En SuriCon 2019, Eric Leblond y Peter Manev, ambos colaboradores clave de la comunidad Suricata, presentaron importantes resultados de pruebas, destacando las implicaciones de la pérdida de paquetes. Profundicemos un poco más en la importancia de la pérdida cero de paquetes en una implementación de IDS.
El efecto de la pérdida de paquetes en una variedad de network El equipo de análisis varía ampliamente según la función que realiza el dispositivo de análisis. La precisión de la medición de network y/o los dispositivos de monitoreo del rendimiento de la aplicación se ven afectados cuando los paquetes son descartados por el network Sensor. En el caso de un dispositivo de ciberseguridad, como un Sistema de Detección de Intrusiones (IDS) basado en Suricata, las alertas de intrusión no detectadas se ven directamente afectadas por la pérdida de paquetes del sistema. Esto también ocurre con la extracción de archivos.
El efecto de la pérdida de paquetes en la generación de alertas de intrusión
Por muy buena que sea la regla del IDS, si no se entregan todos los paquetes de una sesión determinada al IDS, es posible que se pierdan las alertas. Esto se debe principalmente a cómo un IDS procesa una network Sesión. Los paquetes descartados durante la sesión determinarán si el IDS tiene suficientes datos para generar una alerta. En muchos casos, el IDS descartará la sesión completa si faltan paquetes clave. Una alerta no detectada podría indicar que un intento de intrusión no se detectó.
Para medir las alertas perdidas se utilizó la siguiente metodología:
- La fuente de tráfico es un archivo PCAP que contiene información real network tráfico con actividad maliciosa
- El archivo PCAP se procesa para simular una pérdida de paquetes aleatoria específica
- Las alertas de Suricata se comparan con el archivo PCAP original y el archivo modificado.
Números de muestra:
- 10% de alertas perdidas con 3% de pérdida de paquetes
- 50% de alertas perdidas con 25% de pérdida de paquetes
El efecto de la pérdida de paquetes en la extracción de archivos IDS
Parte de la implementación de una estrategia IDS exitosa es automatizar la extracción de archivos. La mayoría de los motores IDS admiten los protocolos HTTP, SMTP, FTP, NFS y SMB. El extractor de archivos se ejecuta sobre el analizador de protocolos, que gestiona la descompresión de la solicitud o de los datos de respuesta si es necesario. La pérdida de un solo paquete por... network En la mayoría de los casos, la transmisión de un archivo provocará que la extracción del archivo falle.
Números de muestra:
- 10% de extracción de archivos fallida con una pérdida de paquetes del 4%
- 50% de extracción de archivos fallida con una pérdida de paquetes del 5.5%
En conclusión, los resultados de las pruebas demuestran la importancia de cero pérdidas de paquetes para una implementación exitosa de IDS. Las características de FPGA SmartNIC, como el almacenamiento en búfer de ráfagas integrado, DMA y el rendimiento optimizado de PCI Express, minimizarán o eliminarán por completo la pérdida de paquetes en un IDS estándar basado en servidor.
Comparte este blog:
Patrick es ingeniero de ventas en red en NEOX NetworksGracias a su amplia experiencia técnica y en atención al cliente en el campo de la visibilidad y seguridad de redes, Patrick disfruta implementando productos y servicios de NEOX en los entornos de los clientes y resolviendo sus problemas críticos. Antes de NEOX, Patrick trabajó para Garland Technology, Network Performance Channel y Brain Force. También disfruta escribiendo blogs y compartiendo ideas innovadoras con la comunidad de clientes y socios.