Ingeniero Telecomunicaciones

SISTEMAS DE DETECCIÓN DE INTRUSIONES


1

Sistemas de detección de Intrusiones: Indice: 1. Introducción 2. Clasificación de los IDS 3. Arquitectura y partes 4. Funcionamiento de un IDS 5. Futuro y evolución de los sistemas de detección 6. Conclusiones 7. Listado de referencias y recursos 3 4 5 6 8 8 10

2

1.

Introducción:

Cuando hablamos de la seguridad de un sistemainformático, hablamos de mantener cierto grado de fiabilidad. Ésto básicamente consiste en mantener tres características fundamentales: • Confidencialidad: solo los agentes que estén autorizados tendrán acceso a los recursos ofertados por el sistema • Integridad: los recursos del sistema solo se verán modificados por todos aquellos usuarios que tengan permiso para hacerlo. • Disponibilidad: los recursos delsistema estarán disponibles para los agentes del sistemas que estén autorizados a acceder a ellos. En este ámbito conceptual, aparece la idea de intrusión. Un definición básica sería: el conjunto de acciones que intentan comprometer la integridad, confidencialidad y disponibilidad de un recurso.

En esta figura se representa la evolución de la complejidad de las amenazas informáticas en relacióncon los conocimientos técnicos requeridos. El gráfico pone de manifiesto la gran necesidad de estos sistemas que detectan la intrusión de agentes externos en nuestros sistemas.

Estas primeras definiciones se plantearon por primera vez por James P. Anderson en 1980 en su trabajo “Computer Security Threat Monitoring and Surveillance”. En este 3

documento encargado por un ente gubernamentalsienta las bases de la seguridad en sistemas informáticos y abre el camino para el desarrollo de estudios y aplicaciones para mantener la fiabilidad de las redes informáticas. Cabe destacar que Anderson fue la primera persona que captó la necesidad de desarrollar un mecanismo que automatizara la revisión de eventos de seguridad. A partir de aquí surge el concepto de Sistema de detección deIntrusiones, que en ingles recibe las siglas IDS (Intrusion Detection System). El concepto básico de IDS es un programa o herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un sistema informático con la finalidad de encontrar accesos no autorizados al sistema y sus recursos. Los IDS suelen tener sensores virtuales (sniffers) con los que captan datos del sistema,normalmente en varios puntos. Luego el núcleo del IDS procesa estos datos intentando encontrar patrones, que previamente se le definen, y que impliquen actividades sospechosas o maliciosas sobre nuestra red o nuestra maquina.

2.

Clasificación de los IDS:

En este apartado haremos una clasificación detallada de las categorías que existen de sistemas según su campo de acción, su tipo de respuesta o suimplementación. Existen tres tipos principales de sistemas de detección de intrusos: H-IDS (Host-IDS): Los Host-IDS protegen una máquina en particular ( un servidor, un PC o un host). Monitorizan gran variedad de eventos para determinar qué procesos y usuarios están involucrados con alguna determinada actividad. Se recogen diversa información del sistema como ficheros, logs, recursos, etc. parasu posterior análisis en busca de incidencias. N-IDS (NetworkIDS): protege un sistema basado en red. Estos sistemas actúan sobre una red capturando paquetes y analizándolos. Los N-IDS habilitan uno o más adaptadores de red exclusivos del sistema en modo promiscuo. El modo promiscuo quiere decir que esta interfaz tendrá acceso a todos los paquetes que pasen por ella aunque su destino final no seaella misma. Los demás usuarios no serán conscientes de su existencia por eso también se puede decir que el modo promiscuo es como un “modo invisible”. El N-IDS contara con una base de datos de patrones de amenazas que intentan identificar en los paquetes que observan. El análisis de red de estos sistemas suele ser en tiempo real.

4

D-IDS(Distributed-IDS o sistemas híbridos): Estos sistemas...