¿Qué son IDS y SPI?

¿Qué son IDS y SPI?

La detección de intrusiones consiste en supervisar lo que ocurre en su red y analizarlo para buscar señales de incidentes o violaciones posibles, o amenazas inminentes a sus políticas de seguridad. La prevención de intrusiones se trata de la detección intrusiones e interrupción los incidentes detectados. Estas medidas de seguridad están disponibles como sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (SPI), que se vuelven parte de su red para detectar y detener incidentes potenciales.

Problemas que tratan los sistemas IDS/SPI

La red típica de una empresa tiene distintos puntos de acceso a otras redes, tanto públicas como privadas. El desafío es conservar la seguridad de estas redes y, al mismo tiempo, mantenerlas abiertas a sus clientes. En la actualidad, los ataques son tan sofisticados que pueden vulnerar, incluso, los mejores sistemas de seguridad, especialmente los que aún funcionan pensando que las redes se pueden proteger mediante cifrado o programas de firewall. Lamentablemente, esas tecnologías por sí solas no son suficientes para contrarrestar los ataques de la actualidad.

¿Qué puede hacer con los sistemas IDS/SPI?

Los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (SPI) observan su red constantemente, identifican posibles incidentes y registran la información correspondiente, detienen los incidentes y entregan los informes a los administradores de seguridad. Además, algunas redes usan los sistemas IDS/SPI para identificar problemas relacionados con las políticas de seguridad e impedir que las personas infrinjan dichas políticas. Los sistemas IDS/SPI se han vuelto otro elemento necesario para la infraestructura de seguridad de la mayoría de las organizaciones, precisamente porque pueden detener a los atacantes mientras recopilan información sobre su red.

¿Cómo funciona el sistema IDS?

Generalmente, se usan las tres metodologías de detección IDS para incidentes.

  • La detección basada en firmas compara las firmas con los eventos observados para identificar posibles incidentes. Este es el método de detección más sencillo porque compara solo la unidad actual de actividad (como un paquete o una entrada de registro con una lista de firmas) usando operaciones de comparación en cadena.
  • La detección basada en anomalías compara las definiciones de lo que se considera actividad normal con eventos observados para identificar desviaciones significativas. Este método de detección puede ser muy eficaz para detectar amenazas desconocidas anteriormente.
  • El análisis de protocolo de estado compara perfiles predeterminados de definiciones generalmente aceptadas de actividad protocolaria benigna en cada estado protocolario con los eventos observados para identificar desviaciones.

Aplicación de Juniper Networks

Juniper Networks usa sus puertas de enlace de servicios de la serie SRX para los servicios de detección y prevención de intrusiones (DPI). Usted puede hacer cumplir de manera selectiva distintas técnicas de detección y prevención de ataques en el tráfico de red que pase por el dispositivo de la serie SRX que elija. Puede definir reglas de políticas correspondientes a una sección del tráfico basado en una zona, una red o una aplicación; posteriormente, puede adoptar medidas preventivas activas o pasivas para ese tráfico. El dispositivo de la serie SRX tiene todo un conjunto de firmas de SPI para proteger las redes contra los ataques. Juniper Networks actualiza periódicamente la base de datos predefinida de ataques. El dispositivo de la serie SRX puede enviar datos de captura de paquetes (PCAP) de su tráfico a un dispositivo de Juniper Secure Analytics (JSA) usando el protocolo de combinación syslog PCAP