Sustentantes

Diana Lucia Miranda Sánchez 1075810

Dayarina Cecilia Santos Tavarez 1080936

Steven Christopher Madaschi Alcántara 1057712

Asignatura

MCS-507-01 Seguridad en Redes y Comunicaciones

Asignación

Intrusion Prevention System (IPS)

Profesor

Miguel Reyes
 Introducción

Las empresas están siendo atacadas a través de sus redes y usuarios, lo que compromete
la infraestructura e información de los negocios, es por esto se buscar estar en constante
seguimiento para mitigar estos eventos.

En la actualidad, el desarrollo de las estrategias de seguridad para los dispositivos y las redes
de comunicación ha influido en el surgimiento de un nuevo tipo de defensa: los IPS (Intrusion
Prevention System) o Sistemas de Prevención de Intrusiones, que en buena medida pueden
interpretarse como una evolución de los tradicionales IDS (Intrusion Detection System) o
Sistemas de Detección de Intrusiones.
Intrusiones informáticas

En el mundo informático ocurre una lucha permanente entre las vulnerabilidades de seguridad
y los distintos métodos para evitarlas. Es por ello que los hackers o piratas informáticos
buscan aprovecharse de cualquier falla para realizar sus ataques.

Precisamente, la mayoría de las víctimas de estas amenazas son los usuarios empresariales,
ya que sus negocios manejan grandes volúmenes de datos, además de contar con más
recursos económicos que un usuario particular.

De hecho, en muchas ocasiones, los ciberdelincuentes actúan para extorsionar a sus

víctimas, y obtener algún beneficio económico.

Por lo tanto, la vía más idónea para realizar sus ataques es por medio de una intrusión
informática, es decir, un ingreso no autorizado a un sistema, red o dispositivo. Para lograrlo,
se aprovechan de diferentes técnicas, algunas muy básicas, y otras realmente complejas.

Lo cierto, es que los proveedores de seguridad informática han logrado desarrollar diferentes
herramientas para combatir las intrusiones.

¿Qué son los IPS?

Un Sistema de Prevención de Intrusos o Intrusion Prevention System ("IPS" en sus siglas en
inglés), es un dispositivo de seguridad de red que monitoriza el tráfico de red (Capa 3 del
modelo OSI, capa de red) y/o las actividades de un sistema (Capa 7 del modelo OSI, capa de
aplicación), en busca de actividad maliciosa. Entre sus principales funciones, se encuentran
no sólo la de identificar la actividad maliciosa, sino la de intentar detener esta actividad.
Siendo esta última una característica que distingue a este tipo de dispositivos de los llamados
Sistemas de Detección de Intrusos o Intrusion Detection Systems ("IDS" en sus siglas en
inglés).
Entre otras funciones se tiene que poder alertar al administrador ante la detección de
intrusiones o actividad maliciosa, mientras que es exclusivo de un Sistema de Prevención de
Intrusos (IPS) establecer políticas de seguridad para proteger al equipo o a la red de un
ataque.
Otras funciones importantes de estos dispositivos de red son las de grabar información
histórica de esta actividad y generar reportes.

Origen de los IPS

El IPS fue creado con la intención de ser una alternativa complementaria a otras herramientas
de seguridad en redes, tales como un firewall o un IDS, por lo que muchas de sus
características son heredadas de estos dos elementos, complementadas con un
comportamiento proactivo ante ataques y amenazas.

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver
ambigüedades en la monitorización pasiva de redes de computadoras, al situar sistemas de
detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las
tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados
en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos
IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por
NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado
que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación.

Los Sistemas de Detección de Intrusos tienen como ventaja respecto de los firewalls
tradicionales, el que toman decisiones de control de acceso basados en los contenidos del
tráfico, en lugar de hacerlo basados en direcciones o puertos IP.

Diferencias entre un IPS y un IDS

El contraste entre un IPS y un IDS radica en que este último es reactivo, pues alerta ante la
detección de un posible intruso, mientras que el primero es proactivo, pues establece políticas
de seguridad para proteger el equipo o la red de un posible ataque antes de que el mismo se
materialice.

La principal diferencia entre un IDS y un IPS es el tipo de acción que llevan a cabo al detectar
un ataque en sus primeras fases (análisis de red y escaneo de puertos):

● El IDS aporta a la red un grado de seguridad de tipo preventivo ante de cualquier

actividad sospechosa, y consigue su objetivo a través de alertas anticipadas dirigidas
a los administradores de seguridad de los sistemas. Informáticos. Sin embargo, a
diferencia del sistema IPS, no está diseñado para detener ataques.
● El IPS es un dispositivo que ejerce el control de acceso en una red para proteger a los
sistemas computacionales de ataques y abusos. Está diseñado para analizar los datos
del ataque y actuar en consecuencia, deteniéndolo en el mismo momento en que se
está gestando y antes de que tenga éxito.

