Tag Archives: sistemas de deteccion de intrusos

Sistemas de Detección de Intrusos (IDS) – Parte II

En un post anterior describí con precisión los Sistemas de Detección de Intrusos (IDS), si no leyeron el post anterior les recomiendo leer primero este post, porque el articulo que voy a describir a continuación esta basado en el mismo.

Después de leer el post anterior, van a tener una idea sobre la importancia de los IDS, como describí los conceptos básicos de un IDS, en este articulo vamos a mostrar los diferentes tipos de IDS.

Sistemas de Detección de Intrusos de RED (NIDS)

En los Sistemas de Detección de Intrusos de Red, todos y cada uno de los paquetes que viajan a través de la red son analizados, mirando los paquetes el IDS identifica cualquier actividad sospechosa en la red y le notifica al administrador sobre esto.

Un NIDS se puede utilizar en una maquina que quiere monitorear su propio tráfico y esta puede ser instalada en una red principal para controlar todo el tráfico con una sola maquina. Ejemplo de una herramienta:

Sistemas de Detección de Intrusos de HOST (HIDS)

En lugar de analizar los paquetes de red, como un NIDS, un HIDS supervisa la computadora (desktop o server) en donde se encuentra instalado. Las capacidades de los HIDS incluyen: análisis de logs, correlación de eventos, comprobación de integridad, aplicación de políticas, detección de rootkits y sistema de notificación y alertas. En general, se toman instantáneas del sistema existente y las compara con una instantánea anterior, que se toma desde un punto de control anterior. Si alguno de los archivos del sistema es modificado o borrado o sucede algo inusual se le envía una alerta o notificación al administrador. Ejemplo de una herramienta:

Los Sistemas de Detección de Intrusos pueden:

  • Aumentar la seguridad y la gestión de la Infraestructura de IT.
  • Puede detectar y reportar cualquier ataque si se producen
  • Es capaz de detectar errores en los archivos críticos
  • IDS pueden servir de guía para desarrollar políticas de administrador de la red y seguridad
  • Puede informar si ocurre cualquier alteración

Limitaciones de los Sistemas de Detección de Intrusos

  • Los IDS no pueden identificar un mecanismo de identificación débil
  • Si la red esta muy saturada no puede analizar todo el tráfico.
  • Se requiere si o si de una alerta o notificación al administrador para tomar medidas (Es un sistema reactivo, no pro-activo)

 

Sistemas de Detección de Intrusos (Parte I)

Si están interesados en la seguridad de red, o si estas interesado en data mining, o si estas interesado en seguridad informática, en este post explicare todo lo que deben saber sobre los Sistemas de Detección de Intrusos (IDS).

Los Sistemas de Detección de Intrusos (IDS) se han hecho muy populares en los últimos tiempos debido a la cantidad y variedad en los métodos de intrusión, en la era de la tecnología que estamos viviendo los investigadores y expertos de seguridad enfrentan a diario muchos desafíos, por lo que es una necesidad crear algo que permita monitorear toda la red.

En el campo de la seguridad de la información, una intrusión puede significar un hacker, un cracker o simplemente una actividad anormal, si un atacante obtiene acceso dentro de la red y el mismo intenta robar información confidencial, puede causar un gran daño a la empresa, lo que significa que dispone de toda la información.

Si existe el Firewall para protegerse de estos ataques entonces porque necesitamos este nuevo termino IDS?

Limitaciones del Firewall

Aunque el Firewall es muy bueno para asegurar una red de computadoras, tienen algunas limitaciones, el firewall es simplemente un “muro” entre su red de computadoras y el mundo exterior (Internet). Este permite el paso a cierto tipo de tráfico y bloquear que otro tipo de tráfico se introduzca dentro de la red, no puede tomar decisiones en la estructura básica de los paquetes que ingresan.

Hay diferentes maneras de eludir y engañar a un Firewall. Este no puede ayudar cuando:

  • Las conexiones que lo evitan (Reglas Permitidas)
  • Una Nueva Amenaza
  • Un programa malicioso se oculta en un archivo adjunto del e-mail

Visión general de un Sistema de Detección de Intrusos (IDS)

Un Sistema de Detección de Intrusos controla el tráfico de red y toma decisiones acerca de los paquetes que entran y salen de la misma, estas decisiones están basadas en la información que recoge de los sensores del IDS. En resumen, un Sistema de Detección de Intrusos (IDS) se utiliza para controlar toda la red, detecta intrusos, es decir, programas o personas no autorizadas, inesperadas o no deseadas en la red. Un IDS ofrece lo siguiente:

  • Auditar el SO (Sistema Operativo)
  • Monitorear y analizar el tráfico de red y la actividad de usuarios y del sistema
  • Audita el sistema buscando vulnerabilidades

El IDS tiene múltiples sensores utilizados para controlar las actividades inesperadas y no deseadas.

  • Un sensor que monitorea los archivos de log
  • Un sensor que monitorea las conexiones TCP entrantes y salientes.

Un IDS puede funcionar de forma manual, pero se recomienda en su mayoría que un Adminitrador IT automatice el IDS para garantizar la seguridad. Podemos clasificar los IDS en dos tipos principales:

  • Sistema de Detección de Intrusos de Red (NIDS)
  • Sistema de Detección de Intrusos de Host o Maquina (HIDS)

Continuara….