En esta entrada del blog vamos a ver en que consiste la seguridad perimetral y las distintas herramientas de las que se disponen.
IDS (Intrusion detection System).
Un sistema de detección de intrusiones es un programa de detección de accesos no autorizados a un dispositivo o a una red.
El IDS esta formado por sensores que son instalados en aquellas redes- dispositivos que queremos tenemos monitorizadas. Mediante estos, el IDS puede obtener datos
(generalmente sobre el tráfico de red) y tener controladas las peticiones y conexiones que se realizan. El IDS detecta, gracias a dichos
sensores, las anomalías que pueden ser indicio de la presencia de
ataques y falsas alarmas.
¿Como funciona?.
Se basa en el análisis del tráfico de red, el cual al pasar por el IDS es
comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser escaneos de puertos y servicios,
paquetes malformados, etc.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.Dichas firmas permiten al IDS distinguir entre el uso normal del
PC y el uso fraudulento, y/o entre el tráfico normal de la red y el
tráfico que puede ser resultado de un ataque o intento del mismo.
Lo que diferencia al IDS y el IPS que veremos a continuación, es que el IDS no frena el ataque, solo detecta y avisa.
Tipos de IDS.
Hay dos tipos de IDS
HIDS (HostIDS):
El funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
NIDS (NetworkIDS):
Un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
IPS (Intrusion Prevention System)
Un IPS es un dispositivo de seguridad de red que monitoriza el tráfico de red y/o las actividades de un sistema, en busca de actividad maliciosa.
¿Como Funciona?
Entre sus principales funciones, se encuentran no sólo la de identificar la actividad maliciosa, sino la de intentar detener esta actividad. Siendo esta última una característica que distingue a este tipo de dispositivos de los llamados IDS.
Los IPS tienen distintos métodos para localizar y frenar dichos ataques que pueden producirse en la red.
Basada en firmas
Se puede busca utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor web. Como este tipo de detección funciona parecido a un antivirus, el administrador debe verificar que las firmas estén constantemente actualizadas.
Basada en políticas.
En este tipo de detección, el IPS requiere que se declaren muy específicamente las políticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicación con determinadas redes. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta.
Basada en anomalías.
Tipos de IPS.
Podemos clasificar 2 tipos de IPS:
Basados en Red Lan (NIPS): monitorizan la red lan en busca de tráfico de red sospechoso al analizar la actividad por protocolo de comunicación lan.
Basados en Host (HIPS): Se efectúa mediante la instalación de paquetes de software que monitoriza un host único en busca de actividad sospechosa.
Hasta aqui el post hoy. En la siguiente entrada veremos que es un WAF y para que sirve. Espero que os haya gustado.
Saluditos!.
Buenas !!! muy buena la explicacion pero creo que IPS es Sistema de Prevencion de Intrusos, creo.
ResponderEliminarPero la verdad es que ha estado muy bien :D
Hola Joulises,
ResponderEliminarGracias por el aviso, un despiste en el titulo xD.
No pasa na mujee!!! :D
Eliminar