Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » redes » idsips
redes:idsips

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
redes:idsips [2024/12/12 18:31] thejuanvisuredes:idsips [2024/12/12 18:57] (actual) thejuanvisu
Línea 90: Línea 90:
   * Las alamas son más difíciles de entender   * Las alamas son más difíciles de entender
  
-Para entrenar estos sistemas se suelen utilizar las firmas antiguas, los sistemas basados en machine learning necesitan hacer entrenamiento supervisado, usándose las alertas generadas por un sistema basado en firmas, lo que hace que el sistema aprenda que puede ser un ataque. El problema es que las anomalías no son siempre ataques, por ejemplo, si un día en una universidad muchos alumnos realizan entregas de prácticas a la vez, ocurre una anomalía en la red y el sistema puede idenificar esta erróneamente como un ataque.+Para entrenar estos sistemas se suelen utilizar las firmas antiguas, los sistemas basados en machine learning necesitan hacer entrenamiento supervisado, usándose las alertas generadas por un sistema basado en firmas, lo que hace que el sistema aprenda que puede ser un ataque. El problema es que las anomalías no son siempre ataques, por ejemplo, si un día en una universidad muchos alumnos realizan entregas de prácticas a la vez, ocurre una anomalía en la red y el sistema puede idenificar esta erróneamente como un ataque. Las alertas suelen ser más difíciles de entender por se se suelen emitir de forma genérica, la alerta sería algo como un: Se ha detectado X que podría ser un ataque. 
  
 +===== Ventajas de los IDPS =====
 +  * Nos proporcionan sistemas de detección de ataques que no podrían ser detenidos con proxys o firewalls
 +  * Protegen contra ataques complejos como escaneos de puertos
 +  * Permiten identificar de forma clara los ataques recibidos
 +  * Se proporciona información para evitar problemas
 +  * Además puede disuadir a los usuarios de violar las políticas de seguridad
 +
 +===== Desventajas de los IDPS =====
 +  * No son totalmente precisos
 +  * Las respuestas no siempre son inmediatas, hay un proceso de detección y debemos analizar la anomalía y mitigarla (Aunque si estas son muy claras ya las filtra el propio IDPS)
 +  * Existen estrategias para reducir la efectividad de los IDPS como por ejemplo generar ruido, lo que genera un exceso de alertas, dificultando la detección de un ataque. 
 +  * Son efectivos solo a corto plazo, a medio y largo plazo necesitan ser reajustados constantemente.
 +
 +===== Network Based IDPS =====
 +Monitorizan el tráfico de la red. Se colocan sensores (Dispositivos físicos (Appliances) o virtuales (SNORT en un PC)) que reciben una copia del tráfico y lo analizan. Se pueden incorporar de 2 formas:
 +  * IN-LINE (IPS): Desplegado de tal forma que todo el trafico pasa por el, se sitúa entre conexiones de red, puede bloquear el tráfico y generar alertas. Pueden ser colocados dentro de los firewalls o antes/después de un firewall. Security Onion es una distribución Linux con herramientas orientadas a implementación de medidas de seguridad defensiva y no ofensiva que trae un gestor de IDPS para recibir información de múltiples IDPS que puede ser visualizada en una interfaz web.
 +  * ON-LINE o pasivos (IDS): Monitorizan una copia del tráfico. Se colocan varios sensores entre el CPE y el Firewall. Toda la información recopilada se manda a un gestor IDPS que almacena y monitoriza todos los eventos de forma centralizada.
 +
 +Los IDPS de red puede detectar los siguientes ataques:
 +  * Ataques de capa de aplicación
 +  * Ataques a la capa de transporte
 +  * Ataques a capa de red
 +  * Uso de servicios no esperados
 +  * Violaciones de políticas de seguridad
 +
 +Capacidades de prevención para INLINE:
 +  * Capacidad de firewalling
 +  * Limitación de ancho de banda para prevenir ataques DDOS
 +  * Modificacion de contenido malicioso
 +
 +Capacidades de prevención ONLINE:
 +  * Finalización de conexiones
 +
 +Ambos pueden reconfigurar otros equipos de red y ejecutar programas definidos por el adminsitrador.
 +
 +Hay las siguientes limitaciones:
 +  * No se puede trabajar con tráfico cifrado como TLS, VPNs o IPSec. 
 +  * Capacidades de análisis limitadas
 +  * Pueden generar latencia y degradar el rendimiento de la red
 +  * Los IDS pueden detectar un ataque, pero no se sabe si fue exitoso o no.
 +  * Existen ataques contra los IDPS como Blinding o DDoS
 +
 +===== Host Based IPS =====
 +Agentes que se ejecutan en dispositivos finales monitorizando eventos que suceden en el host (Como los EndPoint Security). Detectan cambios en archivos críticos y cambios de configuración. Hay casos donde esto solo se aplica al dispositivo y en soluciones enterprise se manda información a un equipo central que gestiona las alertas y demás.También pueden estar en servidores que protegen servicios o aplicaciones específicas. Si una aplicación intenta hacer algo sospechoso se genera una alerta y se bloquea la aplicación. También detecta usos indebidos del sistema.
 +
 +Pueden bloquear tráfico de red, evitar la ejecución de malware y facilita la detección de procesos que accedan a procesos de sistema. El problema es que consumen muchos recursos, se pueden producir retardos en el envío de alertas, sobre todo si es envío periódico en vez de alertas, si se compromete el dispositivo se puede desactivar el IDPS. En una organización grande interesa que estos sistemas funcionen de forma centralizada, volcando la información en un solo punto. Pueden bloquear también acciones legítimas por error y necesitan actualizaciones periódicas, lo que puede provocar conflictos.
  
redes/idsips.txt · Última modificación: 2024/12/12 18:57 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki