Monitoreo de red: propósito y métodos
Una red informática puede compararse, desde cierto punto de vista, con un organismo humano. En ambos casos, intrusos como los virus acechan en busca de presas y, a veces, consiguen acceder a ellas y son alojados por el desafortunado organismo u objeto hasta que son detectados y atacados eficazmente. Cuando se trata del cuerpo humano, existen ciertos patrones que, si se reconocen, llevan a la conclusión de que el cuerpo ha sido infectado. El caso es similar en el caso de las redes: una intrusión se detecta mediante diversas técnicas de reconocimiento de patrones. Estos patrones pueden presentarse en forma de firmas específicas, diversas anomalías o simplemente elementos de comportamiento que a menudo se asocian con actividades no deseadas. Los procedimientos de monitoreo de red son responsables de la detección de intrusiones relacionadas con todas estas amenazas.
Monitoreo de red en general
Según una definición clásica de monitorización de red, la monitorización consta de tres partes diferenciadas:
- Métricas de rendimiento de la red: pueden existir retrasos inusuales, por ejemplo
- Detección y/o medición de problemas: se puede descubrir un problema en una capa de red específica debido a una desviación conocida de una norma de función de red establecida (tráfico de enlace, solicitudes de acceso al servidor, uso de CPU del enrutador, etc.)
- Monitoreo de uso: Se puede detectar actividad anormal en la red en forma de uso inesperado o uso excesivo.
Por tanto, es obvio que la seguridad de la red es definitivamente uno de los propósitos clave del monitoreo de la red, a pesar de no ser el único.
Monitoreo basado en firmas
El monitoreo basado en firmas es un tipo muy común de monitoreo relacionado con la seguridad de la red en particular y la seguridad informática en general. Este tipo de seguimiento se basa exclusivamente en experiencias pasadas; más concretamente, se basa en saber que una determinada trama o paquete presenta una característica específica, según una base de datos de amenazas existentes (listas negras). En consecuencia, la supervisión basada en firmas no está exenta de limitaciones, ya que sólo detecta amenazas de seguridad de red bien establecidas y, por lo tanto, no se puede esperar que rastree una amenaza de naturaleza novedosa. Además, la actividad maliciosa de la red puede estar diseñada originalmente para alterar sus formas cada vez que se manifiesta (polimorfismo).
Monitoreo basado en anomalías
La supervisión basada en firmas tiene que ver con el contenido malicioso. El monitoreo basado en anomalías, por otro lado, depende de otra característica distintiva de las redes informáticas: a menudo funcionan según protocolos y no se apartan de ellos. Por lo tanto, muchos eventos de la red pueden clasificarse como válidos o no válidos. Un acontecimiento válido es aquel que es previsible y esperable. Una anomalía, por el contrario, es todo lo contrario. Una anomalía es un valor atípico, una prueba definitiva de una actividad anormal en la red. ¿Pero a qué se relaciona esta actividad anómala? Generalmente está conectado al tráfico de red en sentido amplio, por lo que presenta patrones de tráfico que se desvían completamente de la norma. En consecuencia, se cree que el tráfico anómalo desempeña un papel importante en este tipo de detección de intrusiones.
¿Qué es el efecto red en economía?
Monitoreo basado en el comportamiento
En algunos contextos, la supervisión basada en el comportamiento se considera sinónimo de la supervisión basada en anomalías. Sin embargo, lo más frecuente es que se considere un término que se refiere a un conjunto más amplio de sucesos en la red. El monitoreo basado en el comportamiento depende de una definición de actividad normal (también conocida como benevolente) dentro de una red. Si el tráfico de la red no sigue el patrón de estas definiciones, se genera una señal de comportamiento. Algo para recordar particularmente como una diferencia sutil es que el Monitoreo Basado en Anomalías busca lo excepcional, mientras que el Basado en Comportamiento solo busca síntomas de incumplimiento de las normas establecidas. Una ventaja importante del monitoreo basado en comportamiento en comparación con el monitoreo basado en firmas es que puede detectar amenazas nuevas y desconocidas.
Resumen de la lección
El monitoreo de la red es definitivamente parte de la seguridad de la red y se divide en tres tipos distintos de actividad:
- Rendimiento de la red
- Detección de problemas
- Monitoreo de uso
El monitoreo basado en firmas se basa en características específicas verificadas en listas negras. Es un método de monitoreo común (pero no tan confiable) debido a técnicas de evasión de detección como el polimorfismo. El monitoreo basado en anomalías se basa en la actividad anormal que se manifiesta en un tráfico anómalo excepcionalmente divergente de la norma. El Monitoreo Basado en el Comportamiento es similar, pero en lugar de buscar anomalías obvias, se enfoca en el incumplimiento de las normas establecidas. Es capaz de detectar amenazas desconocidas.
Explora más sobre este tema
Selecciona un tema y sigue aprendiendo...
