Interesante artículo sobre Implementación efectiva de IDS


Los sniffers e IDS examinan, registran, o actúan sobre el tráfico de red. Prepararse para implementar un sistema de detección de intrusos, o IDS, como parte de su estrategia integral de seguridad, significa conocer a fondo la arquitectura de su red, de manera que pueda emplazar los sensores IDS de forma efectiva.





En efecto, la colocación de los sensores es un factor crítico para que su IDS pueda protegerle adecuadamente de invasiones externas.

El tráfico de Internet penetrará en su red, casi con toda seguridad, por un router. Como mucho, el router aplicará un juego inicial de filtros antes de dejar pasar dicho tráfico. Aunque el funcionamiento ordinario de un router no requiere configurar dichos filtros, los expertos en seguridad lo recomiendan.

Este filtrado actúa como primera capa de defensa, manteniendo las conexiones peligrosas, como las de ICMP broadcast y direcciones reservadas a ralla. (El ICMP, Internet Control Message Protocol, o protocolo de mensajes de control de Internet, es la base de los ataques del tipo “Smurf”, que utilizan mensajes ping y la dirección broadcast de la IP objetivo para saturar un enlace a Internet; por otra parte, el Internet Engineering Task Force, o grupo de trabajo para ingeniería de Internet, IETF, en su documento RFC 1918, especifica que las direcciones reservadas no están pensadas para residir en Internet o ser enrutadas.) Se puede filtrar también el tráfico saliente para prevenir que los servidores críticos envíen conexiones a otras redes.

Recomendamos que se utilicen al menos dos sensores y se coloquen de manera que ofrezcan a la red dos capas de defensa, y proporcionen información comparativa con la que poder verificar la configuración de cortafuegos. Seguidamente veremos cómo los dos sensores incrementan la protección de la red, pero para empezar se necesitan dos puntos distintos de referencia para asegurar que el perímetro de seguridad está completo.

Como norma general, los sensores IDS tienen dos interfaces de red, uno para monitorizar el tráfico, y otro con propósitos administrativos. La interfaz de monitorización está desligada de cualquier protocolo, lo que significa que no tiene dirección IP ni otros componentes con los que poder comunicarse. Cuando dos máquinas de un segmento de Ethernet no conmutado quieren comunicarse la una con la otra, todos los ordenadores de dicha red oyen las peticiones, pero las ignoran si no es que van dirigidas a ellos.

Cuando se pone un NIC en modo promiscuo, los sensores IDS escuchan activamente y actúan sobre el tráfico de red. Los husmeadores de redes (en inglés, sniffers) e IDS examinan, registran, o actúan sobre todo el tráfico de red que pueden ver, independientemente de su destino (a no ser que se les haya indicado que ignoren cualquier petición excepto las especificadas expresamente).


Fuente: windowstimag.com


Otras noticias de interés:

Denegación de servicio en eMule
Se ha descubierto una vulnerabilidad en eMule que puede ser explotada por usuarios malintencionados para provocar una denegación de servicio....
El malware sigue cebandose con las vulnerabilidades de los ficheros PDF
Un informe elaborado por G Data SecurityLabs saca a la luz que a lo largo del mes de abril la mayor parte del malware, presente en los ordenadores, sigue valiéndose de las vulnerabilidades de los ficheros PDF y del componente JavaScript....
Riesgos del uso de las redes sociales
La publicación de imágenes, videos, fotografías, en sitios como Twitter, Facebook, se ha convertido en una moda mucho más peligrosa de lo que se cree....
Frethem.J, el gusano autoejecutable
Frethem.J, vuelve a poner en pie de guerra a los usuarios. Los fabricantes de antivirus han anunciado la existencia de un gusano cuya característica principal es la de autoejecutarse. ...
Nuevo Modo de Proteger Redes de Ordenadores Frente a Gusanos de Internet
Ness Shroff, académico de Redes y Comunicaciones en la Universidad del Estado de Ohio, y sus colegas, podrían haber encontrado una nueva manera de combatir la forma más peligrosa de virus de ordenador. El método detecta en minutos automáticament...
Oracle publica 66 parches de seguridad
La base de datos de Oracle, así como otras aplicaciones y productos middleware se ven afectadas por varios parches que solucionan vulnerabilidades de seguridad....
Nueva vulnerabilidad en Snort
Detectada una vulnerabilidad que permitiría a un atacante remoto ejecutar código con los mismos privilegios que Snort, típicamente root. Snort es uno de los IDS (Sistema de Detección de Intrusiones) más extendidos. Distribuido de forma gratuita ...
Boletín de seguridad de Microsoft de enero corrige ejecución remota de código a través de SMB en Windows
Este martes pasado, Microsoft ha publicado un boletín de seguridad (el MS09-001) correspondiente a su ciclo habitual de actualizaciones, que corrigen un total de tres vulnerabilidades en el protocolo Microsoft Server Message Block (SMB) que podrían...
Malware usando BITS para descargar ficheros
Gracias a los cortafuegos (Firewalls) que se instalan en el propio ordenador (en contraposición a los externos, que funcionan en el router) el malware lo tiene un poco más difícil para conectarse a Internet y descargarse ficheros. Muchos cortafueg...
Valoración del Software Libre en la Sociedad 2012
Informe realizado por la gente de portalprogramas.com publicado el 12 de Noviembre donde estudian la importancia del software libre en la vida cotidiana....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • articulo
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • efectiva
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • ids
  • implementacion
  • informatica
  • interesante
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra