El examen de diferentes tipos de sistemas de detección de intrusos
La detección de intrusiones
Conteúdo
IDS activos y pasivos
Un activo IDS (ahora conocido más comúnmente como un sistema de prevención de intrusiones - IPS) es un sistema que está configurado para bloquear automáticamente presuntos ataques en curso sin ninguna intervención requerida por un operador. IPS tiene la ventaja de proporcionar medidas correctivas en tiempo real en respuesta a un ataque pero tiene muchas desventajas. Un IPS debe ser colocado en línea a lo largo de una red boundary- por lo tanto, la propia IPS es susceptible al ataque. Usuarios y aplicaciones Además, si las falsas alarmas y el tráfico legítimo no han sido debidamente identificados y se filtra, autorizados se les puede negar el acceso inadecuadamente. Por último, el propio IPS se puede usar para efectuar una Negación de servicio (DoS) inundando intencionalmente el sistema con alarmas que hacen que se bloquean las conexiones hasta que no haya conexiones o ancho de banda están disponibles.
LA pasivo IDS es un sistema que está configurado sólo para monitorear y analizar la actividad de tráfico de red y alertar a un operador de vulnerabilidades y ataques potenciales. No es capaz de realizar cualquiera de las funciones de protección o correctivas por sí solo. Las principales ventajas de IDSes pasivos son que estos sistemas se pueden desplegar fácil y rápidamente y no son normalmente susceptibles al ataque sí mismos.
IDS basados en host basada en la red y
LA basada en red IDS lo general consiste en un dispositivo de red (o sensor) con una tarjeta de interfaz de red (NIC) que funcionan en modo promiscuo y una interfaz de gestión independiente. El IDS se coloca a lo largo de un segmento de red o cobertura y supervisa todo el tráfico en ese segmento.
LA basado en host IDS requiere pequeños programas (o agentes) Para ser instalado en sistemas individuales a monitorizar. Los agentes supervisan el sistema operativo y escribir datos en archivos de registro y / o alarmas de activación. Un IDS basado en host sólo pueden controlar los sistemas host individuales en los que los agentes se instalado- no supervisa toda la red.
Basada en el conocimiento e IDS basados en el comportamiento
LA basada en el conocimiento (o basada firma-) IDS hace referencia a una base de datos de perfiles de ataque anteriores y vulnerabilidades de los sistemas conocidos para identificar los intentos de intrusión activos. IDS basada en el conocimiento es actualmente más común que el IDS basados en el comportamiento. Ventajas de los sistemas basados en el conocimiento son los siguientes:
- Tiene tasas de falsas alarmas bajas que IDS basados en el comportamiento.
- Las alarmas son más estandarizados y más fácil comprensión de IDS basados en el comportamiento.
Desventajas de los sistemas basados en el conocimiento incluyen los siguientes:
- Base de datos de la firma debe ser actualizado y mantenido continuamente.
- Ataques nuevos, únicos, originales o pueden no ser detectados o se pueden clasificar de manera incorrecta.
LA basada en el comportamiento (o basado anomalía estadística) IDS hace referencia a una línea de base o aprendido patrón de actividad normal del sistema para identificar los intentos de intrusión activos. Las desviaciones de esta línea de base o patrón causan una alarma que se activará. Ventajas de los sistemas basados en el comportamiento incluyen que
- Dinámicamente adaptarse a nuevos ataques, únicas, originales o.
- Son menos dependientes de la identificación de vulnerabilidades específicas del sistema operativo.
Desventajas de los sistemas basados en el comportamiento incluyen
- Las mayores tasas de falsas alarmas que IDSes basadas en el conocimiento.
- Los patrones de uso que pueden cambiar a menudo y pueden no ser lo suficientemente estática para implementar una efectiva IDS basados en el comportamiento.
-
Detección y análisis forense en cloud computing - Automatizar los controles de seguridad de correo electrónico para evitar cortes a través de e-mail
- Ataques de denegación de servicio y cómo protegerse contra ellos
-
Cómo detectar y protegerse contra las vulnerabilidades de seguridad de Linux - Cómo protegerse de los hacks de desbordamiento de búfer
- Conozca las vulnerabilidades del sistema de mensajes para evitar hacks
Prevenir hacks con analizadores de red LA analizador de redes es una herramienta que le permite buscar en una red y evitar los cortes mediante el análisis de los datos que van a través del cable con fines de optimización de redes, seguridad, y / o solución de problemas. Un analizador…
Snmp Scan para evitar un corte de la red Simple Network Management Protocol (SNMP) está integrado en casi todos los dispositivos de la red y puede ser una fuente de hacking. Programas de gestión de red (como HP OpenView y LANDesk) utilizan SNMP para la gestión de host de red remoto.…
Asegure la infraestructura con soluciones de seguridad de enebro Las necesidades de seguridad de las redes están cambiando continuamente a medida que surgen nuevas amenazas y que los datos se comparten entre muchos usuarios y aplicaciones diferentes. Mantenerse a la vanguardia tanto de las nuevas amenazas y las…
Estrategias de ataque de red común Existen dos tipos principales de los ataques tienen lugar en una red: los que se ejecuta desde dentro de la red y los que tratan de hacer su camino desde el perímetro de la red.Aunque todo el mundo quiere confiar en las personas que trabajan con un…
Comunes estrategias de ataque de red: inundaciones SYN Un SYN-inundación es un ataque a la red en el que el dispositivo de atacar envía una serie de peticiones SYN con el objetivo de abrumar al sistema de red. En el mundo TCP, sus dispositivos de red son capaces de manejar un número limitado de…
Seguridad de red: prevención de intrusiones y detección de intrusiones Los administradores de red deben implementar sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusiones (IPS) para proporcionar una estrategia de seguridad de toda la red. IDS e IPS ambos ofrecen una suite similar de…
Empresa de seguridad del dispositivo móvil: ataques basados en virus Los ataques de virus por lo general tratan de infectar el sistema operativo del dispositivo móvil. Los ataques basados en virus en los dispositivos móviles son esencialmente presentar o basadas montan en un archivo que debe ser descargado…
Los componentes de seguridad móvil de la empresa en el dispositivo El móvil de la empresa en el dispositivo de seguridad son componentes firewall, antivirus, antispam, prevención de intrusiones y cifrado ejecutable. Cuando sacas a cabo los componentes de seguridad en el dispositivo, debe priorizar: ¿Qué…
Networking su sistema de seguridad Hay muchas soluciones de seguridad de redes domésticas disponibles en la actualidad a través de las empresas de seguridad profesionales, tales como ADT, Broadview Security (anteriormente Brinks), GE Security, y otros. Alternativamente, usted puede…
10 términos de seguridad de Linux para saber Como usuario de Linux y el administrador, la seguridad informática es un tema esencial. Diez términos clave se puede tomar un largo camino hacia el dominio de su entorno.3DES: También conocido como Triple Digital Encryption Standard (DES), 3DES…
Linux y algunas vulnerabilidades informáticas comunes Prevención en Linux incluye los mecanismos (no técnicos y técnicos) que ayudan a prevenir ataques al sistema y la red. Antes de poder pensar en la prevención, sin embargo, usted tiene que saber los tipos de problemas que está tratando de evitar…
Linux: la implementación de una metodología de prueba de seguridad Un elemento clave de una auditoría de seguridad informática que se usaría mientras trabajaba en Linux es una prueba de seguridad que comprueba los dispositivos técnicos utilizados para asegurar un host y la red. La metodología de la seguridad…