Hola a todos,

Como veo que esto se anima y el tema es interesante, podríamos
profundizar un poco mas.

Algunos han apuntado que al existir un NIDS/HIDS no es necesario buscar
las conexiones establecidas, ya que las podremos encontrar en los logs
de los IDS, perdón por mi ignorancia si me equivoco pero...

¿Un NIDS solo registra aquellas tramas de red que considera sospechosas?
y solo considera sospechosas aquellas que tiene en su db de ataques, si
el ataque es nuevo o privado no sera registrado por el IDS.

De esta forma si un atacante utiliza un exploit conocido para establecer
su primera entrada en la maquina, esta quedara registrada en el NIDS
pero no tiene porque contener la ip del atacante, después de este primer
ataque, todas las demás conexiones, dependiendo de la configuración del
IDS y de las acciones del atacante, no tienen porque quedar registradas
en el IDS.

Continuo con la polémica.
Ya que un ataque tiene que ser publico para estar en la db de un IDS y
los exploits públicos tienen su correspondiente parche

¿es realmente eficaz un IDS?
¿Cuando nos realicen un ataque exitoso, este sera registrado por el IDS?
¿es mejor verificar primero la memoria volátil del sistema?

Saludos,

Oscar

[ reply ]