¿Podemos implementar indistintamente un HIDS o HIPS en lugar de un NIDS / NIPS? ¿Cuáles serían los riesgos? Por ejemplo, si tiene módulos de Symanetec EPS con políticas HIPS habilitados, ¿en qué se diferencian de un NIPS tradicional o HIPS?
No, no se puede implementar indistintamente HI? S frente a NI? S. Atacan a diferentes subconjuntos del mismo problema.
La mayoría simplemente N * se limita a las entradas de la red, mientras que H * tiene acceso a un conjunto mucho más rico de entradas (¡archivos, procesos, oyentes de la red!) para emitir juicios (y tiene menos visibilidad de la red, por lo general no lo hace). tener el conjunto de firmas y análisis de red enriquecido que hace una N *).
Vea también ¿Se puede configurar Snort como HIDS? .
Dicho esto, si su inquietud es satisfacer a un auditor o los requisitos de seguridad que dicen HIDS / NIDS, entonces cualquiera de los dos lo hará. Estos requisitos a menudo se escriben únicamente con el objetivo de asegurarse de que está tomando medidas adicionales para asegurarse, no con el objetivo de dictar una tecnología u otra.
La detección de intrusos en el host es una aplicación cooperativa. La detección de intrusos en la red detectará hosts poco cooperativos (es decir, máquinas con Linux que no están instalando tus cosas), aunque los hosts muy poco cooperativos también cifrarán su tráfico.