Dispositivos de seguridad Al combinar las ventajas de varios productos de proteccin informtica, los dispositivos de seguridad son poderosas herramientas

que se interponen entre un sistema informtico y una cantidad de gusanos, virus y otros intrusos maliciosos. Aunque dichos dispositivos pueden reparar el dao que infligen las brechas de seguridad, su valor real proviene sobre todo de la prevencin de ataques. El delito informtico saca una gran tajada de la productividad empresarial. Segn la encuesta ms reciente del FBI/CSI sobre el delito informtico, los piratas informticos o hackers fueron responsables de ms de $23 mil millones de dlares en prdidas en el 2006 - y no hay demasiada evidencia para pensar que esta tendencia alarmante disminuir en el futuro. Pero los dispositivos de seguridad, los cuales incorporan una serie de funciones de seguridad, le ofrecen ahora a las PYMES la posibilidad de evitar brechas de seguridad sin quebrarse o sin tener que contratar personal adicional de informtica. Es algo nuevo, dice David Puzas, gerente de lnea la divisin de Dispositivos de Seguridad de Internet de IBM. Segn l, "las PYMES tpicamente no han contado con el nivel de proteccin que las empresas grandes tenan en el pasado." Los equipos - que en realidad son dispositivos con un diseo tipo servidor - pueden atender asuntos de seguridad mucho ms eficazmente que distintos componentes independientes de hardware y software. Esto es crtico para las PYMES por varias razones. El delito informtico afecta no solo la rentabilidad sino tambin la reputacin y credibilidad. Si por ejemplo ocurre una brecha de seguridad en la empresa y se pierde informacin de clientes, esto afectar seriamente la buena voluntad y las relaciones que ha costado tanto esfuerzo desarrollar. Tambin hay problemas ocasionados por tiempos de inactividad. Todo virus, gusano o ataque ciberntico que logra penetrar su empresa puede paralizar las operaciones durante horas - e incluso por das - mientras que el personal de informtica y consultores logra restaurar las cosas. Situaciones como sta hacen que los gerentes de PYMES aoren poder regresar al pasado y hacer las cosas en forma diferente. Pero la solucin ms lgica que adoptan los dispositivos de seguridad es asegurarse que en primer lugar dichas situaciones no ocurran. Combinacin de productos eleva nivel de proteccin

El diseo de los dispositivos de seguridad contribuye mucho a la prevencin de ataques; dichos dispositivos incorporan varios productos de seguridad en una sola unidad de hardware. Entre los productos que incluyen se encuentran software antivirus, deteccin de intrusos, cortafuegos, software de seguridad de redes, y capacidad de escaneo - y todos operan conjuntamente. En comparacin, los dispositivos de seguridad autnomos operan independientemente. Por lo tanto, a menos que la PYME cuente con personal dedicado de seguridad informtica para mantener todo sincronizado, los productos aislados pueden dejar la empresa expuesta a riesgos. Un dispositivo de seguridad tambin cuesta usualmente mucho menos que comprar varios productos de seguridad independientes. La combinacin de bajo costo y alta eficacia para proteger los activos informticos es crtica para las PYMES conscientes de costos, segn Puzas. Estos dispositivos automatizan la toma de medidas de seguridad que de lo contrario son dispendiosas y costosas, y son necesarias para protegerse y recuperarse de todo tipo de ataques, tales como pharming, phishing, virus y gusanos. "Es que los ataques no descansan - no se detienen a las cinco de la tarde y despus regresan de nuevo a las nueve de la maana," segn Puzas. La prevencin trae ahorros de costos de operacin Aunque los dispositivos de seguridad realizan muchas funciones, su utilidad central es la prevencin de ataques cada vez ms sofisticados. "Si observamos los ataques de los ltimos dos aos, stos han sido capaces de evitar el software antivirus y los cortafuegos - y penetran su red causando daos," segn Puzas. Aade que los mtodos tradicionales de solucionar dichos problemas simplemente toman mucho tiempo - lo cual puede dejar a una PYME incapacitada de repente para continuar con sus operaciones. l aclara eso mostrando las limitaciones de depender de un solo producto de seguridad, y usa el software antivirus como ejemplo. "Para que el antivirus sea efectivo debe primero ver el virus, y despus las defensas deben hacer ingeniera reversa para crear un parche." "Pero en ese entonces se tiene una solucin reaccionaria, porque ya ocurri algo malo." El enfoque con los dispositivos de seguridad est diseado para prevenir que los problemas ocurran en primer lugar. "La implementacin de un enfoque de seguridad tipo multi-capa - en el que se instala antivirus, cortafuegos y tecnologa de deteccin de intrusos - es la mejor solucin porque no est limitada a sufrir un ataque y despus instalar un parche como lo hace el antivirus."

