186
3. La ingeniería de patrón de coincidencia registra el payload de el paquete por
firmas pre-definidas. Si es encontrada alguna coincidencia, se lleva a
cabo el nivel final de procesamiento IDS – la acción. Si no, el paquete es
desechado
4. Como este paquete no será aceptado por el firewall, la única acción
de interés es registrar el intento de intrusión.
19.3
Grupos de Firmas
Usualmente, existen varios ataques para un protocolo específico, y puede ser más
favorable buscar por todos ellos al mismo tiempo cuando se analiza el tráfico de red.
Para realizar esto, las firmas que refieren al mismo protocolo son agrupadas juntas.
Por ejemplo, todas las firmas que refieren al protocolo FTP son localizadas en un
Grupo, mientras que las firmas que refieren al POP3 son localizadas en otro
grupo. En adición a esto, las firmas que se originan desde la misma fuente
son también agrupadas juntas. Esto significa que las firmas que son sólo válidas
cuando se originan desde la red externa son agrupadas juntas, mientras que las
firmas que son válidas cuando se originan desde la red interna son localizadas
en otro grupo. Esto es realizado con el fin de permitir un procesamiento más efectivo
para el IDS.
19.4
Actualización Automática de Base de Datos
de Firmas
El descubrimiento de nuevos ataques es un proceso en curso. Los nuevos ataques son
algunas veces descubiertos diariamente, de modo que es importante tener una base de
datos de firma actualizada con el fin de proteger la red desde la última
amenaza. La base de datos de la firma contiene todas las firmas y grupos de
firmas comúnmente reconocido por el IDS.
Una nueva, base de datos de firma actualizada puede ser descargada automáticamente
por el firewall, a un intervalo configurable. Esto es realizado a través de una
conexión HTTP a un servidor D-Link, albergando el ultimo archivo de base de datos de
firma. Si este archivo de base de datos de firma tiene una versión más nueva que la
actual la nueva base de datos de firma será descargada, de este modo reemplazando la
antigua version. Esto asegurará que la base de datos de la firma estará siempre
actualizada.
Figura
19.3
es una imagen simplificada que describe el flujo de comunicación cuando
un nuevo archivo de base de datos de firma es descargado:
Capítulo 19. Sistema de Detección de Intrusos (IDS)
Guía de Usuario de los Firewalls D-Link