Informatica IDS IPS
Páginas: 5 (1189 palabras)
Publicado: 24 de junio de 2013
SISTEMAS DE PREVENCIÓN Y DETECCIÓN DE INTRUSIONES IDS, IPS
EXPLICACION
IDS Detección de intrusiones software IPS prevención de intrusiones software cada uno de estos tiene un modo diferente operar por ejemplo el IDS de que se encarga de detectar un intruso y por otro lado el IPS se encargará de prevenir la intrusión, sin embargo al parecer estas aplicaciones pueden ejecutar las mismastareas por ejemplo estas herramientas están en la capacidad determinar actividades sospechosas que puedan comprometer la seguridad del sistema sin embargo esta inteligencia puede reconocer una actividad benéfica como una maliciosa y termina comprometiendo la actividad normal de la compañía está. A esto se le conoce como un falso positivo y cuando es una actividad maliciosa que no es reconocida porel sistema se le conoce como un falso negativo esta tecnología es la capacidad de detectar una intrusión y responder ante ella por ejemplo bloqueando la red, cambiando la configuración del firewall, denegando servicio, bloqueando el acceso de dispositivos, etc.
METODOLOGIAS:
Firmas, estado anómalo y análisis de estado de protocolo la detección por firmas básicamente corresponde a la coincidenciaexacta de una configuración previa en el sistema analizando las entradas de un correo electrónico, la información que llega de la red o las aplicaciones del host y que dentro de esto se encuentre que contenga una frase específica como archivo ejecutable lo que comúnmente se conoce como malware pero si esta frase cambia de nombre el sistema no lo reconocerá así sea un archivo ejecutable dañino.Estado anómalo corresponde a una configuración de usuario medida del tiempo eso significa por ejemplo el uso de ancho de banda el envío de correos electrónicos el uso de procesador y estas tareas cotidianas que tienen un comportamiento estándar en el tiempo para cada usuario cuando una de estas actividades tiene un cambio abrupto el sistema informará como actividad sospechosa el cambio de uso derecursos sin embargo es correcto que estos cambios se den en algunos usuarios y por ello sistema se puede configurar en modo dinámico para que no afecte o comprometa la actividad normal de la compañía pero esta configuración podría admitir alguna actividad maliciosa si terminar afectando o comprometiendo los sistemas de la compañía.
Por otro lado los protocolos de estado suelen ser configuracionesque están determinadas por los fabricantes o respuesta a un análisis lento y engorroso por parte del administrador para poder implementar su propio protocolo de estado, que se implementan basados en un procedimiento normal y funcional de un usuario indicando así cómo sería la actividad normal de este cuando ingresa a una aplicación por ejemplo después de haber ingresado usuario y contraseña seespera que introduzca una serie de comandos y de esta forma cuando hay una secuencia de comandos que no corresponde se determina que es una actividad sospechosa sin embargo ésta metodología suele ser muy costosa en tiempo ya que determinar el estándar de una actividad no siempre es tan exacta y puede ser peor cuando hay cambio de versión o modificaciones en el software pero una gran desventaja es queesta configuración no puede detectar métodos que pueden terminar en ataque y que corresponden a la configuración de estado, ya que la secuencia de comandos aunque es maligna se reconoce como benigna.
Elementos que hacen parte del IPS sensores o agentes, servidores de administración y base de datos, consola son herramientas que componen los IDPS y que se implementan según la característica de lasolución ya que hay diferentes metodologías de configuración y cada uno de estos elementos se comportan diferente de acuerdo a su enfoque.
Dentro de estos conceptos encontraremos grupos significativos IDPS:
IDPS basadas en red consiste en monitorear la red desde adentro ubicándose para analizar el tráfico de los paquetes y tomando decisiones para bloquear los ataques sin embargo las...
EXPLICACION
IDS Detección de intrusiones software IPS prevención de intrusiones software cada uno de estos tiene un modo diferente operar por ejemplo el IDS de que se encarga de detectar un intruso y por otro lado el IPS se encargará de prevenir la intrusión, sin embargo al parecer estas aplicaciones pueden ejecutar las mismastareas por ejemplo estas herramientas están en la capacidad determinar actividades sospechosas que puedan comprometer la seguridad del sistema sin embargo esta inteligencia puede reconocer una actividad benéfica como una maliciosa y termina comprometiendo la actividad normal de la compañía está. A esto se le conoce como un falso positivo y cuando es una actividad maliciosa que no es reconocida porel sistema se le conoce como un falso negativo esta tecnología es la capacidad de detectar una intrusión y responder ante ella por ejemplo bloqueando la red, cambiando la configuración del firewall, denegando servicio, bloqueando el acceso de dispositivos, etc.
METODOLOGIAS:
Firmas, estado anómalo y análisis de estado de protocolo la detección por firmas básicamente corresponde a la coincidenciaexacta de una configuración previa en el sistema analizando las entradas de un correo electrónico, la información que llega de la red o las aplicaciones del host y que dentro de esto se encuentre que contenga una frase específica como archivo ejecutable lo que comúnmente se conoce como malware pero si esta frase cambia de nombre el sistema no lo reconocerá así sea un archivo ejecutable dañino.Estado anómalo corresponde a una configuración de usuario medida del tiempo eso significa por ejemplo el uso de ancho de banda el envío de correos electrónicos el uso de procesador y estas tareas cotidianas que tienen un comportamiento estándar en el tiempo para cada usuario cuando una de estas actividades tiene un cambio abrupto el sistema informará como actividad sospechosa el cambio de uso derecursos sin embargo es correcto que estos cambios se den en algunos usuarios y por ello sistema se puede configurar en modo dinámico para que no afecte o comprometa la actividad normal de la compañía pero esta configuración podría admitir alguna actividad maliciosa si terminar afectando o comprometiendo los sistemas de la compañía.
Por otro lado los protocolos de estado suelen ser configuracionesque están determinadas por los fabricantes o respuesta a un análisis lento y engorroso por parte del administrador para poder implementar su propio protocolo de estado, que se implementan basados en un procedimiento normal y funcional de un usuario indicando así cómo sería la actividad normal de este cuando ingresa a una aplicación por ejemplo después de haber ingresado usuario y contraseña seespera que introduzca una serie de comandos y de esta forma cuando hay una secuencia de comandos que no corresponde se determina que es una actividad sospechosa sin embargo ésta metodología suele ser muy costosa en tiempo ya que determinar el estándar de una actividad no siempre es tan exacta y puede ser peor cuando hay cambio de versión o modificaciones en el software pero una gran desventaja es queesta configuración no puede detectar métodos que pueden terminar en ataque y que corresponden a la configuración de estado, ya que la secuencia de comandos aunque es maligna se reconoce como benigna.
Elementos que hacen parte del IPS sensores o agentes, servidores de administración y base de datos, consola son herramientas que componen los IDPS y que se implementan según la característica de lasolución ya que hay diferentes metodologías de configuración y cada uno de estos elementos se comportan diferente de acuerdo a su enfoque.
Dentro de estos conceptos encontraremos grupos significativos IDPS:
IDPS basadas en red consiste en monitorear la red desde adentro ubicándose para analizar el tráfico de los paquetes y tomando decisiones para bloquear los ataques sin embargo las...
Leer documento completo
Regístrate para leer el documento completo.