Intrusion detection system
Páginas: 9 (2245 palabras)
Publicado: 2 de septiembre de 2014
IDS
INTRUSION DETECTION
SYSTEM
INTRODUCCION
Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que
intenta detectar o monitorizar los eventos ocurridos en un determinado sistema
informático o red informática en busca de intentos de comprometer la seguridad de
dicho sistema.
Los IDS buscan patrones previamente definidos que impliquencualquier tipo de
actividad sospechosa o maliciosa sobre nuestra red o host.
Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta
anticipada ante cualquier actividad sospechosa. No están diseñados para detener un
ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.
Los IDS: aumentan la seguridad del sistema, vigilan el tráfico de la red, examinan lospaquetes analizándolos en busca de datos sospechosos y detectan las primeras fases
de cualquier ataque (por ej. análisis de la red, barrido de puertos, etc.).
Existen dos familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red).
Protege un sistema basado en red. Actúan sobre una red capturando y analizando
paquetes de red, es decir, son sniffers deltráfico de red. Luego analizan los paquetes
capturados, buscando patrones que supongan algún tipo de ataque.
Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser
pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo
promiscuo (analizan, “ven” todos los paquetes que circulan por un segmento de red
aunque estos nos vayan dirigidos a undeterminado equipo). Analizan el trafico de red,
normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer
a nivel de aplicación.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar
paquetes de información que viajan por una o más líneas de la red para descubrir si se
ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno omás de los
adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de
modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de
protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red.
Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques,
así como también se colocan sondas internas paraanalizar solicitudes que hayan
pasado a través del firewall o que se han realizado desde dentro.
El grupo H-IDS (Sistema de detección de intrusiones en el host).
Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos,
analizando actividades con una gran precisión, determinando de esta manera qué
procesos y usuarios se involucran en una determinada acción.Recaban información
del sistema como ficheros, logs, recursos, etc, para su posterior análisis en busca de
posibles incidencias.
Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en ser
desarrollados por la industria de la seguridad informática.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia
gama de sistemas operativos comoWindows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la información particular almacenada en registros
(como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de
la red que se introducen/salen del host para poder verificar las señales de intrusión
(como ataques por denegaciónde servicio, backdoors, troyanos, intentos de acceso no
autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer, etc.).
Por el tipo de respuesta podemos clasificarlos en:
Pasivos: Son aquellos IDS que notifican a la autoridad competente o administrador de
la red mediante el sistema que sea, alerta, etc. Pero no actúa sobre el ataque o
atacante....
INTRUSION DETECTION
SYSTEM
INTRODUCCION
Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que
intenta detectar o monitorizar los eventos ocurridos en un determinado sistema
informático o red informática en busca de intentos de comprometer la seguridad de
dicho sistema.
Los IDS buscan patrones previamente definidos que impliquencualquier tipo de
actividad sospechosa o maliciosa sobre nuestra red o host.
Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta
anticipada ante cualquier actividad sospechosa. No están diseñados para detener un
ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.
Los IDS: aumentan la seguridad del sistema, vigilan el tráfico de la red, examinan lospaquetes analizándolos en busca de datos sospechosos y detectan las primeras fases
de cualquier ataque (por ej. análisis de la red, barrido de puertos, etc.).
Existen dos familias importantes de IDS:
El grupo N-IDS (Sistema de detección de intrusiones de red).
Protege un sistema basado en red. Actúan sobre una red capturando y analizando
paquetes de red, es decir, son sniffers deltráfico de red. Luego analizan los paquetes
capturados, buscando patrones que supongan algún tipo de ataque.
Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser
pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo
promiscuo (analizan, “ven” todos los paquetes que circulan por un segmento de red
aunque estos nos vayan dirigidos a undeterminado equipo). Analizan el trafico de red,
normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer
a nivel de aplicación.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar
paquetes de información que viajan por una o más líneas de la red para descubrir si se
ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno omás de los
adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de
modo "invisible" en el que no tienen dirección IP. Tampoco tienen una serie de
protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red.
Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques,
así como también se colocan sondas internas paraanalizar solicitudes que hayan
pasado a través del firewall o que se han realizado desde dentro.
El grupo H-IDS (Sistema de detección de intrusiones en el host).
Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos,
analizando actividades con una gran precisión, determinando de esta manera qué
procesos y usuarios se involucran en una determinada acción.Recaban información
del sistema como ficheros, logs, recursos, etc, para su posterior análisis en busca de
posibles incidencias.
Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en ser
desarrollados por la industria de la seguridad informática.
El H-IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia
gama de sistemas operativos comoWindows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host.
Tradicionalmente, el H-IDS analiza la información particular almacenada en registros
(como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de
la red que se introducen/salen del host para poder verificar las señales de intrusión
(como ataques por denegaciónde servicio, backdoors, troyanos, intentos de acceso no
autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer, etc.).
Por el tipo de respuesta podemos clasificarlos en:
Pasivos: Son aquellos IDS que notifican a la autoridad competente o administrador de
la red mediante el sistema que sea, alerta, etc. Pero no actúa sobre el ataque o
atacante....
Leer documento completo
Regístrate para leer el documento completo.