Los IDS y Los IPS
Páginas: 23 (5627 palabras)
Publicado: 11 de julio de 2013
Resumen—Este artículo presenta una introducción a los Sistemas de Detección y Prevención de Intrusos (IDS e IPS respectivamente) mostrando principales características, clasificación y diferencias.
Para contrastar ambos sistemas se realiza un ejercicio práctico que muestra y analiza diferencias de comportamiento ante el mismo estímulo (ataque).
Índice de Términos— IDS, IPS, Detección deIntrusos, Prevención de Intrusos, Snort.
I. Introducción.
Debido al carácter interdependiente entre la información y la tecnología en las organizaciones actuales y la criticidad de la fidelidad, integridad, disponibilidad y confidencialidad de la información, han surgido y evolucionado técnicas que permiten acceder a dicha información de manera ilegítima por medio de la explotación devulnerabilidades o debilidades de las plataformas tecnológicas.
En respuesta a lo anterior nacieron y se han desarrollado arquitecturas, técnicas y sistemas (en particular los IDS y los IPS) en pos de detectar y prevenir el acceso indebido a la información organizacional, asegurando de este modo los atributos de la información recién mencionados.
Históricamente los IDS surgen antes que los IPS,con la función principal de detectar situaciones anómalas y usos indebidos de los recursos y servicios de la infraestructura tecnológica. Como consecuencia de la dificultad para reaccionar oportunamente a las alertas de intrusión generadas por los IDS, nacen los IPS que se encargan de reaccionar proactivamente a las intrusiones detectadas por el IDS tan pronto se identifican.
Con el fin decaracterizar las diferencias entre los IDS y los IPS, este artículo los compara desde una perspectiva teórica y práctica en un ambiente controlado de pruebas.
II. IDS: Sistemas de Detección de Intrusos (Intrusion Detection Systems).
A. Definición.
La detección de intrusos consiste en un conjunto de métodos y técnicas para revelar actividad sospechosa sobre un recurso o conjunto de recursoscomputacionales. Es decir, eventos que sugieran comportamientos anómalos, incorrectos o inapropiados sobre un sistema [1]; entendido como el ente que está siendo monitoreado (v.gr. Estación de trabajo, dispositivos de red, servidores, firewalls, etc.).
B. Descripción.
Un IDS puede ser descrito como un detector que procesa la información proveniente del sistema monitoreado. Es una herramienta deapoyo en procesos de auditoria, entendida como el control del funcionamiento de un sistema a través del análisis de su comportamiento interno [02] como se ilustra en la Figura 1.
Para detectar intrusiones en un sistema, los IDS utilizan tres tipos de información: la recopilada tiempo atrás que tiene datos de ataques previos, la configuración actual del sistema y finalmente la descripción delestado actual en términos de comunicación y procesos. [02]
C. Criterios de evaluación de los IDS.
Existen varios criterios para definir la bondad de un IDS. Según [03] hay tres criterios para evaluar este tipo de sistemas: la precisión, el rendimiento y la completitud.
La precisión tiene que ver con la efectividad de la detección y la ausencia de falsas alarmas.
Por otra parte, elrendimiento de un IDS es la tasa de eventos procesados por unidad de tiempo, siendo lo ideal que el IDS reconozca los ataques en tiempo real.
Finalmente, la completitud es la capacidad del IDS para detectar la mayor cantidad de ataques posibles.
Aparte de los anteriores, [02] menciona otros dos criterios: tolerancia a fallas y rapidez. El IDS es tolerante a fallas si es inmune a ataques quecomprometan la fiabilidad e integridad de los análisis y es rápido si tiene la capacidad de informar en el menor tiempo posible una intrusión, lo cual implica realizar todas las actividades de análisis precedentes en tiempo real.
Por su parte, Axelsson en [04] reconoce como criterios de bondad la interoperabilidad (capacidad que tiene el IDS para comunicarse y operar con otros IDS) y la...
