Sistemas de Detección de Intrusos (IDS): Protección Integral para tu Red

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 4,76 KB

IDS: Los sistemas de detección de intrusos permiten detectar actividad inadecuada, incorrecta o anómala dentro de la red, tanto de intrusos internos como externos.

Funcionalidad de un IDS

Un buen IDS responde eficientemente ante ataques internos y externos a través de las rutas legítimas que explotan reglas permitidas por el cortafuegos.

Técnicas Implementadas por un IDS

Detección de Patrones Anómalos

El IDS toma como referencia una idea de lo que es el comportamiento normal del sistema. Examina continuamente la actividad que está teniendo lugar, de manera que cualquier comportamiento que se salga de lo normal lo tomará como sospechoso, tanto en aplicaciones y programas como en el consumo de recursos.

Ejemplo: número de sesiones al día, accesos a bases de datos, conexiones a horas extrañas… Si el IDS registra una sobrecarga inusual de recursos en la red, podría indicar la realización de un ataque. Existen aplicaciones del sistema independientes del usuario que poseen unos patrones de uso bien definidos, por lo que si se detectan cambios en ellos, pueden indicar la acción de un atacante.

Por desgracia, muchos patrones no difieren de los patrones de uso normal, por lo que pasarían desapercibidos.

Detección a Través de Firmas

El IDS posee unos patrones conocidos de uso incorrecto o no autorizado, también conocidos como firmas (signatures), basadas en ataques o penetraciones pasadas. Todas las herramientas de hacking dejan una huella en el servidor. Por lo tanto, se trata de buscar la presencia de estas firmas en el tráfico de la red, en las peticiones enviadas a los hosts o en los registros.

Desventajas de la Detección por Firmas

No detectan ataques novedosos y necesitan ser actualizados constantemente. La detección de uso incorrecto suele implicarse por medio de sistemas expertos, razonamiento basado en modelos, análisis de transición de estados o redes neuronales.

Tipos de IDS

NIDS (Para Red)

Aplicaciones que, conectadas a la red a través de adaptadores en modo promiscuo, observan todo el tráfico de paquetes, detectando anomalías que puedan ser indicadoras de una intrusión. Funcionan de forma muy similar a los sniffers. Examinan cada paquete, comprobando su contenido con una plantilla o base de datos de firmas de ataques, con el fin de detectar si el paquete examinado se corresponde con algún tipo de ataque.

Ventajas de NIDS
  • Se instalan en segmentos de red, por lo que con un solo NIDS puede detectar ataques en todos los equipos conectados a dicho segmento.
  • Resultan independientes de la plataforma utilizada por los distintos equipos de la red.
  • Al examinar de forma abstracta los paquetes de tráfico que circulan por la red, son capaces de detectar ataques basados en manipulación de cabeceras IP o ataques de denegación de servicio que serían capaces de bloquear un servidor.
  • Resultan invisibles para los atacantes.
Desventajas de NIDS
  • Son ineficaces en sistemas con tráfico cifrado.
  • Su funcionamiento se vuelve inviable en redes de alta velocidad, impidiendo al NIDS analizar todos los paquetes a tiempo.
  • Si se produce una congestión momentánea de la red, el NIDS podría empezar a perder paquetes.
  • Debido a que operan en entornos heterogéneos (Windows, Linux, Sun, etc.) podrían no ser capaces de definir la relevancia de un ataque en cada plataforma.

HIDS (Para Host)

Los sistemas de detección de intrusos basados en host (HIDS) residen en el propio host que monitorizan, por lo que tienen acceso a información recolectada por las propias herramientas de auditoría del host (registros de actividad, accesos al sistema de ficheros, logs de registro, etc.). Incluyen plantillas configurables con los diferentes tipos de ataques predefinidos.

Ventajas de HIDS
  • Detectan mejor los ataques desde dentro del equipo.
  • Son capaces de asociar usuarios y programas con sus efectos en el sistema.
  • Los HIDS forman parte del propio blanco, por lo que pueden informar con gran precisión sobre el estado del blanco atacado.
  • Sólo se preocupan de proteger el host en el que residen sin necesitar monitorizar todo el tráfico que circula por la red, por lo que no afectan tanto al rendimiento de la red.
Desventajas de HIDS
  • Su principal inconveniente es su lentitud de respuesta en comparación con los sistemas NIDS. Puede ser demasiado tarde para actuar.
  • Dificultad de su implantación, ya que al estar instalados en varias máquinas diferentes será necesario el desarrollo en distintas plataformas.
Karma: 6%
Visitas: 0

Entradas relacionadas:

Etiquetas:
NIDS seguridad de red protección de datos seguridad informática IDS HIDS detección de anomalías firmas de ataques ciberseguridad monitoreo de seguridad Sistema de Detección de Intrusos detección de intrusiones prevención de intrusiones amenazas informáticas