Que es?
Consiste en un conjunto de métodos y técnicas para revelar la actividad sospechosa sobre un recurso o conjunto de recursos computacionales. Es decir, eventos que sugieran comportamientos anómalos, incorrectos o inapropiados sobre un sistema.
Un IDS puede ser descrito como un detector que procesa la información proveniente del sistema monitoreado, es un herramienta de apoyo en procesos de auditoria, entendida como el control del funcionamiento de un sistema a través del análisis de su comportamiento interno.
Clasificación por la metodología empleada.
Se tiene la detección de anomalías que consiste en analizar la información del sistema monitoreo, en busca de cualquier anormalidad, es decir, una señal característica de ataque. Para determinar la normalidad o anormalidad en el comportamiento en un sistema.
Clasificacion por caracteristicas intrinsecas del sistema
La división por método de detección basa en las características de funcionamiento del IDS. Las basadas en comportamiento comparan contra comportamiento normales; mientras que las basadas en conocimiento crean patrones que identifican los ataques y las intrusiones.
Los IDS basadas en el host (HIDS) solamente procesan información de las actividades de los usuarios y servicios en una maquina determinada. Los IDS basados en la red (NIDS) hacen sniffing sobre algún punto de la red y analizan el tráfico capturado en busca de intrusiones.
IPS: Sistemas de Prevencion de Intrusos (Intrusion Prevention Systems)
Los IPS son dispositivos de hardware o de software, encargados de revisar el tráfico de red con el propósito de detectar y responder a posibles ataques o intrusiones. La respuesta usualmente consiste en descartar los paquetes involucrados en el atque o modificarlos, de tal manera que se anule su propósito.
De alguna manera el comportamiento de los IPS semeja el comportamiento de los firewalls, ya que ambos toman decisiones con respecto a la aceptación de un paquete en un sistema. sin embargo, la diferencia radica en el hecho de que los firewalls basan sus decisiones en los encabezados del paquete entrante, en particular los de las capas de red y transporte, mientras que los IPS basan sus decisiones tanto en los encabezados como en el contenido de datos.
Los IPS evolución de los IDS
El IDS se limita a detectar y notificar la intrusión a la persona encargada de recibir y responder las alertas, quien debe tomar la acción correctiva pertinente, lo que es análogo a darse cuenta de un robo en un banco y limitarse a notificarle a la policía.
Por su parte un aves IPS detecta la intrusión la detiene de algún modo. En el caso de la analogía del robo, el IPS representa un guardia armado que reacciona de forma instintiva al ataque.
La evolución y las categorías de los IPS
Es posible distinguir dos generaciones históricas de los IPS: los primeros, al detectar un ataque proveniente de un a dirección IP determinada, descartaban todos los paquetes provenientes de dicha dirección, estuvieran o no relacionados con el ataque.
Posteriormente se refinó la estrategia anterior, de tal manera que el IPS descartara únicamente los paquetes relacionados con el ataque identificado, permitiendo el trafico d otros paquetes provenientes de la IP del atacante, siempre y cuando no estuvieran relacionados con el ataque.
Los IPS INLINE
Estos IPS usualmente se despliegan en algún punto de la red como un bridge de nivel dos, de tal manera que media entre los sistema que protege y el resto de la red, como se muestra en el gráfico.
En adicción a la funcionalidad típica de un bridge, el IPS inline revisa todos los paquetes en busca de la firma que define alguno de los ataques que esta configurado para identificar. en caso de que el paquete este “limpio”, el IPS le permite el paso, en caso contrario, lo descarta registrándolo en un log.
FIREWALLS de aplicación / IDS
A diferencia de los enfoques precedentes, los firewalls de aplicación/ids no funcionan al nivel de paquete. Esos se instalan en cada host que se desea proteger, adaptándose íntimamente con las aplicaciones que corren en el host que protegen. Para lograr lo anterior es necesario que antes de comenzar la fase de protección se ejecuten en modalidad de entrenamiento, de forma análoga a los HIDS.
La modalidad de entrenamiento consiste en el proceso de identificación de patrones de comportamiento normales en el host. En particular, se crea un perfil de relaciones frecuentes entre las aplicaciones y varios componentes del sistema.
Aplicaciones engañosas
Al igual que los firewalls de aplicación/IDS, las aplicaciones engañosas aprenden el comportamiento de los servicios ofrecidos por cada uno de los host que protege. Una vez se detecta algún tipo de comportamiento sospechoso sobre un servicio/host existe o no, el IPS suplanta al servicio en caso de que exista lo simula en caso contrario, respondiendo al atacante y marcándolo de tal forma que sea posible identificarlo y bloquearlo posteriormente.
0 comentarios :
Publicar un comentario