Seguridad de red: prevención de intrusiones y detección de intrusos

Los administradores de red deben implementar sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusiones (IPS) para proporcionar una estrategia de seguridad de toda la red. IDS e IPS ambos ofrecen un conjunto similar de opciones. De hecho, se puede pensar en IPS como una extensión del IDS, ya que un sistema de IPS desconecta de forma activa los dispositivos o conexiones que se consideran como siendo utilizado para una intrusión.

dispositivos IDS pueden ser dispositivos basados ​​en la red, funcionando como dispositivos o servidores separados software que se ejecuta, que está realizando el papel de IDS, pero también pueden ser instalados en los equipos cliente o de red. Cuanto más tarde se refiere a menudo como sistema de detección de intrusiones basado en host (HIDS).

Estos dispositivos pueden residir dentro de su red, detrás del firewall, detección de anomalías allí, y / o pueden ser colocados fuera del cortafuegos. Cuando están fuera del cortafuegos, por lo general son dirigidos por los mismos ataques que se ejecutan en el servidor de seguridad, alertando así a los ataques entre en funcionamiento con el servidor de seguridad.

Cisco ofrece varias opciones para IDS e IPS sistemas y ofrece estos como sistemas independientes o como complementos para sus productos de seguridad existentes. Los siguientes son dos de estas opciones:

  • Cisco ASA avanzado de la inspección y el Módulo de Servicios de Seguridad Prevención

  • Sistema de detección de Cisco Catalyst 6500 Series de intrusiones (2-IDSM) Módulo

Video: Deteccion de intrusos en una red, Snort

IDS y IPS tienen varios métodos para trabajar con la detección. Similares a los virus en su red, intrusiones y ataques tienen características que se registran como una firma o comportamiento. Así que cuando el sistema IPS ve este tipo de datos o el comportamiento, el sistema IPS puede entrar en acción.

El comportamiento sospechoso también puede desencadenar estos sistemas. Este comportamiento puede incluir un sistema remoto de intentar hacer ping a todas las direcciones de la subred en orden secuencial, y otra actividad que se considera que es anormal. Cuando el sistema de IPS ve esta actividad, el IPS, se puede configurar a la lista negra o bloquear el dispositivo de origen, ya sea indefinidamente o por un período de tiempo.

Video: JIAP 2011 - Sistemas de Deteccion y Prevencion de Intrusos - Estado del Arte

La otra forma en que estos sistemas pueden identificar el tráfico sospechoso en la red es hacer que se ejecuten en un modo de aprendizaje durante un período de tiempo. A lo largo de semanas, pueden clasificar los patrones regulares de tráfico en la red y luego limitar el tráfico a los patrones establecidos.

Si se introduce un nuevo software para la red, puede ser necesario añadir manualmente las reglas apropiadas o ejecutar un periodo de aprendizaje y luego poner el sistema de nuevo en modo de prevención. Esta necesidad es aún más cierto en los sistemas basados ​​en host, ya que actualicen sus reglas desde el servidor de administración o la política que se está ejecutando en la red.

Video: Intro - La Hora TEC 2013 - Deteccion de Intrusos Ponente: Mouse Hack Parte 1

Estos sistemas ayudan a prevenir la propagación de Ataques de día cero, los cuales son nuevos virus o ataques de red que son diferentes de todas las intrusiones de red anteriores. Debido a que estos ataques de día cero son nuevos, que no tiene una firma específica para el ataque- pero el ataque todavía tiene que realizar las mismas conductas sospechosas, que pueden ser detectados y bloqueados.

Artículos Relacionados
De nivel de entrada puestos de seguridad de la información
Lo que debe saber acerca de las redes para un trabajo en seguridad de la información
Las cuestiones de seguridad que usted debe saber acerca de conseguir un trabajo en red
Lista de compras cortafuegos
Linux: la aplicación de una metodología de prueba de seguridad
En cuanto a la detección de intrusos en el sombrero rojo enterprise linux 4
Detección y análisis forense en la nube
Garantizar la seguridad en la gestión de equipos de escritorio en la nube
Automatizar los controles de seguridad de correo electrónico para evitar cortes a través del correo electrónico
Estrategias de ataque de red comunes
Controlador cisco lan inalámbrica (wlc) cuenta con puntos de acceso en modo ligero (lwap)
Implementación del cortafuegos de la red
Seguridad de dispositivos móviles de la empresa: en el dispositivo cortafuegos
Seguridad de dispositivos móviles de la empresa: los ataques basados ​​en virus
Defensas generales de la red para evitar ser atacado
La piratería de la internet de las cosas
Cómo protegerse contra los cortes de desbordamiento de búfer
Cómo planear y llevar a cabo ataques de hackers
Asegurar la infraestructura con las soluciones de seguridad de juniper
Vigilar el uso malicioso para evitar cortes