Traducido de http://hlbr.sourceforge.net/ips-en.html
por Francisco Tufró (nictuku a
gmail com).
Última
actualización: 16 Ene. 06.
Definición
de IPSIPS (Intrusion Prevention
System, Sistema de Prevención de Intrusiones) es un sistema
similar a un IDS (Instrusion Detection System, Sistema de
Detección de Intrusiones), pero con el objetivo de prevenir
los ataques activamente, no solo detectarlos. La diferencia entre los
dos es que
un IPS, además de poder detectar tráfico
anómalo, puede tomar acciones ante él. De esta
manera,
es posible lograr un grado mayor en la seguridad de una red. Los IPS
son componentes de un sistema de Firewall (Corta fuegos).
Mucha gente desconoce el correcto significado de Firewall. Firewall es un sistema integrado de protección utilizado en redes de computadoras. Este sistema está compuesto por filtros de paquetes, filtros de estado, IDS, IPS, Proxies, antivirus de red, etc. Entonces, por ejemplo, es incorrecto que una computadora corriendo Iptables sea llamada el Firewall de una red. Eso es porque Iptables es simplemente un filtro de paquete y de estado, solo puede analizar datos de los encabezados presentes en los paquetes IP que pasan por él (esto significa direcciones de origen y destino, puertos de origen y destino, protocolo de transporte usado, etc). Un filtro de paquetes y de estado no puede, por ejemplo, analizar los contenidos de un paquete (payload). Teniendo en cuenta que cualquier computadora en Internet puede conectarse al puerto 80 de nuestro servidor web o al puerto 25 de nuestro servidor de correo electrónico, un paquete con un ataque o con virus pasará a través del Iptables y llegara a nuestra red. Iptables solo chequea el origen y destino, ignorando el contenido.
La siguiente imagen muestra un ejemplo de un sistema firewall. La zona gris representa el sistema:
En este caso el IPS usado, HLBR, fue posicionado antes del filtro de paquetes Iptables. De esta manera podemos proteger la computadora Iptables propiamente dicha. También es claro en la imagen que no es posible proveer un grado razonable de seguridad en una red que solamente tiene corriendo un filtro de paquete y estado (como la gente generalmente hace).
Ahora, miremos la siguiente imagen:
Otro HLBR fue conectado entre la red interna y la red de servidores, con el objetivo de proveer aún mayor seguridad a los mismos. También, un honeypot o una honeynet fue implementado/a justo después de la conexión a Internet, porque HLBR puede redirigir los ataques a esa honeypot/net.
La conclusión más importante es que un sistema de firewall debe estar conformado por varios elementos de seguridad. Cada uno de estos elementos funciona de una forma diferente y no son reemplazables el uno por el otro.
Firewall
(Corta fuegos)
Mucha gente desconoce el correcto significado de Firewall. Firewall es un sistema integrado de protección utilizado en redes de computadoras. Este sistema está compuesto por filtros de paquetes, filtros de estado, IDS, IPS, Proxies, antivirus de red, etc. Entonces, por ejemplo, es incorrecto que una computadora corriendo Iptables sea llamada el Firewall de una red. Eso es porque Iptables es simplemente un filtro de paquete y de estado, solo puede analizar datos de los encabezados presentes en los paquetes IP que pasan por él (esto significa direcciones de origen y destino, puertos de origen y destino, protocolo de transporte usado, etc). Un filtro de paquetes y de estado no puede, por ejemplo, analizar los contenidos de un paquete (payload). Teniendo en cuenta que cualquier computadora en Internet puede conectarse al puerto 80 de nuestro servidor web o al puerto 25 de nuestro servidor de correo electrónico, un paquete con un ataque o con virus pasará a través del Iptables y llegara a nuestra red. Iptables solo chequea el origen y destino, ignorando el contenido.
La siguiente imagen muestra un ejemplo de un sistema firewall. La zona gris representa el sistema:
En este caso el IPS usado, HLBR, fue posicionado antes del filtro de paquetes Iptables. De esta manera podemos proteger la computadora Iptables propiamente dicha. También es claro en la imagen que no es posible proveer un grado razonable de seguridad en una red que solamente tiene corriendo un filtro de paquete y estado (como la gente generalmente hace).
Ahora, miremos la siguiente imagen:
Otro HLBR fue conectado entre la red interna y la red de servidores, con el objetivo de proveer aún mayor seguridad a los mismos. También, un honeypot o una honeynet fue implementado/a justo después de la conexión a Internet, porque HLBR puede redirigir los ataques a esa honeypot/net.
La conclusión más importante es que un sistema de firewall debe estar conformado por varios elementos de seguridad. Cada uno de estos elementos funciona de una forma diferente y no son reemplazables el uno por el otro.