Dispositivos de seguridad fortalecen las operaciones de la empresa Los dispositivos de seguridad tambin le permiten a las empresas concentrarse que sus competencias bsicas en vez de preocuparse de problemas informticos, segn Puzas. Distintas reas especficas de operaciones pueden aprovechar estos dispositivos, con la continuidad empresarial eficiente a la cabeza de la lista. Segn Puzas, los dispositivos pueden ayudar a mantener los sistemas y empleados trabajando tranquilamente, a pesar del nmero de amenazas que podran paralizar la empresa. Adems, se puede eliminar los requerimientos repentinos de demanda adicional de ancho de banda creada por las soluciones de seguridad reactivas e individuales, lo cual le permite a las PYMES utilizar su poder de cmputo para aplicaciones empresariales - y permitir que el personal informtico gaste menos tiempo solucionando problemas de seguridad. "La conformidad con el cumplimiento regulatorio es una de las cosas que aporta la seguridad," aade Puzas - y seala las transacciones con tarjetas de crdito y la proteccin de consumidores como reas en las que se destacan los dispositivos de seguridad. Adems los dispositivos a menudo son capaces de reportar las distintas medidas de seguridad de la empresa, lo cual es un requerimiento importante del cumplimiento regulatorio. Investigacin continuada hace frente a las nuevas amenazas Dado que las amenazas de seguridad evolucionan constantemente, la mayora de los dispositivos de seguridad se actualizan constantemente para luchar contra intrusiones potenciales. Que tan bien se puede actualizar los dispositivos de seguridad para enfrentar las nuevas amenazas depende del compromiso del fabricante con la investigacin de vulnerabilidades, dijo Puzas. La investigacin sobre seguridad para estos dispositivos, segn explic, debe idealmente consistir en encontrar debilidades en los sistemas operacionales y aplicaciones ms ampliamente usadas - as como determinar como dichas tecnologas son usadas en industrias especficas. Servicios gestionados refuerzan la eficacia de los dispositivos de seguridad Asegurar que los dispositivos se mantienen actualizados es ms fcil de lograr si se externaliza la tarea a servicios de seguridad, dijo Puzas. "Es una cosa comprar un gabinete o un paquete de software - y es otra volverlo efectivo y obtener los mayores resultados de su inversin," segn explic. Las PYMES que consideran esta opcin, segn l, deben buscar

proveedores con antecedentes slidos en investigacin sobre seguridad y la capacidad de actualizar remotamente las soluciones de seguridad en cualquier momento. "No es posible estar presente en todas partes todo el tiempo," seal Puzas como uno de los retos de las PYMES para proteger sus activos informticos contra las intrusiones. Tambin advierte, "Nunca podemos estar seguros un 100 por ciento." Pero con los dispositivos de seguridad, las PYMES pueden obtener una reduccin significativa del delito informtico - y a la vez proteger su inversin, rentabilidad, y reputacin. Introduccin a la seguridad informtica Debido a que el uso de Internet se encuentra en aumento, cada vez ms compaas permiten a sus socios y proveedores acceder a sus sistemas de informacin. Por lo tanto, es fundamental saber qu recursos de la compaa necesitan proteccin para as controlar el acceso al sistema y los derechos de los usuarios del sistema de informacin. Los mismos procedimientos se aplican cuando se permite el acceso a la compaa a travs de Internet. Adems, debido a la tendencia creciente hacia un estilo de vida nmada de hoy en da, el cual permite a los empleados conectarse a los sistemas de informacin casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de informacin fuera de la infraestructura segura de la compaa. Introduccin a la seguridad Los riesgos, en trminos de seguridad, se caracterizan por lo general mediante la siguiente ecuacin.

