Trabajando juntos, una alianza por la seguridad

 

IPS e IDS

Fuente: (Tec cens, 2020)

Con el crecimiento de la tecnología y el riesgo de intrusión que también se ha incrementado, se han desarrollado estrategias de seguridad para las redes de comunicación y los dispositivos, por lo que los sistemas de defensa basados en firewall han evolucionado a dos sistemas de prevención y detección: los IPS (Intrusion Prevention System) y los IDS (Intrusion Detection System).

Anteriormente los firewalls solo se enfocaban en las comunicaciones basadas en direcciones IP y puertos, estos nuevos sistemas también verifican el tráfico de red o el comportamiento de los equipos para detectar si existe alguna actividad maliciosa.

Básicamente un Sistema de Prevención de Intrusos es un dispositivo de seguridad utilizado en redes, cuya función es  monitorear actividades a nivel a nivel de la capa 7 (aplicación) del Modelo OSI  y/o de la capa 3 (red), con la finalidad de identificar comportamientos maliciosos o sospechosos y dar una respuesta ante ellos en tiempo real mediante una acción de contingencia, la ventaja de este a diferencia de un firewall  tradicional,  es que puede tomar   decisiones de control de acceso basados en los contenidos del tráfico en ves de las direcciones o puertos IP.

Ahora bien, en cuanto al IPS, este se creo como un complemento de otras herramientas de seguridad (firewall o un IDS), por lo que muchas de sus características tienen un comportamiento proactivo ante ataques y amenazas.

La diferencia entre estos dos sistemas es su comportamiento ante algún intruso, ya que el IDS es reactivo (alerta ante la detección de un posible intruso) y el IPS es proactivo (establece políticas de seguridad).

Estos sistemas  pueden utilizarse  en las mismas redes; y pueden  clasificarse en función del sistema que analizan:

• Los sistemas basados en red (NIPS).
• Los sistemas de detección en redes inalámbricas (WIPS).
• Los sistemas basados en servidores (HIPS).

Los IPS se pueden clasificar por su método de detección y por tipo de tecnología, los cuales se resumen en la siguiente tabla.

 

Método de detección	De acuerdo a su tecnología
IPS basado en firmas o signaturas	IPS basado en host
IPS basado en anomalías
IPS basado en políticas	IPS basado en la red
IPS basados en detección por Honey Pot (Pote de Miel)

¿Qué son las firma IPS?

Son patrones conocidos de ataques a la seguridad de un dispositivo o una red, que son adheridos a los dispositivos que realizan la detección para que, mediante una búsqueda de coincidencias, se pueda establecer si existe o no un posible ataque y reaccionar ante este. En el listado de firmas de IPS se muestra como  información:

• La Identificación de la Firma es la identificación de registro al bloquear  el contenido.

• La Categoría  (tipo de amenaza).

• El Nivel  y la descripción de la Amenaza 

Existen diversas soluciones de Cisco para la prevención de intrusiones, con las que se puede las cuales son capaces de identificar, clasificar y detener con precisión el tráfico malicioso (gusanos, spyware y adware, virus de redes, y abuso de aplicaciones), por lo  proporcionan protección contra amenazas; además de que  evitan las amenazas de múltiples vectores (terminales de red, servidor y escritorio).

Estas soluciones que ofrece cisco son compatibles con múltiples plataformas de Cisco, desde dispositivos IPS y firewalls integrados, así como para módulos de servicios para routers y switches; protegiendo  la red contra infracciones en  las políticas de seguridad, y de  vulnerabilidades y actividades anómalas mediante la inspección  del tráfico en la red  (capas 2 a 7) por lo que  proporcionan una protección de extremo a extremo.

