NIDS (Sistema de Detección de Intrusiones de Red) y NIPS (Sistema de Prevención de Intrusiones de Red)

author
5 minutes, 57 seconds Read
X

Privacidad & Cookies

Este sitio utiliza cookies. Al continuar, usted acepta su uso. Obtenga más información, incluido cómo controlar las cookies.

¡Lo tengo!

Anuncios

NIDS y NIPS (basados en comportamiento, basados en firma, basados en anomalías, heurísticos)

Un sistema de detección de intrusos (ID) es un software que se ejecuta en un servidor o dispositivo de red para monitorear y rastrear la actividad de la red. Mediante el uso de un ID, un administrador de red puede configurar el sistema para supervisar la actividad de la red en busca de comportamientos sospechosos que puedan indicar intentos de acceso no autorizados. Los IDSS se pueden configurar para evaluar los registros del sistema, observar la actividad sospechosa de la red y desconectar las sesiones que parezcan violar la configuración de seguridad.

Los IDSS se pueden vender con firewalls. Los cortafuegos por sí solos evitarán muchos ataques comunes, pero generalmente no tienen la inteligencia o las capacidades de informes para monitorear toda la red. Un IDS, junto con un firewall, permite una postura reactiva con el firewall y una postura preventiva con los IDS.

En respuesta a un evento, los ID pueden reaccionar deshabilitando sistemas, cerrando puertos, finalizando sesiones, engañando (redirigiendo a honeypot) e incluso cerrando potencialmente su red. Un ID basado en red que toma medidas activas para detener o prevenir una intrusión se denomina sistema de prevención de intrusiones de red (NIPS). Cuando funcionan en este modo, se consideran sistemas activos.

Los sistemas de detección pasiva registran el evento y dependen de las notificaciones para alertar a los administradores de una intrusión. Rechazar o ignorar un ataque es un ejemplo de respuesta pasiva, donde un ataque inválido puede ignorarse de forma segura. Una desventaja de los sistemas pasivos es el desfase entre la detección de intrusiones y las medidas correctivas adoptadas por el administrador.

Los sistemas de prevención de intrusiones (IP) como los IDSs siguen el mismo proceso de recopilación e identificación de datos y comportamiento, con la capacidad adicional de bloquear (prevenir) la actividad.

Un ID basado en red examina patrones de red, como un número inusual o solicitudes destinadas a un servidor o servicio en particular, como un servidor FTP. Los sistemas de ID de red deben ubicarse lo antes posible, por ejemplo, en el firewall, un grifo de red, un puerto de extensión o un concentrador, para supervisar el tráfico externo. Los sistemas de ID de host, por otro lado, se colocan en hosts individuales donde pueden monitorear de manera más eficiente los eventos generados internamente.

El uso de ID de red y de host mejora la seguridad del entorno.

Snort es un ejemplo de sistema de detección y prevención de intrusiones de red. Realiza análisis de tráfico y registro de paquetes en redes IP. Snort utiliza un lenguaje flexible basado en reglas para describir el tráfico que debe recoger o pasar, y un motor de detección modular.

La detección de intrusiones basada en la red intenta identificar comportamientos no autorizados, ilícitos y anómalos basados únicamente en el tráfico de red. Utilizando los datos capturados, los identificadores de red procesan y marcan cualquier tráfico sospechoso. A diferencia de un sistema de prevención de intrusiones, un sistema de detección de intrusiones no bloquea activamente el tráfico de red. El rol de los ID de red es pasivo, solo recopilando, identificando, registrando y alertando.

El sistema de detección de intrusiones basado en host (HIDS) intenta identificar comportamientos no autorizados, ilícitos y anómalos en un dispositivo específico. HIDS generalmente implica un agente instalado en cada sistema, que supervisa y alerta sobre la actividad del sistema operativo local y la aplicación. El agente instalado utiliza una combinación de firmas, reglas y heurística para identificar actividades no autorizadas. El rol de los ID de host es pasivo, solo recopilando, identificando, registrando y alertando. Tripwire es un ejemplo de HIDS.

Actualmente no hay estándares abiertos completamente maduros para ID. El Grupo de Trabajo de Ingeniería de Internet (IETF) es el organismo que desarrolla nuevos estándares de Internet. Tienen un grupo de trabajo para desarrollar un formato común para las alertas de IDS.

Se pueden utilizar los siguientes tipos de metodologías de monitoreo para detectar intrusiones y comportamientos maliciosos: monitoreo de firmas, anomalías, heurística y basado en reglas.

Un ID basado en firmas monitorizará los paquetes de la red y los comparará con una base de datos de firmas o atributos de amenazas maliciosas conocidas. Esto es similar a la forma en que la mayoría de los programas antivirus detectan malware. El problema es que habrá un desfase entre una nueva amenaza que se descubre en la naturaleza y la firma para detectar esa amenaza que se aplica a sus identificadores.

Una firma de ID de red es un patrón que queremos buscar en el tráfico. Las firmas van desde muy simples (comprobación del valor de un campo de encabezado) hasta firmas muy complejas que pueden rastrear el estado de una conexión o realizar un análisis exhaustivo de protocolos.

Un ID basado en anomalías examina el tráfico, la actividad, las transacciones o el comportamiento en curso en busca de anomalías (cosas fuera de la norma) en redes o sistemas que puedan indicar un ataque. Un IDS basado en anomalías monitorizará el tráfico de red y lo comparará con una línea de base establecida. La línea base identificará lo que es «normal» para esa red, qué tipo de ancho de banda se usa generalmente, qué protocolos se usan, qué puertos y dispositivos generalmente se conectan entre sí, y alertará al administrador cuando se detecte tráfico anómalo a la línea base.

Un monitoreo de seguridad basado en heurística utiliza una base de datos inicial de tipos de ataques conocidos, pero altera dinámicamente su base de firmas en función del comportamiento aprendido del tráfico de red. Un sistema heurístico utiliza algoritmos para analizar el tráfico que pasa a través de la red. Los sistemas heurísticos requieren un ajuste más preciso para evitar falsos positivos en su red.

Un sistema basado en el comportamiento busca variaciones en el comportamiento, como tráfico inusualmente alto, violaciones de políticas, etc. Al buscar desviaciones en el comportamiento, es capaz de reconocer amenazas potenciales y responder rápidamente.
Similar a las reglas de control de acceso de firewall, un sistema de monitoreo de seguridad basado en reglas depende del administrador para crear reglas y determinar las acciones a tomar cuando se transgreden esas reglas.

• http://netsecurity.about.com/cs/hackertools/a/aa030504.htm
• http://www.sans.org/security-resources/idfaq/
• CompTIA Security+ Guía De Estudio: Examen SY0-301, Quinta Edición de Emmett Dulaney
* Pasaporte de certificación CompTIA Security+ de Mike Meyers, Segunda Edición de T. J. Samuelle

http://neokobo.blogspot.com/2012/01/118-nids-and-nips.html

Anuncios

Similar Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada.