SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS)
Funcionamiento
El funcionamiento de estas herramientas se basa en el
análisis pormenorizado del tráfico de red, el cual al entrar al analizador es
comparado con firmas de ataques conocidos, o comportamientos sospechosos, como
puede ser el escaneo de puertos, paquetes malformados, etc.
El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el
contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall.
El detector de intrusos es incapaz de detener los ataques por sí solo, excepto
los que trabajan conjuntamente en un dispositivo de puerta de
enlace con funcionalidad de firewall,
convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia
del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente
deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de
“firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso
normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el
tráfico que puede ser resultado de un ataque o intento del mismo.
Existen
dos tipos de sistemas de detección de intrusos:
1.
HIDS (HostIDS): el
principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que
generalmente dejaran rastros de sus actividades en el equipo atacado, cuando
intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades.
El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un
reporte de sus conclusiones.
2.
NIDS (NetworkIDS):
un IDS basado en red, detectando ataques a todo el segmento de la red. Su
interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la
red.
En
un sistema pasivo, el sensor detecta una posible intrusión, almacena la
información y manda una señal de alerta que se almacena en una base de datos.
En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando
el cortafuegos para que bloquee tráfico que proviene
de la red del atacante. Un sistema que reacciona ante el ataque previniendo que
este continúe, se denomina IPS por sus siglas en inglés de "intrusion
prevention system".
Si
bien ambos están relacionados con seguridad en redes de información, un IDS, difiere de un
cortafuego, en que este último generalmente examina exteriormente por
intrusiones para evitar que estas ocurran. Un cortafuego limita el acceso entre
redes, para prevenir una intrusión, pero no determina un ataque que pueda estar
ocurriendo internamente en la red. Un IDS, evalúa una intrusión cuando esta
toma lugar, y genera una alarma. Un IDS además observa ataques que se originan
dentro del sistema. Este normalmente se consigue examinando comunicaciones, e
identificando mediante heurística, o patrones (conocidos como firmas), ataques
comunes ya clasificados, y toma una acción para alertar a un operador.
Un
IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se
encuentra en curso:
Un
IDS basado en heurística, determina actividad normal de red, como el orden de
ancho de banda usado, protocolos, puertos y dispositivos que generalmente se
interconectan, y alerta a un administrador o usuario cuando este varía de aquel
considerado como normal, clasificándolo como anómalo.
Un
IDS basado en patrones, analiza paquetes en la red, y los compara con patrones
de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas.
Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del
ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante
este tiempo, el IDS será incapaz de identificar el ataque.
Para
poner en funcionamiento un sistema de detección de intrusos se debe tener en
cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos
dos. La posibilidad de introducir un elemento hardware es debido al alto
requerimiento de procesador en redes con mucho tráfico. A su vez los registros
de firmas y las bases de datos con los posibles ataques necesitan gran cantidad
de memoria, aspecto a tener en cuenta.
En redes es necesario considerar el
lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI)
no hay problema en analizar todo el tráfico de la red realizando una conexión a
cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI),
es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder
analizar todo el tráfico de esta red.
0 Response to "Sistema de Detección de Intrusos (IDS)"
Publicar un comentario