Sistema de deteccin de intrusiones basado en host ( HIDS )Un host IDS debe implementarse en cada equipo protegido (servidor o estacin de trabajo) . Se analizan los datos locales a la mquina, como los archivos de registro del sistema , la auditora senderos y los cambios del sistema de archivos y, a veces los procesos y las llamadas al sistema . HIDS alerta al administrador en caso de una violacin de las reglas preestablecidas ocurre . IDS de host puede utilizar coincidencia de patrones en las pistas de auditora observadas o generar una normalidad perfil de comportamiento y luego comparar la actualidad con este perfil.Sistema de prevencin de intrusiones ( IPS )Un sistema de prevencin de intrusiones se utiliza para colocar los paquetes de datos activa o desconecte las conexiones que contienen datos no autorizados . De prevencin de intrusiones La tecnologa es tambin comnmente una extensin de la tecnologa de deteccin de intrusos (IDS ) . 5Arquitectura sugerencias e inquietudesEsta arquitectura se presenta como una solucin que proporcione un alto rendimiento de la inversin sobre la base de la visibilidad , el control y el tiempo de actividad . La arquitectura tambin tiene en cuenta que muchas empresas han implementado o bien una solucin parcial o ninguna solucin para deteccin de intrusos o prevencin en este momento . Uso de un hbrido implementacin , el promedio a mediados empresa de gran tamao ser capaz de aprovechar la tecnologa de punta proporcionada por el IPS , con el aprovechamiento de la capacidades probadas y maduras de los IDS .Sistema de deteccin de intrusiones ( IDS ) En primer lugar nos fijamos en el despliegue tradicional IDS . La mayora de las empresas que tienen IDS instalado han colocado estos dispositivos en el permetro , ya sea entre la frontera router y el servidor de seguridad o se han colocado los IDS fuera del enrutador de frontera . Las empresas que han ido ms all de instalar un IDS fuera del firewall y el router frontera han hecho esto para que puedan ver toda la amplitud de intentos de ataques en contra de su organizacin. Cuando se implementa un IDS tanto fuera de los dispositivos perimetrales y en el interior de los dispositivos perimetrales que una empresa puede confirmar el tiempo o no un posible ataque visto fuera del permetro tiene realiz con xito hace frontera routers y firewalls dentro . El enfoque ms tarde requiere ms recursos , pero proporciona una imagen ms clara en una empresa ingreso / postura de seguridad y punto de salida . Tener un IDS en cualquiera de estos ubicaciones tambin proporciona una herramienta que captura datos para el anlisis y posiblemente forense segn sea necesario .La mayora de las compaas han implementado dispositivos IDS en el permetro de lo que se llamade arquitectura banda. Esto significa que el IDS se sienta en un medio de comunicacin compartidos ycaptura tantos paquetes como se puede manejar en un modo promiscuo e informesestos datos de nuevo a una consola de administracin . Otra forma de implementar un IDS en lapermetro es lo que se llama una implementacin en lnea. Esto significa que todos los datos procedentesentra o sale de una empresa pasa a travs de este dispositivo. Otro ejemplo de undispositivo que utiliza una arquitectura en lnea es un router o un firewall. Tener un IDS en lneasignifica que todos los datos se capturan antes que continuar en la empresared . La desventaja de este tipo de arquitectura es que si el dispositivo en lnea falla,dependiendo de la configuracin , todos los datos o bien continuar sin IDS visibilidado se detendr hasta que el IDS se fija o se elimina . Cualquiera de estos despliegues deen lnea IDS sita a la compaa en riesgo si el dispositivo no sea por detener el trficocaudal o el cegamiento de la empresa al permitir que todo el trfico fluya sin sersupervisado .El concepto ms importante en el despliegue de un IDS es que un IDS es una herramientausado para capturar y dar visibilidad a una red corporativa. Para mayorcompaas y empresas que tienen una necesidad adicional para una visibilidad completa de la redtrfico, un mtodo de implementacin comn consiste en instalar dispositivos IDS en todas las escuelas primariasred apunta a dar visibilidad , tanto interna como externamente. Este tipo deimplementacin proporciona los datos necesarios para localizar a posibles amenazas internas ycomo los que se plantearon en contra de la empresa desde el exterior. Todava hoy la mayorriesgo proviene de las amenazas internas . Los empleados descontentos , empleados curiosos,servicios externos , as como las tendencias de mayor volumen de servicios contratadosproporcionar un mayor nivel de vulnerabilidad desde dentro de la red . Como resultado , laimportancia de la implementacin de un mecanismo para controlar el trfico interno es lo ms importante .La clave que se destac en este punto es la visibilidad.Una de las preocupaciones de los despliegues de IDS es el factor de rendimiento . Las soluciones de IDSofrecido hoy han recorrido un largo camino en el diseo y el uso de alto rendimientocomponentes que ayudan a asegurar la mayor cantidad de captura de datos . Incluso con lacomponentes de mayor rendimiento y el software actualizado , un hecho conocido es queimplementaciones IDS actuales tienen una tendencia a descartar paquetes , debido a la altarendimiento de los dispositivos de red de alto ancho de banda de hoy en da . El rendimiento es la clavecuestin en los dos despliegues IDS e IPS . Otra preocupacin con despliegues IDSes el cifrado . Actualmente , la mayora de las soluciones de IDS no tienen la capacidad de desencriptarpaquetes entrantes o salientes y esto persianas administradores de seguridad en cuanto a lo que esque entra y salir de las redes corporativas . Con el crecimiento explosivo deVPN y otros flujos de datos cifrados la necesidad de disponer de una solucin como en el IPSel permetro es cada vez ms necesaria . Laura Tyler ofrecevisin a ambos problemas , redes de conmutacin y cifrado , en su apoyo aimplementacin de ambas tecnologas IDS e IPS en un artculo que escribi paraTechRepublic . Aqu est el comentario de Laura , " Hay algunos problemas fundamentalescon la forma en un trabajo IDS hoy. En primer lugar, a medida que ms y ms trfico de redse cifra , IDS se vuelven intiles porque no pueden analizar cifradotrfico . En segundo lugar, las redes se vuelven ms fuertemente cambiados , por lo general verslo una pequea cantidad del trfico en su red. En una red conmutada, quenecesidad de aumentar en gran medida el nmero de sensores de deteccin de intrusiones para supervisartrfico en todos los segmentos de la red . En redes grandes , esto significa que el totalel coste de propiedad de IDS puede ser muy alta . En tercer lugar, los IDS generan un nmero enormede falsos positivos, que le dice que su red est siendo atacado , cuando no lo es.Estos tres problemas estn llevando a muchas empresas a cambiar a IPS . " 6Algunas empresas se han sumado los llamados IDS basado en host ( HIDS )despliegues a su organizacin para proporcionar un nivel ms granular de la visibilidad .El uso de un HIDS proporciona la visibilidad necesaria para identificar y realizar un seguimiento de intrusosintentos en un host o una aplicacin especfica . Vamos a cubrir la defensa en profundidadestrategia ms adelante en este artculo , cuando hacemos hincapi en la importancia del uso de mltiplesniveles de deteccin y prevencin de intrusiones con el fin de proporcionar una mayor seguridadentorno informtico. El uso de la tecnologa HIDS se ha popularizado tambincomo resultado del crecimiento explosivo de redes conmutadas . La tendencia a alejarse de unamedio de red compartido ha provocado la necesidad de repensar las implementaciones IDS debido asu naturaleza pasiva en la captura de datos de un medio compartido . HIDS son un resultadode este cambio de paradigma y como resultado proporcionan un alto nivel de visibilidad de cada unonodo de red . Un reto para los administradores de seguridad , en algunos casos es lavolumen de datos generados a partir de estos despliegues y aquellas compaas conpoco personal de seguridad estn especialmente preocupados . Dotacin de personal, capacitacin y recursostemas se tratan con ms detalle ms adelante en este artculo .Sistema de prevencin de intrusiones ( IPS )A continuacin nos fijamos en el sistema de prevencin de intrusiones ( IPS ) y el despliegueestrategias asociadas a esta tecnologa. Tecnologas IPS , ya sea en software ohardware son relativamente nuevos . Se podra decir que la idea ha sido de alrededor de unmucho tiempo y podra sugerir que las listas de control de acceso del router o reglas de firewall podraconsiderarse un IPS bsicas. Neil Desai abri un artculo publicado en elSecurityFocus sitio web con esta declaracin : "T mezclado sus IDS con mifirewall ! No, mezclado cortafuegos con mis IDS ! De cualquier manera, cuando secombinar las capacidades de bloqueo de un cortafuegos con la inspeccin profunda de paquetes deun IDS , se obtiene el nuevo chico de la cuadra : . sistemas de prevencin de intrusos o IPS " 7La verdad es que el mercado de IPS est empezando a madurar lo suficiente como para realmenteidentificar lo que realmente es un IPS . An hoy existen muchas definiciones de IPS ymuchos puntos de vista en cuanto a la exigencia para las implementaciones de IPS . Algunos grupos