Los sistemas de detección de intrusiones de host y los sistemas de detección de intrusiones de red, o HID y NID, son sistemas de seguridad de redes informáticas que se utilizan para proteger contra virus, software espía, malware y otros tipos de archivo. La diferencia es que los HID se instalan solo en ciertos puntos de intersección, como servidores y enrutadores, mientras que los NID se instalan en cada máquina host.
Propósito
Debido al rápido aumento de los ataques a la red, los HID y NID se han convertido en algo común. Si bien los firewalls y las suites anti-malware están bien para computadoras individuales, carecen de la inteligencia necesaria para defender una red corporativa. Por ejemplo, los HID y NID recopilan información de una red y la comparan con patrones predefinidos para descubrir ataques y vulnerabilidades. También crean bases de datos de comportamiento normal.
Video del día
Funciones esenciales
Los HID examinan acciones específicas basadas en el host, como las aplicaciones que se utilizan, los archivos a los que se accede y la información que se encuentra en los registros del kernel. Los NID analizan el flujo de información entre computadoras, es decir, el tráfico de la red. Básicamente "husmean" la red en busca de comportamientos sospechosos. Por lo tanto, los NID pueden detectar a un pirata informático antes de que pueda realizar una intrusión no autorizada, mientras que los HID no sabrán que algo anda mal hasta que el pirata informático ya haya violado el sistema.
Aunque los HID pueden parecer una mala solución al principio, tienen varios beneficios. Por un lado, pueden evitar que los ataques provoquen daños. Por ejemplo, si un archivo malicioso intenta reescribir un archivo, el HID puede cortar sus privilegios y ponerlo en cuarentena. Los HID pueden mantener las computadoras portátiles protegidas cuando se retiran de la red y se colocan en el campo. En última instancia, los HID son una herramienta de "última línea de defensa" que se utiliza para protegerse de los ataques que el NID no detecta.
Beneficios de los NID
Donde sobresalen los NID es su capacidad para proteger cientos de sistemas informáticos desde una ubicación de red. Esto hace que un NID sea menos costoso, sin mencionar que es más fácil de implementar. Los NID también proporcionan un examen más amplio de una red corporativa a través de exploraciones y sondas. Más importante aún, los NID permiten a los administradores proteger dispositivos que no son computadoras, como firewalls, servidores de impresión, concentradores VPN y enrutadores. Los beneficios adicionales incluyen flexibilidad con múltiples sistemas operativos y dispositivos, y protección contra inundaciones de ancho de banda y ataques DoS.
Solucion optima
Idealmente, una red corporativa debería incluir tanto un HID como un NID. El primero protegerá las máquinas locales y actuará como última línea de defensa, mientras que el NID mantendrá la red real segura y protegida. Ambos son capaces de brindar más seguridad que cualquier firewall o conjunto de antivirus, pero cada uno carece de ciertas capacidades que el otro contiene. Por lo tanto, combinar los dos es la única forma de crear una red defensiva verdaderamente sólida.
