HLBR - Hogwash Light BR

Traducido de http://hlbr.sourceforge.net/ips-en.html por Francisco Tufró (nictuku a gmail com).
Última actualización: 16 Ene. 06.


Definición de IPS

IPS (Intrusion Prevention System, Sistema de Prevención de Intrusiones) es un sistema similar a un IDS (Instrusion Detection System, Sistema de Detección de Intrusiones), pero con el objetivo de prevenir los ataques activamente, no solo detectarlos. La diferencia entre los dos es que un IPS, además de poder detectar tráfico anómalo, puede tomar acciones ante él. De esta manera, es posible lograr un grado mayor en la seguridad de una red. Los IPS son componentes de un sistema de Firewall (Corta fuegos).


Firewall (Corta fuegos)

Mucha gente desconoce el correcto significado de Firewall. Firewall es un sistema integrado de protección utilizado en redes de computadoras. Este sistema está compuesto por filtros de paquetes, filtros de estado, IDS, IPS, Proxies, antivirus de red, etc. Entonces, por ejemplo, es incorrecto que una computadora corriendo Iptables sea llamada el Firewall de una red. Eso es porque Iptables es simplemente un filtro de paquete y de estado, solo puede analizar datos de los encabezados presentes en los paquetes IP que pasan por él (esto significa direcciones de origen y destino, puertos de origen y destino, protocolo de transporte usado, etc). Un filtro de paquetes y de estado no puede, por ejemplo, analizar los contenidos de un paquete (payload). Teniendo en cuenta que cualquier computadora en Internet puede conectarse al puerto 80 de nuestro servidor web o al puerto 25 de nuestro servidor de correo electrónico, un paquete con un ataque o con virus pasará a través del Iptables y llegara a nuestra red. Iptables solo chequea el origen y destino, ignorando el contenido.

La siguiente imagen muestra un ejemplo de un sistema firewall. La zona gris representa el sistema:

Firewall Sysytem



En este caso el IPS usado, HLBR, fue posicionado antes del filtro de paquetes Iptables. De esta manera podemos proteger la computadora Iptables propiamente dicha. También es claro en la imagen que no es posible proveer un grado razonable de seguridad en una red que solamente tiene corriendo un filtro de paquete y estado (como la gente generalmente hace).

Ahora, miremos la siguiente imagen:


Firewall System


Otro HLBR fue conectado entre la red interna y la red de servidores, con el objetivo de proveer aún mayor seguridad a los mismos. También, un honeypot o una honeynet fue implementado/a justo después de la conexión a Internet, porque HLBR puede redirigir los ataques a esa honeypot/net.

La conclusión más importante es que un sistema de firewall debe estar conformado por varios elementos de seguridad. Cada uno de estos elementos funciona de una forma diferente y no son reemplazables el uno por el otro.

SourceForge.net Logo

back