Firmas del sistema de detección de intrusos

Cuál es el propósito de una firma de sistema de detección de intrusos? La respuesta es que queremos que el sistema nos avise cuando se produce un intento de intrusión. Pero tomemos un momento para pensar en otras razones por las que podríamos querer escribir o modificar una firma, según Webimprints, empresa de pruebas de penetración en México.

Tal vez usted está viendo algo de tráfico extraño en su red y desea que se le avise que la próxima vez que ocurra. Usted ha notado que tiene características inusuales de cabecera, y que desea escribir una firma que se ajuste a este patrón conocido. O tal vez usted está interesado en la configuración de los IDS o hacer pruebas de penetración para identificar el tráfico anormal o sospechosa en general, no sólo los ataques o sondas.

Dave Smith experto de seguridad de datos en México menciona que algunas firmas pueden decirle que ataque específico que está ocurriendo o lo que la vulnerabilidad el atacante está tratando de explotar, mientras que otras firmas pueden simplemente indicar que el comportamiento inusual está ocurriendo, sin especificar un ataque en particular. A menudo necesitan más tiempo y recursos para identificar la herramienta o fuente que está causando la actividad maliciosa, pero le dará más información acerca de por qué usted está siendo atacado y cuál es la intención del ataque es.

Hay diferente tipos de firmas usado por empresas de seguridad de datos en México y abajo están mencionadas las variedades de las firmas:

El intento de conexión desde una dirección IP reservada. Esto se identifica fácilmente comprobando el campo dirección de origen en un encabezado IP.

Paquete con una combinación bandera TCP ilegal. Esto se puede encontrar mediante la comparación de los indicadores establecidos en un encabezado TCP contra combinaciones buenas o malas bandera conocidos.

Correo electrónico que contiene un virus en particular. El IDS puede comparar el asunto de cada correo electrónico con el tema asociado a la dirección de correo electrónico con virus, o puede buscar un archivo adjunto con un nombre particular.

DNS buffer overflow intento en la carga útil de una consulta.

Ataque de denegación de servicio en un servidor POP3 causado por la emisión de los mismos comandos miles de veces. Según experto de empresa de pruebas de penetración una firma de este ataque sería hacer un seguimiento de las veces que se ha emitido el comando y alertar.

Ataque de acceso de archivo en un servidor FTP de archivos y directorios por emitir comandos sin iniciar sesión primero. Una firma de seguimiento de estado podría ser desarrollado que monitorear el tráfico FTP para un inicio de sesión correcto y el usuario

había autenticado correctamente. Únete a la comunidad, compartir sus experiencias, consejos e ideas con expertos de empresa de seguridad de datos en México.

Desafíos de seguridad informática en México con sistemas de detección de intrusos basado en red

Los sistemas de detección de intrusiones basado en red recogen la información de la red y no desde cada host independiente. Las comprobaciones del sistema de detección de intrusos para ataque o comportamiento irregular incluyen la inspección de los contenidos y la información de cabecera de todos los paquetes que se mueven a través de la red. Los sensores de sistemas de detección de intrusiones basado en red están equipados con "firmas de ataques" que son las normas sobre lo que constituye un ataque, y la mayoría de los sistemas basados en la red permiten a los usuarios definir sus propias firmassegún Webimprints, empresa de seguridad informática.

Esto ofrece una forma de personalizar los sensores basados en las necesidades y tipos de uso de una red individual. Los sensores luego comparan estas firmas con el tráfico que capturan. Este sistema no se degrada el rendimiento de otros programascorriendo en la red. Este costo de bajo rendimiento se debe al hecho de que los monitores sólo lectura cada paquete, ya que vienen a través de su segmento de red dice Dave Smith experto de pruebas de penetración. 

El principal recurso para estos monitores es el espacio de almacenamiento, por lo que las empresas podrían utilizar equipos más antiguos y más lento para hacer este trabajo, en lugar de comprar equipo adicional.Según investigadores de empresa de seguridad informáticaesto podría ahorrar significativamente en los costos de implementación. Los sistemas basados en la red también son portátil. Ellos son independientes de los sistemas operativos que están instalados en. Sin embargo, las soluciones basadas en la red tienen su parte de problemas.

Como se señaló anteriormenteexperto de empresa de pruebas de penetración, los sensores detectan ataques basados en sus firmas de ataques. Estas firmas se han escrito sobre la base de los datos recogidos de los ataques conocidos y anteriores, y esto por desgracia asegura que estas firmas "serán siempre un paso detrás de las últimas amenazas" Lo peor es que, aunque los vendedores de sistemas de detección de intrusos ofrecen actualizaciones regulares de su firma de bases de datos, muchos de ellos no han alcanzado a la hora de definir las firmas de todos los ataques conocidos comenta Dave Smith experto de empresa de seguridad informática.

El segundo problema importante con los enfoques de detección de intrusiones de red es la escalabilidad. Monitores de red deben inspeccionar todos los paquetes que se pasa a través del segmento que se colocan en. A medida que estas redes de alta velocidad se vuelven más comunes, los intrusos serán capaces de identificarlos, y que, sin duda, ser dirigida con ataques aforadas en concreto explotar esta debilidad. Cifrado y switching representan otras dos limitaciones de los enfoques basados en la red según experiencia de muchas empresas de seguridad informática en México. En primer lugar, si el tráfico

de la red está cifrada, un agente no puede escanear los protocolos o el contenido de estos paquetes. En segundo lugar, la naturaleza de los switches de red hace extremadamente difícil. Únete a la comunidad, compartir sus experiencias, consejos e ideas con expertos de empresa de seguridad informática en México.