Sistema de deteccin de intrusiones basado en host ( HIDS )

Un host IDS debe implementarse en cada equipo protegido (servidor o estacin de trabajo) . Se
analizan los datos locales a la mquina, como los archivos de registro del sistema , la auditora
senderos y los cambios del sistema de archivos y, a veces los procesos y las llamadas al sistema .
HIDS alerta al administrador en caso de una violacin de las reglas preestablecidas ocurre . IDS de
host puede utilizar coincidencia de patrones en las pistas de auditora observadas o generar una
normalidad perfil de comportamiento y luego comparar la actualidad con este perfil.
Sistema de prevencin de intrusiones ( IPS )
Un sistema de prevencin de intrusiones se utiliza para colocar los paquetes de datos activa o
desconecte las conexiones que contienen datos no autorizados . De prevencin de intrusiones
La tecnologa es tambin comnmente una extensin de la tecnologa de deteccin de intrusos
(IDS ) . 5
Arquitectura sugerencias e inquietudes
Esta arquitectura se presenta como una solucin que proporcione un alto rendimiento de la
inversin sobre la base de la visibilidad , el control y el tiempo de actividad . La arquitectura
tambin tiene en cuenta que muchas empresas han implementado o bien una solucin parcial o
ninguna solucin para deteccin de intrusos o prevencin en este momento . Uso de un hbrido
implementacin , el promedio a mediados empresa de gran tamao ser capaz de aprovechar la
tecnologa de punta proporcionada por el IPS , con el aprovechamiento de la capacidades
probadas y maduras de los IDS .
Sistema de deteccin de intrusiones ( IDS )
En primer lugar nos fijamos en el despliegue tradicional IDS . La mayora de las empresas que
tienen IDS instalado han colocado estos dispositivos en el permetro , ya sea entre la frontera
router y el servidor de seguridad o se han colocado los IDS fuera del enrutador de frontera . Las
empresas que han ido ms all de instalar un IDS fuera del firewall y el router frontera han hecho
esto para que puedan ver toda la amplitud de intentos de ataques en contra de su organizacin.
Cuando se implementa un IDS tanto fuera de los dispositivos perimetrales y en el interior de los
dispositivos perimetrales que una empresa puede confirmar el tiempo o no un posible ataque
visto fuera del permetro tiene realiz con xito hace frontera routers y firewalls dentro . El
enfoque ms tarde requiere ms recursos , pero proporciona una imagen ms clara en una
empresa ingreso / postura de seguridad y punto de salida . Tener un IDS en cualquiera de estos
ubicaciones tambin proporciona una herramienta que captura datos para el anlisis y
posiblemente forense segn sea necesario .
La mayora de las compaas han implementado dispositivos IDS en el permetro de lo que se
llama
de arquitectura banda. Esto significa que el IDS se sienta en un medio de comunicacin
compartidos y
captura tantos paquetes como se puede manejar en un modo promiscuo e informes
estos datos de nuevo a una consola de administracin . Otra forma de implementar un IDS en la
permetro es lo que se llama una implementacin en lnea. Esto significa que todos los datos
procedentes
entra o sale de una empresa pasa a travs de este dispositivo. Otro ejemplo de un
dispositivo que utiliza una arquitectura en lnea es un router o un firewall. Tener un IDS en lnea
significa que todos los datos se capturan antes que continuar en la empresa
red . La desventaja de este tipo de arquitectura es que si el dispositivo en lnea falla,
dependiendo de la configuracin , todos los datos o bien continuar sin IDS visibilidad
o se detendr hasta que el IDS se fija o se elimina . Cualquiera de estos despliegues de
en lnea IDS sita a la compaa en riesgo si el dispositivo no sea por detener el trfico
caudal o el cegamiento de la empresa al permitir que todo el trfico fluya sin ser
supervisado .
El concepto ms importante en el despliegue de un IDS es que un IDS es una herramienta
usado para capturar y dar visibilidad a una red corporativa. Para mayor
compaas y empresas que tienen una necesidad adicional para una visibilidad completa de la red
trfico, un mtodo de implementacin comn consiste en instalar dispositivos IDS en todas las
escuelas primarias
red apunta a dar visibilidad , tanto interna como externamente. Este tipo de
implementacin proporciona los datos necesarios para localizar a posibles amenazas internas y
como los que se plantearon en contra de la empresa desde el exterior. Todava hoy la mayor
riesgo proviene de las amenazas internas . Los empleados descontentos , empleados curiosos,
servicios externos , as como las tendencias de mayor volumen de servicios contratados
proporcionar un mayor nivel de vulnerabilidad desde dentro de la red . Como resultado , la
importancia de la implementacin de un mecanismo para controlar el trfico interno es lo ms
importante .
