Introducción a los IDS

Marzo 16th, 2004

Que es un IDS?

IDS: Intrusion Detection System (Sistema de deteccion de intrusiones)
Un IDS es un sistema que se dedica a monitorizar (una casa, un equipo informatico, una red de comunicaciones,…) en busca de intentos de posibles malos usos de el o de accesos no autorizados. Hablando en terminos informaticos seria un proceso de seguridad que monitoriza un equipo especifico o una red en busca de intentos de comprometer el sistema. Habitualmente funcionan buscando patrones definidos de actividad sospechosa.
Un IDS nos dotara de una capacidad de prevencion y alerta ante ataques hostiles, ademas de facilitarnos el analisis posterior en caso de una intrusion en el sistema.

Porque es necesario un IDS?
En primer lugar hay que decir que un IDS no debe ser nunca un sustituto de una buena politica de seguridad en la red que vayamos a instalar. No nos va
a servir de nada tener un IDS instalado si dejamos todos los puertos de nuestros servidores abiertos a cualquier atacante y nuestro password de administrador esta vacio. Por tanto, un IDS siempre debera ser un complemento al sistema de seguridad ya instalado, es decir, sera una capa adicional de proteccion del sistema. Sabiendo esto, podemos ver mas claramente cual es el objetivo de un IDS. Este nos permitira una pronta deteccion de los ataques que se produzcan dentro de nuestro sistema y una mayor capacidad de reaccion ante estos. No olvidemos que mas vale prevenir que curar.

Tipos de IDS
Los IDS se dividen, basicamente, en tres tipos:

HIDS (Host Intrusion Detection System)
Estos IDS trabajan con la informacion recogida dentro de un solo host, por ello es necesario tener un HIDS en cada host que queramos monitorizar. Por
contra, permiten una gran precision en la recogida de datos y el acceso a datos a los que los demas tipos de IDS no pueden acceder (p.ej.: codificaciones de ficheros, cambio de privilegios de un usuario…) Son ejemplos de este tipo de IDS:

  • verificadores de integridad de ficheros (p.ej.: Tripwire): permiten saber si un fichero ha sido modificado. Utiles en caso de intrusiones en los que el atacante cambie ficheros ejecutables con tal de ocultarse (ls, ps,…) e instale rootkits.
  • monitor de logs: comprueban los logs del sistema (wtmp, syslog, logs de Apache…) en busca de intentos de intrusion
  • monitor de la pila TCP/IP: comprueban el trafico TCP/IP que recibe y envia el host

NIDS (Network Intrusion Detection System)
Estos IDS trabajan con los datos que circulan a traves de la red. Funcionan como un sniffer, leyendo todo el trafico que pasa por la red, poniendo el
interface de red en modo promiscuo y detectando ataques en este trafico le?do. Habitualmente funcionan mediante reglas (por lo que han de ser actualizados frecuentemente), aunque algunos pueden analizar anomalias en el trafico de red.

DIDS (Distributed Intrusion Detection System)
Parecido a un NIDS, pero los sensores estan distribuidos en diferentes puntos de la red y envian las alertas a un sistema centralizado donde el operador podra analizarlas.

Estos tres tipos, ademas, pueden ser activos o pasivos:

Activos Generan respuestas sobre el atacante (cierran conexiones, aplican filtros en el firewall,…)
Pasivos Simplemente notifican al administrador sobre las alertas

Guardado en Artículo | Comentarios desactivados en Introducción a los IDS

Los comentarios están cerrados.