it-swarm-es.com

¿Cómo funcionan los sistemas de detección de intrusiones (IDS)?

¿Cómo funcionan los sistemas de detección de intrusiones (IDS)? Según tengo entendido, supervisan el tráfico de la red, pero ¿qué buscan exactamente? ¿Cómo pueden distinguir la actividad regular de las intrusiones?

15
Olivier Lalonde

Por lo general, tiene dos tipos de IDS, basados ​​en la red y en el host, y estos pueden ser tipos de firma o respuesta estadística.

Los IDS de firma son simples, rápidos y se pueden actualizar fácilmente. Por lo general, los proveedores suministran archivos de firma, de forma similar a la forma en que los proveedores de antivirus proporcionan firmas de virus. Por esta razón, la mayoría de los IDS utilizan el reconocimiento de firma. La desventaja es que no identificarán un nuevo ataque a menos que tenga una firma que coincida con un ataque existente.

Los IDS estadísticos o heurísticos aprenden cómo se ve el tráfico "bueno" o normal y alertan sobre cualquier cosa que no sea normal. Esto significa que son mucho mejores para detectar nuevos ataques, pero requiere períodos de aprendizaje cuando se instalan inicialmente y regularmente en la implementación de nuevos servidores, servicios y cuando se esperan nuevos tipos de tráfico o volúmenes.

Los IDS basados ​​en red generalmente se implementan en el perímetro de una organización, y tienen visibilidad de todo el tráfico que ingresa (y a veces sale) de la organización. Cuando el tráfico tiene indicios de que puede ser malicioso, se registra o marca en un sistema de respuesta o persona.

Para una organización grande, la cantidad de diferentes tipos de tráfico válidos puede ser muy alta, y los tipos de tráfico pueden variar con el tiempo, por lo que la configuración y el ajuste continuos de un IDS basado en una red perimetral pueden requerir muchos recursos. Por esta razón, la mayoría de las grandes empresas subcontratan esto a proveedores que brindan el servicio a muchas organizaciones. Estos proveedores tienen una mejor visibilidad de los ataques, una ventaja de escala en el ajuste y la respuesta, y la capacidad de actualizar las firmas para todos sus clientes a la vez.

Los IDS basados ​​en host generalmente se implementan internamente para servidores específicos de alto valor. Los tipos de tráfico y la carga suelen ser mucho más bajos y más predecibles, por lo que el requisito de recursos suele ser menor.

También eche un vistazo a esta pregunta - alguna discusión sobre IDS (estadísticos) basados ​​en anomalías.

16
Rory Alsop

Wikipedia tiene un buen comienzo en una respuesta a esta pregunta.

Un experto:

Todos los sistemas de detección de intrusos utilizan una de dos técnicas de detección:

IDS basados ​​en anomalías estadísticas:

Un IDS basado en anomalías estadísticas establece una línea de base de rendimiento basada en evaluaciones de tráfico de red normales. Luego, tomará muestras de la actividad de tráfico de red actual en esta línea de base para detectar si está dentro de los parámetros de línea de base o no. Si el tráfico muestreado está fuera de los parámetros de la línea de base, se activará una alarma.

IDS basados ​​en firma:

El tráfico de red se examina en busca de patrones de ataque preconfigurados y predeterminados conocidos como firmas. Muchos ataques de hoy tienen firmas distintas. En una buena práctica de seguridad, una colección de estas firmas debe actualizarse constantemente para mitigar las amenazas emergentes.

3
DCookie