La clave que se destac en este punto es la visibilidad.
Una de las preocupaciones de los despliegues de IDS es el factor de rendimiento . Las soluciones
de IDS
ofrecido hoy han recorrido un largo camino en el diseo y el uso de alto rendimiento
componentes que ayudan a asegurar la mayor cantidad de captura de datos . Incluso con la
componentes de mayor rendimiento y el software actualizado , un hecho conocido es que
implementaciones IDS actuales tienen una tendencia a descartar paquetes , debido a la alta
rendimiento de los dispositivos de red de alto ancho de banda de hoy en da . El rendimiento es la
clave
cuestin en los dos despliegues IDS e IPS . Otra preocupacin con despliegues IDS
es el cifrado . Actualmente , la mayora de las soluciones de IDS no tienen la capacidad de
desencriptar
paquetes entrantes o salientes y esto persianas administradores de seguridad en cuanto a lo que
es
que entra y salir de las redes corporativas . Con el crecimiento explosivo de
VPN y otros flujos de datos cifrados la necesidad de disponer de una solucin como en el IPS
el permetro es cada vez ms necesaria . Laura Tyler ofrece
visin a ambos problemas , redes de conmutacin y cifrado , en su apoyo a
implementacin de ambas tecnologas IDS e IPS en un artculo que escribi para
TechRepublic . Aqu est el comentario de Laura , " Hay algunos problemas fundamentales
con la forma en un trabajo IDS hoy. En primer lugar, a medida que ms y ms trfico de red
se cifra , IDS se vuelven intiles porque no pueden analizar cifrado
trfico . En segundo lugar, las redes se vuelven ms fuertemente cambiados , por lo general ver
slo una pequea cantidad del trfico en su red. En una red conmutada, que
necesidad de aumentar en gran medida el nmero de sensores de deteccin de intrusiones para
supervisar
trfico en todos los segmentos de la red . En redes grandes , esto significa que el total
el coste de propiedad de IDS puede ser muy alta . En tercer lugar, los IDS generan un nmero
enorme
de falsos positivos, que le dice que su red est siendo atacado , cuando no lo es.
Estos tres problemas estn llevando a muchas empresas a cambiar a IPS . " 6
Algunas empresas se han sumado los llamados IDS basado en host ( HIDS )
despliegues a su organizacin para proporcionar un nivel ms granular de la visibilidad .
El uso de un HIDS proporciona la visibilidad necesaria para identificar y realizar un seguimiento de
intrusos
intentos en un host o una aplicacin especfica . Vamos a cubrir la defensa en profundidad
estrategia ms adelante en este artculo , cuando hacemos hincapi en la importancia del uso de
mltiples
niveles de deteccin y prevencin de intrusiones con el fin de proporcionar una mayor seguridad
entorno informtico. El uso de la tecnologa HIDS se ha popularizado tambin
como resultado del crecimiento explosivo de redes conmutadas . La tendencia a alejarse de una
medio de red compartido ha provocado la necesidad de repensar las implementaciones IDS
debido a
su naturaleza pasiva en la captura de datos de un medio compartido . HIDS son un resultado
de este cambio de paradigma y como resultado proporcionan un alto nivel de visibilidad de cada
uno
nodo de red . Un reto para los administradores de seguridad , en algunos casos es la
volumen de datos generados a partir de estos despliegues y aquellas compaas con
poco personal de seguridad estn especialmente preocupados . Dotacin de personal,
capacitacin y recursos
temas se tratan con ms detalle ms adelante en este artculo .
