Qu es y cmo funciona IDS IPS?

IDS: INTRUSION DETECTION SYSTEM

IPS: INTRUSION PREVENTION SYSTEM
Existen 2 tipos de IDS/IPS
NIDS/NIPS: N de network. Buscan ataques sobre los servicios de comunicaciones. Se basan
en el anlisis de paquetes que forman parte de la comunicacin entre dos mquinas,
verificando que se ajustan al protocolo.
HIDS/HIPS: H de host. Buscan ataques sobre las aplicaciones y los SSOO de las mquinas.
Analizan los procesos actuales y la configuracin y log de cada servicio.

Explica como funcionan los firewall segn su ubicacin.

Podemos distinguir entre dos tipos de CF en funcin de donde se localicen:
CF de sistema o personales
CF de subredes
Los CF de sistema o personales restringen la comunicacin no autorizada con un equipo,
actuando como un sistema de defensa perimetral, mientras que los CF de subredes protegen
toda la red en conjunto, actuando como un nico punto de entrada
Los CF personales surgen como respuesta a la necesidad de proteger los equipos
pertenecientes a redes privadas particulares.
Este tipo de CF se instala en el equipo del usuario y proporciona cinco funciones principales
Permite supervisar todas las conexiones con el exterior
Permite monitorizar los programas locales que tratan de acceder a Internet
Proporcionan mecanismos para bloquear los posibles intentos de intrusin al equipo u otros
ataques
Realiza un registro de todas las conexiones realizadas desde el equipo
Algunos de ellos incorporan filtros anti-spam as, como deteccin de virus u otros cdigos que
puede ser perjudiciales para el equipo.
Los CF de subredes tienen como objetivo aplicar una poltica de seguridad a un grupo de
sistemas desde un nico punto. Para ello lo primero que debe hacerse es agrupar los sistemas
en zonas de seguridad, de modo que se aplique las mismas reglas a los equipos que forman
parte de cada zona, y puedan aplicarse distintas reglas a distintas zonas.
Los CF se ubican en los interfaces entre zonas, de modo que siempre debe de haber un CF
entre una zona y otra, ya que son los que aplican las reglas de seguridad.
En el caso de los CF de subredes, sus principales funciones son:

Autorizar servicios (entrantes y salientes)

Control de acceso a los servicios basndose en la identidad del usuario o equipo.

Registro y monitorizacin de accesos a la red

Explica los 4 tipos de firewall segn su tecnologa.

1. CF que actan a nivel de paquetes de datos, que miran tanto las direcciones origen y destino
como los puertos que se utilizan. Es el ms sencillo y ms utilizado
2. CF que actan a nivel de circuitos. Que trabajan a nivel de sesin, adems de tener en
cuenta las IPs y puertos, revisan informacin relativa a la sesin y los nmeros de secuencia
de paquetes enviados.
3. CF que actan como pasarelas de aplicacin, en el nivel de aplicacin de la pila de
protocolos, analizan todos los paquetes en su conjunto. Son exclusivos para un servicio. Es
necesario una pasarela de aplicacin o GW por cada servicio. Consumen ms recursos y suelen
necesitar un software especfico.

Las reglas de filtrados se pueden agrupar en tres tipos,

defnelos.
Autoproteccin del CF: no se permitir ningn datagrama dirigido directamente al CF.
Reglas de salida, que podrn ser permisivas o restrictivas. Si son permisivas, se prohbe las
excepciones y el resto se autoriza; si son restrictivas, se prohbe todo menos las excepciones
permitidas.
Reglas de entrada: est todo prohibido excepto aquellas excepciones que especficamente
hayan sido autorizadas.

Describe el funcionamiento de una arquitectura dual-homed

host
Se basa en el uso de equipos con dos o ms tarjetas de red. Una de estas tarjetas se conecta a
la red interna que se quiere proteger y la otra a una red externa.
Los equipos de la red internet vern a travs de una de las tarjetas de red y los equipos
externos a travs de la otra, pero el trfico entre ambas redes estar aislado. Todo el trfico
debe pasar a travs del firewall instalado en el Bastin

Describe el funcionamiento de una arquitectura Screened

subnet
El bastin se asla en una red perimtrica, la zona DMZ, que se sita entre la red externa y la
red interna, limitada por dos routers. El router externo filtra la entrada de trfico desde la red
externa y la salida hacia la misma, mientras que el router interno se ocupa de filtrar el trfico
generado y dirigido por y hacia los equipos de la red interna.
Es una arquitectura ms compleja pero tambin mucho ms segura que las anteriores.

Cules son las caractersticas de un proxy?

Permiten definir permisos que tienen los usuarios de la red interna sobre los servicios,
dominios y direcciones IP externas.
Todos los usuarios de la red interna comparte una nica direccin IP de forma que desde el
exterior no se puede diferenciar a unos de otros.
Se puede auditar el uso que se hace de internet.
Permite almacenar las pginas recientemente consultadas en una cach para aumentar el
rendimiento de la red.

Cmo funciona el software anti-spam?

Cabecera del mensaje, buscando si el servidor de correo origen se encuentra en alguna lista
negra. Comprueba si la fecha de envo utiliza el formato correcto etc
Contenido: Buscando palabras poco relacionadas con la actividad de la empresa
Experiencia: Los heursticos del SW hacen que pueda aprender de los ataques ya detectados
Una vez detectado se puede:
Bloquear para que llegue al usuario
Dejarlo pasar avisando al usuario
Dejarlo pasar, convirtiendo el texto en un fichero adjunto