Sistemas de Detección de Intrusos (IDS) – Parte II

En un post anterior describí con precisión los Sistemas de Detección de Intrusos (IDS), si no leyeron el post anterior les recomiendo leer primero este post, porque el articulo que voy a describir a continuación esta basado en el mismo.

Después de leer el post anterior, van a tener una idea sobre la importancia de los IDS, como describí los conceptos básicos de un IDS, en este articulo vamos a mostrar los diferentes tipos de IDS.

Sistemas de Detección de Intrusos de RED (NIDS)

En los Sistemas de Detección de Intrusos de Red, todos y cada uno de los paquetes que viajan a través de la red son analizados, mirando los paquetes el IDS identifica cualquier actividad sospechosa en la red y le notifica al administrador sobre esto.

Un NIDS se puede utilizar en una maquina que quiere monitorear su propio tráfico y esta puede ser instalada en una red principal para controlar todo el tráfico con una sola maquina. Ejemplo de una herramienta:

Sistemas de Detección de Intrusos de HOST (HIDS)

En lugar de analizar los paquetes de red, como un NIDS, un HIDS supervisa la computadora (desktop o server) en donde se encuentra instalado. Las capacidades de los HIDS incluyen: análisis de logs, correlación de eventos, comprobación de integridad, aplicación de políticas, detección de rootkits y sistema de notificación y alertas. En general, se toman instantáneas del sistema existente y las compara con una instantánea anterior, que se toma desde un punto de control anterior. Si alguno de los archivos del sistema es modificado o borrado o sucede algo inusual se le envía una alerta o notificación al administrador. Ejemplo de una herramienta:

Los Sistemas de Detección de Intrusos pueden:

  • Aumentar la seguridad y la gestión de la Infraestructura de IT.
  • Puede detectar y reportar cualquier ataque si se producen
  • Es capaz de detectar errores en los archivos críticos
  • IDS pueden servir de guía para desarrollar políticas de administrador de la red y seguridad
  • Puede informar si ocurre cualquier alteración

Limitaciones de los Sistemas de Detección de Intrusos

  • Los IDS no pueden identificar un mecanismo de identificación débil
  • Si la red esta muy saturada no puede analizar todo el tráfico.
  • Se requiere si o si de una alerta o notificación al administrador para tomar medidas (Es un sistema reactivo, no pro-activo)