿Qué es/significa IPS?

“IPS significa Sistema de Prevención de Intrusos, y es un dispositivo (hardware) que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos.”
En resumen la IPS es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.
Los centros de datos tienen entornos de servidores de una densidad cada vez más alta que requiere una alta capacidad de enrutamiento y cambio. Las organizaciones enfrentan decisiones difíciles cuando se trata de rendimiento y seguridad, incluso a veces limitan la seguridad para poder cumplir con las demandas de rendimiento.
Entrando en materia los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Dado que los IPS fueron extensiones literales de los sistemas IDS (Sistemas de Detección de Intrusos), continúan en relación.
También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas.

¿Cómo funciona?

IPS es establecer políticas de seguridad para proteger el equipo o la red de un ataque, se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente.
Los IPS se categorizan en la forma que detectan el tráfico malicioso:
  • Detección Basada en Firmas:
Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una alerta, este tipo de detección funciona parecido a un Antivirus, el Administrador debe verificar que las firmas estén constantemente actualizadas.
  • Detección Basada en Políticas:
Se determina que hosts pueden tener comunicación con determinadas redes, el IPS reconoce el tráfico fuera del perfil permitido y lo descarta.
  • Detección Basada en Anomalías:
Se busca definir un estado “normal” en la red, cuando algo este fuera de ese rango es capturado y desechado.
  • Detección Honey Pot:
Se utiliza un equipo como señuelo que atraiga los posibles ataques, se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real.
Por tanto la necesidad de añadir políticas se seguridad a las redes de datos se ha vuelto una inminente necesidad, pues en el mundo de las redes convergentes, redes en la que circulan datos, voz y video y accesos a Internet, el mantener la red interna a salvo de cualquier vulnerabilidad es un tema de gran importancia para quienes las administran.
Como vimos anteriormente, el IPS no es más que la evolución del IDS y un complemento del firewall clásico. Inclusive, la tendencia actual del mercado es la integración del firewall con el IPS en un solo dispositivo, brindando servicio integrados de seguridad de red bajo una sola consola de administración y operación.
La IPS puede funcionar de 2 formas diferentes según la ubicación dentro de una red:
  1. Network Based (NIPS): Funciona como un dispositivo de red independiente, con su propio sistema operativo y capacidades de procesamiento y almacenamiento. Es situado estratégicamente en ciertos sectores de la red para poder realizar su trabajo de inspección del tráfico. Su gestión es más sencilla por ser un punto central de monitoreo y de detección de posibles ataques en la red. Es la forma más común de utilización de un IPS en las redes modernas.

  1. Host Based (HIPS): Funciona como un software o aplicación instalable en un endpoint de la red, sea una computadora personal o un servidor. Su rendimiento depende de las capacidades de procesamiento del endpoint. Su gestión puede ser tediosa ya que requiere ser instalado en cada equipo de la red y debe administrarse bajo una sola consola de administración. Es común observarlo junto a software antivirus como una sola barrera de protección en el dispositivo final, aunque no viene a sustituir al antivirus como tal. Es la forma menos común de utilización del IPS en la red.
Los requerimientos de rendimiento de las redes modernas han hecho que los fabricantes no solo se concentren en el desarrollo de firmas y sistemas operativos para los IPS, sino también en el desarrollo propio del hardware que tendrá la función de lograr una velocidad de cable, evitando latencias y disrupciones en las comunicaciones.
La estructura cómo funciona el sistema IPS se ilustra con la siguiente imagen.
  • El IPS analiza el tráfico de red en tiempo real.
  • Luego envía los eventos para su posterior análisis al analizador.
  • Analiza y filtra los eventos de logs y los envía al log server.
Ventajas: Se puede parar paquetes en tiempo real, incluso de un solo paquete de ataques. Puede utilizar técnicas de normalización de la red.
Desventajas: Si existen problemas en el sensor afectar negativamente el rendimiento de la red. Sobrecarga o falla del sensor, o incluso un exceso de encendido pueden generar retraso del tráfico de red, o en realidad detenerlo del todo.

Funciones IPS:

  1. Mejora la Seguridad Perimetral:
  • Protege sistemas operativos y software vulnerable de los ataques exteriores
  • Detecta y detiene ataques contra aplicativos vulnerables
  1. Seguridad a nivel de redes internas:
  • P2P, Messenger:  Políticas de uso
  • Gusanos
  • Spyware
  1. Gestión centralizada:
  • Alertas (escalado)
  • Informes IPS
  • Actualizaciones remotas
Conclusión:
Hablar de seguridad siempre ha sido hablar de una amplia serie de pasos y equipos de red que interactúan sobre la información que circula en las redes de datos y que requieren de varios pasos de administración y configuración para poder garantizar que la información que es transportada por la red sea mantenga segura; que sea información válida y debidamente autorizada, y que se transporte con la velocidad óptima hacia su destino final.
La aplicación de la seguridad IPS facilita y aumenta el nivel de protección de los datos y la información importante dentro de una empresa u organización.

Bibliografías consultadas.

Publicadas por a la/s 10:21 a.m.
Etiquetas: ,
Share:

0 comentarios:

Publicar un comentario

:) :)) ;(( :-) =)) ;( ;-( :d :-d @-) :p :o :>) (o) [-( :-? (p) :-s (m) 8-) :-t :-b b-( :-# =p~ $-) (b) (f) x-) (k) (h) (c) cheer
Click to see the code!
To insert emoticon you must added at least one space before the code.

Suscribirse a: Comentarios de la entrada (Atom)