UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO” Ingeniería en Telecomunicaciones

Telemática III – TEL 237 Semestre: I-2019

TRABAJO DE INVESTIGACIÓN V
SISTEMAS DE PREVENCIÓN Y DETECCIÓN DE
INTRUSIONES (IPS e IDS)

Roly Orlando Suca Lima

Ing. Gonzalo Vallejos Escobar
Paralelo 1 16:15-18:45
23 de Abril de 2019

Resumen.- En el presente trabajo de investigación, se mostrarán los conceptos generales y

consideraciones a tomar en cuenta, a la hora de analizar un sistema de prevención y detección de
intrusiones.

Índice de Términos-- Seguridad, Red, IDS, Control

representan una amenaza. La mayoría de las
organizaciones otorgan a los usuarios acceso a más
datos y aplicaciones de los que necesitan, lo que
1. Objetivo hace que los sistemas sean vulnerables a sabotajes,
1.1 Objetivo General Investigar todo lo robos de datos y errores desafortunados.
relacionado con la prevención y detección de 2.2 Sistemas de Prevención de Intrusiones. -
intrusiones.
Un sistema de prevención de intrusos (o por sus
1.2 Objetivos Específicos siglas en inglés IPS) es un software que ejerce el
 Definir el concepto de prevención de control de acceso en una red informática para
intrusiones proteger a los sistemas computacionales de ataques
 Definir el concepto de detección de y abusos. La tecnología de prevención de intrusos
intrusiones es considerada por algunos como una extensión de
los sistemas de detección de intrusos (IDS), pero en
 Observar su utilidad e importancia en realidad es. otro tipo de control de acceso, más
cualquier tipo de red cercano a las tecnologías cortafuegos.
2. Fundamento Teórico 2.2.1 Creación de un IPS. -
2.1 Introducción. - Los IPS fueron inventados de forma independiente
por Jed Haile y Vern Paxon para resolver
Proteger la información privada y, al mismo
ambigüedades en la monitorización pasiva de redes
tiempo, autorizar su uso para fines empresariales,
de computadoras, al situar sistemas de detecciones
es el objetivo de los sistemas de detección y
en la vía del tráfico. Los IPS, tal y como lo
prevención de intrusiones (IDS/IPS). Prevenir el
menciona Murillo (2014) “presentan una mejora
acceso no autorizado a datos confidenciales es una
importante sobre las tecnologías de cortafuegos
función esencial de la seguridad informática, pero
tradicionales” (p2). Tiempo después, algunos IPS
los hackers de hoy son más hábiles que nunca. Los
fueron comercializados por la empresa One
delincuentes podrían intentar hacer falsificaciones
Secure, la cual fue finalmente adquirida por
de IP o ataques por denegación de servicio, pero
NetScreen Technologies, que a su vez fue
los propios usuarios de confianza también
adquirida por Juniper Networks en 2004. Dado que
UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO”
Telemática III – TEL 237
los IPS fueron extensiones literales de los sistemas
IDS, continúan en relación.
2.2.2 Características Principales de un IPS. -
El IPS se sitúa en línea dentro de la red y no sólo
escucha pasivamente a la red como un IDS
(tradicionalmente colocado como un rastreador de
puertos en la red). El IPS tiene la habilidad de
bloquear inmediatamente las intrusiones, sin
importar el protocolo de transporte utilizado y sin
reconfigurar un dispositivo externo. Esto significa
que el IPS puede filtrar y bloquear paquetes en
modo nativo (al utilizar técnicas como la caída de
una conexión, la caída de paquetes ofensivos, el
bloqueo de un intruso, etc.).
2.2.3 Funcionamiento de un IPS. -
Un sistema de prevención de intrusos, al igual que
un Sistema de Detección de Intrusos, funciona por
medio de módulos, pero la diferencia es que este
último, alerta al administrador ante la detección de
un posible intruso (usuario que activó algún
Sensor). mientras que un Sistema de Prevención de
Intrusos establece políticas de seguridad para
proteger el equipo o la red de un ataque; se podría
decir que un IPS protege al equipo proactivamente
y un IDS lo protege reactivamente.
2.2.4 Categorización de un IPS. -
 Detección basada en firmas: como lo hace
un antivirus.
 Detección basada en políticas: el IPS requiere
que se declaren muy específicamente las
políticas de seguridad.
 Detección basada en anomalías: en función con
el patrón de comportamiento normal de
tráfico.
 Detección honey pot (jarra de
miel): Funciona usando un equipo que se
configura para que llame la atención de
los hackers
Ingeniería en Telecomunicaciones
Semestre: I-2019
2.2.5 Clasificación de los IPS. -
 Basada en la red de prevención de intrusiones
(PIN): los monitores de toda la red para el
tráfico sospechoso mediante el análisis de la
actividad de protocolo.
