Seguridad de red: prevención de intrusiones y detección de intrusiones
Los administradores de red deben implementar sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusiones (IPS) para proporcionar una estrategia de seguridad de toda la red. IDS e IPS ambos ofrecen una suite similar de opciones. De hecho, usted puede pensar en IPS como una extensión de IDS porque un sistema IPS desconecta de forma activa los dispositivos o conexiones que se consideran como siendo utilizado para una intrusión.
Dispositivos IDS pueden ser dispositivos basados en red, funcionando como dispositivos o servidores independientes que ejecuta el software, que está desempeñando el papel IDS, pero también pueden ser instalados en los clientes de red o computadoras. Cuanto más tarde se refiere a menudo como el sistema de detección de intrusiones basado en host (HIDS).
Estos dispositivos pueden residir dentro de su red, detrás de su firewall, detección de anomalías allí, y / o pueden ser colocados fuera de su firewall. Cuando están fuera de su firewall, por lo general son dirigidos por los mismos ataques que se ejecutan en el servidor de seguridad, con lo que le alerta a los ataques que se ejecute en contra de su firewall.
Cisco ofrece varias opciones para IDS e IPS sistemas y ofrece estos como sistemas autónomos o como complementos para sus productos de seguridad existentes. Los siguientes son dos de estas opciones:
Cisco ASA inspección avanzada y el Módulo de Servicios de Seguridad Prevención
Cisco Catalyst Serie del Sistema de Detección de Intrusos 6500 (2 IDSM) Módulo
IDS e IPS tienen varios métodos para trabajar con la detección. Similares a los virus en la red, intrusiones y ataques tienen características que se registran como una firma o comportamiento. Así que cuando el sistema IPS ve este tipo de datos o el comportamiento, el sistema IPS puede entrar en acción.
Comportamiento sospechoso también puede desencadenar estos sistemas. Este comportamiento puede incluir un sistema remoto de intentar hacer ping a todas las direcciones en la subred en orden secuencial, y otra actividad que se considera anormal. Cuando el sistema IPS ve esta actividad, el IPS se puede configurar a la lista negra o bloquear el dispositivo de origen, en forma indefinida o durante un período de tiempo.
La otra forma en que estos sistemas pueden identificar el tráfico sospechoso en la red es hacer que se ejecutan en un modo de aprendizaje por un período de tiempo. A lo largo de semanas, se pueden clasificar los patrones de tráfico habituales en la red y luego limitar el tráfico a los patrones establecidos.
Si se introduce un nuevo software para la red, es posible que tenga que agregar manualmente las normas adecuadas o ejecutar un periodo de aprendizaje y luego poner el sistema de nuevo en el modo de prevención. Esta necesidad es aún el caso de los sistemas basados en host, ya que actualizan sus reglas desde el servidor de administración o la política que se está ejecutando en la red.
Estos sistemas ayudan a prevenir la propagación de Día ataques Zero, los cuales son nuevos virus o ataques de red que son diferentes a todas las intrusiones de red anteriores. Debido a que estos ataques Día Cero son nuevos, no tiene una firma específica para el ataque- pero el ataque todavía necesita para realizar las mismas conductas sospechosas, que pueden ser detectados y bloqueados.
-
Detección y análisis forense en cloud computing - Automatizar los controles de seguridad de correo electrónico para evitar cortes a través de e-mail
- Defensas de la red general para evitar ser atacado
- Cómo protegerse de los hacks de desbordamiento de búfer
- Cómo planificar y llevar a cabo ataques de hackers
- Conozca las vulnerabilidades del sistema de mensajes para evitar hacks
Supervise el uso malicioso para evitar hacks Monitoreo de eventos relacionados con la seguridad es esencial para los esfuerzos de seguridad en curso para disuadir la piratería. Esto puede ser tan básico y mundano como el seguimiento de los archivos de registro en los routers, firewalls y…
Asegure la infraestructura con soluciones de seguridad de enebro Las necesidades de seguridad de las redes están cambiando continuamente a medida que surgen nuevas amenazas y que los datos se comparten entre muchos usuarios y aplicaciones diferentes. Mantenerse a la vanguardia tanto de las nuevas amenazas y las…
Controlador de Cisco Wireless LAN (WLC) cuenta con puntos de acceso en modo ligero (LWAP) Cuando se trabaja con un controlador de Cisco Wireless LAN (WLC), puede administrar los puntos de acceso en modo autónomo o puntos de acceso en modo ligero (LWAPs). Apoyo a los puntos de acceso en modo autónomo le permite presentarse un WLC en un…
Estrategias de ataque de red común Existen dos tipos principales de los ataques tienen lugar en una red: los que se ejecuta desde dentro de la red y los que tratan de hacer su camino desde el perímetro de la red.Aunque todo el mundo quiere confiar en las personas que trabajan con un…
Comunes estrategias de ataque de red: inundaciones SYN Un SYN-inundación es un ataque a la red en el que el dispositivo de atacar envía una serie de peticiones SYN con el objetivo de abrumar al sistema de red. En el mundo TCP, sus dispositivos de red son capaces de manejar un número limitado de…
Aplicación de firewall de red Un fuerte perímetro de seguridad ayuda a proteger la red de ataques externos. El elemento principal en el frente de seguridad perimetral es una red cortafuegos. Puede implementar varios tipos de cortafuegos y otras opciones de seguridad. Los…
Empresa de seguridad de dispositivos móviles: en el dispositivo cortafuegos Un firewall basada en dispositivo es una forma de protección de seguridad que resida físicamente en el dispositivo móvil de la empresa, en lugar de la protección basada en la nube o la protección organizada. Expreso propósito de un firewall…
Empresa de seguridad del dispositivo móvil: redes desconocidas La existencia nómada de los dispositivos móviles y propensión a la inmovilización significa mucho mayor riesgo para la seguridad de las redes desconocidas. Por lo tanto, las intrusiones son mucho más probable en estos dispositivos que en un…
Empresa de seguridad del dispositivo móvil: ataques basados en virus Los ataques de virus por lo general tratan de infectar el sistema operativo del dispositivo móvil. Los ataques basados en virus en los dispositivos móviles son esencialmente presentar o basadas montan en un archivo que debe ser descargado…
Los componentes de seguridad móvil de la empresa en el dispositivo El móvil de la empresa en el dispositivo de seguridad son componentes firewall, antivirus, antispam, prevención de intrusiones y cifrado ejecutable. Cuando sacas a cabo los componentes de seguridad en el dispositivo, debe priorizar: ¿Qué…
Lista de compras Firewall Cuando usted va a comprar un servidor de seguridad para proteger el equipo y la información que contiene, desea que el hardware y / o software de servidor de seguridad sean eficaces y apropiados para sus necesidades y sistema. La siguiente lista…
Linux: la implementación de una metodología de prueba de seguridad Un elemento clave de una auditoría de seguridad informática que se usaría mientras trabajaba en Linux es una prueba de seguridad que comprueba los dispositivos técnicos utilizados para asegurar un host y la red. La metodología de la seguridad…