Resumen—Este artículo presenta una introducción a los Sistemas de Detección y Prevención de Intrusos (IDS e IPS respectivamente) mostrando principales características, clasificación y diferencias.
Para contrastar ambos sistemas se realiza un ejercicio práctico que muestra y analiza diferencias de comportamiento ante el mismo estímulo (ataque).
Índice de Términos— IDS, IPS, Detección deIntrusos, Prevención de Intrusos, Snort.
I. Introducción.
Debido al carácter interdependiente entre la información y la tecnología en las organizaciones actuales y la criticidad de la fidelidad, integridad, disponibilidad y confidencialidad de la información, han surgido y evolucionado técnicas que permiten acceder a dicha información de manera ilegítima por medio de la explotación devulnerabilidades o debilidades de las plataformas tecnológicas.
En respuesta a lo anterior nacieron y se han desarrollado arquitecturas, técnicas y sistemas (en particular los IDS y los IPS) en pos de detectar y prevenir el acceso indebido a la información organizacional, asegurando de este modo los atributos de la información recién mencionados.
Históricamente los IDS surgen antes que los IPS,con la función principal de detectar situaciones anómalas y usos indebidos de los recursos y servicios de la infraestructura tecnológica. Como consecuencia de la dificultad para reaccionar oportunamente a las alertas de intrusión generadas por los IDS, nacen los IPS que se encargan de reaccionar proactivamente a las intrusiones detectadas por el IDS tan pronto se identifican.
Con el fin decaracterizar las diferencias entre los IDS y los IPS, este artículo los compara desde una perspectiva teórica y práctica en un ambiente controlado de pruebas.
II. IDS: Sistemas de Detección de Intrusos (Intrusion Detection Systems).
A. Definición.
La detección de intrusos consiste en un conjunto de métodos y técnicas para revelar actividad sospechosa sobre un recurso o conjunto de recursoscomputacionales. Es decir, eventos que sugieran comportamientos anómalos, incorrectos o inapropiados sobre un sistema [1]; entendido como el ente que está siendo monitoreado (v.gr. Estación de trabajo, dispositivos de red, servidores, firewalls, etc.).
B. Descripción.
Un IDS puede ser descrito como un detector que procesa la información proveniente del sistema monitoreado. Es una herramienta deapoyo en procesos de auditoria, entendida como el control del funcionamiento de un sistema a través del análisis de su comportamiento interno [02] como se ilustra en la Figura 1.
Para detectar intrusiones en un sistema, los IDS utilizan tres tipos de información: la recopilada tiempo atrás que tiene datos de ataques previos, la configuración actual del sistema y finalmente la descripción delestado actual en términos de comunicación y procesos. [02]
C. Criterios de evaluación de los IDS.
Existen varios criterios para definir la bondad de un IDS. Según [03] hay tres criterios para evaluar este tipo de sistemas: la precisión, el rendimiento y la completitud.
La precisión tiene que ver con la efectividad de la detección y la ausencia de falsas alarmas.
Por otra parte, elrendimiento de un IDS es la tasa de eventos procesados por unidad de tiempo, siendo lo ideal que el IDS reconozca los ataques en tiempo real.
Finalmente, la completitud es la capacidad del IDS para detectar la mayor cantidad de ataques posibles.
Aparte de los anteriores, [02] menciona otros dos criterios: tolerancia a fallas y rapidez. El IDS es tolerante a fallas si es inmune a ataques quecomprometan la fiabilidad e integridad de los análisis y es rápido si tiene la capacidad de informar en el menor tiempo posible una intrusión, lo cual implica realizar todas las actividades de análisis precedentes en tiempo real.
Por su parte, Axelsson en [04] reconoce como criterios de bondad la interoperabilidad (capacidad que tiene el IDS para comunicarse y operar con otros IDS) y la...
Leer documento completo
Regístrate para leer el documento completo.