Intrusiones

Solo disponible en BuenasTareas
  • Páginas : 6 (1357 palabras )
  • Descarga(s) : 0
  • Publicado : 28 de noviembre de 2010
Leer documento completo
Vista previa del texto
SISTEMAS DE DETECCION DE INTRUSIONES (IDS)
Los sistemas de detección de intrusiones (intrusión detection Systems, IDS) son los sistemas encargados de detectar y reaccionar de forma automatizada ante los incidentes de seguridad que tiene lugar en las redes y equipos informáticos.
Para ello, estos sistemas se encargan de monitorizar el funcionamiento de los equipos y de las redes, en busca deindicios de posibles incidentes o intentos de intrusión.
En la arquitectura de un IDS podemos distinguir los siguientes elementos funcionales básicos
* Una fuente de información que proporciona eventos del sistema o red informativa.
* Una base de datos de patrones de comportamiento considerados como normales, asi como de los perfiles de distintos tipos de ataque.
* Un motor de analisisencargado de detectar evidencias de intentos de intrusión.
* Un modulo de respuesta capaz de llevar a cabo determinadas actuaciones a partir de las indicaciones del motor de analisis.
Por otra parte un IDS puede utilizar dos modelos de detección :
* Detección de mal uso (¨misuse¨): tipos ilegales de trafico, secuencias utilizadas para realizar ataques contra los equipos (¨exploits¨) ,escaneo de puertos, etc.
* Detección de un uso anómalo: analisis estadístico del trafico en la red, monitorización de procesos y el comportamiento de los usuarios con el fin de detectar aquellos comportamientos que se puedan considerar anómalos según los patrones de uso registrados hasta el momento: franjas horarias, utilización de puertos, y servicios.
Las respuestas pasivas se limitan aregistrar las posibles intrusiones o usos anómalos, asi como a generar informes y alertas dirigidas a los administradores de la red. ( correos electrónicos, mensajes sms etc.
Por su parte, mediante las respuestas activas el IDS podría responder a la situación anulando conexiones o bloqueando el acceso a determinados equipos o servicios de red, para tratar de limitar las consecuencias del incidente.Ejemplos de respuestas activas de un IDS
* Anular las conexiones TCP inyectando paquetes de reinicio en las conexiones del atacante
* Reconfiguración de los cortafuegos de la red para filtrar el trafico que puede estar causando el incidente.
* Desconexión automática de servidores y dispositivos de red
* Bloqueo de cuentas o prohibición de la ejecución de determinados comandos.Los sistemas IDS también presentan una serie de problemas y limitaciones, como podrían ser la generación de falsas alarmas, ya sean estas falsos negativos , que se producen cuando la IDS no es capaz de detectar algunos incidentes de seguridad o bien falsos positivos que se producen cuando el IDS registra y genera alarmas sobre determinadas actividades que no resulten problematicas .
Porotra parte en los entornos conmutados, es decir, en las redes locales que utilizan ¨switches¨resulta mas difícil monitorizar el trafico de la red, por eso resulta conveniente en esos casos la instalación de la red de ¨switches¨dotados de puertos especiales conocidos como ¨spanning ports¨o ¨mirrored ports¨ que faciliten la captura de todo el trafico.
Los sistemas IDS pueden tener un impacto en elrendimiento de la red y podrían ocasionar una sobrecarga de tareas administrativas si generasen un elevado numero de informes y registros de actividad.
Entre los principales IDS disponibles en el mercado podríamos citar SNORT, Real Secure de la empresa internet security systems, sentivist de la empresa NFR NetRanger de Cisco, etc.
TIPOS DE IDS
HIDS ( ¨HOST IDS¨) Estos pueden detectorintrusions a nivel de ¨host¨, es decir, a nivel de un equipo informatico, observando para ello si se han producido alteraciones significativas de los archivos del sistema operativo analizando los ¨logs¨del quipo en busca de actividades sospechosas.
Estos requieren de la instalación de un dispositivo sensor, conocido como ¨agente¨ en el quipo informatico objeto de monitorización . este sensor software...
tracking img