 Sistemas de prevención de intrusiones
inalámbricas (WIPS): los monitores de una red
inalámbrica para el tráfico sospechoso
mediante el análisis de protocolos de
redes inalámbricas.
 Análisis de comportamiento de la red (NBA):
examina el tráfico de red para identificar
las amenazas que generan flujos de tráfico
inusuales, como la denegación de
servicio distribuido (DDoS), ciertas formas de
malware, y violaciónes de política.
 Basada en el host de prevención de intrusiones
(HIPS): un paquete de software que controla
un único host para detectar actividades
sospechosas mediante el análisis de los
acontecimientos que ocurren dentro de ese
sistema.
2.3 Sistemas de Detección de Intrusiones. -
Un Sistema de Detección de Intrusos o IDS
(Intrusion Detection System) es una herramienta
de seguridad encargada de monitorizar los eventos
que ocurren en un sistema informático en busca de
intentos de intrusión. Definimos intento de
intrusión como cualquier intento de comprometer
la confidencialidad, inte- gridad, disponibilidad o
evitar los mecanismos de seguridad de una
computadora o red. Las intrusiones se pueden
producir de varias formas: atacantes que acceden a
los sistemas desde Internet, usuarios au- torizados
del sistema que intentan ganar privilegios
adicionales para los cuales no están autorizados y
usuarios autorizados que hacen un mal uso de los
privilegios que se les han asignado.
La detección de intrusiones permite a las
organizaciones proteger sus sistemas de las
amenazas que aparecen al incrementar la
conectividad en red y la dependencia que tenemos
hacia los sistemas de información. Los IDSs han
ganado aceptación como una pieza fundamental en
UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO”
Telemática III – TEL 237
la infraestructura de seguridad de la organización.
Hay varias razones para adquirir y usar un IDS:
 Prevenir problemas al disuadir a individuos
hostiles: Al incrementar la posibilidad de
descubrir y castigar a los atacantes, el
comportamiento de algunos cambiará de forma
que muchos ataques no llegarán a producirse.
Esto también puede jugar en nuestra contra,
puesto que la presencia de un sistema de
seguridad sofisticado puede hacer crecer la
curiosidad del atacante.
 Detectar ataques y otras violaciones de la
seguridad que no son prevenidas por otras
medidas de protección: Los atacantes, usando
técnicas ampliamente conocidas, pueden
conseguir accesos no autorizados a muchos
sistemas, especialmente a aquellos conectados
a redes públicas. Esto a menudo ocurre cuando
vulnerabilidades conocidas no son corregidas.
 Detectar preámbulos de ataques (normalmente
pruebas de red y otras actividades): Cuando un
individuo ataca un sistema, lo hace tiṕ icamente
en fases predecibles. En la primera fase, el
atacante hace pruebas y examina el sistema o
red en busca de un punto de entrada óptimo. En
sistemas o redes que no disponen de un IDS, el
atacante es libre de examinar el sistema con un
riesgo mínimo de ser detectado. Esto le facilita
la búsqueda de un punto débil en nuestra red.
 Proveer información útil sobre las intrusiones
que se están produciendo: Incluso cuando los
IDSs no son capaces de bloquear ataques,
pueden recoger información rele- vante sobre
éstos. Esta información puede, bajo ciertas
circunstancias, ser utilizada como prueba en
actuaciones legales. También se puede usar
esta información para corregir fallos en la
configuración de seguridad de los equipos o en
la polit́ ica de seguridad de la organización.
2.3.1 Arquitectura de un IDS. -
Existen varias propuestas sobra la arquitectura de
los IDSs pero ninguna de ellas se usa mayori-
tariamente. Esto provoca que los productos de los
Ingeniería en Telecomunicaciones
Semestre: I-2019
fabricantes que trabajan con distinta arquitectura
puedan difić ilmente interoperar entre si.́
Si no existe un solo producto mágico que
haga todo por nosotros, es mejor que los
distintos productos utilizados para
establecer nuestra capacidad de detección
de intrusos interoperen. Para que estos
productos funcionen juntos debe aplicarse
un estándar. Los estándares originales
fueron el formato ’autopost de AusCERT’
y CIDF. En estos momen- tos, los esfuerzos
de estandarización actuales parecen ser
IDWG y CVE y posiblemente algunos
productos comerciales." (Northcutt, 2001,
pag. 18).
2.3.2 Arquitectura CIDF (Common Intrusion
Detection Framework). -
El Marco de Detección de Intrusos Común fue un
primer intento de estandarización de la arqui-
tectura de un IDS. No logró su aceptación como
estándar, pero estableció un modelo y un
vocabulario para discutir sobre las intrusiones.
Mucha gente que trabajó en el proyecto original
