Cisco tiene incorporadas funciones IPS al software IOS. Cisco IOS IPS utiliza tres técnicas de detección:
- Basadas en perfiles: generan una alarma cuando la actividad de la red no concuerda con el perfil definido.
- Basadas en firmas: es menos propensa a generar falsas alarmas. Inspecciona las cabeceras IP, TCP, UDP o ICMP. Estas firmas pueden eliminarse o configurarse para adaptarse mejor a nuestro entorno de red.
- Basadas en el análisis del protocolo: son similares a las basadas en firmas pero realizan un análisis más profundo ya que examinan el payload de los paquetes TCP/UDP (ej: análisis de DNS).
Los beneficios de utilizar el IOS IPS son:
- Utilizamos la infraestructura de enrutamiento existente para añadir una capa adicional de seguridad y se integra suavemente.
- El hecho de trabajar en línea proporciona la capacidad de detener en tiempo real los ataques.
- Proporciona una protección completa y unificada en un producto cuando se combina con Cisco IDS, Cisco IOS Firewall, servicios VPN y NAC.
- Se puede administrar fácilmente desde SDM o CiscoWorks VMS.
Algunas características del IOS IPS son:
- Permite la creación de expresiones regulares en busca de patrones.
- Permite configurar acciones cuando se encuentra un patrón.
- Permite agregar muchas alarmas similares en una única alarma.
- Permite configurar los parámetros de las firmas.
- Permite luchar contra las técnicas de evasión utilizadas por los atacantes
Mas informacion :
En este enlace se detalla como configurar IOS IPS utilizando SDM en GNS3:
http://www.brainbump.net/2008/07/how-to-configure-ios-ips-intrusion-prevention-system-using-sdm-in-gns3/
En el siguiente enlace se puede ver una demo de IOS IPS con MARS:
http://www.cisco.com/cdc_content_elements/flash/ios/ios_ipscsmars/index.html
En el siguiente enlace se puede ver una demo de IOS IPS con MARS:
http://www.cisco.com/cdc_content_elements/flash/ios/ios_ipscsmars/index.html
