¿Cómo funcionan los sistemas de detección de intrusiones (IDS)? Según tengo entendido, monitorean el tráfico de la red, pero ¿qué es exactamente lo que buscan? ¿Cómo pueden distinguir la actividad regular de las intrusiones?
¿Cómo funcionan los sistemas de detección de intrusiones (IDS)? Según tengo entendido, monitorean el tráfico de la red, pero ¿qué es exactamente lo que buscan? ¿Cómo pueden distinguir la actividad regular de las intrusiones?
Por lo general, tiene dos tipos de IDS, basados en red y en host, y estos pueden ser tipos de respuesta de firma o estadística.
Las ID de firma son simples, rápidas y se pueden actualizar fácilmente. Por lo general, los proveedores suministran archivos de firmas, de manera similar a la forma en que los proveedores de antivirus suministran firmas de virus. Por esta razón la mayoría de los IDS utilizan el reconocimiento de firmas. El inconveniente es que no identificarán un nuevo ataque a menos que tenga una firma que coincida con un ataque existente.
Los IDS estadísticos o heurísticos aprenden cómo se ve el tráfico "bueno" o normal y alertan sobre cualquier cosa que no sea normal. Esto significa que son mucho mejores para detectar nuevos ataques, pero requiere períodos de aprendizaje cuando se instalan inicialmente y regularmente en la implementación de nuevos servidores, servicios y cuando se esperan nuevos tipos de tráfico o volúmenes.
Las IDS basadas en red generalmente se implementan en el perímetro de una organización, y tienen visibilidad de todo el tráfico que ingresa (y algunas veces sale) de la organización. Cuando el tráfico tiene indicaciones de que puede ser malicioso, se registra o marca en un sistema de respuesta o persona.
Para una organización grande, la cantidad de diferentes tipos de tráfico válido puede ser muy alta, y los tipos de tráfico pueden variar con el tiempo, por lo que la configuración y el ajuste continuos de una IDS basada en la red perimetral pueden requerir muchos recursos. Por esta razón, la mayoría de las grandes empresas subcontratan a proveedores que brindan el servicio a muchas organizaciones. Estos proveedores tienen una mejor visibilidad de los ataques que ocurren, una ventaja de escala en el ajuste y la respuesta, y la capacidad de actualizar las firmas para todos sus clientes a la vez.
Los IDS basados en host se implementan más a menudo en servidores específicos de alto valor. Los tipos de tráfico y la carga suelen ser mucho más bajos y más predecibles, por lo que el requisito de recursos suele ser menor.
También vea esta pregunta : alguna discusión sobre IDS basados en anomalías (estadísticas).
Wikipedia tiene un buen comienzo en la respuesta a esta pregunta.
Un extracto:
Todos los sistemas de detección de intrusiones utilizan una de dos técnicas de detección:
IDS basados en anomalías estadísticas:
Un IDS basado en anomalías estadísticas establece una línea de base de rendimiento basado en el tráfico de red normal evaluaciones Entonces muestreará actividad de tráfico de red actual a esta línea de base para detectar si está o no dentro de la línea de base parámetros Si el tráfico muestreado es parámetros de línea de base externa, una alarma se activará.
IDS basados en firmas:
Se examina el tráfico de red Ataque preconfigurado y predeterminado. Patrones conocidos como firmas. Muchos Los ataques de hoy tienen distinta firmas En buenas prácticas de seguridad, una colección de estas firmas debe estar constantemente actualizado para mitigar Amenazas emergentes.