La amenaza representa el tipo de accin que tiende a ser daina, mientras que la vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposicin a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza. Las contramedidas que deben implementarse no slo son soluciones tcnicas, sino tambin reflejan la capacitacin y la toma de conciencia por parte del usuario, adems de reglas claramente definidas.

Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de accin del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cmo funcionan para conocer la mejor forma de reducir el riesgo de intrusiones. Objetivos de la seguridad informtica Generalmente, los sistemas de informacin incluyen todos los datos de una compaa y tambin en el material y los recursos de software que permiten a una compaa almacenar y hacer circular estos datos. Los sistemas de informacin son fundamentales para las compaas y deben ser protegidos. Generalmente, la seguridad informtica consiste en garantizar que el material y los recursos de software de una organizacin se usen nicamente para los propsitos para los que fueron creados y dentro del marco previsto. La seguridad informtica se resume, por lo general, en cinco objetivos principales:

Integridad: garantizar que los datos sean los que se supone que son Confidencialidad: asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian Disponibilidad: garantizar el correcto funcionamiento de los sistemas de informacin Evitar el rechazo: garantizar de que no pueda negar una operacin realizada. Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los recursos

Confidencialidad La confidencialidad consiste en hacer que la informacin sea ininteligible para aquellos individuos que no estn involucrados en la operacin. Integridad La verificacin de la integridad de los datos consiste en determinar si se han alterado los datos durante la transmisin (accidental o intencionalmente).

Disponibilidad El objetivo de la disponibilidad es garantizar el acceso a un servicio o a los recursos. No repudio Evitar el repudio de informacin constituye la garanta de que ninguna de las partes involucradas pueda negar en el futuro una operacin realizada. Autenticacin La autenticacin consiste en la confirmacin de la identidad de un usuario; es decir, la garanta para cada una de las partes de que su interlocutor es realmente quien dice ser. Un control de acceso permite (por ejemplo gracias a una contrasea codificada) garantizar el acceso a recursos nicamente a las personas autorizadas. Necesidad de un enfoque global Frecuentemente, la seguridad de los sistemas de informacin es objeto de metforas. A menudo, se la compara con una cadena, afirmndose que el nivel de seguridad de un sistema es efectivo nicamente si el nivel de seguridad del eslabn ms dbil tambin lo es. De la misma forma, una puerta blindada no sirve para proteger un edificio si se dejan las ventanas completamente abiertas. Lo que se trata de demostrar es que se debe afrontar el tema de la seguridad a nivel global y que debe constar de los siguientes elementos:

Concienciar a los usuarios acerca de los problemas de seguridad Seguridad lgica, es decir, la seguridad a nivel de los datos, en especial los datos de la empresa, las aplicaciones e incluso los sistemas operativos de las compaas. Seguridad en las telecomunicaciones: tecnologas de red, servidores de compaas, redes de acceso, etc. Seguridad fsica, o la seguridad de infraestructuras materiales: asegurar las habitaciones, los lugares abiertos al pblico, las reas comunes de la compaa, las estaciones de trabajo de los empleados, etc.

Cmo implementar una poltica de seguridad Generalmente, la seguridad de los sistemas informticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificacin y control que aseguran que los usuarios de estos recursos slo posean los derechos que se les han otorgado. Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez ms complicadas a medida que la red crece. Por consiguiente, la seguridad informtica debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y as puedan utilizar los sistemas de informacin en forma segura. Por esta razn, uno de los primeros pasos que debe dar una compaa es definir una poltica de seguridad que pueda implementar en funcin a las siguientes cuatro etapas:

Identificar las necesidades de seguridad y los riesgos informticos que enfrenta la compaa as como sus posibles consecuencias Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organizacin Controlar y detectar las vulnerabilidades del sistema de informacin, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

