Sistemas de detección en línea


La mayor parte de los productos y dispositivos existentes para la monitorización y detección de ataques en red se basan en la utilización de dos dispositivos de red diferenciados. Por una parte, uno de los dispositivos se encarga de interceptar el tráfico de su segmento de red, mientras que el otro se utiliza para efectuar tareas de gestión y administración. En la siguiente figura vemos un ejemplo típico de dispositivo de detección en modo de escucha, conocido como sistemas de detección en línea.

En el dispositivo de la figura, la interfaz de red utilizada para la monitorización está conectada a un dispositivo de escucha** que le permite analizar el tráfico del segmento de red. Además, esta interfaz no suele tener asignada ninguna dirección IP, disminuyendo de esta forma las posibilidades de ser detectada. Con ello, un sistema de detección en línea actúa en la capa de red del modelo TCP/IP, como si de un dispositivo puente se tratara.
Mediante una de las interfaces recibirá el tráfico del exterior (potencialmente hostil), mientras que por el otro podrá transmitir por la red que hay que proteger. Generalmente, estos sistemas tienen una tercera interfaz para las tareas de administración y gestión.

Califica este Artículo

Categoría: Conectividad y Redes.




Deja una respuesta