¿Cómo funcionan los Sistemas de detección de intrusos (IDS)?

15

¿Cómo funcionan los sistemas de detección de intrusiones (IDS)? Según tengo entendido, monitorean el tráfico de la red, pero ¿qué es exactamente lo que buscan? ¿Cómo pueden distinguir la actividad regular de las intrusiones?

    
pregunta Olivier Lalonde 15.01.2011 - 02:27
fuente

2 respuestas

16

Por lo general, tiene dos tipos de IDS, basados en red y en host, y estos pueden ser tipos de respuesta de firma o estadística.

Las ID de firma son simples, rápidas y se pueden actualizar fácilmente. Por lo general, los proveedores suministran archivos de firmas, de manera similar a la forma en que los proveedores de antivirus suministran firmas de virus. Por esta razón la mayoría de los IDS utilizan el reconocimiento de firmas. El inconveniente es que no identificarán un nuevo ataque a menos que tenga una firma que coincida con un ataque existente.

Los IDS estadísticos o heurísticos aprenden cómo se ve el tráfico "bueno" o normal y alertan sobre cualquier cosa que no sea normal. Esto significa que son mucho mejores para detectar nuevos ataques, pero requiere períodos de aprendizaje cuando se instalan inicialmente y regularmente en la implementación de nuevos servidores, servicios y cuando se esperan nuevos tipos de tráfico o volúmenes.

Las IDS basadas en red generalmente se implementan en el perímetro de una organización, y tienen visibilidad de todo el tráfico que ingresa (y algunas veces sale) de la organización. Cuando el tráfico tiene indicaciones de que puede ser malicioso, se registra o marca en un sistema de respuesta o persona.

Para una organización grande, la cantidad de diferentes tipos de tráfico válido puede ser muy alta, y los tipos de tráfico pueden variar con el tiempo, por lo que la configuración y el ajuste continuos de una IDS basada en la red perimetral pueden requerir muchos recursos. Por esta razón, la mayoría de las grandes empresas subcontratan a proveedores que brindan el servicio a muchas organizaciones. Estos proveedores tienen una mejor visibilidad de los ataques que ocurren, una ventaja de escala en el ajuste y la respuesta, y la capacidad de actualizar las firmas para todos sus clientes a la vez.

Los IDS basados en host se implementan más a menudo en servidores específicos de alto valor. Los tipos de tráfico y la carga suelen ser mucho más bajos y más predecibles, por lo que el requisito de recursos suele ser menor.

También vea esta pregunta : alguna discusión sobre IDS basados en anomalías (estadísticas).

    
respondido por el Rory Alsop 15.01.2011 - 12:44
fuente
3

Wikipedia tiene un buen comienzo en la respuesta a esta pregunta.

Un extracto:

Todos los sistemas de detección de intrusiones utilizan una de dos técnicas de detección:

  

IDS basados en anomalías estadísticas:

     

Un IDS basado en anomalías estadísticas   establece una línea de base de rendimiento   basado en el tráfico de red normal   evaluaciones Entonces muestreará   actividad de tráfico de red actual a   esta línea de base para detectar   si está o no dentro de la línea de base   parámetros Si el tráfico muestreado es   parámetros de línea de base externa, una alarma   se activará.

     

IDS basados en firmas:

     

Se examina el tráfico de red   Ataque preconfigurado y predeterminado.   Patrones conocidos como firmas. Muchos   Los ataques de hoy tienen distinta   firmas En buenas prácticas de seguridad,   una colección de estas firmas debe   estar constantemente actualizado para mitigar   Amenazas emergentes.

    
respondido por el DCookie 15.01.2011 - 04:47
fuente

Lea otras preguntas en las etiquetas