The Intrusion Detection Systems (IDS) have become popular in recent times due to the quantity and variety in the methods of intrusion, in the technology age we are living researchers and security experts face many challenges daily , so it is a necessity to create something in order to monitor the entire network.
In the field of information security, an intrusion can mean "attacker" is accessed within the same network and attempts to steal confidential information can cause great harm to the company, which means you have all the information .
If there is a firewall to protect against these attacks then why we need this new term IDS?
Limitations of Firewall
Although the firewall is great for securing a computer network, have some limitations, the firewall is simply a "wall" between your computer network and the outside world (Internet). This allows passage to a certain type of traffic and block other traffic that is introduced into the network, can not make decisions in the basic structure of packets entering.
There are different ways to evade and deceive a Firewall. This can help when:
The connections that would prevent (Rules Allowed)
A New Threat
A malicious program hidden in an attachment from an e-mail
Overview of Intrusion Detection System (IDS)
An Intrusion Detection System monitors network traffic and makes decisions about the packages in and out of it, these decisions are based on information collected from the sensors of the IDS. In short, an Intrusion Detection System (IDS) is used to control the entire network, detects intruder, ie, programs or unauthorized, unexpected or unwanted in the network. An IDS offers the following:
Audit the OS (Operating System)
Monitor and analyze network traffic and user activity and system
Audit the system for vulnerabilities
The IDS has multiple sensors used to control the unexpected and unwanted activities.
A sensor that monitors log files
A sensor that monitors incoming and outgoing TCP connections.
An IDS can be operated manually, but mostly it is recommended that a system administrator to automate the IDS IT to ensure safety. We can classify the IDS into two main types:
System Network Intrusion Detection (NIDS)
Intrusion Detection System or Machine Host (HIDS)
Intrusion Detection Systems Network (NIDS)
In Systems Network Intrusion Detection, every one of the packets traveling through the network are analyzed, looking at the packets the IDS identifies any suspicious activity on the network and notifies the administrator about this.
A NIDS can be used in a machine that wants to monitor your own traffic and it can be installed in a home network to control all traffic on a single machine. Example of a tool;
Downloads Fragroute
Nids
Intrusion Detection Systems HOST (HIDS)
Instead of analyzing network packets as a NIDS, HIDS monitors a computer (desktop or server) where it is installed. The capabilities of HIDS include log analysis, event correlation, integrity checking, policy enforcement, rootkit detection and notification system and alerts. In general, take snapshots of the existing system and compares with a previous snapshot, taken from a previous checkpoint. If any system file is modified or deleted or something unusual happens it sends an alert or notification to the administrator. Example of a tool;
HIDS
Downloads OSSEC HIDS
The Intrusion Detection Systems can:
Increase security and management of IT Infrastructure.
It can detect and report any attacks if they occur
It can detect errors in critical files
IDS can provide guidance in developing policies for network administrator and security
You can tell if there is any alteration
Limitations of Intrusion Detection Systems
The IDS can not identify a mechanism for identifying weak
If the network is fully saturated it can not analyze all traffic.
Required if or if an alert or notification to the administrator to take action (It is a reactive, not proactive)
........................................................
Sistemas de Detección de Intrusos (IDS)
Los Sistemas de Detección de Intrusos (IDS) se han hecho muy populares en los últimos tiempos debido a la cantidad y variedad en los métodos de intrusión, en la era de la tecnología que estamos viviendo los investigadores y expertos de seguridad enfrentan a diario muchos desafíos, por lo que es una necesidad crear algo que permita monitorear toda la red.
En el campo de la seguridad de la información, una intrusión puede significar "un atacante" obtiene acceso dentro de la red y el mismo intenta robar información confidencial, puede causar un gran daño a la empresa, lo que significa que dispone de toda la información.
Si existe el Firewall para protegerse de estos ataques entonces porque necesitamos este nuevo termino IDS?
Limitaciones del Firewall
Aunque el Firewall es muy bueno para asegurar una red de computadoras, tienen algunas limitaciones, el firewall es simplemente un “muro” entre su red de computadoras y el mundo exterior (Internet). Este permite el paso a cierto tipo de tráfico y bloquear que otro tipo de tráfico se introduzca dentro de la red, no puede tomar decisiones en la estructura básica de los paquetes que ingresan.
Hay diferentes maneras de eludir y engañar a un Firewall. Este no puede ayudar cuando:
Las conexiones que lo evitan (Reglas Permitidas)
Una Nueva Amenaza
Un programa malicioso se oculta en un archivo adjunto del e-mail
Visión general de un Sistema de Detección de Intrusos (IDS)
Un Sistema de Detección de Intrusos controla el tráfico de red y toma decisiones acerca de los paquetes que entran y salen de la misma, estas decisiones están basadas en la información que recoge de los sensores del IDS. En resumen, un Sistema de Detección de Intrusos (IDS) se utiliza para controlar toda la red, detecta intrusos, es decir, programas o personas no autorizadas, inesperadas o no deseadas en la red. Un IDS ofrece lo siguiente:
Auditar el SO (Sistema Operativo)
Monitorear y analizar el tráfico de red y la actividad de usuarios y del sistema
Audita el sistema buscando vulnerabilidades
El IDS tiene múltiples sensores utilizados para controlar las actividades inesperadas y no deseadas.
Un sensor que monitorea los archivos de log
Un sensor que monitorea las conexiones TCP entrantes y salientes.
Un IDS puede funcionar de forma manual, pero se recomienda en su mayoría que un Adminitrador IT automatice el IDS para garantizar la seguridad. Podemos clasificar los IDS en dos tipos principales:
Sistema de Detección de Intrusos de Red (NIDS)
Sistema de Detección de Intrusos de Host o Maquina (HIDS)
Sistemas de Detección de Intrusos de RED (NIDS)
En los Sistemas de Detección de Intrusos de Red, todos y cada uno de los paquetes que viajan a través de la red son analizados, mirando los paquetes el IDS identifica cualquier actividad sospechosa en la red y le notifica al administrador sobre esto.
Un NIDS se puede utilizar en una maquina que quiere monitorear su propio tráfico y esta puede ser instalada en una red principal para controlar todo el tráfico con una sola maquina. Ejemplo de una herramienta:
Downloads Fragroute
Nids
Sistemas de Detección de Intrusos de HOST (HIDS)
En lugar de analizar los paquetes de red, como un NIDS, un HIDS supervisa la computadora (desktop o server) en donde se encuentra instalado. Las capacidades de los HIDS incluyen: análisis de logs, correlación de eventos, comprobación de integridad, aplicación de políticas, detección de rootkits y sistema de notificación y alertas. En general, se toman instantáneas del sistema existente y las compara con una instantánea anterior, que se toma desde un punto de control anterior. Si alguno de los archivos del sistema es modificado o borrado o sucede algo inusual se le envía una alerta o notificación al administrador. Ejemplo de una herramienta:
HIDS
Downloads OSSEC HIDS
Los Sistemas de Detección de Intrusos pueden:
Aumentar la seguridad y la gestión de la Infraestructura de IT.
Puede detectar y reportar cualquier ataque si se producen
Es capaz de detectar errores en los archivos críticos
IDS pueden servir de guía para desarrollar políticas de administrador de la red y seguridad
Puede informar si ocurre cualquier alteración
Limitaciones de los Sistemas de Detección de Intrusos
Los IDS no pueden identificar un mecanismo de identificación débil
Si la red esta muy saturada no puede analizar todo el tráfico.
Se requiere si o si de una alerta o notificación al administrador para tomar medidas (Es un sistema reactivo, no pro-activo)
No hay comentarios:
Publicar un comentario