La poltica de seguridad comprende todas las reglas de seguridad que sigue una organizacin (en el sentido general de la palabra). Por lo tanto, la administracin de la organizacin en cuestin debe encargarse de definirla, ya que afecta a todos los usuarios del sistema. En este sentido, no son slo los administradores de informtica los encargados de definir los derechos de acceso sino sus superiores. El rol de un administrador de informtica es el de asegurar que los recursos de informtica y los derechos de acceso a estos recursos coincidan con la poltica de seguridad definida por la organizacin. Es ms, dado que el/la administrador/a es la nica persona que conoce perfectamente el sistema, deber proporcionar informacin acerca de la seguridad a sus superiores, eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a los

usuarios en relacin con los problemas y las recomendaciones de seguridad. La seguridad informtica de una compaa depende de que los empleados (usuarios) aprendan las reglas a travs de sesiones de capacitacin y de concientizacin. Sin embargo, la seguridad debe ir ms all del conocimiento de los empleados y cubrir las siguientes reas:

Un mecanismo de seguridad fsica y lgica que se adapte a las necesidades de la compaa y al uso de los empleados Un procedimiento para administrar las actualizaciones Una estrategia de realizacin de copias de seguridad (backup) planificada adecuadamente Un plan de recuperacin luego de un incidente Un sistema documentado actualizado

Las causas de inseguridad Generalmente, la inseguridad se puede dividir en dos categoras:

Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dainas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita) Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan)

# Implementando seguridad mediante FILTRADOS. Una vez que armamos nuestra red, diseamos cada detalles, viene el toque final que es el mas importante de todo, y es el fin en si de nuestro trabajo, IMPLEMENTAR SEGURIDAD. Como hacemos esto?, pues bien, tenemos varias formas independientes, que si las fusionamos se complementan formando la seguridad de la red total. Cuando hablamos de implementar seguridad, no estamos diciendo que hay que poner un polica o un grupo swat enfrente de la pc las 24hs sino que se implementa de una forma mas sencilla, como el poder "FILTRAR" informacin que no nos sirve, o que no es util para nuestra red. Por ejemplo si solo tenemos un servidor el cual nicamente es til y sirve para un determinado cliente, o sea que servimos informacin para una determinada IP nada mas en todo el mundo, lo que deberamos hacer es filtrar el resto de conexiones menos esa ip nica que pertenece a

nuestro cliente.. en "pseudocodigo" sera algo as: "Aceptar nicamente conexin de ["IP-UNICA"] en determinado puerto y bloquear todo el resto de conexiones que no sean la de nuestro cliente" Cuando hablamos del filtrado de informacin, deducimos "informacin" como "datos". Algunos dispositivos de Seguridad que realizan estos filtros son: [+] Los Firewalls principalmente (Tambin llamados Cortafuegos) y pueden ser implementados tanto via Hardware como Software. De esta rama de Firewalls resaltan dos sistemas importantes: * Los IDS (Sistemas de Deteccin de Intrusos). * Los IPS ya sea mediante Hardware o Software (Sistema de Prevencion de Intrusos). [*] Una cosa a aclarar es que muchas de las empresas y organizaciones importantes (y serias sobre todo) usan mas de una pc destinada a la seguridad de sus propias redes. Recordemos que en lo que respecta a la seguridad siempre, ya sea de forma virtual o forma fsica. Se implementa mediante CAPAS, imaginemos un anillo rodeada de otro anillo mas grande, y otro mas grande, y otro mas y mas y mas... y cada anillo es una capa de seguridad por lo tanto que si desde el exterior queremos ingresar al centro del anillo tenemos que saltear varias capas. Eso es lo que se hacen con respecto a la Seguridad Informtica, todo est empleado en capas.

# Filtrado de Paquetes Es el filtrado mas bsico, este firewall se basa en la lectura de las cabeceras de los paquetes y compara con las reglas establecidas previamente. (se acuerdan el primer ejemplo en pseudocdigo que di? bueno...esa era una regla, claro en pseudocodigo, pero es bsicamente lo que hace este firewall). El firewall se enlaza con la capa de RED (ICMP/IP) y con la de TRANSPORTE (TCP/UDP). (en caso de perderse, re-leer capas de MODELO OSI). El firewall determina una regla de acceso mediante seis elementos o requisitos: IP DE ORIGEN IP DESTINO PUERTO DE ORIGEN PUERTO DESTINO PROTOCOLO ACCION

Bien, veamos un ejemplo de cmo se ve una regla de acceso en un firewall. (Puede que varie en el de ustedes la sintaxis pero el fin es el mismo). Esto seria bsicamente una regla de un firewall. As de sencillo, con la practica se ira haciendo casi de forma automtica el tipeo.. no hay mejor forma de aprender que con la practica!. Pasemos a explicar el recuadro: 1- En la primer lnea vemos como en ip de origen figura ANY, esto quiere decir "cualquiera/alguno" Pero en este caso se usa como Cualquiera (reglas del querido ingls). Entonces estamos diciendo que CUALQUIER IP, que se conecte a NUESTRA IP (IP DESTINO) desde CUALQUIER PUERTO (PUERTO DE ORIGEN, generalmente no es importante el p.origen) hacia un PUERTO QUE TENEMOS ABIERTO (PUERTO DESTINO) (que en este caso es un servicio de proxy ya que el protocolo y puerto nos manifiestan esto), entonces la ACEPTAMOS. 2- En la segunda linea vemos como bloqueamos una determinada IP en este caso 24.232.2.2 si intenta ingresar a nuestro servicio ftp que estamos corriendo. Automticamente el firewall denegara el acceso. Firewall de Enlace de Aplicacin o de Servidor Proxy Veamos las caractersticas de este siguiente firewall.. es lgicamente algo ms complejo que la simple filtracin de paquetes. Este firewall como indica el nombre se enlaza con las capas de arriba de todo, las de aplicacin que son las que los usuarios tenemos contactos constantemente. Bsicamente el cortafuegos de aplicacin lo que hace es dividir las dos redes...permitiendo que la LAN se comunique con la WAN, y viceversa. Tiene puntos ventajosos y en contras como todo software, su seguridad es quizs simple pero es bastante confiable, su autenticacin es mediante IP. Tiene ventajas como la de guardar informacin en cache, lo cual impica una menor carga, se puede restringir acceso a los usuarios o a determinado recursos que estos quieran acceder. Un usuario puede autenticarse mediante Telnet, FTP, etc, y una vez que se autoriza se muestran todos las posibilidades de accesos a servicios, que realmente no se ven cuando se carece del usuario y contrasea. DESVENTAJAS

* Si hablamos de Vulnerabilidades puede que cuente con algunos puntos en cuanto a este sistema, que esta basado en las capas superiores por lo tanto no puede interactuar de la misma forma que otros cortafuegos, osea que puede recibir ataques de inundacion de SYN, Spoofing, no advierte de programas que pueden instalarse y editar registros o incluso borrarlos, etc. * El uso de hardware es importante, ya que emplea muchos recursos, por lo que es preferencial, solamente emplearlo en un pc dedicado a este propsito. # Analisis de paquetes con estado SPI Deje para el final esta explicacin porque es quien generalmente se gana la atencin. Sin dudas es el tipo de firewall que se lleva todos los premios y confianza, su complejidad es muy robusta. Su trabajo es compatible en casi todas las capas del modelo TCP/IP, lo que lo hace ser muy inteligente comparndolo con otros patrones de filtracin. Con SPI se compara una tabla que se crea con las conexiones ya establecidas, es muy importante esto ya que un spoofing algo bsico no daria los mismos resultados. (a diferencia de la "filtracin de paquetes" que se comparaba mediante el estado del bit SYN) Segn sea el protocolo, el Firewall SPI tambin puede analizar por dentro del paquete recibido con el objetivo de intentar detectar acciones maliciosas. El estado de las conexiones en la tabla, puede guardar para uso posterior mltiples datos que son definidos a travs del firewall, como la ip origen, ip destino, puertos, tiempo de conexin, etc # Donde implementarlos, dependiendo de las plataformas? Bueno una vez que nuestro administrador ya va aprendiendo mas cosas, y en este caso aprendi a reconocer tres tipos de firewalls que funcionan con patrones diferentes tiene que aprender y pensar en DONDE PODER IMPLEMENTAR ESTOS FIREWALLS dependiendo de las diferentes situaciones y plataformas que se le presente. El primero que voy a arrancar nombrando es el firewall hogareo debido a que es el mas bsico, y es el mas conocido por todos nosotros. (Quizs tambin lo reconozcan por el nombre "domestico" es exactamente lo mismo...) # Firewall Hogareo o Domestico.

[Zone Alarm] Es el software mas conocido por los usuarios finales, en la actualidad se escucha hablar mucho de estos firewalls, los cuales se implementan en una pc hogarea y para ese nico fin de proteger ese determinado host. Los firewalls mas modernos, o en su defecto, en versiones FULL, o PRO, ademas del motor de cortafuegos, vienen con complementos adicionales como pueden ser un Antivirus, un Anti-Spam, Anti-Phishing, AntiSpyware, etc etc.. Algunos ejemplos de estos son: Zone Alarm (en foto arriba), Cmodo Firewall, BlackICE, etc. Como ya aclare arriba, si vos te dedicas a sentarte, escuchar musica, navegar y navegar, este dispositivo es el indicado para tu plataforma. (siempre que hablemos de windows). # Firewall de Servidores. Esta es otro dispositivo bastante eficaz que se ve comunmente instalado en medianas empresas. Se basa en instalar un software que ejecute funciones de un firewall dentro de un determinador servidor, mediante el cual asegura toda la red y el mismo equipo. Una de las mas conocidas a momento de hablar del sistema "Windows" es el ISA (Internet Security and Acceleration Server) es un gateway integrado de seguridad perimetral. El cual permite proporcionar seguridad a los usuarios mediante un acceso remoto seguro a todas las aplicaciones de la empresa. [Microsoft ISA 2006] # Firewall en los Routers. Seguimos nombrando dispositivos, y este es uno de los mas conocidos y baratos.. Cisco fue quien resalto en lo que respecta de routers, creo su sistema operativo PIX, agrego opciones a toda la gama de routers para que funcionen como firewalls, este se la llamo el Firewall Feature Set, esto se agrega al sistema operativo del router cirsco. Si hablamos de que tan dinmico puede ser, es proporcional a la configuracin que nosotros los admins le demos, segun las caractersticas del hardware que poseemos podemos decir que puede ser mas flexible o menos... Tiene varias funciones de seguridad como la de anlisis de transacciones de protocolos, permite logearse como syslog, puede bloquear java, etc etc.. [Router con Firewall integrado]

# IDS (Sistema de Deteccion de Intrusos) Luego de terminar con las explicaciones de algunas variantes a la hora de filtrar informacion, que incluso se pueden complementar una con otras.. en diferentes capas para hacer mas dificil el trabajo de un supuesto cyberdelincuente.. Ahora veremos algo mas complejo que son los IDS. Una cosa a aclarar desde el vamos, es que un FIREWALL no es igual que un IDS. Generalmente la gente se equivoca y compara como si se tratase de lo mismo y en realidad son dos cosas diferentes, que se pueden complementar, en cuanto el firewall nos protege y el ids nos vigila. Estos dispositivos de Deteccin de Intrusos estn a cargo de alertar de posibles instrusiones al sistema de nuestro querido enemigo el cyberdelincuente. Algunas caractersticas que poseen los IDS, es el envo de alertas mediante correo electrnico, mensajes de texto, mediante un programa, etc. # Diferentes tipos de IDS, el NIDS & HIDS. En este sector de Sistemas de Deteccin de Intrusos, podemos dividir la situacin en dos grandes caminos que ayudan a complementar conjuntamente la seguridad en nuestro servidor. Por un lado tenemos el "NIDS", que es el Sistema de Deteccin de Intrusos en una Red como el nombre lo indica es capas de analizar la red y comparar paquete por paquete en una base de datos de ataques o blacklist, y alerta en caso de que sea positivo. Hay que aclarar que el funcionamiento es bsicamente un "Sniffing" al momento de captar todos los paquetes de la red. Es muy usado por empresas de mediano y alto nivel, de esta manera podemos no solo asegurar un equipo sino la red entera.

