Seguridad de red: prevención de intrusiones y detección de intrusiones

Los administradores de red deben implementar sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusiones (IPS) para proporcionar una estrategia de seguridad de toda la red. IDS e IPS ambos ofrecen una suite similar de opciones. De hecho, usted puede pensar en IPS como una extensión de IDS porque un sistema IPS desconecta de forma activa los dispositivos o conexiones que se consideran como siendo utilizado para una intrusión.

Dispositivos IDS pueden ser dispositivos basados ​​en red, funcionando como dispositivos o servidores independientes que ejecuta el software, que está desempeñando el papel IDS, pero también pueden ser instalados en los clientes de red o computadoras. Cuanto más tarde se refiere a menudo como el sistema de detección de intrusiones basado en host (HIDS).

Estos dispositivos pueden residir dentro de su red, detrás de su firewall, detección de anomalías allí, y / o pueden ser colocados fuera de su firewall. Cuando están fuera de su firewall, por lo general son dirigidos por los mismos ataques que se ejecutan en el servidor de seguridad, con lo que le alerta a los ataques que se ejecute en contra de su firewall.

Cisco ofrece varias opciones para IDS e IPS sistemas y ofrece estos como sistemas autónomos o como complementos para sus productos de seguridad existentes. Los siguientes son dos de estas opciones:

  • Cisco ASA inspección avanzada y el Módulo de Servicios de Seguridad Prevención

  • Cisco Catalyst Serie del Sistema de Detección de Intrusos 6500 (2 IDSM) Módulo

IDS e IPS tienen varios métodos para trabajar con la detección. Similares a los virus en la red, intrusiones y ataques tienen características que se registran como una firma o comportamiento. Así que cuando el sistema IPS ve este tipo de datos o el comportamiento, el sistema IPS puede entrar en acción.

Comportamiento sospechoso también puede desencadenar estos sistemas. Este comportamiento puede incluir un sistema remoto de intentar hacer ping a todas las direcciones en la subred en orden secuencial, y otra actividad que se considera anormal. Cuando el sistema IPS ve esta actividad, el IPS se puede configurar a la lista negra o bloquear el dispositivo de origen, en forma indefinida o durante un período de tiempo.

La otra forma en que estos sistemas pueden identificar el tráfico sospechoso en la red es hacer que se ejecutan en un modo de aprendizaje por un período de tiempo. A lo largo de semanas, se pueden clasificar los patrones de tráfico habituales en la red y luego limitar el tráfico a los patrones establecidos.

Si se introduce un nuevo software para la red, es posible que tenga que agregar manualmente las normas adecuadas o ejecutar un periodo de aprendizaje y luego poner el sistema de nuevo en el modo de prevención. Esta necesidad es aún el caso de los sistemas basados ​​en host, ya que actualizan sus reglas desde el servidor de administración o la política que se está ejecutando en la red.

Estos sistemas ayudan a prevenir la propagación de Día ataques Zero, los cuales son nuevos virus o ataques de red que son diferentes a todas las intrusiones de red anteriores. Debido a que estos ataques Día Cero son nuevos, no tiene una firma específica para el ataque- pero el ataque todavía necesita para realizar las mismas conductas sospechosas, que pueden ser detectados y bloqueados.




» » » » Seguridad de red: prevención de intrusiones y detección de intrusiones