 

Las soluciones Cisco IPS se encuentran disponibles en diversas plataformas:

En la siguiente tabla detallamos algunas de sus características y beneficios:

Bibliografía

Cisco. (2007). Soluciones de Cisco para la prevención de intrusiones. Obtenido de https://www.cisco.com/c/dam/global/es_es/assets/publicaciones/07-08-cisco-IPS.pdf

Cisco. (s.f.). Cisco Catalyst 6500 Series Intrusion Detection System (IDSM-2) Services Module. Obtenido de https://newsroom.cisco.com/dlls/IDSM2DS.pdf

Cisco. (s.f.). Cisco IPS 4200 Series Sensors. Obtenido de https://www.iptrading.com.au/productAttachment/pdf_48f6614bffd17188d9efe5ff70a3ef32.pdf

David DV. (28 de febrero de 2018). SISTEMA PREVENCIÓN DE INTRUSOS E SISTEMA DE DETECCIÓN DE INTRUSOS (IPS E IDS). Obtenido de https://netddv.wordpress.com/2018/02/28/sistema-prevencion-de-intrusos-e-sistema-de-deteccion-de-intrusos-ips-e-ids/

Infotecs. (13 de marzo de 2019). IPS: Sistema de Prevención de Intrusos. Obtenido de https://infotecs.mx/blog/ips-sistema-de-prevencion-de-intrusos.html

IPS e IDS. (s.f.). Obtenido de Securizando: https://securizando.com/ips-e-ids/

Tec cens. (8 de octubre de 2020). Proteger mi empresa de intrusiones. Obtenido de https://www.tecsens.com/proteger-mi-empresa-de-intrusiones/

UNADM. (s.f.). Unidad 3. Técnicas y metodologías avanzadas de seguridad. Obtenido de Ingeniería en Telemática: https://campus.unadmexico.mx/contenidos/DCEIT/BLOQUE1/TM/05/KSG2/U3/descargables/KSG2_U3_Contenido.pdf

 

Servicios Firewalls

 

Con el aumento del uso de internet en todas las organizaciones, también los delincuentes cibernéticos han estado mas al acecho. Para detenerlos se requiere integrar  una solución   que combine análisis de malware, inspección y análisis de tráfico cifrado, seguridad de aplicaciones en la nube y servicios de reputación, etc.

Un firewall (cortafuegos), es un sistema que ayuda a prevenir y proteger nuestra red   de intrusiones y ataques de otras redes. Este es capaz de permitir, limitar, cifrar o decodificar el tráfico de comunicaciones en la red local (equipo de computado) y el resto del Internet, para que  usuarios o sistemas no autorizados tengan o no acceso.  

¿Cuáles son las funciones de un Firewall?

• Crear una barrera de check point que permita o bloquee intentos para acceder a la información de un equipo y alas redes de la organización a  usuarios no autorizados.  
• Supervisar la comunicación entre equipos locales y equipos conectados en Internet.
• Detectan y bloquean aplicaciones que puedan generar riesgo
• Crean alertas de intentos de conexión desde otros equipos o mediante  las aplicaciones de un equipo que se conecta a otros equipos.
• Detectan aplicaciones y actualizan rutas para agragar futuras fuentes de información.

Métodos de filtración del tráfico

• Políticas de Firewall:  Bloquean y/o permiten ciertos tipos de tráfico de red no especificados en  la política de excepciones.

• Anti-Spam Firewall: Protege contra el pishing, spam, de la detección de patrón recurrente (RPD).

• Antivirus Firewall: Primera línea de defensa que protege la red interna contra ataques  del Internet o enlace WAN.

• Filtrado de Contenido: A través de un sistema de reglas de exclusión se puede bloquear  algunos tipos de contenido web.

• Servicio Gestionado WAP: Permite controlar los dispositivos WAP y su uso para algunos servicios y usuarios autorizados.

• Servicios de DPI (Deep Package Inspection). Se pueden controlar aplicaciones específicas (troyanos y aplicaciones de puerta trasera) que pueden infiltrarse en su red interna.

