Perito contador
Páginas: 20 (4978 palabras)
Publicado: 22 de agosto de 2012
IDS - Sistema de detección de intrusos
El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. Es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca deintentos de intrusión.
Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste.
Las intrusiones se pueden producir de varias formas:
* Atacantes que acceden a los sistemas desde Internet.
* Usuarios autorizados del sistema que intentan ganar privilegiosadicionales para los cuales no están autorizados.
* Usuarios autorizados que hacen un mal uso de los privilegios o recursos que se les ha sido asignados.
Existen dos claras familias importantes de IDS:
* El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.
* El grupo H-IDS (Sistema de detección de intrusiones en el host), quegarantiza la seguridad en el host.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que notienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.
El H-IDS se encuentra en unhost particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que seintroducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer).
IDSs basados en red (NIDS)
La mayor parte de los sistemas de detección de intrusos están basados en red. Estos IDSs detectan ataques capturando y analizandopaquetes de red. Escuchando en un segmento de red, un NIDS puede monitorizar el tráfico de red que afecta a múltiples hosts que están conectados a ese segmento de red, protegiendo así a estos hosts.
Los IDSs basados en red a menudo están formados por un conjunto de sensores localizados en varios puntos de la red. Estos sensores monitorizan el tráfico de la red, realizando análisis local de estetráfico e informando ataques a la consola de gestión. Como los sensores están limitados a ejecutar el IDS, pueden ser más fácilmente asegurados ante ataques. Muchos de estos sensores son diseñados para correr en modo oculto, de tal forma que sea más difícil para un atacante determinar su presencia y localización.
Ventajas:
* Un IDS bien localizado puede monitorizar una red grande.
*Los NIDSs tienen un impacto pequeño en la red, siendo normalmente dispositivos pasivos que no interfieren en las operaciones habituales de ésta.
* Se pueden configurar para que sean muy seguros ante ataques haciéndolos invisibles dentro de la red.
Desventajas:
* Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho tráfico y pueden fallar en reconocer...
El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. Es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca deintentos de intrusión.
Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste.
Las intrusiones se pueden producir de varias formas:
* Atacantes que acceden a los sistemas desde Internet.
* Usuarios autorizados del sistema que intentan ganar privilegiosadicionales para los cuales no están autorizados.
* Usuarios autorizados que hacen un mal uso de los privilegios o recursos que se les ha sido asignados.
Existen dos claras familias importantes de IDS:
* El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.
* El grupo H-IDS (Sistema de detección de intrusiones en el host), quegarantiza la seguridad en el host.
Un N-IDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo "invisible" en el que notienen dirección IP. Tampoco tienen una serie de protocolos asignados. Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.
El H-IDS se encuentra en unhost particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.
El H-IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS analiza la información particular almacenada en registros (como registros de sistema, mensajes, lastlogs y wtmp) y también captura paquetes de la red que seintroducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer).
IDSs basados en red (NIDS)
La mayor parte de los sistemas de detección de intrusos están basados en red. Estos IDSs detectan ataques capturando y analizandopaquetes de red. Escuchando en un segmento de red, un NIDS puede monitorizar el tráfico de red que afecta a múltiples hosts que están conectados a ese segmento de red, protegiendo así a estos hosts.
Los IDSs basados en red a menudo están formados por un conjunto de sensores localizados en varios puntos de la red. Estos sensores monitorizan el tráfico de la red, realizando análisis local de estetráfico e informando ataques a la consola de gestión. Como los sensores están limitados a ejecutar el IDS, pueden ser más fácilmente asegurados ante ataques. Muchos de estos sensores son diseñados para correr en modo oculto, de tal forma que sea más difícil para un atacante determinar su presencia y localización.
Ventajas:
* Un IDS bien localizado puede monitorizar una red grande.
*Los NIDSs tienen un impacto pequeño en la red, siendo normalmente dispositivos pasivos que no interfieren en las operaciones habituales de ésta.
* Se pueden configurar para que sean muy seguros ante ataques haciéndolos invisibles dentro de la red.
Desventajas:
* Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho tráfico y pueden fallar en reconocer...
Leer documento completo
Regístrate para leer el documento completo.