Sistema básico de detección de intrusiones
Mira esta cita por la almirante Grace Hopper
“La vida era más simple antes de la Segunda Guerra Mundial. Después de eso, tuvimos sistemas "
Entonces, ¿qué significa esto realmente? Con la invención de los sistemas (sistemas informáticos) surgió el aumento de diversas necesidades de redes, y con las redes surgió la idea de compartir datos. Hoy, en esta era de globalización, con el desarrollo de la tecnología de la información, así como la facilidad de acceso y el desarrollo de herramientas de piratería, surge la necesidad de garantizar la seguridad de los datos importantes. Los cortafuegos pueden proporcionar esto, pero nunca alertan al administrador de ningún ataque. Ahí es donde surge la necesidad de un sistema diferente, una especie de sistema de detección.
Un sistema de detección de intrusiones es una solución necesaria para el problema anterior. Es similar a un sistema de alarma antirrobo en su hogar o en cualquier organización que detecta la presencia de cualquier intervención no deseada y alerta al administrador del sistema.
Es un tipo de software que está diseñado para advertir automáticamente a los administradores cuando alguien intenta ingresar al sistema mediante actividades maliciosas.
Ahora, antes de conocer un sistema de detección de intrusiones, recordemos brevemente los firewalls.
Los cortafuegos son programas de software o dispositivos de hardware que se pueden utilizar para prevenir cualquier ataque malintencionado en el sistema o en la red. Básicamente actúan como filtros que bloquean cualquier tipo de información que pueda representar una amenaza para el sistema o la red. Pueden monitorear algunos contenidos del paquete entrante o monitorear el paquete completo.
Clasificación del sistema de detección de intrusiones:
Según el tipo de sistemas que protege el IDS:
- Sistema de detección de intrusiones en la red :Este sistema monitorea el tráfico en redes individuales o subredes analizando continuamente el tráfico y comparándolo con los ataques conocidos en la biblioteca. Si se detecta un ataque, se envía una alerta al administrador del sistema. Se coloca principalmente en puntos importantes de la red para que pueda vigilar el tráfico que viaja hacia y desde los diferentes dispositivos de la red. El IDS se coloca a lo largo del límite de la red o entre la red y el servidor. Una ventaja de este sistema es que se puede implementar fácilmente y a bajo costo, sin tener que cargarlo para cada sistema.
- Sistema de detección de intrusiones en el host :Este sistema funciona en sistemas individuales donde la conexión de red al sistema, es decir, los paquetes entrantes y salientes se monitorean constantemente y también se realiza la auditoría de los archivos del sistema y, en caso de cualquier discrepancia, se alerta al administrador del sistema sobre la misma. Este sistema monitorea el sistema operativo de la computadora. El IDS está instalado en la computadora. La ventaja de este sistema es que puede monitorear con precisión todo el sistema y no requiere la instalación de ningún otro hardware.
Basado en el método de trabajo:
- Sistema de detección de intrusiones basado en firmas :Este sistema funciona según el principio de emparejamiento. Los datos se analizan y comparan con la firma de ataques conocidos. En caso de coincidencia, se emite una alerta. Una ventaja de este sistema es que tiene más precisión y alarmas estándar entendidas por el usuario.
- Sistema de detección de intrusiones basado en anomalías :Consiste en un modelo estadístico del tráfico de red normal que consta del ancho de banda utilizado, los protocolos definidos para el tráfico, los puertos y los dispositivos que forman parte de la red. Supervisa periódicamente el tráfico de la red y lo compara con el modelo estadístico. En caso de cualquier anomalía o discrepancia, se alerta al administrador. Una ventaja de este sistema es que puede detectar ataques nuevos y únicos.
Según su funcionamiento:
- Sistema pasivo de detección de intrusiones :Simplemente detecta el tipo de operación de malware y emite una alerta al administrador del sistema o de la red. (¡Lo que hemos estado viendo hasta ahora!). Luego, el administrador toma la acción requerida.
- Sistema de detección reactiva de intrusiones :No solo detecta la amenaza, sino que también realiza una acción específica restableciendo la conexión sospechosa o bloquea el tráfico de red de la fuente sospechosa. También se conoce como sistema de prevención de intrusiones.
Características típicas de un sistema de detección de intrusos:
- Supervisa y analiza las actividades del usuario y del sistema.
- Realiza auditorías de los archivos del sistema y otras configuraciones y el sistema operativo.
- Evalúa la integridad del sistema y los archivos de datos
- Realiza un análisis de patrones basado en ataques conocidos.
- Detecta errores en la configuración del sistema.
- Detecta y advierte si el sistema está en peligro.
Software gratuito de detección de intrusos
Sistema de detección de intrusos Snort
Uno de los software de detección de intrusiones más utilizado es el software Snort. Es un software de detección de intrusiones en red desarrollado por Source file. Realiza análisis de tráfico y protocolo en tiempo real, coincidencia de patrones y detección de varios tipos de ataques.
Un sistema de detección de intrusiones basado en Snort consta de los siguientes componentes:
- Un decodificador de paquetes :Toma paquetes de diferentes redes y los prepara para su preprocesamiento o cualquier otra acción. Básicamente, decodifica los próximos paquetes de red.
- Un preprocesador :Prepara y modifica los paquetes de datos y también realiza la desfragmentación de los paquetes de datos, decodifica los flujos TCP.
- Un motor de detección :Realiza la detección de paquetes sobre la base de las reglas de Snort. Si algún paquete coincide con las reglas, se toman las medidas adecuadas; de lo contrario, se descarta.
- Sistema de alerta y registro :El paquete detectado se registra en los archivos del sistema o, en caso de amenazas, se alerta al sistema.
- Módulos de salida :Controlan el tipo de salida del sistema de registro y alerta.
Ventajas de los sistemas de detección de intrusiones
- La red o la computadora se monitorean constantemente para detectar cualquier invasión o ataque.
- El sistema se puede modificar y cambiar de acuerdo con las necesidades de clientes específicos y puede ayudar tanto a las amenazas externas como internas al sistema y la red.
- Previene eficazmente cualquier daño a la red.
- Proporciona una interfaz fácil de usar que permite sistemas de administración de seguridad sencillos.
- Cualquier alteración en los archivos y directorios del sistema puede detectarse y notificarse fácilmente.
Una única desventaja del sistema de detección de intrusiones es que no pueden detectar la fuente del ataque y, en cualquier caso de ataque, simplemente bloquean toda la red. Si tiene más consultas sobre este concepto o sobre los proyectos eléctricos y electrónicos, deje los comentarios a continuación.
Sensor
- C # usando
- Entrada y salida básica de Java
- Sistema de alarma por detección de movimiento
- Primero mejore el sistema de trabajo básico
- 3 razones por las que debería invertir en un sistema de detección de peatones en el almacén
- 5 consejos básicos de seguridad de red para pequeñas empresas
- Dryad Networks obtiene $ 2.1 millones para la red de detección de incendios forestales basada en IoT
- 5 ventajas de usar el sistema de detección de fugas de agua impulsado por IoT de Biz4intellias en industrias
- 5 W de la pantalla Braille portátil
- Sistema de gestión de observación automática, nueva herramienta para coordinar la red de telescopios
- Sistema de detección química para bajos niveles de concentración