está fuertemente involucrada en los esfuerzos del
Grupo de Trabajo de Detección de Intrusos
(Intrusion Detección Working Group, IDWG) del
Internet Engineering Task Force (IETF).
 Equipos E, o generadores de eventos, son los
sensores. Su trabajo es detectar eventos y
lanzar informes.
 Equipos A, reciben informes y realizan
análisis. Pueden ofrecer una prescripción y un
curso de acción recomendado.
 Equipos D, son componentes de bases de datos.
Pueden determinar si se ha visto antes una
dirección IP o un ataque por medio de
correlación y pueden realizar análisis de pistas.
 Equipos R, o equipos de respuesta, pueden
tomar el resultado de los equipos E, A y D y
responder a los eventos.
UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO”
Telemática III – TEL 237
2.3.2 Arquitectura CISL (Common Intrusiones
Specification Language). -
El Lenguaje de Especificación de Intrusiones
Común aparece de la necesidad de unir los cuatro
tipos de equipos de CIDF. Los diseñadores de
CISL pensaron que este lenguaje debería ser capaz
al menos de transmitir los siguientes tipos de
información:
 Información de eventos en bruto. Auditoriá de
registros y tráfico de red. Seriá el encargado de
unir equipos E con equipos A.
 Resultados de los análisis. Descripciones de las
anomalías del sistema y de los ataques detec-
tados. Uniría equipos A con D.
 Prescripciones de respuestas. Detener
determinadas actividades o modificar
parámetros de seguridad de componentes.
Encargado de la unión entre equipos A y R.
2.3.3 Arquitectura IDWG (Intrusion Detection
Working Group). -
El IETF rechazó el enfoque de CIDF seguramente
por antipatiá a CISL, debido a su complejidad, y
creó un grupo de trabajo llamado IDWG (Intrusion
Detection Working Group) que tenía como
objetivo el de definir formatos y procedimientos de
intercambio de información entre los diversos
subsistemas del IDS. Los resultados de este grupo
de trabajo serán:
1. Documentos que describan los requerimientos
funcionales de alto nivel para la comunicación
entre sistemas de detección de intrusos y entre
los sistemas de detección de intrusos y sus
sistemas de gestión.
2. Un lenguaje común de especificación que
describa el formato de los datos.
3. Un marco de trabajo que identifique los
mejores protocolos que se pueden usar para la
comuni- cación entre los IDSs y que defina
como se mapean en éstos lo formatos de datos.
Ingeniería en Telecomunicaciones
Semestre: I-2019
2.3.4 Clasificación de los IDS. -
IDSs basados en red (NIDS)
La mayor parte de los sistemas de detección de
intrusos están basados en red. Estos IDSs de-
tectan ataques capturando y analizando paquetes
de la red. Escuchando en un segmento, un NIDS
puede monitorizar el tráfico que afecta a múltiples
hosts que están conectados a ese segmento de red,
protegiendo así a estos hosts.
Los IDSs basados en red a menudo están formados
por un conjunto de sensores localizados en varios
puntos de la red. Estos sensores monitor-izan el
tráfico realizando análisis local e informando de
los ataques que se producen a la consola de gestión.
Como los sensores están limitados a ejecutar el
software de detección, pueden ser más fácilmente
asegurados ante ataques. Muchos de estos sensores
son diseñados para correr en modo oculto, de tal
forma que sea más difić il para un atacante
determinar su presencia y localización.
IDSs basados en host (HIDS)
Los HIDS fueron el primer tipo de IDSs
desarrollados e implementados. Operan sobre la
informa- ción recogida desde dentro de una
computadora, como pueda ser los ficheros de
auditoriá del sistema operativo. Esto permite que
el IDS analice las actividades que se producen con
una gran precisión, determinando exactamente qué
procesos y usuarios están involucrados en un
ataque particular dentro del sistema operativo.
A diferencia de los NIDSs, los HIDSs pueden ver
el resultado de un intento de ataque, al igual que
pueden acceder directamente y monitorizar los
ficheros de datos y procesos del sistema atacado.
Detección de abusos o firmas
Los detectores de abusos analizan la actividad del
sistema buscando eventos que coincidan con un
patrón predefinido o firma que describe un ataque
conocido.
Detección de anomalías
La detección de anomalías se centra en identificar
comportamientos inusuales en un host o una red.
Funcionan asumiendo que los ataques son
diferentes a la actividad normal. Los detectores de
anomalías construyen perfiles representando el
comportamiento normal de los usuarios, hosts o
UNIVERSIDAD CATOLICA BOLIVIANA “SAN PABLO” Ingeniería en Telecomunicaciones
Telemática III – TEL 237 Semestre: I-2019

