Posicion De Un IDS
Enviado por WilliamWal • 24 de Mayo de 2015 • 408 Palabras (2 Páginas) • 334 Visitas
Posición del IDS
Si colocamos el IDS antes del cortafuegos capturaremos todo el tráfico de entrada y salida de nuestra red. La posibilidad de falsas alarmas es grande.
La colocación detrás del cortafuegos monitorizará todo el tráfico que no sea detectado y parado por el firewall o cortafuegos, por lo que será considerado como malicioso en un alto porcentaje de los casos. La posibilidad de falsas alarmas muy inferior.
Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás del cortafuegos para obtener información exacta de los tipos de ataques que recibe nuestra red ya que si el cortafuegos está bien configurado puede parar o filtras muchos ataques.
En ambientes domésticos, que es el propósito de este taller sobre IDS y Snort, podemos colocar el IDS en la misma máquina que el cortafuegos. En este caso actúan en paralelo, es decir, el firewall detecta los paquetes y el IDS los analizaría.
Se debe de colocar el IDS de forma que se garantice la interoperabilidad y la correlación
en la red. Así la interoperabilidad permite que un sistema IDS pueda compartir u obtener
información de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar
las características de la red de acuerdo a los eventos que se generan. Se puede colocar el IDS de las siguientes formas:
•Delante del firewall: De esta forma el IDS puede comprobar todos los ataques producidos, aunque muchos de ellos no se hagan efectivos. Genera gran cantidad de información en los logs, que puede resultar contraproducente
•Detrás del firewall: Snort colocado detrás del firewall suele ser la ubicación característica, puesto que permite analizar, todo el trafico que entra en la red (y que sobrepasa el firewall). Además, permite vigilar el correcto funcionamiento del firewall. Monitoriza únicamente el tráfico que haya entrado realmente en la red y que no ha sido bloqueado por el firewall. Con lo cual la cantidad de logs generados es inferior a la producida en el caso anterior.
•Combinación de los dos casos: Combinando la colocación del IDS delante y detrás del firewall el control que se ejerce es mayor. Se puede efectuar una correlación entre ataques detectados en un lado y otro. El inconveniente es que se necesitan dos máquinas para implementarlo.
• Firewall/NIDS: Otra opción es usar una única máquina que haga las funciones de firewall y de NIDS a la vez.
•Combinaciones avanzadas: Se utilizan para cubrir necesidades de seguridad más altas. Por ejemplo si se necesita que cada NIDS monitorice un segmento de red o hosts individuales.
...