Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Qué Es Un Sistema de Detención de Intrusiones

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 12

¿Qué es un Sistema de Detención de

Intrusiones?
La sofisticación de las técnicas de seguridad de las empresas se está
desarrollando de forma muy rápida y avanzada. Una de estas técnicas es
el IDS/IPS o Sistema de Detección/Prevención de Intrusiones en nuestra
red. En esta entrada, os explicamos en qué consiste
Sistema de detección de intrusiones
Un sistema de detección de intrusiones (IDS) es un dispositivo de hardware
o software de seguridad que se utiliza para monitorizar, detectar y
proteger redes o sistemas de actividades maliciosas. Puede alertar al
personal de seguridad inmediatamente después de detectar intrusiones.
Los IDS son extremadamente útiles, ya que monitorizan el tráfico
entrante y saliente de la red y verifican continuamente actividades
sospechosas para detectar posibles brechas de seguridad en la red o en los
sistemas. Específicamente, verifican el tráfico en busca de firmas que
coincidan con los patrones de intrusión conocidos y activan una alarma
cuando se detecta una coincidencia. Los IDS se pueden clasificar en IDS
activos y pasivos según su funcionalidad. Un IDS pasivo generalmente
solo detecta intrusiones, mientras que un IDS activo (llamado IPS), no solo
detecta intrusiones en la red, sino que también las previene.

Principales funciones de un IDS


Recopilar y analizar información desde un sistema o una red para
identificar posibles violaciones de la política de seguridad, incluido el
acceso no autorizado, así como el uso indebido.
También conocido como «rastreador de paquetes«, intercepta los
paquetes que viajan a través de varios medios y protocolos de
comunicación, generalmente TCP / IP. Los paquetes se analizan una vez
capturados. Un IDS evalúa el tráfico en busca de presuntas intrusiones y
emite una alarma al detectar dichas intrusiones.
Dónde instalar un IDS en la red
Uno de los lugares más comunes para implementar un IDS es cerca
del firewall. Dependiendo del tráfico a monitorizar, se coloca por delante o
por detrás del firewall para monitorizar el tráfico sospechoso, originado
desde dentro o desde fuera de la red. Cuando se coloca en el interior, el IDS
debe estar cerca de la DMZ. Sin embargo, la mejor práctica es utilizar una
defensa en capas mediante la implementación de un IDS delante del
firewall y otro detrás del firewall en la red.
Antes de implementar el IDS, es esencial analizar la topología de la red,
comprender cómo fluye el tráfico hacia y desde los recursos que un
atacante puede usar para obtener acceso a la red e identificar los
componentes críticos que serán posibles objetivos de ataques contra la red.
Una vez que se determina la posición del IDS en la red, el IDS debe
configurarse para maximizar su efecto de protección de red.

Cómo funciona un IDS


El propósito principal del IDS es proporcionar monitorización y detección
de intrusiones en tiempo real. Además, los IDS reactivos (IPS) pueden
interceptar, responder y prevenir intrusiones.
Un IDS funciona de la siguiente manera:
Los IDS tienen sensores para detectar firmas maliciosas en paquetes de
datos, y algunos IDS avanzados incluyen detección de actividad de
comportamiento del tráfico malicioso. Incluso si las firmas de los paquetes
no coinciden perfectamente con las firmas en la base de datos de firmas de
IDS, el sistema de detección de actividad puede alertar a los
administradores sobre posibles ataques.
Si la firma coincide, el IDS realiza acciones predefinidas como terminar la
conexión, bloquear la dirección IP, descartar el paquete y/o generar una
alarma para notificar al administrador. Cuando el paquete pasa todas las
pruebas, el IDS lo reenviará a la red.

¿Cómo detecta una intrusión?


Un IDS utiliza tres métodos para detectar intrusiones en la red:
El reconocimiento de firmas, también conocido como detección de uso
indebido, intenta identificar eventos que indican un intento de acceso a un
sistema o red. Esta técnica implica primero crear modelos de posibles
intrusiones y luego comparar estos modelos con eventos entrantes para
tomar una decisión de detección. Las firmas para IDS se crearon bajo el
supuesto de que el modelo debe detectar un ataque sin perturbar el tráfico
normal del sistema. Solo los ataques deben coincidir con el modelo, de lo
contrario, podrían producirse falsas alarmas.
La detección de anomalías difiere del reconocimiento de firmas. La
detección de anomalías implica una base de datos de anomalías. Se detecta
una anomalía cuando se produce un evento fuera del umbral de tolerancia
del tráfico normal. Por lo tanto, cualquier desviación del uso regular es un
ataque. La detección de anomalías detecta intrusiones en función de las
características de comportamiento fijas de los usuarios y los componentes
de un sistema informático.
La detección de anomalías de protocolo depende de las anomalías
específicas de un protocolo. Identifica fallos particulares en la
implementación del protocolo TCP/IP por parte de los proveedores. Los
protocolos están diseñados de acuerdo con las especificaciones RFC, que
dictan negociaciones estándar para permitir la comunicación. El detector de
anomalías de protocolo puede identificar estos ataques.
Tipos de sistemas de detección de intrusos
Hay dos tipos de sistemas de detección de intrusos, sistemas de detección
de intrusiones basados en red y sistemas de detección de
intrusiones basados en host.
Los sistemas de detección de intrusos basados en la red (NIDS)
verifican cada paquete que entra en la red para detectar la presencia de
anomalías y datos incorrectos. Un NIDS captura e inspecciona todo el
tráfico. Genera alertas a nivel de IP o aplicación en función del contenido.
Los NIDS están más distribuidos que los IDS basados en host. El NIDS
identifica las anomalías en los niveles de routing y host. Audita la
información contenida en los paquetes de datos y registra la información de
los paquetes maliciosos. Además, asigna un nivel de amenaza a cada riesgo
después de recibir los paquetes de datos. El nivel de amenaza permite que
el equipo de seguridad permanezca alerta. Estos mecanismos generalmente
consisten en una caja negra colocada en la red en un modo promiscuo,
escuchando patrones indicativos de una intrusión. Detecta actividad
maliciosa, como ataques DoS, escaneos de puertos o incluso intentos de
acceso a servidores.
Un IDS basado en host (HIDS) analiza el comportamiento de
cada sistema. El HIDS se puede instalar en cualquier sistema, desde un
simple PC de escritorio hasta en un servidor. Es más versátil que el NIDS.
Además de detectar actividades internas no autorizadas, los sistemas
basados en host también son eficaces para detectar modificaciones de
archivos no autorizados.
El HIDS se centra en los aspectos cambiantes de los sistemas locales.
También está más centrado en la plataforma, con un mayor enfoque en el
sistema operativo Windows, sin embargo, hay otros HIDS disponibles para
plataformas UNIX. No son muy comunes debido a la sobrecarga en la que
incurren al tener que monitorizar cada evento del sistema.

Ventajas de IPS sobre IDS


A diferencia, IPS puede bloquear y eliminar paquetes ilegales en la
red y puede prevenir la sucesión de ataques directos en la red controlando
la cantidad de tráfico. Los IDS requieren atención asiduamente ya que
solo monitorizan y pueden dar lugar a dejadez o no darle importancia a
alarmas que pueden llegar a ser peligrosas.
https://study-ccna.com/firewalls-ids-ips-explanation-comparison/
¿Cómo funciona una SD-WAN?
LA SD-WAN es una capacidad de red habilitada para software que
funciona en conjunto con configuraciones de hardware
simplificadas para proporcionar acceso a la nube y a la red a
varias ubicaciones en una red de área amplia. A pesar de estar
ampliamente adoptada por la mayoría de las empresas, la SD-
WAN está evolucionando con servicios y características de
seguridad mejoradas de software definidos. Para comprender
mejor la SD-WAN, es necesario comparar la tecnología con las
redes privadas heredadas que dependen de circuitos privados y
modelos de centro y radio para el acceso a la nube pública.

Los inconvenientes de las redes privadas con circuitos


En las redes privadas heredadas, todos los empleados en el centro
de datos central y las sucursales de radios accederían a los
servicios y las aplicaciones SaaS a través del firewall centralizado
del centro de datos. Esta conectividad se hizo posible con la
conmutación multi-protocolo mediante etiquetas (MPLS) y un
protocolo de enrutamiento estándar proporcionado por los telcos
a un alto costo. Las empresas dependían de los circuitos MPLS en
lugar de los servicios de internet estándar dado que las
conexiones MPLS podrían garantizar los acuerdos de nivel de
servicio (SLAs) y los requisitos de seguridad.
Figura 1. Las redes privadas heredadas basadas en la MPLS se
enfrentan a la complejidad y los cuellos de botella del centro de
datos a medida que el número de sucursales aumentó.
A medida que aumenta la cantidad de sucursales en una red,
también lo haría el costo y la complejidad de la red. Dado que se
accede a las aplicaciones SaaS a través del centro de datos
central, el centro se convirtió en un cuello de botella principal para
acceder a los servicios de forma rápida. Las empresas también
necesitarían cubrir el costo de las costosas llamadas de servicio,
conocidas como despacho de camiones, a sucursales para
configurar el equipo y solucionar los problemas de conectividad o
contratar a alguien con los conocimientos técnicos necesarios.

SD-WAN simplifica la conectividad con la virtualización


La SD-WAN resume la conectividad de la línea privada, como
MPLS, en una red superpuesta controlada por el software que es
compatible con el acceso físico de banda ancha y las redes
inalámbricas y MPLS. La funcionalidad WAN, como la conmutación
y el enrutamiento, se implementa con funciones de red
virtualizadas (VNFs) que se ejecutan en una infraestructura
simplificada, por lo general un solo servidor de bastidor por
sucursal. La SD-WAN proporciona acceso directo a las aplicaciones
de la nube pública e internet desde las sucursales, al mismo
tiempo que permite que un controlador SD-WAN, que puede
admitirse desde el centro de datos central o la nube, impulse las
políticas y servicios gestionados de forma centralizada en la red.
Las sucursales ya no necesitan acceder a los servicios SaaS a
través del centro de datos central, lo cual elimina el cuello de
botella del flujo de datos.

Figura 2. La SD-WAN resume la conectividad de la red privada en


una capa de software y con lo cual las sucursales tendrán un
acceso directo a la nube.

Los componentes de la SD-WAN


La SD-WAN consta de tres componentes principales: el dispositivo
o equipo local del cliente (CPE), un agregador y un controlador
SD-WAN. El CPE es un hardware local que incluye servidores,
enrutadores y firewalls en cada sucursal. El agregador es una
función a nivel de software que reúne las conexiones WAN
dispares en una capa unificada que el elemento de control puede
gestionar. El controlador SD-WAN es lo que los departamentos de
TI empresariales utilizarán para monitorear la red, impulsar
nuevas políticas y actualizar los servicios en todas las sucursales.

Beneficios de la SD-WAN
Las redes privadas heredadas basadas en la MPLS eran muy
estructuradas, rígidas y resistentes a la flexibilidad o el cambio. La
SD-WAN ofrece mejoras masivas en la capacidad de gestión y el
costo con las redes que pueden escalar de forma eficiente a
medida que las empresas se expanden y agregan nuevas
ubicaciones de sucursales. Algunos otros beneficios clave son:

