Defensa en profundidad
Enviado por Daniel Ruvalcaba • 12 de Noviembre de 2018 • Resumen • 509 Palabras (3 Páginas) • 107 Visitas
Defensa en profundidad
También conocido como “Defense in Depth” , este es un modelo que pretende aplicar controles en seguridad para proteger los datos en diferentes capas.
[pic 1]
Así, se presentan varias capas donde es posible aplicar diversos controles. Por ejemplo, aunque un servidor esté protegido por usuario y contraseña (capa equipo), eso no quita que no se implementen medidas de acceso por contraseña a las aplicaciones que estén instaladas en el equipo (capa aplicación), o que no se apliquen controles como protección por llaves para que no sea sencillo acceder al equipo (capa perímetro físico).
IDS (Intrusion Detection System)
Es un sistema que monitorea el tráfico de la red en busca de actividad sospechosa y emite alertas cuando se descubre dicha actividad. Si bien la detección y notificación de anomalías es la función principal, algunos sistemas de detección de intrusos son capaces de tomar medidas cuando se detecta actividad maliciosa o tráfico anómalo, incluido el bloqueo del tráfico enviado desde direcciones IP sospechosas .
Tipos de sistemas de detección de intrusos
Los sistemas de detección de intrusos tienen distintos sabores y detectan actividades sospechosas utilizando diferentes métodos, incluidos los siguientes:
- Un sistema de detección de intrusos de red (NIDS): Se implementa en un punto o puntos estratégicos dentro de la red, donde puede monitorear el tráfico entrante y saliente hacia y desde todos los dispositivos en la red.
- Los sistemas host de detección de intrusiones (HIDS): Se ejecutan en todas las computadoras o dispositivos de la red con acceso directo tanto a Internet como a la red interna de la empresa. Los HIDS tienen una ventaja sobre NIDS ya que pueden detectar paquetes de red anómalos que se originan dentro de la organización o tráfico malicioso que un NIDS no ha podido detectar. HIDS también puede identificar tráfico malicioso que se origina en el propio host, como cuando el host ha sido infectado con malware y está intentando propagarse a otros sistemas.
- Los sistemas de detección de intrusiones basados en firmas: Supervisan todos los paquetes que atraviesan la red y los compara con una base de datos de firmas o atributos de amenazas maliciosas conocidas, al igual que el software antivirus .
- Los sistemas de detección de intrusos basados en anomalías: Monitorean el tráfico de la red y lo comparan con una línea base establecida, para determinar qué se considera normal para la red con respecto al ancho de banda, los protocolos, los puertos y otros dispositivos. Este tipo de IDS alerta a los administradores sobre actividades potencialmente maliciosas.
IDS vs FIREWALL
Firewall: Dispositivo o aplicación que analiza los encabezados de los paquetes y aplica las políticas según el tipo de protocolo, la dirección de origen, la dirección de destino, el puerto de origen y / o el puerto de destino. Los paquetes que no coinciden con la política son rechazados.
IDS: Dispositivo o aplicación que analiza paquetes completos, tanto el encabezado como la carga, en busca de eventos conocidos. Cuando se detecta un evento conocido, se genera un mensaje de registro que detalla el evento.
...