inclusosugieren que el IPS es una evolucin de IDS y que con el tiempo los IDS desaparecerny todos los productos relacionados con la intrusin se centrarn en torno a la prevencin. Una empresa de laNombre de Sourcefire est trabajando en una lnea de tiempo y de producto que combina mltiplestecnologas en lo que se llama " Reconocimiento de redes en tiempo real ( ARN ) " . RNApermite a las organizaciones proteger con mayor seguridad de sus redes a travs de unpatentada nica combinacin de descubrimiento de red pasiva , de comportamientoperfiles y anlisis de vulnerabilidad integrado para ofrecer los beneficios de tiempo realperfiles de red y la gestin del cambio y sin los inconvenientes de los tradicionalesenfoques para identificar los activos de red y vulnerabilities.8 La realidad es queel tiempo o no el IDS se coloca en un museo o no, la necesidad de capturar ydatos de las pistas que atraviesan nuestras redes sern de fundamental importancia . Adems deTecnologas de ARN de Sourcefire que estn tratando de cerrar la brecha entre IPS yFuncionalidad IDS , otras empresas estn desarrollando tecnologas de IPS en todo elpremisa de identificar y detener las intrusiones vice seguimiento de las intrusiones yla captura de datos para su anlisis o forense .La idea de un IPS que niegan el trfico es el aspecto ms importante con respecto a estepapel. Muchas empresas no han implementado la tecnologa IDS o IPS entretenidola tecnologa por una razn principal . Esta razn es que el tiempo es dinero ydisponibilidad de la red es de suma importancia para todas las organizaciones. El argumento puede ser hechoque una implementacin de IPS o IDS es en realidad una tecnologa que ayuda a asegurar la redel tiempo de actividad y la disponibilidad mediante la identificacin y posiblemente prevenir intrusiones en la redy los ataques que normalmente seran la causa de la inactividad de la red . los costosasociado con un IPS o IDS despliegue no estn tpicamente asociados comode generacin de ingresos de gastos. En muchos casos, el argumento se puede hacer que eldecisin de implementar la tecnologa IPS o IDS es como el pollo y la analoga del huevo.Debido a IPS e IDS implementaciones no generan directamente ingresos es difciljustificar el gasto . Sin embargo , lo contrario de este argumento es que sinvisibilidad de la red y la capacidad de prevenir intrusiones y ataques hayun posible aumento de los costos asociados para hacer frente a este tipo de actividades . Uno podraargumentan que con un despliegue IPS configurado correctamente, una empresa podra ahorrardinero a travs de la identificacin y la prevencin de un gusano o un ataque de virus. Dado que las empresasdesarrollar matrices para cuantificar la cantidad de dinero y / o tiempo perdido debido a virus oataques de gusanos tendrn la informacin de apoyo para justificar los gastosasociado con IPS y / o implementaciones de IDS .Dado que las empresas comienzan a darse cuenta de los ahorros potenciales relacionados con la prevencinel tiempo de inactividad asociado con uno de los gusano casi semanalmente o ataques de virusvan a estar ms dispuestos a aprovechar las medidas preventivas como IPStecnologas . Del mismo modo el uso de las tecnologas de IDS se puede utilizar para confirmar laahorro de tiempo y proporcionar los datos necesarios para hacer frente a las amenazas internas . Durante elltimos aos hemos visto un aumento en el nivel de responsabilidad que conllevacon el uso de la tecnologa . Los mltiples requisitos de cumplimiento gravanempresas de las organizaciones federales tambin coloca a los departamentos de TI en alerta dela perspectiva de tener que proporcionar las polticas , procedimientos y capacidades paraasegurar buenas implementaciones y prcticas tecnolgicas. Usando una combinacin de IPSy las tecnologas IDS aumentarn claramente el nivel de visibilidad y control pararedes corporativas .Aqu es donde la sugerencia de IPS y tecnologas IDS existentes en armonaviene a dar . La recomendacin de este trabajo es para colocar estratgicamente IPSLa tecnologa en el permetro de la red corporativa para ayudar en la prevencin de cerolos ataques de da como los gusanos o los virus a travs de reglas basadas en anomalas , as comoinspeccin basada en firmas de los paquetes. El uso de un bien puesto a punto y gestionadosSolucin de IPS en todos los puntos de ingreso / egreso de empresa le ayudar a asegurarse de que lanuevo y amenazas identificadas previamente se dejan caer en el permetro . Como nuevotecnologas y aplicaciones se desarrollan es fundamental que el equipo de IPS esparticipar a travs del desarrollo para asegurar que el trfico legtimo se le permite pasar .Normalmente