 Mejores experiencias de usuario: los empleados en las


sucursales ya no necesitan acceder a servicios SaaS a través
del cuello de botella del centro de datos central. Tienen
acceso directo para las apps de SaaS, los datos y los
servicios en la nube pública.
 Configuraciones simples: las redes privadas heredadas
basadas en la MPLS pueden requerir múltiples dispositivos
por sucursal, cada uno de los cuales requiere el suministro
manual. Debido a que la SD-WAN es una VNF, puede
ejecutarse con otras funciones de red en un solo servidor de
caja blanca y puede aumentar la energía de procesamiento
en función de las necesidades de desempeño del perímetro
en cada sucursal.
 Flexibilidad en la elección: las empresas solían depender
de los telcos para las conexiones WAN de alto costo basadas
en la MPLS en los mercados con una competencia e
innovación mínima. Con la SD-WAN, las empresas pueden
utilizar el acceso de banda ancha y las redes inalámbricas
además de los circuitos MPLS y elegir entre una amplia gama
de proveedores de hardware/software, OEMs y proveedores
de soluciones para implementar sus propias SD-WANs.
 Redundancia integrada: las SD-WANs no dependen de los
circuitos MPLS y pueden establecer conexiones de red
privada virtual (VPN) a través del acceso de banda ancha
estándar, Wi-Fi y LTE o 5G. Con varias opciones, los
empleados tienen diversas maneras de mantenerse
conectados con sus apps y datos en la nube pública.
 Gestión centralizada: los centros de datos central y los
departamentos de TI empresariales pueden utilizar el
software del plano de control para impulsar nuevas políticas
y servicios, como también configurar nuevas conexiones en
todas las sucursales de la SD-WAN.

CPE para ubicaciones con necesidades informáticas


variables
Los dispositivos SD-WAN o CPE pueden escalar en el desempeño
del procesador en función de las necesidades de cada sucursal.
Por ejemplo, una tienda de conveniencia o un pequeño comercio
minorista puede tener tan solo la necesidad de un dispositivo
sencillo para cifrar los flujos de datos en túneles VPN y conectarse
a la nube. Este es un ejemplo de una aplicación de perímetro
delgado y un servidor de pequeño espacio habilitado por
un procesador Intel Atom® puede satisfacer estas necesidades
con facilidad.

Por otro lado, las aplicaciones de perímetro medio y grueso


pueden integrar funciones como la AI at the Edge para analizar
las transmisiones de video o la informática de alto desempeño o
apoyar implementaciones a gran escala para cientos de
empleados en hospitales y fábricas. Para estas aplicaciones, un
procesador más robusto como el procesador Intel® Xeon® D o
el procesador escalable Intel® Xeon® puede ofrecer más núcleos
o mejoras específicas de uso como la IA habilitada para hardware
y la aceleración criptográfica.

La siguiente evolución de la SD-WAN


Uno de los desafíos con la SD-WAN es que el otorgamiento de
acceso directo a la nube a las sucursales también aumentará la
superficie de ataque total de la red. La superficie de ataque se
refiere a los posibles puntos de entrada o vulnerabilidad que los
hackers pueden aprovechar para acceder a datos sensibles o para
comprometer las funciones de la red. Para ayudar a solucionar
este problema, el perímetro de servicio de acceso seguro
(SASE) es una arquitectura de seguridad avanzada que aloja los
servicios de seguridad en la nube y se integra con la SD-WAN.

El SASE puede admitir funciones que incluyen las puertas de


enlace web con acceso a red de confianza cero, el aislamiento
remoto del navegador, el cifrado/descifrado y el Firewall como un
Servicio (FWaaS). Los beneficios principales son que el SASE
ayude a habilitar el acceso de confianza cero a los servicios y
aplicaciones basados en la nube, con una experiencia de usuario
coherente, al mismo tiempo que se habilita la administración
centralizada a través del software del plano de control.

La SD-WAN y el SASE ofrecen flexibilidad y elección


A medida que las aplicaciones se trasladaron del centro de datos a
la nube, las empresas necesitaban una nueva manera para que
sus sucursales accedan a los servicios y el software. La SD-WAN
es un gran salto hacia un acceso más flexible y el SASE es la
siguiente evolución de la SD-WAN. Las empresas de hoy tienen
muchas más opciones para la colaboración en línea y el acceso a
la nube, e Intel puede ayudar con los recursos, la orientación y las
soluciones de hardware clave.

También podría gustarte