HCIP Seguridad H12 722 Sistemas de Detección de Intrusos

Última respuesta nov. 07, 2019 10:59:20 76 2 4 1

Buenas noches.


El siguiente tema es parte fundamental del buen funcionamiento de la WAF, parte medular del funcionamiento integral que ofrece #huawei


Sistema de Detección de Intrusos (IDS) Parte I


Detección de intrusos

 

·        Detección de Intrusos (ID):

§  Detección de intrusos inspecciona varias operaciones y analiza y audita los datos y fenómenos para detectar el comportamiento de las intrusiones en tiempo real. Es una tecnología para la defensa de la seguridad que trabaja en tiempo real, dinámica y proactiva.

§  La detección de intrusos cubre varios comportamientos autorizados y no autorizados de intrusión.

 

·        Sistemas de Detección de intrusos:

§  Todo el hardware y software que comprende el sistema para la detección de intrusos.

§  Habilita inmediatamente un mecanismo de seguridad se detecta algún comportamiento que viole las políticas de seguridad o algún signo que indique el sistema está siendo atacado

 

·        La detección de intrusos comprende varios comportamientos de intrusión autorizados y no autorizados tales como actividades que violan las políticas de seguridad, identidad de espionaje, develación de recursos, comportamiento malicioso, acceso ilegitimo y abusos de permisos.


·        Dinámicamente, el IDS puede colectar grandes cantidades de información clave de las redes y las computadoras y es capaz de analizar y determinar el estado del sistema entero. Una vez que se detecta algún comportamiento que viole la seguridad de la información o algún signo que indique que el sistema está bajo ataque, el IDS inmediatamente inicia un mecanismo de seguridad, por ejemplo; el administrador recibe el reporte del caso a través de correo electrónico o por consola, termina el comportamiento intrusivo, apaga el sistema y desconecta la red

 


IDS

Ø  Observemos la imagen siguiente. Los conceptos en inglés dentro de la misma no serán traducidos, esto con el objetivo de aprenderlos en su presentación nativa.

ids


·        Características:

 

§  Monitoreo Rápido

§  Buena Invisibilidad

§  Amplia Vista de Monitoreo

§  Pocos Monitores

§  Dificulta la Transferencia de Evidencia

§  Independiente del Sistema Operativo

§  No consume los Recursos de los Sistemas Protegidos

 

·        Los IDS basados en red monitorean la información acerca de caminos clave en tiempo real, escuchan a todos los grupos en la red, colectan datos, y analizan objetos sospechosos.


§  Usa los paquetes “en crudo” como la fuente de los datos.

§  Usa adaptadores de red para monitorear en tiempo real, analiza todos los servicios de comunicaciones en la red, o usa otro hardware especial para obtener paquetes “en crudo”.

§  Provee muchas funciones sistemas de detección de intrusos basados en host (HIDSs) no tienen.

 

·        Los Sistemas de Detección de Intrusos de Red (NIDSs) tienen las siguientes características:


§  Monitoreo Rápido: El NIDS provee monitoreo en segundos o milisegundos y descubre problemas rápidamente, mientras que HIDS depende del análisis de los registros de las auditorias recabadas en los últimos minutos.


§  Buena Visibilidad: el NIDS es invisible para el ataque. El detector de intrusos basado en red  no corre otras aplicaciones ni provee servicios de red. Los monitores no responden a otras computadoras. Por consiguiente, los monitores no son fáciles de atacar.


§  Vista Amplia de Monitoreo: El NIDS detecta los ataques que no pueden ser detectados por el HIDS.


§  Menos Monitores: un NIDS protege un segmento de red compartido. Solo unos pocos monitores son requeridos para una red.


§  Dificulta la Transferencia de Evidencia: como el NIDS utiliza comunicación de red sobre lamarcha para detectar ataques en tiempo real, los atacantes no pueden transferir evidencia. Los datos capturados no solo contienen el método de ataque, sino también la información para identificar y acusar a los atacantes.


§  Independientes del Sistema Operativo: El NIDS        puede ser configurado en un dispositivo dedicado sin ocupar ningún recurso de los sistemas a ser protegidos.


§  El IDS puede obtener la dirección IP origen o destino, pero no puede determinar si esas direcciones son falsificadas. Por consiguiente, no puede localizar al intruso.

 

 

IDS en los Sistemas de Seguridad

ids sec

Ø  Esta imagen hace la comparación entre IDS y un sistema de seguridad.

 

1.    La cámara representa al IDS en sí.

2.    La cámara acorazada representa al sistema acorazado y la inmunidad que posee.

3.    La puerta simboliza al Firewall.

4.    El transporte blindado representa la transmisión segura y encriptada a través de VPN

5.    El monitorista frente al computador hace referencia al cuarto de monitoreo y al centro de administración y seguridad.

6.    Los sensores toman el rol control de acceso al sistema.

7.    El oficial representa al escáner de vulnerabilidades.

 

 

·        En los sistemas de seguridad, IDS cumple la misma función que una cámara de vigilancia; monitorea y analiza el tráfico que cruza a través de los nodos clave en el sistema de información, y encuentra los eventos de seguridad que se suscitan sobre la marcha.


·        Usando el IDS, el administrador del sistema puede obtener el tráfico de nodos clave y desempeñar un análisis inteligente en el tráfico por descubrir y reportar anomalías y comportamiento sospechoso dentro de la red.


·        El firewall es un dispositivo que se despliega en serie y desempeña renvío rápido, pero no puede ejecutar una inspección a profundidad.


·        El firewall tampoco puede  analizar correctamente código malicioso dentro del flujo de datos de una aplicación o detectar operaciones maliciosas u operaciones incorrectas de los usuarios de la intranet.


·        El firewall desempeña un control granular de acceso, mientras que el IDS provee una detección más fina. A través del IDS, el administrador monitorea el trabajo de la red en vivo incluso de una forma más precisa.


·        IDS puede interoperar con el firewall y los switches para un mejor control de acceso entre dominios externos.

·        El IDS puede ser actualizado de manera manual o automática, y sus políticas pueden ser configuradas de una manera fácil.

 

Principios de Detección de Intrusiones.


DET INT

·        Detección de intrusos es una tecnología para la seguridad de la red para detectar cualquier atentado o daño a la confiabilidad, integridad y disponibilidad del sistema. Al monitorear el estado y las actividades del sistema protegido y usar el detector de un posible mal uso o detector de anomalías, esta tecnología puede detectar sistemas no autorizados o maliciosos el comportamiento de la red y proveer medios efecticos para prevenir un comportamiento intrusivo.



Arquitectura IDS

ARQ IDS


·         Debido a las deferencias a los diferentes ambientes de las redes y las políticas de los sistemas de seguridad, la implementación de IDS varía. En términos de estructura del sistema, IDS debe cubrir extracción de evento, análisis de intrusión, respuesta a la intrusión y administración remota. Además, los módulos funcionales como la base de datos de conocimiento y el almacenamiento de datos pueden ser usados para proveer una detección más comprensiva y mejores funciones de análisis.



Hasta aquí la primera parte de este tema. no olvides comentar, compartir y dejar tu ♥ si te fue útil

  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-11-7 10:59:20 Útil(0) Útil(0)
Gracias por tu contribución al foro, muy interesante tema el que desarrollaste en esta publicación. Saludos.
  • x
  • convención:

Marban
Marban Publicado 2019-11-13 18:18
Forma parte de los amplios conceptos que se manejan dentro de esta certificacion y que está dentro de la suite de funciones del USG600 y USG6300  
Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión