Sistema de deteccion de intrusos y prevencion de intrusos (IDS/IPS)

Se considera especialmente relevante conocer el sistema de deteccion de intrusos y prevencion de intrusos (IDS/IPS). Así como lo más destacable.

  1. Definición
  2. Tipos
  3. Metodologías
  4. Historia
  5. IPSec
  6. Nat
  7. DNSSEC
  8. Zona Desmilitarizada

1. sistema de deteccion de intrusos y prevencion de intrusos (IDS/IPS)

¿Qué es una sistema de detención de intrusos o IDS?

Un sistema de detección de intrusos (IDS) es una solución diseñada para detectar peligros de red, ataques y actividades del usuario sin autorización.

¿Qué es un sistema de prevención de intrusos?

Un sistema de prevención de intrusos (IPS) es similar a un IDS, excepto que además de la detección y alerta, un IPS también puede tomar acciones para prevenir que ocurra una ruptura.

2. Tipos de IDS/IPS

Hay dos tipos principales de IDS/IPS:

  • Con base en la red: Un IDS con base en la red (NIDS) monitorea el tráfico de la red, utilizando los sensores que se ubican en los lugares clave dentro de la red, a menudo en la zona desmilitarizada o los bordes de red. Estos sensores capturan tráfico de red y analizan los contenidos de los paquetes individuales en busca detráfico malicioso. Un NIDS accesa el tráfico de red, conectándose al hub, switch de red configurado para el espejo del puerto o la conexión de red.
  • Con base en el servidor: Un IDS con base en el servidor (HIDS) generalmente tiene un agente de software que actúa como sensor. Este agente monitorea toda la actividad del servidor en los cuales se instala, incluyendo el monitoreo del sistema del archivo, logs y núcleo para identificar y reportar comportamientos sospechosos. Un HIDS se utiliza típicamente para proteger el servidor en los cuales se instala.

Los IDS/IPS son sensores que se colocan en lugares estratégicos de la red y monitorean reportando tráfico y comportamientos maliciosos.

3. Metodologías de ejecución

Hay dos metodologías de ejecución comunes utilizadas cuando se coloca un IDS/IPS para proteger una red a partir de Internet. Cada uno tiene ventajas y desventajas:

  • No filtradas: La instalación de IDS/IPS no filtrado examina la secuencia de datos de Internet cruda. Esto proporciona la mayor cantidad de visibilidad para detectar ataques, pero también significa que hay un volumen importante más grande de datos para monitorear y una posibilidad más alta de falso positivo. También hay una posibilidad de que durante los períodos de mucho tráfico, IDS/IPS tal vez no podría ser capaz de procesar todos los paquetes, así que se podría perder algunos ataques.
  • Filtrado: Una solución de IDS/IPS filtrado sólo monitorea que el tráfico que pasa por el cortafuegos de filtrado. La ventaja de este modelo es que disminuye dramáticamente la cantidad de información que se necesita monitorear, de este modo también reduce los cambios de falsos positivos y paquetes perdidos durante los volúmenes grandes de tráfico. Sin embargo, hay una pérdida de visibilidad con este modelo, ya que no se puede ver los ataques en el cortafuegos de filtrado.

4. Historia

Históricamente, los IDS y los IPS se han utilizado para asegurar las conexiones de Internet, porque estas conexiones representan típicamente la amenaza más grande para la red.

Sin embargo, con la interconectividad de las redes más allá del Internet y la amenaza de ataques de dentro, tiene sentido hacer uso del IDS o IPS en las ubicaciones estratégicas en la red interna.

Se debería considerar especialmente hacerlo si la red interna tiene conexiones a redes de terceras personas, tales como clientes, vendedores o socios comerciales.

5. IPsec

Internet Protocol Security (IPsec)  protocolos con base en estándares diseñados específicamente para asegurar las comunicaciones del Protocolo de Internet (IP).

También es un componente de IPv6.

Además, IPsec tiene protocolos que pueden utilizarse para establecer la negociación de claves criptográficas y autentificación mutua durante la sesión. IPsec opera en la capa de red.

IPsec es como VPN, un tunel virtual de protocolos, estándar y algoritmos entre dos DNS que protege su comunicación.

IPSec

6. Nat

Network Address Translation (NAT) es una técnica utilizada para modificar la información de dirección de red de un servidor mientras el tráfico atraviesa un ruteador o cortafuegos.

Esta técnica oculta información de red de una red privada, aunque permite que se transfiera tráfico por medio de una red pública como Internet.

Además, IPsec aún requiere que se realicen algunos pasos para que funcione exitosamente con NAT.

La NAT, se usa para ocultar  información de red de una red privada al pasar por el ruter o firewall.

Más info aquí.

nat

7. DNSSEC

DNS Security Extensions (DNSSEC) agrega provisiones de seguridad para DNS, de manera que las computadoras puedan verificar que han sido direccionadas a los servidores adecuados.

DNSsec

8. Zona desmilitarizada

Una zona desmilitarizada es una configuración de firewall utilizada para asegurar servidores en un segmento de red. En la mayoría de las zonas desmilitarizadas, los servidores en la zona desmilitarizada se conectan detrás de un firewall que se conecta a una red pública como Internet.

Una zona desmilitarizada es aquella que en la que los servidores se conectan a la red tal como la imagen siguiente:

zona desmilitarizada

Honeypots, honey nets y padded cells son tecnologías complementarias para usos de IDS/IPS.

Referencia: MTASecurityFundamentals

Te leo en los comentarios.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.