Funcion de ids (intrusion detection system)

Solo disponible en BuenasTareas
  • Páginas : 6 (1269 palabras )
  • Descarga(s) : 0
  • Publicado : 13 de noviembre de 2011
Leer documento completo
Vista previa del texto
PRIGRAMA TIPO SISTEMAS IDS
Un sistema IDS se trata de una aplicación que realiza una monitorización tanto de las modificaciones producidas en el equipo local, como de posibles ataques recibidos a través de una conexión de red. De este modo, si ‘Patriot’ detecta algún tipo de actividad que pueda poner en riesgo la seguridad de nuestro equipo, nos mostrará un mensaje de alerta como el que se ve acontinuación, indicándonos los detalles de la incidencia y permitiéndonos decidir si bloquear o no el presunto ataque

La utilización de ‘Patriot’ es muy sencilla, puesto que únicamente hay que seleccionar en las opciones de configuración las protecciones que se desean activar. Una vez activas, únicamente hay que confirmar los cambios realizando clic en el botón ‘OK’, y la aplicación se ocultarácorriendo en ‘background’, y siendo accesible desde la ‘TrayBar’.
Entre las características de configuración más destacables son:
- Modificación de claves de registro
- Ficheros en los directorios de ‘Startup’ o creación de nuevas tareas
- Creación de nuevos usuarios en el sistema
- Creación de nuevos servicios
- Modificaciones en el fichero de hosts
- Modificaciones en el navegador IE
-Monitorización de la tabla ARP
- Detección de la carga de drivers
- Compartición de nuevos recursos (por NetBios)
- Accesos por recursos compartidos
- Protección TCP/IP
- Modificación de directorios/ficheros críticos para el sistema
- Creación de ventanas ocultas
‘Patriot’ se trata de una aplicación gratuita para sistemas Windows que hace función de IDS (Intrusion Detection System) .DEFINICION IDS
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleodel IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas

-------------------------------------------------
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador escomparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajanconjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

Existen dos tipos de sistemas de detección de intrusos:
1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de susactividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.
2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico...
tracking img