Clasificación de acuerdo con su tecnología:

● IPS basado en host (HIPS): monitorea las características de un dispositivo de un
abonado de la red en particular, para detectar actividades dentro del mismo. Entre las
características que supervisa se encuentran: el tráfico de red cableada o inalámbrica,
registros del sistema, acceso de los usuarios, ejecución de procesos y modificaciones
de archivos; las acciones de contingencia lanzadas actúan igualmente solo sobre el
host en el cual trabaja. Este tipo de IPS se emplea con frecuencia en la protección de
servidores y dispositivos con aplicaciones de servicios ininterrumpidos.
● IPS basado en red (PIN): con esta tecnología, se realiza el monitoreo sobre el tráfico
que fluye a través de segmentos particulares, y se analizan protocolos de red, de
transporte y de aplicación para identificar actividades sospechosas. Su
funcionamiento se caracteriza por el análisis en tiempo real de los paquetes de datos
del tráfico (cableado o inalámbrico), en busca de patrones que puedan suponer algún
tipo de ataque. Una solución recomendada para la detección de intrusos que proceden
 de redes no fiables es que el sistema IPS resida junto con el firewall en el mismo
dispositivo.

Clasificación de acuerdo con el método de detección:

● IPS basado en firmas o signaturas: cuentan con una base de datos de “firmas”, en
la cual se reflejan patrones conocidos de ataques a la seguridad de un dispositivo o
una red. Esta información se adhiere al dispositivo que realizará la detección para que
así, mediante una búsqueda de coincidencias, se pueda establecer si existe o no un
posible ataque y reaccionar en consecuencia.
● IPS basado en anomalías: también conocido como basado en “perfil”, esta
funcionalidad intenta identificar un comportamiento diferente que se desvíe de lo que,
de alguna forma, se ha predefinido como una “actuación normal” de un dispositivo o
una red. Para garantizar este comportamiento se hace uso de un potente análisis
estadístico de indicadores de tráfico.
● IPS basado en políticas: se requiere que se declaren muy específicamente las
políticas de seguridad. El IPS reconoce el tráfico definido por el perfil establecido,
permitiendo o descartando paquetes de datos, por lo que su manera de actuar ocurre
de forma muy similar al funcionamiento de un firewall.
● IPS basados en detección por Honey Pot: funciona usando un equipo configurado
para que, a primera vista, parezca ser vulnerable e interesante para un ataque, de
forma tal que al ocurrir estos, se deja evidencia de la forma de actuar, con lo cual
posteriormente se pueden implementar políticas de seguridad.

Funcionamiento detallado de los IPS

El procesamiento de un IPS está basado en un conjunto de instrucciones altamente
especializadas, que permiten inspeccionar de forma total cada bit de un paquete de datos
intercambiado.
El tráfico de datos es clasificado e inspeccionado en su totalidad por todos los filtros
relevantes antes de que se permita su salida, lo que se realiza analizando la información del
encabezamiento de cada paquete, como puertos y direcciones IP de fuente y destino, y los
campos de aplicación.
Cada filtro consta de un conjunto de reglas que definen las condiciones que deben cumplirse
para llegar a saber si un paquete o flujo es malicioso o no. Cuando se clasifica el tráfico, el
dispositivo debe ensamblar la carga útil del flujo y pasarla a campos que sean de utilidad para
hacer luego un análisis contextual.
A fin de impedir que un ataque alcance su objetivo, en el instante en que se determina que
un flujo es malicioso, se detiene el avance de los paquetes, así como de aquellos que lleguen
posteriormente y que pertenezcan a dicho flujo.
Puede ocurrir, además, un ataque multiflujo, dirigido a desactivar una red inundándola de
paquetes, por lo que se requieren filtros que realicen estadísticas e identifiquen anomalías en
varios flujos agregados.
Los IPS más avanzados, combinan procesamiento masivo de paquetes en paralelo, para
realizar chequeos simultáneamente. El procesamiento en paralelo generalmente se
implementa sobre hardware, porque las soluciones de software convencionales, perjudican
por lo general el rendimiento.
Adicionalmente, los IPS pueden incorporar técnicas de redundancia y tolerancia a errores
(failover), para asegurar que una red continúe operando en el caso de que se produzca un
fallo. De la misma manera, agregan control sobre las aplicaciones que no son de misión
crítica, para proteger el ancho de banda.

