Un sistema de detección de intrusos (IDS) monitorea el tráfico de la red y monitorea la actividad sospechosa y alerta al sistema o al administrador de la red. En algunos casos, el IDS también puede responder al tráfico anómalo o malicioso tomando medidas como bloquear el acceso del usuario o la dirección IP de origen a la red.
Los IDS vienen en una variedad de “sabores” y se acercan al objetivo de detectar tráfico sospechoso de diferentes maneras.
Existen sistemas de detección de intrusos basados en red (NIDS) y basados en host (HIDS). Hay IDS que detectan en función de la búsqueda de firmas específicas de amenazas conocidas, similar a la forma en que el software antivirus generalmente detecta y protege contra el malware, y hay IDS que detectan en base a la comparación de patrones de tráfico con una línea de base y la búsqueda de anomalías. Hay IDS que simplemente monitorean y alertan y hay IDS que realizan una acción o acciones en respuesta a una amenaza detectada. Cubriremos cada uno de estos brevemente.
- Cómo construir una aplicación de predicción de flujo de efectivo personal con extractos bancarios utilizando el aprendizaje automático
- ¿Cuál es el futuro del aprendizaje de refuerzo profundo? ¿Es una buena idea comenzar un doctorado ahora trabajando en ataques adversos en sistemas RL?
- Quiero comenzar en PNL. ¿Vale la pena?
- ¿Las imágenes captcha perderían su importancia si las técnicas de procesamiento de imágenes pudieran reconocer a los personajes automáticamente?
- Al entrenar y probar conjuntos de datos, ¿es posible probar un conjunto de datos completamente diferente del conjunto de entrenamiento?
NIDS
Los sistemas de detección de intrusos en la red se colocan en un punto o puntos estratégicos dentro de la red para monitorear el tráfico hacia y desde todos los dispositivos en la red. Idealmente, debería escanear todo el tráfico entrante y saliente, sin embargo, hacerlo podría crear un cuello de botella que perjudicaría la velocidad general de la red.
HIDS
Los sistemas de detección de intrusiones de host se ejecutan en hosts o dispositivos individuales en la red.
Un HIDS monitorea los paquetes entrantes y salientes desde el dispositivo solamente y alertará al usuario o administrador de la detección de actividad sospechosa.
Basado en firma
Un IDS basado en firmas monitoreará los paquetes en la red y los comparará con una base de datos de firmas o atributos de amenazas maliciosas conocidas.
Esto es similar a la forma en que la mayoría del software antivirus detecta malware. El problema es que habrá un retraso entre una nueva amenaza que se descubra en la naturaleza y la firma para detectar que la amenaza se aplica a su IDS. Durante ese tiempo de retraso, su IDS no podrá detectar la nueva amenaza.
Basado en anomalías
Un IDS basado en anomalías supervisará el tráfico de la red y lo comparará con una línea base establecida. La línea de base identificará qué es “normal” para esa red, qué tipo de ancho de banda se usa generalmente, qué protocolos se usan, qué puertos y dispositivos generalmente se conectan entre sí, y alertará al administrador o usuario cuando se detecte tráfico que sea anómalo, o significativamente diferente a la línea de base.
ID pasivos
Un IDS pasivo simplemente detecta y alerta. Cuando se detecta tráfico sospechoso o malicioso, se genera una alerta y se envía al administrador o usuario, y depende de ellos tomar medidas para bloquear la actividad o responder de alguna manera.
IDS reactivos
Un IDS reactivo no solo detectará tráfico sospechoso o malicioso y alertará al administrador, sino que tomará acciones proactivas predefinidas para responder a la amenaza. Por lo general, esto significa bloquear cualquier tráfico de red adicional desde la dirección IP o el usuario de origen.
Uno de los sistemas de detección de intrusos más conocidos y ampliamente utilizados es el Snort de código abierto y de libre acceso. Está disponible para varias plataformas y sistemas operativos, incluidos Linux y Windows. Snort tiene muchos seguidores leales y hay muchos recursos disponibles en Internet donde puede adquirir firmas para implementar y detectar las últimas amenazas. Para otras aplicaciones de detección de intrusos gratuitas,
Hay una línea muy fina entre un firewall y un IDS. También hay una tecnología llamada IPS – Sistema de prevención de intrusiones.
Un IPS es esencialmente un firewall que combina el filtrado a nivel de red y a nivel de aplicación con un IDS reactivo para proteger proactivamente la red. Parece que a medida que pasa el tiempo en los firewalls, IDS e IPS adquieren más atributos entre sí y difuminan aún más la línea.
Esencialmente, su firewall es su primera línea de defensa perimetral. Las mejores prácticas recomiendan que su firewall se configure explícitamente para NEGAR todo el tráfico entrante y luego abra agujeros cuando sea necesario. Es posible que deba abrir el puerto 80 para alojar sitios web o el puerto 21 para alojar un servidor de archivos FTP. Cada uno de estos agujeros puede ser necesario desde un punto de vista, pero también representan posibles vectores para que el tráfico malicioso ingrese a su red en lugar de ser bloqueado por el firewall.
Ahí es donde entraría su IDS. Ya sea que implemente un NIDS en toda la red o un HIDS en su dispositivo específico, el IDS monitoreará el tráfico entrante y saliente e identificará el tráfico sospechoso o malicioso que de alguna manera haya pasado por alto su firewall o posiblemente también podría originarse dentro de su red.
Un IDS puede ser una gran herramienta para monitorear y proteger proactivamente su red de actividades maliciosas, sin embargo, también son propensos a falsas alarmas. Con casi cualquier solución IDS que implemente, deberá “ajustarla” una vez que se instale por primera vez. Necesita que el IDS esté configurado correctamente para reconocer qué es el tráfico normal en su red frente a lo que podría ser tráfico malicioso y usted, o los administradores responsables de responder a las alertas de IDS, deben comprender qué significan las alertas y cómo responder de manera efectiva.
Fuente: Todo lo que necesita saber sobre los sistemas de detección de intrusiones (IDS)
