Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción de las firmas IPS

El sistema de prevención de intrusiones (SPI) compara el tráfico con las firmas de amenazas conocidas y bloquea el tráfico cuando se detecta una amenaza. Las intrusiones en la red son ataques u otros usos indebidos de los recursos de red. Para detectar dicha actividad, IPS utiliza firmas. Una firma especifica los tipos de intrusiones de red que desea que el dispositivo detecte e informe. Cada vez que se encuentra un patrón de tráfico coincidente con una firma, IPS activa la alarma y bloquea el tráfico para que no llegue a su destino. La base de firmas es uno de los principales componentes de IPS. Contiene definiciones de diferentes objetos, como objetos de ataque, objetos de firma de aplicación y objetos de servicio, que se utilizan para definir reglas de directiva IPS.

Para mantener las políticas de IPS organizadas y manejables, los objetos de ataque se pueden agrupar. Un grupo de objetos de ataque puede contener uno o más tipos de objetos de ataque. Junos OS admite los siguientes tres tipos de grupos de ataque:

  • Firma IPS: contiene objetos presentes en la base de datos de firmas.

  • Grupo dinámico: contiene objetos de ataque según determinados criterios coincidentes. Durante una actualización de firmas, la pertenencia a grupos dinámicos se actualiza automáticamente en función de los criterios de coincidencia de ese grupo. Por ejemplo, puede agrupar dinámicamente los ataques relacionados con una aplicación específica mediante filtros de grupo de ataques dinámicos.

  • Grupo estático: contiene una lista de ataques que se especifican en la definición de ataque.

Los objetos de ataque de firma utilizan una firma de ataque con estado (un patrón que siempre existe dentro de una sección específica del ataque) para detectar ataques conocidos. También incluyen:

  • El protocolo o servicio utilizado para perpetrar el ataque y el contexto en el que se produce el ataque.

  • Las propiedades específicas de los ataques de firma: contexto de ataque, dirección de ataque, patrón de ataque y parámetros específicos del protocolo (campos de encabezado TCP, UDP, ICMP o IP).

Las firmas pueden producir falsos positivos, ya que cierta actividad normal de la red puede interpretarse como maliciosa. Por ejemplo, algunas aplicaciones de red o sistemas operativos envían numerosos mensajes ICMP, que un sistema de detección basado en firmas podría interpretar como un intento de un atacante de mapear un segmento de red. Puede minimizar los falsos positivos editando los parámetros de firma (para ajustar sus firmas).

Puede crear, filtrar, modificar o eliminar firmas IPS en la página Firmas de directiva IPS del Security Director. Puede descargar e instalar la base de datos de firmas en dispositivos de seguridad. Puede automatizar el proceso de descarga e instalación programando las tareas de descarga e instalación y configurando estas tareas para que se repitan en intervalos de tiempo específicos. Esto garantiza que su base de datos de firmas esté actualizada.

Documentación relacionada