IPS IDS Seguridad de la información

Tabla de contenido Introducción ..................................................................................................................... 3 Contenido ......................................................................................................................... 4 Sistemas de detección y prevención de intrusos (IDS e IPS) ............................................... 4 Características de IDS ................................................................................................................. 6 Características de IPS ................................................................................................................. 8 Ventajas y desventajas de IDS ................................................................................................ 11 Ventajas y desventajas de IPS................................................................................................. 12 Ejemplos de IDS e IPS .............................................................................................................. 13 Sourcefire Defense Center™................................................................................................ 13 Symantec Critical System Protection .................................................................................. 15 Snort ......................................................................................................................................... 16 Diferencias entre IDS e IPS .................................................................................................... 17 Estándares asociados a los IDS/IPS ....................................................................................... 18 Ejemplo de configuración de la actualización de IDS 4.1 a IPS 5.0 ................................... 18 Requisitos previos .................................................................................................................. 19 Componentes utilizados ........................................................................................................ 19 Convenciones ......................................................................................................................... 19 Actualización del sensor ........................................................................................................ 20 Información general................................................................................................................ 20 Opciones y comando de actualización ................................................................................ 21 Uso del comando de actualización ...................................................................................... 22 Uso del comando de actualización automática ................................................................. 24 Nueva imagen del sensor...................................................................................................... 27 Conclusión ..................................................................................................................... 28 Bibliografía ..................................................................................................................... 29

Introducción

En los 80 comenzaron los primeros desarrollos de programas que monitorizaban el uso de sistemas y redes. En los últimos años se ha producido un avance muy grande en esta área, y la mayoría de las empresas dedicadas a la seguridad ofrecen productos para la detección de intrusiones. Nuevas tecnologías adicionan complejidad, y el número y tipo de aplicaciones y sistemas en una red no para de crecer. El riesgo de la seguridad de la información se multiplica en número y escala en conformidad con la sofisticación de los ataques. El flujo de funcionarios en una empresa aumenta constantemente, los clientes y aliados estratégicos exigen cada vez más acceso en tiempo real a aplicaciones, bases de datos y sistemas, forzando más las barreras de un ambiente seguro. Sistemas de detección y prevención de intrusos (IDS e IPS) están constantemente vigilando, e incorporan mecanismos de análisis de tráfico y de análisis de sucesos en sistemas operativos y aplicaciones que les permiten detectar intrusiones en tiempo real. Un IDS puede ser un dispositivo hardware auto contenido con una o varias interfaces, que se conecta a una o varias redes; o bien una aplicación que se ejecuta en una o varias máquinas y analiza el tráfico de red que sus interfaces ven y/o los eventos generados por el sistema operativo y las aplicaciones locales. Para hablar sobre detección de intrusiones hay que definir qué entendemos por intrusión. Las intrusiones se definen en relación a una política de seguridad: una intrusión es una violación de la política de seguridad establecida. A menos que se conozca qué está permitido en un sistema y qué no, no tiene sentido hablar de detección intrusiones. De manera más concisa se puede definir una intrusión como un conjunto de acciones deliberadas dirigidas a comprometer la integridad (manipular información), confidencialidad (acceder ilegítimamente a información) o disponibilidad de un recurso (perjudicar o imposibilitar el funcionamiento de un sistema).

Contenido Sistemas de detección y prevención de intrusos (IDS e IPS)

El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. Existen dos claras familias importantes de IDS: El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red. El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host. Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.

El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc. El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer). Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías cortafuegos.

Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en la monitorización pasiva de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continúan en relación. También es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas. Características de IDS

El tráfico en la red (en todo caso, en Internet) generalmente está compuesto por datagramas de IP. Un N-IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Un N-IDS contiene una lista TCP/IP que

se asemeja a los datagramas de IP y a las conexiones TCP. Puede aplicar las siguientes técnicas para detectar intrusiones: Verificación de la lista de protocolos: Algunas formas de intrusión, como "Ping de la

muerte"

y

"escaneo

silencioso

TCP"

utilizan

violaciones

de

los

protocolos IP, TCP, UDP e ICMP para atacar un equipo. Una simple verificación del protocolo puede revelar paquetes no válidos e indicar esta táctica comúnmente utilizada.

Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como "WinNuke", que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc. Esta técnica es rápida (el N-IDS no necesita examinar la base de datos de firmas en su totalidad para secuencias de bytes particulares) y es también más eficiente, ya que elimina algunas falsas alarmas. Por ejemplo, al analizar protocolos, N-IDS puede diferenciar un "Back Orifice PING" (bajo peligro) de un "Back Orifice COMPROMISE" (alto peligro). Reconocimiento de ataques de "comparación de patrones": Esta técnica de reconocimiento de intrusión es el método más antiguo de análisis N-IDS y todavía es de uso frecuente.

Consiste en la identificación de una intrusión al examinar un paquete y reconocer, dentro de una serie de bytes, la secuencia que corresponde a una firma específica. Por ejemplo, al buscar la cadena de caracteres "cgi-bin/phf", se muestra un intento de sacar provecho de un defecto del script CGI "phf". Este método también se utiliza como complemento de los filtros en direcciones IP, en destinatarios utilizados por conexiones y puertos de origen y/o destino. Este método de reconocimiento también se puede refinar si se combina con una sucesión o combinación de indicadores TCP. Esta táctica está difundida por los grupos N-IDS "Network Grep", que se basan en la captura de paquetes originales dentro de una conexión supervisada y en su posterior comparación al utilizar un analizador de "expresiones regulares". Éste intentará hacer coincidir las secuencias en la base de firmas byte por byte con el contenido del paquete capturado. Características de IPS

Un sistema de prevención de intrusos, al igual que un Sistema de Detección de Intrusos, funciona por medio de módulos, pero la diferencia es que este último alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor), mientras que un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque; se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. Los IPS se categorizan en la forma que detectan el tráfico malicioso: Detección basada en firmas: como lo hace un antivirus. 

Detección basada en políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad.



Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico.



Detección honey pot (jarra de miel): funciona usando un equipo que se configura para que llame la atención de los hackers.



Detección basada en firmas

Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este tipo de detección funciona parecido a un antivirus, el administrador debe verificar que las firmas estén constantemente actualizadas. 

Detección basada en políticas

En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta. 

Detección basada en anomalías

Este tipo de detección tiende a generar muchos falsos positivos, ya que es sumamente difícil determinar y medir una condición ‘normal’. En este tipo de detección tenemos dos opciones: Detección estadística de anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento, se genera una alarma.

Detección no estadística de anormalidades: En este tipo de detección, es el administrador quien define el patrón «normal» de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red, es susceptible a generar muchos falsos positivos. 

Detección honey pot (jarra de miel)

Aquí se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real.

Red IDS / IPS para la detección de amenazas WLAN y Mitigación Ventajas y desventajas de IDS

Ventajas: o

Puede rastrear cada paso de un ataque de No se puede ser fácilmente eludido

o

La ventaja principal de esta técnica radica en la facilidad de actualización y también en la gran cantidad de firmas que se encuentran en la base N-IDS. Sin embargo, cantidad no siempre significa calidad. Por ejemplo, los 8 bytes “CE63D1D2 16E713CF”, cuando se colocan al inicio de una transferencia de datos UDP, indican un tráfico Back Orifice con una contraseña predeterminada. Aunque el 80% de las intrusiones utilicen la contraseña predeterminada, el 20% utilizarán contraseñas personalizadas y no serán necesariamente reconocidas por el N-IDS. Por ejemplo, si la contraseña se cambia a "evadir", la serie de bytes se convertirá en "8E42A52C 0666BC4A", lo que automáticamente la protegerá de que el NIDS la capture. Además, la técnica inevitablemente conducirá a un gran número de falsas alarmas y falsos positivos.

Desventajas: o

No se puede bloquear el tráfico de intrusos Sólo tan fuerte como su base de datos de la firma Posibilidad de falsas alarmas Establecer puede requerir un cierto nivel de conocimiento de configuración y de seguridad

Ventajas y desventajas de IPS

Ventajas o

Los IPS combinan múltiples funcionalidades, como firewall, IDS, inspección statefull y detección de anomalías de protocolo, antivirus, valoración de vulnerabilidades, filtrado de contenidos, etc. De esta forma, consiguen proteger automáticamente de los ataques antes de que hayan impactado en la red, poniendo el énfasis en la prevención y en la automatización.

o

Capacitados para analizar los protocolos de aplicación individuales -como HTTP para aplicaciones Web, SMTP para el correo electrónico o DNS para el hosting-, estos IPS aseguran que sólo los tipos de tráfico y las peticiones con los protocolos adecuados pasan a cada servidor. En general, todas estas capacidades cobran una especial importancia teniendo en cuenta que la más reciente generación de ataques DoS, así como las infecciones de spyware y malware están diseñados para burlar los cortafuegos y explotar las brechas de seguridad en el nivel de las aplicaciones. A estas ventajas se añade la capacidad para actuar de forma coordinada con mecanismos de autenticación basada en directorios sobre servidores de políticas y servidores LDAP (Leightweigh Directory Access Protocol).

Desventajas o

De acuerdo a las tecnologías o métodos utilizadas para detectar las intrusiones. Se pueden identificar:

o

Los basados en firmas de ataques. Los utilizan los NIDS que emplean firmas de ataque pre-identificadas.

o

Uso indebido del protocolo del sistema. Monitorizan las desviaciones del protocolo normal. Este método es útil para detectar intentos por parte de un usuario o aplicación de intentar ganar acceso no autorizado a un sistema.

Ejemplos de IDS e IPS



Sourcefire Defense Center™

Gestione la seguridad de su red con una interfaz poderosa y fácil de usar. El Defense Center es el sistema nervioso del suite Sourcefire 3D. Consiste en una interfaz gráfica poderosa y bastante fácil de usar, donde se agregan y supervisan los eventos de seguridad y compliance, generando informes y distribuyendo configuraciones a través de toda la arquitectura Sourcefire. La consola es accedida por cualquier navegador y posee un visual de portal con “widgets” personalizables con características de drag and drop. Existen configuraciones previas en que informaciones críticas son dispuestas en forma de tablas y gráficos. Además de la facilidad de visualización de informaciones críticas al negocio de la empresa, existen configuraciones avanzadas como acceso de usuarios personalizado y granular y, función de circulación por las principales funcionalidades de forma periódica, muy útil para monitores de un SOC, por ejemplo. Es posible tallar el dashboard para atender de forma más precisa las necesidades específicas de cualquier negocio. Defensa de red centralizada: Agregue y supervise Toda la comunicación que existe entre los sensores y el DC es hecha de una manera segura y cifrada, permitiendo que el almacenaje y el análisis se den de forma centralizada. La consola de gestión correlaciona, en tiempo real, los ataques con las vulnerabilidades de red y, de forma inteligente, clasifica el incidente de acuerdo a su relevancia y severidad de ataque. Esto permite que el equipo de TI se preocupe con lo que de hecho es relevante, ahorrando tiempo y energía. El número de falso positivos es reducido en hasta 99%.

Alertas e Informes Personalizados Con el Defense Center es posible trabajar con una gama de informes y alertas personalizados. Los usuarios pueden escoger entre una variedad de informes predefinidos o crear algo totalmente moldeado a sus necesidades. Los informes, además, pueden ser exportados en PDF, HTML y CSV, mientras que los alertas pueden ser disparados por Syslog, email y SNMP.

Configuraciones Centralizadas Con el Defense Center, es posible tener control total de las configuraciones de hasta 100 sensores a partir de una única consola de gestión. Todas las configuraciones ganan una forma centralizada para edición, aplicación y backup. Otras funcionalidades que ayudan bastante al administrador de la herramienta son: la opción de comparar dos políticas lado a lado; la fácil navegación en la base de reglas y; el proceso detallado de creación de una nueva política de configuraciones.

Escalabilidad Sin Límites Para grandes corporaciones con una necesidad superior a 100 sensores, es posible usar un Defense Center 3000 como gestor de otros 10 defense centers, aumentando el número de sensores abajo de un punto único de gestión de centenas.

Integración con Otros Dispositivos Sourcefire ofrece muchas posibilidades de integración con otros dispositivos de otros fabricantes. Es posible exportar los eventos a un correlacionador de eventos a través de la herramienta eStreamer™. Otra posibilidad es la integración con equipos Cisco y Checkpoint para crear remediaciones en tiempo real para problemas inherentes.

Finalmente, es posible trabajar con el scan de vulnerabilidades Qualys para obtener un resultado aún más apurado de las vulnerabilidades de la red.



Symantec Critical System Protection Las organizaciones líderes utilizan Symantec Critical System Protection para

proteger los datacenters de datos físicos y virtuales. Mediante funciones de detección (HIDS) y prevención de intrusiones (HIPS) basadas en host, Symantec ofrece una solución integral comprobada para la seguridad de los servidores. Obtenga protección total para VMware vSphere, detenga los ataques dirigidos y de día cero, y consiga visibilidad en tiempo real y control del cumplimiento de políticas con Symantec Critical System Protection. 

Supervisión de la integridad de archivos: identifique cambios en los archivos en tiempo real, incluyendo quién los implementó y qué se modificó en el archivo.



Supervisión

de

la

configuración: identifique

infracciones

de

políticas,

administradores sospechosos o actividad de intrusos en tiempo real. 

Política de prevención orientada: responda de manera inmediata a intromisiones o riesgos para el servidor con políticas de refuerzo que pueden personalizarse rápidamente.



Políticas granulares de prevención de intrusiones: protéjase contra las amenazas de día cero y restrinja el comportamiento de las aplicaciones aprobadas, incluso después de que se haya autorizado su ejecución con controles de acceso de privilegio mínimo.



Bloqueo de administración, sistemas y archivos: refuerce los servidores físicos y virtuales para maximizar el tiempo en servicio del sistema y evitar los costos continuos del soporte para los sistemas operativos antiguos.



Amplia compatibilidad con plataformas físicas: supervise y proteja las plataformas basadas en Windows, y las que no están basadas en Windows, incluidas Solaris, Linux, AIX, HP-UX. Además, utilice los agentes virtuales para las plataformas menos comunes e incompatibles.



Proteja y supervise vSphere: al aprovechar las políticas listas para usar de acuerdo con las pautas más recientes de implementación de mejoras de seguridad

de vSphere, las organizaciones pueden proteger por completo su entorno en el servidor de administración, el hipervisor y el invitado. 

Administración

centralizada: simplifique

la

administración

de

sistemas

heterogéneos con visibilidad en tiempo real de funciones de elaboración de informes gráficos y eventos. 

Integración con soluciones SIEM y GRC de TI: integración compatible con Symantec Control Compliance Suite para la evaluación y supervisión unificadas de la infraestructura y la información, así como con Symantec Security Information Manager para la administración y la correlación avanzadas de incidentes.

Beneficios clave o

Alcance la protección total para vSphere mediante el uso de políticas listas para usar de acuerdo con las pautas más recientes de implementación de mejoras de seguridad de vSphere.

o

Detenga los ataques de día cero y dirigidos en servidores con políticas de prevención dirigidas.

o

Visibilidad en tiempo real y control del cumplimiento de políticas en una sola solución de supervisión y prevención en tiempo real.

Snort

IDS/IPS

(Intrusion

Detection

System/Intrusion

Prevention System) por medio de la herramienta OpenSource Snort.

