DIDS, Honeypot y UTM: detección y protección perimetral en redes

Clasificado en Informática

Escrito el en español con un tamaño de 2,46 KB

DIDS

DIDS: Los administradores de red envían logs de sus IDS a un servicio distribuido. Analiza todos los datos recogidos desde los puntos sensibles de la red y correlaciona todos los eventos producidos por cada uno de estos dispositivos.

3.4.1 El tarro de miel o honeypot

Es un sistema configurado con servicios de red ficticios, con sus vulnerabilidades, para ser utilizado como víctimas, recoger la información y con ella alertar al administrador para que organice una defensa. Hay dos tipos:

  • Baja interacción: el software simula el sistema operativo con sus vulnerabilidades.
  • Alta interacción: el sistema operativo es real, aunque sin procesos de producción reales.

Dependiendo de su función, se pueden destinar a investigación —que interactúa mucho con el atacante para poder registrar todos los datos posibles y luego investigarlos— y a producción, que solo alberga funciones de detección y alerta.

Detección de ataques honeypot

No debería recibir tráfico de entrada; si lo recibe, es ya una señal de ataque. Analógicamente, el tráfico de salida también debería ser inexistente. Según el tipo, no solo puede registrar intentos de acceso ficticio sino hacer creer al atacante que ha comprometido el sistema. Aunque exista un IDS, el honeypot actúa como complemento de seguridad para detectar ataques que el IDS no puede. También detecta actividad de gusanos y demás malware.

Ventajas:

  • Los datos son mucho más selectivos, con menos falsos positivos que los IDS.
  • Requieren pocos recursos y capturan pocos datos.
  • Sistemas simples que no requieren actualizaciones o mantenimiento constantes.

Inconvenientes:

  • Solo ven actividad dirigida en su contra.
  • Son sensibles a ataques de fingerprinting.
  • Pueden ser utilizados como plataforma para un verdadero ataque en nuestra red.

3.4.2 Las UTM

Es un sistema que integra en un único dispositivo un conjunto de soluciones de seguridad perimetral. Básicamente es un cortafuegos a nivel de aplicación al que se le proporciona un gran valor añadido, como VPN, antivirus, antispam, antiphishing, antispyware, filtrado de contenidos e IDS/IPS. Se puede implementar por hardware (Fortinet, Symantec, Panda Security) o por software (Untangle, ClarkConnect, Ebox).

Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
seguridad perimetral antivirus VPN antispam IDS/IPS DIDS detección de intrusos IDS investigación de seguridad antiphishing firewall honeypot UTM