Firmas del sistema de detección de intrusos

Cuál es el propósito de una firma de sistema de detección de intrusos? La respuesta es que queremos que el sistema nos avise cuando se produce un intento de intrusión. Pero tomemos un momento para pensar en otras razones por las que podríamos querer escribir o modificar una firma, según Webimprints, empresa de pruebas de penetración en México.

Tal vez usted está viendo algo de tráfico extraño en su red y desea que se le avise que la próxima vez que ocurra. Usted ha notado que tiene características inusuales de cabecera, y que desea escribir una firma que se ajuste a este patrón conocido. O tal vez usted está interesado en la configuración de los IDS o hacer pruebas de penetración para identificar el tráfico anormal o sospechosa en general, no sólo los ataques o sondas.

Dave Smith experto de seguridad de datos en México menciona que algunas firmas pueden decirle que ataque específico que está ocurriendo o lo que la vulnerabilidad el atacante está tratando de explotar, mientras que otras firmas pueden simplemente indicar que el comportamiento inusual está ocurriendo, sin especificar un ataque en particular. A menudo necesitan más tiempo y recursos para identificar la herramienta o fuente que está causando la actividad maliciosa, pero le dará más información acerca de por qué usted está siendo atacado y cuál es la intención del ataque es.

Hay diferente tipos de firmas usado por empresas de seguridad de datos en México y abajo están mencionadas las variedades de las firmas:

El intento de conexión desde una dirección IP reservada. Esto se identifica fácilmente comprobando el campo dirección de origen en un encabezado IP.

Paquete con una combinación bandera TCP ilegal. Esto se puede encontrar mediante la comparación de los indicadores establecidos en un encabezado TCP contra combinaciones buenas o malas bandera conocidos.

Correo electrónico que contiene un virus en particular. El IDS puede comparar el asunto de cada correo electrónico con el tema asociado a la dirección de correo electrónico con virus, o puede buscar un archivo adjunto con un nombre particular.

DNS buffer overflow intento en la carga útil de una consulta.

Ataque de denegación de servicio en un servidor POP3 causado por la emisión de los mismos comandos miles de veces. Según experto de empresa de pruebas de penetración una firma de este ataque sería hacer un seguimiento de las veces que se ha emitido el comando y alertar.

Ataque de acceso de archivo en un servidor FTP de archivos y directorios por emitir comandos sin iniciar sesión primero. Una firma de seguimiento de estado podría ser desarrollado que monitorear el tráfico FTP para un inicio de sesión correcto y el usuario

había autenticado correctamente. Únete a la comunidad, compartir sus experiencias, consejos e ideas con expertos de empresa de seguridad de datos en México.