Es

un

potente

IDS/IPS

(Intrusion

Detection

System/Intrusion Prevention System) que se ha convertido en un estándar en el campo de la seguridad de sistemas informáticos. Es una herramienta que utiliza una filosofía muy similar a IPTables, ya que utiliza reglas sobre los paquetes que viajan en una red, sin embargo, dependiendo del modo de ejecución va un poco mas allá, permitiendo tomar decisiones sobre la información intercambiada y la detección de posibles ataques sobre peticiones que aunque aparentemente son legitimas, pueden encajar en algún patrón de ataque.

Diferencias entre IDS e IPS El IPS es un sistema de prevención/protección para defenderse de las intrusiones y no sólo para reconocerlas e informar sobre ellas, como hacen la mayoría de los IDS. Existen dos características principales que distinguen a un IDS (de red) de un IPS (de red): El IPS se sitúa en línea dentro de la red IPS y no sólo escucha pasivamente a la red como un IDS (tradicionalmente colocado como un rastreador de puertos en la red). Un IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa que el IPS puede filtrar y bloquear paquetes en modo nativo (al utilizar técnicas como la

caída de una conexión, la caída de paquetes ofensivos o el bloqueo de un intruso).

Cisco Unified Wireless e IPS Modos de implementación.

Estándares asociados a los IDS/IPS Dos estándares utilizados en IDS/IPS son: (1) IDMEF (Intrusion Detection Message Exchange Format) del IETF. El objetivo del IDWG (Intrusion Detection Working Group) es definir el formato de datos, definir el procedimiento de intercambio y especificar un lenguaje de intrusión común. El IDMEF es un formato de datos estándar e interoperable que utiliza XML. Los típicos despliegues son las comunicaciones entre sensor y gestor, el almacenamiento en la base de datos, la interacción con la consola centralizada y el sistema de correlación de eventos. (2) CVE (Common Vulnerabilities and Exposures).

Posibilita

la

interoperabilidad

entre

herramientas.

Un

ejemplo

de

nomenclatura es CVE-2000-0809, se trata de una entrada a la lista CVE que estandariza un problema de seguridad, en este caso un buffer overflow en la herramienta VPN1/Firewall-1 v4.1 de CheckPoint.

Ejemplo de configuración de la actualización de IDS 4.1 a IPS 5.0

A continuación se describe cómo actualizar el software Cisco Intrusion Detection Sensor (IDS) de la versión 4.1 a Cisco Intrusion Prevention System (IPS) 5.0. Nota: desde la versión 5.x y posteriores, Cisco IPS sustituye a Cisco IDS, que se aplica hasta la versión 4.1. Para obtener más información sobre cómo recuperar el dispositivo Cisco Secure IDS (anteriormente NetRanger) y los módulos para las versiones 3.x y 4.x, consulte Password Recovery Procedure for the Cisco IDS Sensor and IDS Services Modules (IDSM-1, IDSM2) (Procedimiento de recuperación de contraseña para el sensor IDS y los módulos de servicios IDS (IDSM-1, IDSM-2) de Cisco). Requisitos previos Para poder llevar a cabo la actualización a la versión 5.0, se requiere como mínimo la 4.1(1). Componentes utilizados La información del documento se basa en el hardware Cisco IDS serie 4200 que ejecuta la versión 4.1 del software (que se actualizará a la 5.0). La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento

se

pusieron

en

funcionamiento

con

una

configuración

despejada

(predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando. Convenciones Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento. Configuración La descarga de la actualización de Cisco 4.1 a 5.0 está disponible en Cisco.com. Consulte Obtaining Cisco IPS Software (Obtención del software Cisco IPS) para obtener

información sobre el procedimiento utilizado para acceder a las descargas del software IPS en Cisco.com. Para llevar a cabo la actualización puede utilizar cualquiera de los métodos indicados a continuación: Una vez descargado el archivo de la actualización 5.0, consulte el archivo Readme para obtener información sobre su instalación con el comandoupgrade. Consulte la sección Uso del comando de actualización de este documento para obtener más información. Si configuró la opción de actualización automática para el sensor, copie el archivo de la actualización 5.0 en el directorio del servidor donde el sensor busca las actualizaciones. Consulte

