CONCLUSIONS AND IMPLICATIONS

Los IPS son equipos que trabajan de la misma forma que los IDS, pero con la diferencia de permitir el análisis de la información en tiempo real. Estos equipos poseen una puerta de entrada y una de salida. Al momento de recibir información por un extremo de conexión, se la analiza inmediatamente en búsqueda de potenciales ataques o intrusiones. Si la información es aprobada, el paquete es transmitido a través del otro extremo de conexión. En caso de sospechar de un ataque, el IPS podría reaccionar de manera preventiva, logrando que ni siquiera un paquete malicioso sea incorporado en la red o el equipo bajo su protección. [27]

Es importante resaltar que al implementar un IPS, todas las conexiones, tanto entrantes como salientes, que se realicen en el área de cobertura del IPS serán analizadas constantemente. Esto puede ocasionar graves problemas de rendimiento en la red y los equipos protegidos, por lo que es recomendable analizar el entorno donde se implementará el IPS. [27]

 Características de un IPS

- Capacidad de reacción automática ante incidentes.

- Aplicación de nuevos filtros conforme detecta ataques en progreso. - Mínima vigilancia.

- Disminución de falsas alarmas de ataques a la red.

- Bloqueo automático frente a ataques efectuados en tiempo real. - Protección de sistemas no parchados.

- Optimización en el rendimiento del tráfico de la red.

3.4.2.1 IPS basados en host (HIPS)

Esta aplicación de prevención de intrusiones reside en la dirección IP específica de un solo equipo, permite prevenir posibles ataques en los nodos débiles de una red es decir los host. [40]

3.4.2.2 IPS basada en red (PIN)

Esta aplicación IPS es en hardware y cualquier acción tomada para prevenir una intrusión en una red específica de host (s) se hace de una máquina con otra dirección IP en la red. Son desarrollados específicamente para la plataformas hardware / software que analizan, detectan e informan sobre eventos relacionados con la seguridad. PIN están diseñados para inspeccionar el tráfico y la configuración de la política de seguridad, sobre la cual pueden verificar el tráfico malicioso. [40]

3.4.3 Ventajas y Desventajas.

Se ha visto que la diferencia entre los IDS y los IPS radica en la forma cómo reaccionan ante las intrusiones, los primeros se limitan a detectar y notificar de la intrusión mientras que los segundos toman acciones de algún tipo frente a tales eventos.

Debido a esto, se tiene que el uso de los IDS implica un corto lapso de tiempo para enterarse, analizar y determinar la acción correctiva a adoptar frente a la intrusión, para finalmente reaccionar manualmente al ataque. Por esta razón, el fuerte de los IDS es ayudar a la reconstrucción del ataque para su posterior análisis. Sin embargo es deseable detener el ataque de manera oportuna es así que los IPS son la solución adecuada, siempre y cuando estén debidamente configurados y puestos a punto con el fin de maximizar su nivel de precisión.

Existen distribuciones open source que permiten implementar los sistemas IDS/IPS, al estar basados en software libre se hacen propicios en entornos donde no se cuente con recursos económicos para adquirir otro tipo de soluciones comerciales. A continuación se describe las principales soluciones open source:

 Snort: Es un potente IDS/IPS basado en código abierto que se ha convertido en un estándar en el campo de la seguridad de sistemas informáticos. Es una herramienta que utiliza una filosofía muy similar a IPtables, ya que utiliza reglas sobre los paquetes que viajan en una red, sin embargo, dependiendo del modo de ejecución va un poco más allá, permitiendo tomar decisiones sobre la información intercambiada y la detección de posibles ataques sobre peticiones que aunque aparentemente son legitimas, pueden encajar en algún patrón de ataque. [55]

 Smooth-Sec: Es un sistema de detección de intrusiones IDS / IPS cuyo motor está basado en Suricata y con una interface web Snorby. Está montado sobre Linux UBUNTU 10.04 LTS. Se trada de un sistema completamente configurado y listo para usarse. Creado por Phillip Bailey. [55]

 Suricata: Se trata de motor IDS/IPS de The Open Information Security Foundation. Es Open Source y tiene unas características especiales que hacen de Suricata un motor muy interesante. Además es totalmente compatible con las reglas Snort y Emerging Threads. [55]

Se destacan las siguientes características de Suricata:

Multi-Threaded Processing. Una de la características más importantes de Suricata que permite la ejecución de varios procesos / subprocesos de forma simultánea. Podemos entonces asignar el número de subprocesos por CPU/Cores y qué subprocesos. De esta forma es capaz, entre otras cosas, de procesar una gran cantidad de paquetes de forma simultánea aumentando así el rendimiento. [55]

Automatic Protocol Detection. A parte de los protocolos IP, TCP, UDP e ICMP, Suricata tiene palabras claves para otros protocolos como FTP, HTTP, TLS, SMB. De esa forma podemos escribir reglas independientemente del puerto que un protocolo use, ya sea por defecto o no ya que éste es automáticamente detectado.

 Snorby: Snorby es un front-end web, para la gestión de alertas IDS/IPS basado en sensores. En el caso de Smooth-Sec basado en motor Suricata. Su interface gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de las alertas. [55]

Se recomienda la utilización de los sistemas IDS/IPS, la arquitectura (basado en hardware o software) a ser implementada dependerá de los requerimientos de nuestra red, presupuesto y de las funcionalidades como gestión, flexibilidad, soporte, garantía deberán ser tomados en cuenta al momento de seleccionar la mejor solución.

A continuación se describen las ventajas y desventajas que ofrecen los sistemas IDS e IPS:

 Ventajas

o NIDS:

- Detectan accesos no deseados a la red.

- No necesitan instalar software adicional en los servidores en producción.

- Fácil instalación y actualización por que se ejecutan en un sistema

dedicado.

o HIDS:

- Permiten asociar usuarios y eventos. - Pueden analizar tráfico cifrado.

- Pueden proveer información acerca de un ataque en una máquina

o IPS:

- Protección preventiva antes de que ocurra el ataque.

- Defensa completa (Vulnerabilidades del sistema operativo, puertos,

tráfico de IP, códigos maliciosos e intrusos).

- Maximiza la seguridad y aumenta la eficiencia en la prevención de

intrusiones o ataques a la red de una empresa.

- Fácil instalación, configuración y administración.

- Es escalable y permite la actualización de dispositivos a medida que crece la empresa.

- No requiere tanta dedicación como un IDS tradicional; esto en

consecuencia requeriría menos inversión en recursos para administrar y operar estos sistemas (en comparación con un IDS).  Desventajas:

o NIDS:

- Examinan el tráfico de la red en el segmento en el cual se conecta,

pero no puede detectar un ataque en diferentes segmentos de la red. La solución más sencilla es colocar diversos sensores.

- Pueden generar tráfico en la red.

- Ataques con sesiones encriptadas son difíciles de detectar. o HIDS:

- La información provista deja de ser confiable tan pronto como un

ataque ha sido exitoso.

- Cuando la máquina cae también lo hace el IDS. - No son capaces de detectar mapeos de red.

- Pueden dejar de ser efectivos durante un ataque DOS. - Requieren recursos locales para operar.

o IPS:

- Como ocurre con cualquier tipo de dispositivo de seguridad que

inspecciona paquetes, su uso puede generar potenciales inconvenientes en términos de rendimiento, latencia y disponibilidad. Después de todo, se trata de dispositivos que abren cada paquete y

realizan sobre él una inspección profunda a través de todos los niveles hasta alcanzar el de aplicación (Nivel 7) antes de tomar la decisión de si dejarlo pasar o no. [41]