Tipos de acción  de Firewall

• Nivel de aplicación de pasarela. Aplica  para aplicaciones  consideradas riesgosas, como servidores FTP o (P2P) de intercambio libre de información entre usuarios.
• Circuito a nivel de pasarela. A través de sesiones de seguridad vigila las conexiones TCP o UDP 
• Cortafuegos de capa de red. Emplea datos como la dirección MAC para la inspección de las direcciones IP y el intercambio de paquetes IP.
• Cortafuegos de capa de aplicación. Funciona en aplicaciones controlando su alcance al Internet mediante Proxys.
• Cortafuegos personal. Elegido  por el usuario e instalado en el sistema para atender  requerimientos individuales del sistema.

Firewalls mas comunes en el mercado:

• Sonicwall
• Palo alto
• Cisco ASA
• Fortinet

Combina el análisis de malware, inspección de tráfico cifrado, seguridad de aplicaciones en la nube y servicios de reputación.

Firewalls serie TZ (pymes y sucursales)

Ofrecen una plataforma integrada, de extremo a extremo para la detección de intrusiones y protección contra malware automáticas. Cuenta con Licencia DPI-SSL incluida y tecnologías como inicio de sesión único e implementación sin intervención.

Características:

• Interfaces de múltiples gigabits (5/10 G) en un factor de forma de escritorio.

• TLS 1.3 y 5G para la prevención avanzada y de alta velocidad de amenazas.

• Alta densidad de puertos de hasta 10 puertos, con almacenamiento expandible de hasta 256 G.

• Implementación simplificada y administración de panel único.

• Firewall NSa 2700 para empresas medianas

• Expande el rendimiento de amenazas de múltiples gigabits a empresas, MSSP, agencias gubernamentales, así como verticales clave de retail, asistencia médica y hospitalidad.

• Características:

• Funciones de red avanzadas que incluyen HA/clustering, SD-WAN, enrutamiento dinámico y enrutamiento y reenvío virtual.

• Alta densidad de puertos y menor coste total de propiedad para firewalls de su clase.

• Administración centralizada mediante el administrador de seguridad de red de SonicWall.

Firewall NSa 2700 (empresas medianas)

Expande el rendimiento de amenazas de múltiples gigabits a empresas, MSSP, agencias gubernamentales, así como verticales clave de retail, asistencia médica y hospitalidad.

Características:

• Funciones de red avanzadas que incluyen HA/clustering, SD-WAN, enrutamiento dinámico y enrutamiento y reenvío virtual.

• Alta densidad de puertos y menor coste total de propiedad para firewalls de su clase.

• Administración centralizada mediante el administrador de seguridad de red de SonicWall.

Su enfoque de seguridad permite a las organizaciones estar dos pasos por delante de las nuevas amenazas emergentes, ver y proteger toda su empresa, incluido IoT, y ayudar a los equipos de seguridad a moverse más rápido con menos errores manuales.

Palo Alto Networks® PA-3200

Protege todo el tráfico, incluido el tráfico cifrado, a través de procesos y memoria dedicados para el funcionamiento de la red, la seguridad, la prevención de amenazas y la gestión.

PA-5200 Series Specsheet

Está compuesta por PA-5280, PA-5260, PA-5250 y PA-5220, que son ideales para implementaciones de centros de datos de alta velocidad, gateways de Internet e implementaciones de proveedores de servicios. PA-5200 Series ofrece una tasa de rendimiento de hasta 68 Gbps a través de un procesamiento y una memoria dedicados para las áreas funcionales clave de redes, seguridad, prevención de amenazas y gestión.