conexiones de red. Estos perfiles son construidos 4. Referencia Bibliográfica

de datos históricos recogidos durante el periodo
normal de operación. Los detectores recogen los 1) IPS (INTRUDER PREVENTION SYSTEM)
datos de los eventos y usan una variedad de
medidas para de- terminar cuando la actividad In-text: ("IPS (Intruder Prevention System)", 2018)
monitorizada se desviá de la actividad normal. Las Bibliography: IPS (Intruder Prevention System).
medidas y técnicas usadas en la detección de (2018). Interoute.es. Retrieved 23 April 2018, from
anomalías incluyen:
https://www.interoute.es/
 Detección de un umbral sobre ciertos atributos
del comportamiento del usuario. Tales 2) IDS (INTRUDER DETECTION SYSTEM)
atributos de comportamiento pueden incluir el
In-text: ("IDS (Intruder Detection System)", 2018)
número de ficheros accedidos por un usuario
en un periodo de tiempo dado, el número de Bibliography: IDS (Intruder Detection System).
intentos fallidos para entrar en el sistema, la (2018). Rediris.es. Retrieved 23 April 2018, from
cantidad de CPU utilizada por un proceso, etc. https://www.rediris.es/cert/doc/pdf/ids-uv.pdf
Este nivel puede ser estático o heuriś tico.
 Medidas estadiś ticas, que pueden ser
paramétricas, donde la distribución de los
atributos perfi- lados se asume que encaja con
un determinado patrón, o no paramétricas,
donde la distribución de los atributos perfilados
es aprendida de un conjunto de valores
históricos, observados a lo largo del tiempo.
 Otras técnicas incluyen redes neuronales,
algoritmos genéticos y modelos de sistema
inmune.

3. Conclusiones y Recomendaciones
Con la respectiva investigación, se llegó a entender
la definición, concepto y las principales
características de los sistemas de prevención y
detección de intrusiones. Se observaron los
distintos sistemas de seguridad que pueden ser
implementados en una red informática y las
respectivas clasificaciones de IPS e IDS de acuerdo
al desempeño que presentan ante el tráfico en la
red, con el propósito de determinar el mejor tipo de
IPS o IDS para una determinada red. Cabe
mencionar que estos elementos tienen un objetivo
en común; mantener a la red lo más segura posible
ante amenazas o ataques que afecten el correcto
funcionamiento de ella.