Por otro lado tenemos el HIDS, Sistema de Deteccin de Intrusos en un Host. Este sistema de lo contrario al NIDS, solo analiza el trafico en un determinado host. Simplemente se instalan en equipos puntuales independientes, puede analizar a usuarios y hacer un seguimiento ya sea el acceso a ficheros o carpetas no permitidas, borrado de archivos crticos que pongan en peligro el sistema. [Bien para dar un repaso mas por arriba de esto, porque la idea no es en si explicar el TODO de todo los detalles... sino asimilar conocimientos,

para que nuestro querido admin, elija, sepa de que estamos hablando, y luego se enfoque su pensamiento en expandir el conocimiento para implementar un determinado sistema por cuenta suya] Los IDS tienen dos formas de reconocer un ataque producido por nuestro enemigo el "cyberdelincuente". El primero es mediante las tan conocidas FIRMAS que lgicamente se trabaja mediante la "COMPARACION". Una vez que el paquete pasa por el IDS, este lo compara con unas reglas predeterminadas que comentan supuestos ataques. Un ejemplo de un IDS, es el SNORT (Para mas informacion ingresar a la web principal

) este IDS implementa un lenguaje de creacion de reglas flexibles que lo hace bastante potente y sencillo. El SNORT avisa cuando se produce un ataque, desde que ip se produce hacia que ip, puertos utilizados, es muy veloz y no necesita procesar informacion, pero como dije la idea no es adentrarnos en cada dispositivo y explicarlo detalladamente eso lo dejo a el que intente implementar algn dispositivo como estos.. El Segundo se llama Anlisis de Protocolo, el cual se divide en dos mecanismos, el primero puede crear estadsticas mediante un determinado aprendizaje, en determinado cantidad de tiempo. Digo lo del tiempo porque el ids va a analizar el trafico "x" tiempo, la rutina de nuestro trafico de red, cuanto mayor tiempo tiene de aprendizaje, menos falsos positivos nos entregara. El segundo mecanismo es de forma manual, simplemente nosotros debemos ingresar la informacin para que nuestro IDS quede configurado. Esta bastante piola esto de los IDS, ya que podemos rebuscndolas y buscar por internet ayuda, o consejos de como implementar reglas propias, incluso gente en el mbito profesional y tcnico sube su gran "base de datos" de reglas o tips para intentar permitir estar al da en lo que respecta a seguridad y a las ultimas vulnerabilidades. Algunas recomendaciones: # Snort

# Manhunt # NID # IPS (Intrusion Prevention System) Para ir cerrando este paper que bastante largo me salio... vamos a hablar de lo que para mi respecta y para la mayoria tambien je, la evolucion del IDS. Este mecanismo es realmente complejo, o lo intenta ser. Su funcionamiento tiene como objetivo la Deteccion, el Analisis y el Bloqueo de ataques. Este dispositivo puede inspeccionar los flujos de datos con el fin de detectar los ataques que pueden ser explotados mediante vulnerabilidades desde el nivel 2 (control de acceso) del modelo OSI hsata la capa 7 (la de aplicaccion). Una caracteristica resaltadora es la de la inspeccion a fondo, en la cual los paquetes pueden ser clasificados y analizados en su totalidad mediante todos los filtros que posee. Esa clasificacion de paquetes se basa en la conocida configuracion de cabecera de los paquetes, direcciones origen y destino, etc. Si hablamos de los filtros que posee podemos decir que estan formados por un conjunto de reglas que definen determinadas condiciones que son necesarias cumplirse para informar si un paquete es o no es daino. Lo bueno de los IPS es que no solo detectan la vulnerabilidad sino que mediante el Analisis de Protocolo que comente mas arriba, lo transforma en algo asi como un sistema inteligente, el cual permite detectar y tomar acciones sobre una vulnerabilidad que todavia no ha sido anunciada. Para resumir el funcionamiento de un IPS podemos sealarlo con 4 puntos fundamentales: * El paquete que entra es clasificado por la cabecera y la info de flujo que se asocia. * Segun la funcion de como se clasifique el paquete, se aplicaran determinados filtros. * Los filtros relevantes se aplican en paralelo, y si hay un

positivo, se etiqueta como sospechoso. * Si es sospechoso, se desecha y se actualiza la base de estado sobre el flujo relacionado para descartar restos de dicho flujo entrante.