Funcionalidades de Seguridad Clave

• Clasifica todas las aplicaciones, en todos los puertos, en todo momento.
• Identifica la aplicación, independientemente del puerto, la encriptación (SSL o SSH) o las técnicas evasivas empleadas;
• Usa la aplicación, no el puerto, como base para todas sus decisiones de políticas de habilitación segura como permitir, denegar, programar, inspeccionar y aplicar conformado de tráfico;
• Categoriza aplicaciones no identificadas para el control de políticas, el análisis forense de amenazas o el desarrollo de tecnología App-ID™.
• Ejecuta las políticas de seguridad para cualquier usuario, en cualquier ubicación:
• Implementa políticas consistentes para usuarios locales y remotos en las plataformas de Windows®, Mac® OS X®, macOS®, Linux, Android® o Apple® iOS;
• Habilita la integración sin agentes con Microsoft® Active Directory® y Terminal Services, LDAP, Novell® eDirectory™ y Citrix®;
• Integra fácilmente sus políticas de firewall con 802.1X inalámbrico, proxies, soluciones NAC y cualquier otra fuente de información sobre la identidad del usuario.
• Previene amenazas conocidas y desconocidas:
• Bloquea un rango de amenazas conocidas, como exploits, malware y spyware, a través de todos los puertos, independientemente de las tácticas comunes de evasión de amenazas empleadas;
• Limita la transferencia no autorizada de archivos e información confidencial; y habilita de forma segura la navegación por Internet no relacionada con el trabajo;
• Identifica malware desconocido, lo analiza en función de cientos de comportamientos maliciosos, y, luego, crea y brinda protección automáticamente.
• 
  

Certificaciones basadas en roles para su carrera en ciberseguridad

• Ingeniero de seguridad en la nube certificado por Prisma
• Ingeniero certificado en seguridad de redes de Palo Alto Networks
• Ingeniero certificado en automatización de seguridad de Palo Alto Networks
• Administrador de seguridad de red certificado por Palo Alto Networks
• Técnico de nivel de entrada certificado en ciberseguridad de Palo Alto Networks

Organizaciones y estándares de la industria de certificación

• Asociación Estadounidense de Investigación en Educación (AERA)
• Profesional de pruebas de asociación (ATP)
• Instituto de Excelencia en Acreditación (ICE)
• Consejo de Certificación de TI (ITCC)
• Consejo Nacional de Medición en Educación (NCME)
• Consejo de pruebas de rendimiento (PTC)

La familia ASA de dispositivos de seguridad de Cisco ASA protege las redes empresariales de todos los tamaños. Proporciona a los usuarios un acceso sumamente seguro a los datos: en cualquier momento, en cualquier lugar y con cualquier dispositivo.

Cisco ASA de la serie 5500-X

Características

• Visibilidad y control granulares
• Seguridad web sólida in-situ o en la nube
• Sistema de prevención de intrusiones (IPS) líder de la industria para protección contra amenazas conocidas
• Completa protección contra amenazas y malware avanzado
• El firewall ASA más implementado en el mundo, con acceso remoto CiscoAnyConnect sumamente seguro.
• protección en tiempo real contra malware y amenazas emergentes.

Al usar Cisco AnyConnect, los servicios de firewall de última generación ASA le permiten ver con claridad el tipo específico de dispositivo que está intentando acceder a la red. Ofrece información sobre si el dispositivo está ubicado dentro de la red, o está tratando de acceder remotamente, y admite políticas de acceso diferenciado basadas en esta información.


Entre las ventajas del software Cisco ASA destacan:

• Ofrece funciones integradas de IPS, VPN, y Comunicaciones Unificadas
• Ayuda a las organizaciones a aumentar su capacidad y mejorar su rendimiento a través de formación de clústeres
• Ofrece aplicaciones de alta disponibilidad y gran capacidad de recuperación
• Proporciona identificación del contexto con etiquetas de grupos de seguridad de Cisco TrustSec y firewall con detección de identidad
• Facilita el routing dinámico y VPN entre sitios en función del contexto

El software Cisco ASA es compatible con las normas de cifrado de próxima generación, incluidas el conjunto Suite B de algoritmos criptográficos. Además se integra con Cisco Cloud Web Security para ofrecer protección contra amenazas basadas en la Web.

Next-Generation Firewall (NGFW)

Los NGFW de FortiGate son firewalls de red que funcionan con unidades de procesamiento de seguridad (SPU) especialmente diseñadas, incluido el último NP7 (procesador de red 7). Estos habilitan las redes basadas en seguridad y son firewall de red ideales para centros de datos híbridos y de hiperescala.

