Ids multicapas e ips
Páginas: 11 (2608 palabras)
Publicado: 18 de septiembre de 2012
Introducción
Los sistemas de información actuales requieren de mecanismos que los protejan contra los intentos de violar la confidencialidad, integridad y disponibilidad de los datos. Esa es la causa por la que hoy existen los Sistemas de Detección de Intrusos (IDS, por sus siglas en inglés).
La detección de intrusos fue propuesta como complemento de las técnicas de prevención. Unaintrusión se define como una violación de la política de seguridad del sistema; la detección de intrusos de este modo se refiere a los mecanismos que hay desarrollados para detectar la violación de la política de seguridad de los sistemas, se basa pues, en asumir que la actividad intrusa es notablemente diferente de la actividad normal y por lo tanto se puede detectar. La detección de intrusos no seutiliza para remplazar las técnicas de prevención tales como la autenticación y el control de accesos, sino en combinación con las medidas de seguridad existentes.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejoraimportante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueronextensiones literales de los sistemas IDS, continúan en relación.
Objetivo General
Caracterizar los Sistemas de Detección de Intrusos Multicapas y los Sistemas de Prevención de Intrusos.
Estructura de un Sistema de Detección de Intrusos
Dado que los IDS han sido estudiados desde hace bastantes años, existe gran
diversidad de formatos y arquitecturas. Es por tanto que desde hacealgún tiempo se está realizado un esfuerzo por unificar, en la medida de lo posible, la arquitectura y los formatos de los IDS. En el presente documento nos ce˜niremos a la arquitectura definida por el Common Intrusion Detection Framework (CIDF) 3 en sus drafts.
Un sistema IDS consiste en una serie de componentes discretos que se comunican mediante el paso de mensajes. A grandes rasgos se puedenidentificar cuatro componentes básicos:
Generador de eventos (E-boxes)
Motor de análisis (A-boxes)
Unidades de almacenaje (D-boxes)
Unidades de respuesta (R-boxes)
Los componentes son unidades lógicas que pueden producir y/o consumir los mensajes u eventos generados por los otros componentes. Estos pueden ser implementados de cualquier forma, bien como un solo proceso (o un solothread) en una máquina, clúster, mainframe, etc, o bien como un conjunto de procesos distribuidos a través de varias máquinas o procesadores (Snortnet o DIDRA).
Generadores de eventos (E-boxes)
Los generadores de eventos, sensores o sondas, como suelen llamarse algunas veces, tienen como objetivo la obtención de datos del exterior del sistema de detección de intrusos. Son los “ojos” del IDS.Las entradas de los generadores de eventos serán los datos en bruto del entorno exterior al IDS.
Motor de análisis (A-boxes)
El motor de análisis es el núcleo de los IDS. Es el motor de inferencia que, gracias a unos conocimientos, será capaz de discernir la relevancia de los eventos recibidos de las E-boxes y generar nuevos eventos como salidas. Estos motores de análisis pueden ser demuchos tipos, sistemas estadísticos de profiling, reconocedores de patrones, sistemas de correlación de eventos, etc.
Unidades de almacenaje (D-boxes)
Este componente es el encargado de almacenar físicamente las inferencias del motor de análisis. Contendrá todos los eventos generados por las A-boxes y normalmente se organizan en forma de bases de datos. Es por tanto un componente...
Los sistemas de información actuales requieren de mecanismos que los protejan contra los intentos de violar la confidencialidad, integridad y disponibilidad de los datos. Esa es la causa por la que hoy existen los Sistemas de Detección de Intrusos (IDS, por sus siglas en inglés).
La detección de intrusos fue propuesta como complemento de las técnicas de prevención. Unaintrusión se define como una violación de la política de seguridad del sistema; la detección de intrusos de este modo se refiere a los mecanismos que hay desarrollados para detectar la violación de la política de seguridad de los sistemas, se basa pues, en asumir que la actividad intrusa es notablemente diferente de la actividad normal y por lo tanto se puede detectar. La detección de intrusos no seutiliza para remplazar las técnicas de prevención tales como la autenticación y el control de accesos, sino en combinación con las medidas de seguridad existentes.
Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en el monitoreo pasivo de redes de computadoras, al situar sistemas de detecciones en la vía del tráfico. Los IPS presentan una mejoraimportante sobre las tecnologías de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del tráfico, en lugar de direcciones IP o puertos. Tiempo después, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueronextensiones literales de los sistemas IDS, continúan en relación.
Objetivo General
Caracterizar los Sistemas de Detección de Intrusos Multicapas y los Sistemas de Prevención de Intrusos.
Estructura de un Sistema de Detección de Intrusos
Dado que los IDS han sido estudiados desde hace bastantes años, existe gran
diversidad de formatos y arquitecturas. Es por tanto que desde hacealgún tiempo se está realizado un esfuerzo por unificar, en la medida de lo posible, la arquitectura y los formatos de los IDS. En el presente documento nos ce˜niremos a la arquitectura definida por el Common Intrusion Detection Framework (CIDF) 3 en sus drafts.
Un sistema IDS consiste en una serie de componentes discretos que se comunican mediante el paso de mensajes. A grandes rasgos se puedenidentificar cuatro componentes básicos:
Generador de eventos (E-boxes)
Motor de análisis (A-boxes)
Unidades de almacenaje (D-boxes)
Unidades de respuesta (R-boxes)
Los componentes son unidades lógicas que pueden producir y/o consumir los mensajes u eventos generados por los otros componentes. Estos pueden ser implementados de cualquier forma, bien como un solo proceso (o un solothread) en una máquina, clúster, mainframe, etc, o bien como un conjunto de procesos distribuidos a través de varias máquinas o procesadores (Snortnet o DIDRA).
Generadores de eventos (E-boxes)
Los generadores de eventos, sensores o sondas, como suelen llamarse algunas veces, tienen como objetivo la obtención de datos del exterior del sistema de detección de intrusos. Son los “ojos” del IDS.Las entradas de los generadores de eventos serán los datos en bruto del entorno exterior al IDS.
Motor de análisis (A-boxes)
El motor de análisis es el núcleo de los IDS. Es el motor de inferencia que, gracias a unos conocimientos, será capaz de discernir la relevancia de los eventos recibidos de las E-boxes y generar nuevos eventos como salidas. Estos motores de análisis pueden ser demuchos tipos, sistemas estadísticos de profiling, reconocedores de patrones, sistemas de correlación de eventos, etc.
Unidades de almacenaje (D-boxes)
Este componente es el encargado de almacenar físicamente las inferencias del motor de análisis. Contendrá todos los eventos generados por las A-boxes y normalmente se organizan en forma de bases de datos. Es por tanto un componente...
Leer documento completo
Regístrate para leer el documento completo.