hay una mayor libertad para el trfico que se ha cado o se detuvo en lapermetro de la red de dentro de la red . Esta disponibilidad de la red interna esdonde el despliegue de la tecnologa IDS es todava crtico . La mayora de las arquitecturas de IDSproporcionar un medio pasivo de recoleccin e identificacin de malicioso o desconocidaactividad y alerta a un equipo para comenzar la investigacin de dicha actividad. El trficosigue pasando y de negocios contina con normalidad, pero en este caso, cualquieractividad sospechosa se encuentra en posicin investigacin. El uso de este tipo de arquitecturapromueve el tiempo de actividad al tiempo que subraya la necesidad de control de la informacin privilegiadaamenaza.Tener una implementacin de IPS en las partes exteriores de la red proporcionar lamedidas preventivas y de control necesarias para luchar contra las amenazas nuevas y existentesmientras incluyendo un IDS dentro del firewall y en los nodos de red internos crticosproporcionar visibilidad y la confirmacin de la actividad en el interior . Los costos asociadoscon este tipo de implementacin son mucho menores que las que se necesitan para implementar tantotecnologas en paralelo. Un aspecto clave que hay que cubrir es la dotacin de personal yformacin porque la gente es un recurso clave necesaria en cualquiera de estosdespliegues para tener xito.Personal y capacitacinUno de los mayores retos actuales es encontrar y retener calificado y capacitadoel personal de seguridad . Implementar cualquier IPS o la tecnologa IDS requiere conocimientos especializadosesa red tpica y administradores de sistemas no tienen. Por lo general, una garantaexpertos proviene de un fondo que incluye la experiencia laboral , ya sea en la creacin de redes o sistemas de administracin y, a veces ambos. Sin embargo , lahabilidades adicionales y especializados asociados con el anlisis de la seguridad y la presentacin de informesNo suelen ser las habilidades que un empleado desarrolla a menos que reciban esteformacin especializada a travs de cursos o ser parte de un equipo de seguridad . debido ala relativamente nueva tecnologa IPS que hay pocos cursos genricos disponibles otrosque la formacin especfica del proveedor . Es cierto que en muchas de las habilidades asociadas conApoyo IDS son directamente correlacionado con tecnologas de apoyo IPS , sin embargo , noson algunos de los aspectos que se desconocen y slo se desarrollan con el tiempo.Las empresas con presupuestos cadena de zapatos o que actualmente no tienen un valorarquitectura en su lugar se encuentra el personal y la formacin ms exigente . estosempresas probablemente canibalizar sus sistemas y equipos de la red para construir lagrupo necesitaba para apoyar IPS y tecnologas IDS . Dependiendo del grupoiniciativa y apoyo de la gestin de este tipo de organizacin determinarnel xito de un IPS y / o implementacin de IDS . Empresas con plantilla completagrupos de seguridad tambin se encuentra el desafo de encontrar , capacitar y reteneringenieros altamente calificados para ser desalentador cuando se aade a un IDS IPS existentesarquitectura .Un rea clave que seguramente recibir cobertura adicional en el futuro prximo serla reconfiguracin de los equipos de TI para cumplir con los requisitos de seguridad emergentes. haylas empresas que se estn dando cuenta de la necesidad de desarrollar al personal para hacer frente a los diversosproblemas de cumplimiento que se recaudan en sus organizaciones por las agencias federales . alles tambin un rea que no se ha discutido que requieren la atencin de TIgerentes y as es como las necesidades de personal cambiarn a medida que las tecnologascambiar. Actualmente, la defensa contra los virus y gusanos por lo general cae en lahombros de los administradores de sistemas de parches y mantener las definiciones de virus en todos loslos sistemas de escritorio y servidores . La mayora de las empresas tambin emplean los analistas y formadoresque proporcionan comunicacin y formacin a los usuarios de la conciencia para ayudar a evitar lala propagacin de virus y gusanos.Algunos analistas podran argumentar que con la implementacin de un bien configuradoy se mantiene la arquitectura IPS, una empresa cosechar los beneficios de la necesidadmenos administradores de escritorio y administradores de sistemas necesitan actualmente paramantenerse al da con los parches y las definiciones de antivirus en respuesta al gusano y viruscomunicados . Este cambio podra resultar en reorganizacin estas redes y sistemasadministradores , as como otra tecla personal de TI para adquirir las habilidades necesarias paragestionar y apoyar un nuevo entorno de seguridad.