¿Cómo un IDS identifica una computadora?

Question

¿Cómo un IDS identifica una computadora?

#1 de dc5553 (1 votos)
#2 de EnergyBrew (1 votos)
#3 de snorty (0 votos)
#4 de hoa (0 votos)
#5 de P4cK3tHuNt3R (0 votos)
#6 de Chris (0 votos)
#7 de incous (0 votos)

3

¿Cómo un IDS identifica una computadora en la red? Me refiero a si IDS realmente comprueba si un dispositivo es realmente lo que dice ser. Si es así, ¿qué factores comprueba (MAC, etc.)?

Por ejemplo, si un dispositivo fue expulsado de la red debido a una actividad maliciosa (mi amigo afirma que cuando probó la falsificación de ARP en su universidad, su computadora portátil fue excluida de la red y fue capturado). ¿Cómo el IDS realiza un seguimiento o identifica el dispositivo cuando vuelve a entrar en la red?

network identification ids

pregunta Grim Reaper 19.12.2013 - 17:50

fuente

7 respuestas

Lea otras preguntas en las etiquetas network identification ids

(¿Por qué) debería borrarse el portapapeles cuando contiene contenido de un programa cerrado? ¿Se pueden forzar las contraseñas mediante un RDP?

score 1 · Answer 1

En primer lugar, al hablar de una IDS estamos hablando de un dispositivo pasivo. Con un dispositivo pasivo comúnmente se registran / alerta y nada más. Por otro lado, si este dispositivo era un IPS que es donde ocurre el bloqueo activo "shunning" o cualquier otra cosa para la que fue creado.

Al igual que las tecnologías antivirus, existen dos tipos de tecnologías de detección de redes basadas en firmas (por ejemplo, Snort) y basadas en heurísticas (por ejemplo, Fireye kinda! ).

En cuanto a la detección de actividad anómala en la capa 2, es poco común que el IDS / IPS se encargue de esto normalmente. Sin embargo, esto no significa que algo en la red pueda monitorearlo. Ese algo suele ser una solución NAC (Control de acceso a la red) (por ejemplo, FreeNAC) y es posible que exista un conjunto de herramientas que pueden ejecutarse junto con el IPC / IDS y hace esto pero como una parte diferente de un producto (vea palo alto ).

Con todo lo que se dice en los puntos de contacto de Internet, hay muchas maneras de hacer una huella digital de un dispositivo en función del tráfico. De hecho, Nessus realmente hace esto muy bien, y además, si alguna vez has jugado con POf, ya lo has hecho tú mismo. Cosas como solicitudes web, intentos de conexión smb y otros bits de tráfico ayudan a esos sistemas a reunir bastante información pasivamente.

Vea esta página de Nessus explicando más.

enlace

score 1 · Answer 2

Esta publicación es antigua, pero pensé en id metion si quieres aprender sobre IDS / IPS en un entorno más práctico. Descargaría PfSense es bastante fácil de configurar, y la mejor manera de hacerlo es usar cosas como yersenia y todas las herramientas en Kali Linux y ver cómo registra el tráfico que le das. Además, Splunk es bastante decente, lo tengo configurado en el DC en mi vmware lab que utilizo para investigación y demás.

pfsense: enlace Splunk: enlace

score 0 · Answer 3

No lo hace. El IDS solo va a buscar lo que está en su conjunto de reglas. Por lo tanto, ve que el intento de suplantación ARP lo registra y alerta al operador. El operador desvía manualmente la ip, bloquea el mac, desactiva el puerto del switch, lo que sea. La mayoría de los sistemas IDS también pueden tener secuencias de comandos para respuestas activas, de modo que cuando IDS vea el intento de suplantación de Arp. Se inicia una secuencia de comandos que indica al conmutador / cortafuegos que bloquee la dirección ip / mac..etc. Sé de un par de productos que, sin embargo, integran las capacidades de seguimiento de dispositivos con IDS. Para mantener las pestañas en dispositivos "malos".

score 0 · Answer 4

Depende de dónde coloque su IDS en la red.

usuario - > IDS - > Proxy / Firewall - > Internet

El IDS activará el evento con la dirección IP del usuario específico que realizó el ataque de suplantación de Arp.

usuario - > Proxy / Firewall - > IDS - > Internet

El IDS activará el evento con el Proxy / Firewall como dirección IP de origen

En resumen, siempre que estos dispositivos mantengan registros, pueden rastrearlo en la red

score 0 · Answer 5

IDS no realiza un seguimiento del registro de las direcciones MAC. En IDS solo el interno & externo está configurado para diferenciar entre el interno & Tráfico de red externa. IDS tiene reglas predefinidas para lanzar el veredicto (en el caso de IDS, puede ser de registro o alerta) contra cualquier actividad de intrusión desde adentro hacia afuera y desde afuera hacia adentro. Considerar el escenario en una red. Su sistema - > switch / hub (obsoleto) - > proxy / DNS - > cortafuegos - > IDS / IPS - > puerta de enlace - > Internet Cuando le está diciendo a su amigo que lo atrape durante la falsificación de Arp, se debe a un mecanismo de prevención que se aplica al conmutador que es el enlace MAC. Usando registros pueden identificar & en nombre de que pueden aplicar la lista de control de acceso ip.

score 0 · Answer 6

En el caso de su amigo, probablemente no fue atrapado por un IDS, habría activado un dispositivo de control de acceso a la red, o lo más probable es que el interruptor al que estaba conectado estuviera configurado para permitir solo una única dirección MAC por puerto y el puerto se cerró automáticamente cuando intentó usar una dirección MAC diferente a la suya.

score 0 · Answer 7

Desde que mencionó el IDS en la red, supongo que era NIDS.
En realidad, el NIDS no identifica una computadora. Su función es detectar el comportamiento anormal del tráfico de red, por lo que solo rastrea las direcciones IP. En caso de que la IP de la computadora cambiara con el tiempo, NIDS no pudo ayudar. Si implementa una información de seguridad & Gestión de eventos, incluye una gran cantidad de herramientas como Assets Discovery / Management para identificar la computadora y correlacionar los eventos en contextos, para que pueda monitorear el flujo de tráfico y las actividades de la computadora en la red con mayor facilidad.
Puede obtener más información en: enlace