Desafíos con sistemas de detección de intrusos basado en host

Sistemas de detección de intrusos basado en host están dirigidas a la recopilación de información acerca de la actividad en un solo sistema en particular, o de host. Estos funcionarios basados en host, que se refieren a veces como sensores, por lo general se instalan en una máquina que se susceptible a posibles ataquessegún investigadores de Seguridad de Datos en México.

El término "host" se refiere a un equipo individual, por lo tanto sería necesario un sensor separado para cada máquina. Sensores trabajan mediante la recopilación de datos sobre los eventos que pasan en el sistema que se está supervisando. Estos datos se registran con un mecanismo de sistema llamado registros de auditoría. Otras fuentes, de las cuales un sensor basado en host puede obtener los datos, incluyen los registros del sistema, otros registros generados por los procesos del sistema operativo, y el contenido de los objetos que no se reflejan en los mecanismos de auditoría del sistema operativo y de en mecanismo de logging. Empresa de Pruebas de Penetración en México, señala que dado que los sistemas basados en host se basan en los registros de auditoría, entonces eso causa limitaciones porque estos registros de auditoría, no son de misma ambiente y arquitectura como de sistema de detección de intrusos.

Como resultado, esto mecanismo de registros de auditoria no soporta necesariamente las necesidades del sistema de detección de intrusos. Eso le lleva a algunos a concluir que el tener los sistemas basados en host es muy complicado ya que necesita modificar el código del kernel del sistema operativo para generar la información del evento que sirve para el sistema de detección de intrusos.

Según Dave Smith experto de seguridad de datos en México, la información recopilada a través de registros de auditoría puede armar el sensor basado en host con datos útiles sobre el sistema y sus usuarios. El sensor basado en host puede recuperar el proceso cual inicio el evento, y las identificaciones de usuario actuales y originales asociado con ese evento, en caso de que hayan cambios en identificación de usuarios. Estas piezas de información puede ser crucial en la determinación de qué programa y por lo que el usuario se originó un ataque potencial de la red, lo que obviamente le ayudará a detener los ataques futuros. Una crítica común de los sistemas basados en host reside en la cantidad de datos que pueden ofrecer. La configuración de los sensores debe obviamente recopilar información suficientemente detallada para identificar anomalías en un host, por lo que los más refinados los datos capturados están, debería funcionar mejor el sensor. El problema es que, como los sensores se reúnen los niveles más finos de detalle, se acumulan grandes cantidades de datos que ocupan el almacenamiento significativo. Además, debido a que, tanto el volumen y la complejidad de datos, esta especie de ironía se convierte en un trabajo que los diseñadores y analistas de empresa de pruebas de penetración en México deben superar para que los sensores basados en host sirven bien y ayudar a organización en lugar que dar mas problemas.

Mejores sistemas de prevención de intrusiones / sistema de detección (IDS / IPS) de código abierto

Snort es un sistema de prevención y detección de intrusiones de redes(IDS / IPS) de software abierto desarrollado por Sourcefire. La combinación de los beneficios de la firma, el protocolo y la inspección basada en anomalías, Snort es la tecnología IDS / IPS de mayor despliegue a nivel mundial. Con millones de descargas y casi 400.000 usuarios registrados según Webimprints especializados de empresa de seguridad informática.

BASE (Basic Analysis and Security Engine): Se basa en el código de la consola de Análisis de Bases de datos de Intrusión del proyecto (ACID). Esta aplicación proporciona un front-end web para consultar y analizar las alertas procedentes de un sistema IDS Snort dice Dave Smith experto de pruebas de penetración.

OSSEC ( Open Source SECurity ) :Es un sistema de detección de intrusiones basado en host de código abierto que realiza análisis de registro, presentar comprobación de la integridad, el seguimiento de políticas, detección de rootkits, alertas en tiempo real y la respuesta activa. Se ejecuta en la mayoría de sistemas operativos, incluyendo Linux, Mac OS, Solaris, HP-UX, AIX y Windows y es usada por muchas empresas en México, según investigadores de seguridad informática en México lamentablemente. 

Suricata: Es IDS, IPS de alto rendimiento y motor de monitoreo de la seguridad de red. Es de software abierto y es propiedad de una fundación sin fines de lucro organizado por la comunidad, la Fundación Seguridad de la Información abierta (OISF). Suricata es desarrollado por el OISF y expertos de pruebas de penetración.

Samhain: es un sistema de detección de intrusiones basado en host (HIDS) proporciona la comprobación de integridad de archivos y registro de monitoreo archivo / análisis, así como la detección de rootkits, supervisión de puertos, detección de ejecutables SUID canallas y procesos ocultos. Samhain es una aplicación multiplataforma de código abierto para sistemas POSIX (Unix, Linux, Cygwin / Windows) comenta Dave Smith experto de empresa de seguridad informática.

EasyIDS: Es un sistema de detección de intrusos y es fácil de instalar basado en Snort. EasyIDS está diseñado para los principiantes de seguridad de red con experiencia mínima de Linux. EasyIDS incluye Linux CentOS, Snort, corral, mysql, BASE, ntop, arpwatch, y más. EasyIDS toma el dolor y la frustración de la implementación de un Sistema de Detección de Intrusos. Diseñado para el

principiante de seguridad de red con experiencia mínima de Linux y es vendido por muchas empresas de seguridad informática en México.

Smooth-Sec (IDS/ IPS distribución Linux):es un IDS ligero y totalmente listos / IPS (Intrusion Detection System / Prevención) distribución de Linux basada en Debian 7 (sibilancias), disponible para la arquitectura de 32 y 64 bits. La distribución incluye la última versión de Snorby, Snort, Suricata, pulledpork y Pocilga. Un proceso fácil configuración permite desplegar una completa IDS / IPS Sistema en cuestión de minutos sin ayuda de con ayuda de expertos de pruebas de penetración, incluso para los principiantes de seguridad con experiencia mínima de Linux. Únete a la comunidad, compartir sus experiencias, consejos e ideas y conecta con comenta expertos de empresa de seguridad informática.