Sistema de prevencin de intrusiones ( IPS )
A continuacin nos fijamos en el sistema de prevencin de intrusiones ( IPS ) y el despliegue
estrategias asociadas a esta tecnologa. Tecnologas IPS , ya sea en software o
hardware son relativamente nuevos . Se podra decir que la idea ha sido de alrededor de un
mucho tiempo y podra sugerir que las listas de control de acceso del router o reglas de firewall
podra
considerarse un IPS bsicas. Neil Desai abri un artculo publicado en el
SecurityFocus sitio web con esta declaracin : "T mezclado sus IDS con mi
firewall ! No, mezclado cortafuegos con mis IDS ! De cualquier manera, cuando se
combinar las capacidades de bloqueo de un cortafuegos con la inspeccin profunda de paquetes
de
un IDS , se obtiene el nuevo chico de la cuadra : . sistemas de prevencin de intrusos o IPS " 7
La verdad es que el mercado de IPS est empezando a madurar lo suficiente como para realmente
identificar lo que realmente es un IPS . An hoy existen muchas definiciones de IPS y
muchos puntos de vista en cuanto a la exigencia para las implementaciones de IPS . Algunos
grupos incluso
sugieren que el IPS es una evolucin de IDS y que con el tiempo los IDS desaparecern
y todos los productos relacionados con la intrusin se centrarn en torno a la prevencin. Una
empresa de la
Nombre de Sourcefire est trabajando en una lnea de tiempo y de producto que combina
mltiples
tecnologas en lo que se llama " Reconocimiento de redes en tiempo real ( ARN ) " . RNA
permite a las organizaciones proteger con mayor seguridad de sus redes a travs de un
patentada nica combinacin de descubrimiento de red pasiva , de comportamiento
perfiles y anlisis de vulnerabilidad integrado para ofrecer los beneficios de tiempo real
perfiles de red y la gestin del cambio y sin los inconvenientes de los tradicionales
enfoques para identificar los activos de red y vulnerabilities.8 La realidad es que
el tiempo o no el IDS se coloca en un museo o no, la necesidad de capturar y
datos de las pistas que atraviesan nuestras redes sern de fundamental importancia . Adems de
Tecnologas de ARN de Sourcefire que estn tratando de cerrar la brecha entre IPS y
Funcionalidad IDS , otras empresas estn desarrollando tecnologas de IPS en todo el
premisa de identificar y detener las intrusiones vice seguimiento de las intrusiones y
la captura de datos para su anlisis o forense .
La idea de un IPS que niegan el trfico es el aspecto ms importante con respecto a este
papel. Muchas empresas no han implementado la tecnologa IDS o IPS entretenido
la tecnologa por una razn principal . Esta razn es que el tiempo es dinero y
disponibilidad de la red es de suma importancia para todas las organizaciones. El argumento
puede ser hecho
que una implementacin de IPS o IDS es en realidad una tecnologa que ayuda a asegurar la red
el tiempo de actividad y la disponibilidad mediante la identificacin y posiblemente prevenir
intrusiones en la red
y los ataques que normalmente seran la causa de la inactividad de la red . los costos
asociado con un IPS o IDS despliegue no estn tpicamente asociados como
de generacin de ingresos de gastos. En muchos casos, el argumento se puede hacer que el
decisin de implementar la tecnologa IPS o IDS es como el pollo y la analoga del huevo.
Debido a IPS e IDS implementaciones no generan directamente ingresos es difcil
justificar el gasto . Sin embargo , lo contrario de este argumento es que sin
visibilidad de la red y la capacidad de prevenir intrusiones y ataques hay
un posible aumento de los costos asociados para hacer frente a este tipo de actividades . Uno
podra
argumentan que con un despliegue IPS configurado correctamente, una empresa podra ahorrar
dinero a travs de la identificacin y la prevencin de un gusano o un ataque de virus. Dado que
las empresas
desarrollar matrices para cuantificar la cantidad de dinero y / o tiempo perdido debido a virus o
ataques de gusanos tendrn la informacin de apoyo para justificar los gastos
asociado con IPS y / o implementaciones de IDS .
Dado que las empresas comienzan a darse cuenta de los ahorros potenciales relacionados con la
prevencin
el tiempo de inactividad asociado con uno de los gusano casi semanalmente o ataques de virus
van a estar ms dispuestos a aprovechar las medidas preventivas como IPS
tecnologas . Del mismo modo el uso de las tecnologas de IDS se puede utilizar para confirmar la
ahorro de tiempo y proporcionar los datos necesarios para hacer frente a las amenazas internas .
Durante el
ltimos aos hemos visto un aumento en el nivel de responsabilidad que conlleva
con el uso de la tecnologa . Los mltiples requisitos de cumplimiento gravan
empresas de las organizaciones federales tambin coloca a los departamentos de TI en alerta de
la perspectiva de tener que proporcionar las polticas , procedimientos y capacidades para
asegurar buenas implementaciones y prcticas tecnolgicas. Usando una combinacin de IPS
y las tecnologas IDS aumentarn claramente el nivel de visibilidad y control para
redes corporativas .
Aqu es donde la sugerencia de IPS y tecnologas IDS existentes en armona
viene a dar . La recomendacin de este trabajo es para colocar estratgicamente IPS
La tecnologa en el permetro de la red corporativa para ayudar en la prevencin de cero
los ataques de da como los gusanos o los virus a travs de reglas basadas en anomalas , as como
inspeccin basada en firmas de los paquetes. El uso de un bien puesto a punto y gestionados
Solucin de IPS en todos los puntos de ingreso / egreso de empresa le ayudar a asegurarse de
que la
nuevo y amenazas identificadas previamente se dejan caer en el permetro . Como nuevo
tecnologas y aplicaciones se desarrollan es fundamental que el equipo de IPS es
participar a travs del desarrollo para asegurar que el trfico legtimo se le permite pasar .