la

sección

de

este

documento Uso

del

comando

de

actualización

automática para obtener más información. Si instala una actualización en el sensor y éste no se puede utilizar tras su reinicio, debe rehacer la imagen del sensor. La actualización de un sensor desde cualquier versión de Cisco IDS anterior a la 4.1 también requiere el uso del comando recover o del CD de actualización/recuperación. Consulte la sección de este documento Nueva imagen del sensor para obtener más información. Actualización del sensor En estas secciones se explica cómo utilizar el comando upgrade para actualizar el software del sensor: Información general El sensor se puede actualizar con los siguientes archivos, todos ellos con extensión .pkg: Actualizaciones de firma; por ejemplo, IPS-sig-S150-minreq-5.0-1.pkg Actualizaciones principales; por ejemplo, IPS-K9-maj-6.0-1-pkg Actualizaciones normales; por ejemplo, IPS-K9-min-5.1-1.pkg Actualizaciones de service pack; por ejemplo, IPS-K9-sp-5.0-2.pkg

Actualizaciones de particiones de recuperación; por ejemplo, IPS-K9-r-1.1-a-5.0-1.pkg Con la actualización del sensor se cambia su versión de software. Opciones y comando de actualización Utilice el comando auto-upgrade-option enabled en el submodo de host de servicio para configurar las actualizaciones automáticas. Se aplican las siguientes opciones: default: vuelve a establecer el valor en la configuración predeterminada del sistema. directory: directorio donde se ubican los archivos de actualización en el servidor de archivos. file-copy-protocol: protocolo de copia de archivos utilizado para descargar archivos del servidor. Los valores válidos son ftp o scp. Nota: si usa SCP, debe utilizar el comando ssh host-key para agregar el servidor a la lista de hosts conocidos por SSH, para que el sensor se pueda comunicar con él mediante SSH. Consulte Adding Hosts to the Known Hosts List (Adición de hosts a la lista de hosts conocidos) para obtener información sobre el procedimiento. ip-address: dirección IP del servidor de archivos. password: contraseña de usuario para la autenticación en el servidor de archivos. schedule-option: programa el momento en que se producen las actualizaciones automáticas. La programación de calendario inicia las actualizaciones en horas específicas de días concretos. La programación periódica comienza las actualizaciones en intervalos periódicos específicos. calendar-schedule: configura los días de la semana y las horas del día en que se llevan a cabo las actualizaciones automáticas. days-of-week: días de la semana en los que se llevan a cabo actualizaciones automáticas. Se pueden seleccionar varios días. Los valores válidos son de domingo a sábado. no: elimina una selección o entrada.

times-of-day: horas del día en las que comienzan las actualizaciones automáticas. Se pueden seleccionar varias horas. El valor válido se expresa como hh:mm[:ss]. periodic-schedule: configura la hora en la que se debe realizar la primera actualización automática y cuánto tiempo se debe esperar entre sucesivas actualizaciones. interval: número de horas que se debe esperar entre actualizaciones automáticas. Los valores válidos se encuentran entre 0 y 8760. start-time: hora del día en la que se inicia la primera actualización automática. El valor válido se expresa como hh:mm[:ss]. user-name: nombre de usuario para la autenticación en el servidor de archivos. Uso del comando de actualización Complete los siguientes pasos para actualizar el sensor: Descargue el archivo de actualización principal (IPS-K9-maj-5.0-1-S149.rpm.pkg) a un servidor FTP, SCP, HTTP o HTTPS al que pueda acceder el sensor. Consulte Obtaining Cisco IPS Software (Obtención del software Cisco IPS) para obtener información sobre cómo localizar software en Cisco.com. Nota: para poder descargar el archivo, se debe iniciar sesión en Cisco.com con una cuenta con privilegios criptográficos. No cambie el nombre del archivo. Debe conservar el nombre original para que el sensor pueda aceptar la actualización. Inicie sesión en CLI con una cuenta que tenga privilegios de administrador. Indique el modo de configuración: sensor#configure terminal Actualice el sensor: sensor(config)#upgrade archivo>

scp://@//upgrade/