El NGFW está disponible en muchos modelos diferentes para satisfacer sus necesidades, desde appliances de hardware de nivel básico hasta appliances ultra avanzados.


Características:

• Filtran el tráfico de red para proteger a una organización de amenazas internas y externas.
• Mantiene las características de los firewall con estado, como el filtrado de paquetes, la compatibilidad con IPsec y VPN SSL, la supervisión de la red y las funciones de mapeo de IP.
• Ofrecen la habilidad de identificar ataques, malware y otras amenazas, y permiten a los NGFW bloquear estas amenazas.
• Inspección de SSL, Application Control, prevención de intrusiones y visibilidad avanzada a través de toda la superficie de ataque.
• No solo bloquean el malware, también incluyen rutas para futuras actualizaciones que les proporcionan flexibilidad para evolucionar con el panorama de amenazas y mantener la red segura a medida que surgen nuevas amenazas.

Conclusiones

La seguridad es algo que no debe faltar en una organización que desea conectar red privada a Internet, debido a que se expone la información de la organización e infraestructura de sus redes a los “usuarios malintencionados”. Por tal motivo la organización requiere una política de seguridad para prevenir el acceso no autorizado de usuarios a los recursos propios de su red.

Un firewall (hardware o software), permite controlar las comunicaciones en la red, con lo que pueden permitirse o prohibirse según las políticas de red definidas por la organización. El firewall monitoriza las actividades en la red, y en el caso de que detecte una actividad sospechosa, éste genera una alarma ante la posibilidad de que ocurra un ataque, o problema en el tránsito de sus datos.

Los Firewall de hardware es instalado en una red para levantar una defensa y proteger la red del exterior, el cual permite o deniega el acceso de determinados programas y autoriza o no los accesos desde el exterior. Se utilizan más en empresas y corporaciones. Al ser dispositivos que se ubican entre el router y la conexión tienen la ventaja de ser independientes del PC, por lo que no consumen recursos del sistema. Aunque su es el mantenimiento, por ser difíciles de actualizar y configurar correctamente.

Por otro lado, los Firewalls software son los más comunes en los hogares, son programas cuya instalación y actualización es sencilla, pero su desventaja es que, si consumen recursos del PC, y pueden presentar errores por incompatibilidad con otro software. Algunos de los principales fabricantes de firewalls son: Cisco, palo alto, fortinet y sonicwall. Pero no todos los firewalls funcionan igual, por lo que la página web del fabricante puede tener también cierta información sobre las características de estos, ventajas, configuración y mantenimiento, etc.

Fuentes consultadas

• Cisco. (s.f.). Firewalls de próxima generación Cisco ASA de la serie 5500-X. Obtenido de https://www.cisco.com/c/es_mx/products/security/asa-5500-series-next-generation-firewalls/index.html
• Fortinet. (s.f.). Next-Generation Firewall (NGFW). Obtenido de https://www.fortinet.com/lat/products/next-generation-firewall
• ID Grup. (s.f.). Qué es un Firewall y cómo funciona? Obtenido de https://idgrup.com/firewall-que-es-y-como-funciona/
• Palo Alto Networks. (s.f.). Certifications and Micro‑Credentials. Obtenido de https://www.paloaltonetworks.com/services/education/certification
• Palo Alto Networks. (s.f.). Resumen del firewall de nueva generación. Obtenido de https://media.paloaltonetworks.com/documents/datasheet-firewall-feature-overview-es.pdf
• Raffino, M. E. (6 de julio de 2020). Firewall. Obtenido de concepto de: https://concepto.de/firewall/
• Seditel. (s.f.). Servicios de firewall de última generación Cisco ASA. Obtenido de https://www.seditel.eu/asa-seguridad-de-la-red
• Sonicwall. (s.f.). La generación más reciente de firewall sonicwal. Obtenido de https://www.sonicwall.com/es-mx/products/firewalls/gen-7/