Normalmente hay una mayor libertad para el trfico que se ha cado o se detuvo en la
permetro de la red de dentro de la red . Esta disponibilidad de la red interna es
donde el despliegue de la tecnologa IDS es todava crtico . La mayora de las arquitecturas de IDS
proporcionar un medio pasivo de recoleccin e identificacin de malicioso o desconocida
actividad y alerta a un equipo para comenzar la investigacin de dicha actividad. El trfico
sigue pasando y de negocios contina con normalidad, pero en este caso, cualquier
actividad sospechosa se encuentra en posicin investigacin. El uso de este tipo de arquitectura
promueve el tiempo de actividad al tiempo que subraya la necesidad de control de la informacin
privilegiada
amenaza.
Tener una implementacin de IPS en las partes exteriores de la red proporcionar la
medidas preventivas y de control necesarias para luchar contra las amenazas nuevas y existentes
mientras incluyendo un IDS dentro del firewall y en los nodos de red internos crticos
proporcionar visibilidad y la confirmacin de la actividad en el interior . Los costos asociados
con este tipo de implementacin son mucho menores que las que se necesitan para implementar
tanto
tecnologas en paralelo. Un aspecto clave que hay que cubrir es la dotacin de personal y
formacin porque la gente es un recurso clave necesaria en cualquiera de estos
despliegues para tener xito.
Personal y capacitacin
Uno de los mayores retos actuales es encontrar y retener calificado y capacitado
el personal de seguridad . Implementar cualquier IPS o la tecnologa IDS requiere conocimientos
especializados
esa red tpica y administradores de sistemas no tienen. Por lo general, una garanta
expertos proviene de un fondo que incluye la experiencia laboral , ya sea en la creacin de redes o
sistemas de administracin y, a veces ambos. Sin embargo , la
habilidades adicionales y especializados asociados con el anlisis de la seguridad y la presentacin
de informes
No suelen ser las habilidades que un empleado desarrolla a menos que reciban este
formacin especializada a travs de cursos o ser parte de un equipo de seguridad . debido a
la relativamente nueva tecnologa IPS que hay pocos cursos genricos disponibles otros
que la formacin especfica del proveedor . Es cierto que en muchas de las habilidades asociadas
con
Apoyo IDS son directamente correlacionado con tecnologas de apoyo IPS , sin embargo , no
son algunos de los aspectos que se desconocen y slo se desarrollan con el tiempo.
Las empresas con presupuestos cadena de zapatos o que actualmente no tienen un valor
arquitectura en su lugar se encuentra el personal y la formacin ms exigente . estos
empresas probablemente canibalizar sus sistemas y equipos de la red para construir la
grupo necesitaba para apoyar IPS y tecnologas IDS . Dependiendo del grupo
iniciativa y apoyo de la gestin de este tipo de organizacin determinarn
el xito de un IPS y / o implementacin de IDS . Empresas con plantilla completa
grupos de seguridad tambin se encuentra el desafo de encontrar , capacitar y retener
ingenieros altamente calificados para ser desalentador cuando se aade a un IDS IPS existentes
arquitectura .
Un rea clave que seguramente recibir cobertura adicional en el futuro prximo ser
la reconfiguracin de los equipos de TI para cumplir con los requisitos de seguridad emergentes.
hay
las empresas que se estn dando cuenta de la necesidad de desarrollar al personal para hacer
frente a los diversos
problemas de cumplimiento que se recaudan en sus organizaciones por las agencias federales . all
es tambin un rea que no se ha discutido que requieren la atencin de TI
gerentes y as es como las necesidades de personal cambiarn a medida que las tecnologas
cambiar. Actualmente, la defensa contra los virus y gusanos por lo general cae en la
hombros de los administradores de sistemas de parches y mantener las definiciones de virus en
todos los
los sistemas de escritorio y servidores . La mayora de las empresas tambin emplean los analistas
y formadores
que proporcionan comunicacin y formacin a los usuarios de la conciencia para ayudar a evitar la
la propagacin de virus y gusanos.
Algunos analistas podran argumentar que con la implementacin de un bien configurado
y se mantiene la arquitectura IPS, una empresa cosechar los beneficios de la necesidad
menos administradores de escritorio y administradores de sistemas necesitan actualmente para
mantenerse al da con los parches y las definiciones de antivirus en respuesta al gusano y virus
comunicados . Este cambio podra resultar en reorganizacin estas redes y sistemas
administradores , as como otra tecla personal de TI para adquirir las habilidades necesarias para
gestionar y apoyar un nuevo entorno de seguridad.