Tecnología

Inicio

Red de detección de intrusiones y sistemas de prevención de intrusiones

Cada empresa que utiliza una red informática para facilitar la gestión y el funcionamiento de sus operaciones del día a día debe estar al tanto de las amenazas de seguridad que acechan dentro y fuera de su red. Si bien hay varios pasos que una empresa sabia tomar para proteger su red, los piratas informáticos pueden todavía encontrar su camino en la red. En ese momento, le corresponde a la detección de intrusos y sistemas de prevención para hacer sonar la alarma y detener el ataque.

Diseño de red

Una buena red debe tener instalado en la conexión a Internet de un servidor de seguridad para filtrar el tráfico entrante y saliente. En el interior del servidor de seguridad no debe haber una zona desmilitarizada donde viven los servidores web de la compañía. Más allá de los servidores web es la red interna, que muchas veces está protegida por un segundo servidor. Este diseño proporciona un sólido nivel de protección para la red interna, pero se requiere más.

sistema de deteccion de intrusos

Los sistemas de detección de intrusiones son de naturaleza pasiva. Es decir, que supervisan las actividades sospechosas y enviar alertas al personal del centro de operaciones de red para la acción. En ese momento le corresponde a la tripulación NOC para determinar si las descripciones son debido a un ataque real o si son el resultado de un falso positivo. Un falso positivo se produce cuando el IDS detecta un patrón de actividad que coincida con sus criterios para un ataque en curso. Es imperativo que el personal del NOC investigar a fondo y tomar las medidas adecuadas con el fin de proteger la red.

Sistemas de prevención de intrusiones

Los sistemas de prevención de intrusiones son sistemas activos, ya que no solo monitorean para los ataques y enviar alertas, sino que también son capaces de tomar acciones programadas para detener el ataque en sus pistas. Estas acciones pueden incluir el cierre de un servidor interno, un servidor web en la DMZ o la conexión a la propia Internet. Al igual que con los sistemas de detección de intrusos, personal del NOC deben investigar las alertas enviadas por el IPS y asegúrese de que las medidas adoptadas eran apropiados. También deben tomar medidas para proteger la red contra un ataque similar y restaurar cualquiera de los servicios del IPS cerrado.