SISTEMAS PASIVOS Y SISTEMAS REACTIVOS.
En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante. Un sistema que reacciona ante el ataque previniendo que este continúe, se denomina IPS por sus siglas en inglés de "intrusion prevention system".
COMPARACIÓN CON CONTRAFUEGOS.
Si bien ambos están relacionados con seguridad en redes de información, un IDS, difiere de un cortafuegos, en que este último generalmente examina exteriormente por intrusiones para evitar que estas ocurran. Un cortafuego limita el acceso entre redes, para prevenir una intrusión, pero no determina un ataque que pueda estar ocurriendo internamente en la red. Un IDS, evalúa una intrusión cuando esta toma lugar, y genera una alarma. Un IDS además observa ataques que se originan dentro del sistema. Este normalmente se consigue examinando comunicaciones, e identificando mediante heurística, o patrones (conocidos como firmas), ataques comunes ya clasificados, y toma una acción para alertar a un operador.
MECANISMOS DE DETECCIÓN DE UN ATAQUE.
Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se encuentra en curso:
HEUCARÍSTICA.
Un IDS basado en heurística, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como anómalo.
PATRON.
Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque.
IMPLEMENTACION.
Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.
En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.
QUIEN ME PUEDE COLABORAR NECESITO 10 DIFERENCIAS DE CADA UNO DE SISTEMAS PASIVOS , SISTEMAS REACTIVOS.
ResponderEliminarA DONDE PUEDO BUSCAR? GRACIAS CORDIAL SALUDO
hola encontraste las 10 diferencias?? estoy en tu misma situación y no se donde buscar ya porque no encuentro nada.
ResponderEliminarGracias. Un saludo