Sistema De Deteccion De Instrucciones

SISTEMAS DE DETECCION DE INSTRUSIONES

Cuando la gente oye hablar de sistemas de detección de instrucciones, generalmente los asocia a (alarmas de ladrones para ordenadores o redes).

Honeypots virtuales: el sensor incluye una variedad de características que permiten al administrador del IDS colocar numerosas trampas para escáneres de red y atacantes. Por ejemplo, el censor tiene la habilidad de etiquetar direcciones IP individuales o bloques CIDR y capturar todo el tráfico dirigido a ellos. Si este rango de IPs no corresponde a ningún host de nuestra red, seguramente serán intentos de ataques y escaneos.

Los sistemas operativos soportados por el Sensor son:

• Linux

• Solaris (Sparc y x86)

• HP-UX

• FreeBSD

• OpenBSD

El censor incluye dos tarjetas de red a 100Mb/s y una única interfaz Gigabit Ethemet. Está diseñado para agregar tráfico desde múltiples enlaces T3 o E3 o para núcleos Gigabit que requieran de monitorización IDS. Provee más de 1300 firmas. Estas firmas pueden ser elaboradas por el usuario final, aunque debido a la flexibilidad y potencia de su sintaxis la labor es complicada y requiere de cursos de entrenamiento.

Dragon Squire

Dragon Squire se encarga de monitorizar los logs de sistemas de producción y firewalls, en busca de evidencias de actividad maliciosa o sospechosa. Está basado en firmas al igual que Dragon Sensor, y a diferencia de otros IDS’s basados en host, puede monitorizar los logs de la aplicaciones que corren en el host, tales como servidores web, mail o FTP.

Normalmente, los administradores de los IDSs no se sientan delante de sus monitores en espera de alarmas, sino que configuran sus IDSs para enviar alertas al centro de operaciones de red. Si se detecta una alerta, un administrador puede usar varios interfaces web distintos para analizar tales eventos. También se incluye una interfaz de línea de comando, puesto que muchos administradores encuentran este tipo de interfaces más eficiente. Dragon incluye un completo conjunto de herramientas de línea de comandos para facilitar el análisis de eventos sin el uso de un explorador.

NetRanger - Cisco Systems

El sistema de detección de intrusos de Cisco, conocido formalmente por Cisco NetRanger [5], es una solución para detectar, prevenir y reaccionar contra actividades no autorizadas a través de la red.

Internet Security Systems – RealSecure ®

RealSecure ® Network Sensor

RealSecure ® proporciona detección, prevención y respuestas a ataques y abusos originados en cualquier punto de la red. Entre las respuestas automáticas a actividades no autorizadas se incluyen el almacenar los eventos en una base de datos, bloquear una conexión, enviar un mail, suspender o deshabilitar una cuenta en un host o crear una alerta definida por el usuario.

El sensor de red rápidamente se ajusta a diferentes necesidades de red, incluyendo alertas específicas por usuario, sintonización de firmas de ataques y creación de firmas definidas por el usuario. Las firmas son actualizables automáticamente mediante la aplicación X-Press Update. El sensor de red puede ser actualizado de una versión a otra posterior sin problema, asegurando así la última versión del producto.

Todos los sensores son centralmente gestionados por la consola RealSecure ® SiteProtector, incluyen do la instalación automática, desarrollo y actualizaciones. RealSecure ® Sentry proporciona detección de intrusiones en tiempo real. Tiene mecanismos de respuesta a comportamientos sospechosos en un segmento de red. Los drivers de captura de paquetes a alta velocidad funcionan sin causar el más mínimo impacto en la red. Están disponibles en full duplex, multipuerto y Gigabit.

RealSecure ® Guard es un filtro que protege segmentos de red, incluyendo sistemas de producción

...