IPS de Nueva Generación

El dinamismo de las redes actuales, provoca la aparición constante de nuevas tecnologías,
dispositivos y sistemas, lo que incrementa la exposición a mejoradas técnicas para vulnerar
la seguridad de la información, y evidencia la necesidad de mecanismos que tengan cierta
inteligencia para poder hacerle frente, propiciando el desarrollo de IPS de Nueva Generación.
Un IPS de Nueva Generación, debe cumplir con los siguientes elementos:
● Siempre en Línea: nunca entorpecer o interrumpir el funcionamiento de una red.
● Conciencia de Aplicaciones: capacidad para poder identificar aplicaciones e
implementar políticas de seguridad de red en la capa de aplicación.
● Conciencia del Contexto: las decisiones de detección y enfrentamiento de amenazas,
debe basarse en el análisis complejo de circunstancias que rodean un ataque
específico, que permitan decidir automáticamente la prioridad específica a la
respuesta que el equipo deba dar ante una amenaza inminente.
● Conciencia del Contenido: debe ser capaz de inspeccionar y clasificar tipos de
archivos reflejados en paquetes de datos.
● Agilidad: debe ser capaz de incorporar nuevos mecanismos de retroalimentación para
enfrentar amenazas futuras.

Esta nueva generación de IPS puede tener visibilidad sobre el comportamiento de la red,
perfiles de los equipos dentro de la infraestructura de comunicación, y la identidad de los
usuarios y las aplicaciones que están en uso, de tal forma que esa información le sirva de
insumo para poder realizar un proceso de afinamiento automático.

Ventajas de utilizar un IPS

Protección preventiva antes de que ocurra el ataque • Defensa completa (Vulnerabilidades
del Sistema Operativo, Puertos, Trafico de IP, códigos maliciosos e intrusos)• Maximiza la
seguridad y aumenta la eficiencia en la prevención de intrusiones o ataques a la red de una
empresa. • Fácil instalación, configuración y administración • Es escalable y permite la
actualización de dispositivos a medida que crece la empresa• No requiere tanta dedicación
como un IDS tradicional; esto en consecuencia requeriría menos inversión en recursos para
administrar y operar estos sistemas (en comparación con un IDS).
Conclusión
De forma general, los IPS disminuirán las falsas alarmas de ataques en progreso, bloquearán
de manera automática los ataques efectuados en tiempo real, proporcionarán protección de
sistemas no parchados, aplicarán nuevos filtros conforme vayan detectando nuevas
actividades maliciosas en progreso, y ofrecerán optimización en el rendimiento del tráfico de
una red como estrategia de seguridad.

Como pudimos ver los sistemas de prevención de intrusos son importantes para asegurar
nuestros dispositivos y sistemas ante los posibles ataques, ya que eso es fundamental para
una buena salud de la seguridad informática. Así mismo pudimos ver que los IPS son
complemento de los IDS, porque uno detecta el posible intruso mientras que el otro establece
políticas para evitar que los intrusos penetren la red y/o los sistemas.
Glosario de términos

IPS: Un IPS es un sistema de prevención/protección contra las intrusiones y no solo para

reconocerlas e informar acerca de ellas, como hacen la mayoría de los IDS.

Modelo OSI: El Modelo OSI (de las siglas en inglés: Open Systems Interconnection, o sea,
“Interconexión de Sistemas Abiertos”), es un modelo de referencia para los protocolos de
comunicación de las redes informáticas o redes de computadores. Fue creado en la década
de 1980 por la Organización Internacional de Normalización (ISO).

IDS: Un sistema de detección de intrusiones o Intrusion Detection System, es un programa

de detección de accesos no autorizados a un computador o a una red.

Firewalls: Un firewall (llamado también «cortafuego»), es un sistema que permite proteger a

una computadora o una red de computadoras de las intrusiones que provienen de una tercera
red (expresamente de Internet). El firewall es un sistema que permite filtrar los paquetes de
datos que andan por la red. Se trata de un «puente angosto» que filtra, al menos, el tráfico
entre la red interna y externa.

Firmas digitales: Consiste en un método criptográfico que asocia la identidad de una

persona o de un equipo informático al mensaje o documento.

Anomalías: Indica una irregularidad o anormalidad que se sucede de pronto en aquello que
es habitual y entonces, por tratarse de algo fuera de lo común despertará la atención de los
observadores causando enorme sorpresa.

Políticas: Se establecen como guía y límites de organización, para su correcta operación.

Honey pot: Es un sistema informático «cebo» que se emplea para detectar amenazas de
ciberseguridad, o para hacer un seguimiento de métodos poco convencionales, o nuevos, de
ataque.
Bibliografía

● https://infotecs.mx/blog/ips-sistema-de-prevencion-de-intrusos.html
● https://es.wikipedia.org/wiki/Sistema_de_prevenci%C3%B3n_de_intrusos#Funciona
miento
● https://uss.com.ar/preguntas-frecuentes/sistema-de-deteccion-de-intrusos/
● http://www.cybsec.com/upload/ESPE_IDS_vs_IPS.pdf
● https://concepto.de/modelo-osi/
● https://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
● https://www.tecnologia-informatica.com/que-es-firewall-como-funciona-tipos-firewall/
● https://es.ccm.net/contents/163-sistema-de-prevencion-de-intrusiones-ips