Estoy estudiando IDPs y me gustaría saber dónde se pueden colocar sensores IDPS basados en red en los segmentos de la red de la organización universitaria. Estoy deseando analizar diferentes escenarios de ubicaciones de sensores y los beneficios para cada uno. ¿Alguien puede dar una sugerencia? ¡Gracias por adelantado!
Realmente depende del diseño de la red y de lo que quieras monitorear. ¿Le resulta más interesante el tráfico entrante o saliente?
Para organizaciones más grandes, que probablemente tengan varias oficinas, y redes de servidores / infraestructura, tiene sentido tener sensores dedicados con una configuración específica de red.
NIDS tradicional (Modo pasivo)
Lo pondría en un puerto espejo del núcleo de ese segmento de red. Asegúrese de que su hardware (NIC, switches) pueda manejar eso. Para la confiabilidad del sensor, buscaría obtener dos tarjetas de red y configurar la vinculación.
NID tradicional (P) S (modo en línea)
La configuración tradicional que a menudo encuentro es que el sensor actúa como un enrutador y maneja todo el tráfico que entra y sale. Por lo tanto, sería el segundo salto en la red para la conectividad de salida, el segundo en durar para la entrada. Hay muchas consideraciones de diseño que se deben realizar aquí para no comprometer la confiabilidad (pérdida de paquetes adicionales), la disponibilidad de la red, como una conmutación por error cuando el sensor se apaga, involuntariamente o durante el mantenimiento.
Este es difícil de escalar, y debe tomar la configuración de software y hardware muy en serio, solo habilite las funciones y reglas que se aplican a su modelo de amenaza.
Una buena alternativa es ir por la ruta pasiva y escribir un agente que desencadene acciones en ciertos eventos, como conectarse al servidor de seguridad / enrutador / servidor DNS, etc., y aplicar reglas. De esta manera, obtendría el mismo efecto con menos riesgo de comprometer la disponibilidad de su red. Existe algún software (antiguo) conocido como SnortSAM que puede servir como un buen ejemplo de cómo lograrlo.
Buenas lecturas
Amenazas emergentes: resumen de SnortSAM
SANS Instituto: cómo colocar el sensor IDS en redes redundantes
Colocación de sensores estratégicos para la detección de intrusiones en la red basada en los SID
Espero que esto le resulte útil, no dude en hacer cualquier pregunta de seguimiento. Estoy muy interesado y trato de mantenerme al día dentro del campo de Monitoreo de Seguridad de la Red, por lo que el placer es mío :)
Lea otras preguntas en las etiquetas network