sistema detector de intrusos
Páginas: 7 (1744 palabras)
Publicado: 6 de mayo de 2014
Sistema de Detección de Intrusos
(IDS)
¿QUÉ ES UN IDS?
Un IDS es un software que monitorea el tráfico de una red y los sistemas de una organización en busca de señales de intrusión, actividades de usuarios no autorizados y la ocurrencia de malas prácticas, como en el caso de los usuarios autorizados que intentan sobrepasar sus límites de restricción de acceso a la información.CARACTERÍSTICAS DESEABLES DE UN IDS
Deben estar continuamente en ejecución con un mínimo de supervisión.
Se deben recuperar de las posibles caídas o problemas con la red.
Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
Debe utilizar los mínimos recursos posibles.
Debe estar configurado acorde con la política de seguridad seguida por la organización.
Debe de adaptarse alos cambios de sistemas y usuarios y ser fácilmente actualizable.
¿POR QUÉ UTILIZAR UN IDS?
Prevenir problemas al disuadir a individuos hostiles.
Detectar violaciones de seguridad que no pueden ser prevenidas por otros medios.
Detectar preámbulos de ataques.
Documentar el riesgo de la organización.
Proveer información útil sobre las intrusiones que ocurren
FUNCIONES DE UN IDS
Detecciónde ataques en el momento que están ocurriendo o poco después
Automatización de la búsqueda de nuevos patrones de ataque.
Monitorización y análisis de las actividades de los usuarios.
Auditoria de configuraciones y vulnerabilidades de determinados sistemas.
Descubrir sistemas con servicios habilitados que no deberían de tener, mediante el análisis del trafico y de los logs.
Automatizar tareascomo la actualización de reglas, la obtención y análisis de logs, la configuración de cortafuegos.
Un IDS puede compartir u obtener información de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permiten que se utilicen protocolos como SNMP (Protocolo Simple de Administración de Red)para enviar notificaciones y alertas a otras maquinas de la red. Esta característica recibe el nombre de interoperabilidad.
LOS IDS Y LAS POLITICAS DE SEGURIDAD
Los IDS deben ser tratados como un elemento complementario en las políticas de seguridad de las organizaciones, pero antes de implementar o instalar un sistema de detección de intrusiones se recomienda analizar la política deseguridad y ver cómo encajaría el IDS en ella:
Se recomienda una política de seguridad bien definida y a alto nivel, que cubra lo que está y lo que no está permitido en nuestro sistema y nuestras redes.
Procedimientos documentados para que proceda el personal si se detecta un incidente de seguridad.
Auditorías regulares que confirmen que nuestras políticas están en vigencia y nuestras defensas sonadecuadas.
Personal capacitado o soporte externo cualificado.
CORTAFUEGOS vs IDS
La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicación de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los ataques “tunneling” (saltos de barrera) a los ataques basados en las aplicaciones. Los cortafuegos filtran los paquetes y permiten supaso o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utilizado.
Las reglas verifican contra una base de datos que determina si está permitido un protocolo determinado y permite o no el paso del paquete basándose en atributos tales como las direcciones de origen y de destino, el número de puerto.
Esto se convierte en un problema cuando un atacante enmascara eltráfico que debería ser analizado por el cortafuegos o utiliza un programa para comunicarse directamente con una aplicación remota.
Estos aspectos se escapan a las funcionalidades previstas en el diseño inicial de los cortafuegos. Es aquí dónde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.
EJEMPLOS DE IDS
NO COMERCIALES
Snort
Disponible en UNIX y...
(IDS)
¿QUÉ ES UN IDS?
Un IDS es un software que monitorea el tráfico de una red y los sistemas de una organización en busca de señales de intrusión, actividades de usuarios no autorizados y la ocurrencia de malas prácticas, como en el caso de los usuarios autorizados que intentan sobrepasar sus límites de restricción de acceso a la información.CARACTERÍSTICAS DESEABLES DE UN IDS
Deben estar continuamente en ejecución con un mínimo de supervisión.
Se deben recuperar de las posibles caídas o problemas con la red.
Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
Debe utilizar los mínimos recursos posibles.
Debe estar configurado acorde con la política de seguridad seguida por la organización.
Debe de adaptarse alos cambios de sistemas y usuarios y ser fácilmente actualizable.
¿POR QUÉ UTILIZAR UN IDS?
Prevenir problemas al disuadir a individuos hostiles.
Detectar violaciones de seguridad que no pueden ser prevenidas por otros medios.
Detectar preámbulos de ataques.
Documentar el riesgo de la organización.
Proveer información útil sobre las intrusiones que ocurren
FUNCIONES DE UN IDS
Detecciónde ataques en el momento que están ocurriendo o poco después
Automatización de la búsqueda de nuevos patrones de ataque.
Monitorización y análisis de las actividades de los usuarios.
Auditoria de configuraciones y vulnerabilidades de determinados sistemas.
Descubrir sistemas con servicios habilitados que no deberían de tener, mediante el análisis del trafico y de los logs.
Automatizar tareascomo la actualización de reglas, la obtención y análisis de logs, la configuración de cortafuegos.
Un IDS puede compartir u obtener información de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar las características de la red de acuerdo a los eventos que se generan. También permiten que se utilicen protocolos como SNMP (Protocolo Simple de Administración de Red)para enviar notificaciones y alertas a otras maquinas de la red. Esta característica recibe el nombre de interoperabilidad.
LOS IDS Y LAS POLITICAS DE SEGURIDAD
Los IDS deben ser tratados como un elemento complementario en las políticas de seguridad de las organizaciones, pero antes de implementar o instalar un sistema de detección de intrusiones se recomienda analizar la política deseguridad y ver cómo encajaría el IDS en ella:
Se recomienda una política de seguridad bien definida y a alto nivel, que cubra lo que está y lo que no está permitido en nuestro sistema y nuestras redes.
Procedimientos documentados para que proceda el personal si se detecta un incidente de seguridad.
Auditorías regulares que confirmen que nuestras políticas están en vigencia y nuestras defensas sonadecuadas.
Personal capacitado o soporte externo cualificado.
CORTAFUEGOS vs IDS
La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicación de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los ataques “tunneling” (saltos de barrera) a los ataques basados en las aplicaciones. Los cortafuegos filtran los paquetes y permiten supaso o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utilizado.
Las reglas verifican contra una base de datos que determina si está permitido un protocolo determinado y permite o no el paso del paquete basándose en atributos tales como las direcciones de origen y de destino, el número de puerto.
Esto se convierte en un problema cuando un atacante enmascara eltráfico que debería ser analizado por el cortafuegos o utiliza un programa para comunicarse directamente con una aplicación remota.
Estos aspectos se escapan a las funcionalidades previstas en el diseño inicial de los cortafuegos. Es aquí dónde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.
EJEMPLOS DE IDS
NO COMERCIALES
Snort
Disponible en UNIX y...
Leer documento completo
Regístrate para leer el documento completo.