Español | English
rss facebook linkedin Twitter

IDS: SISTEMAS DE DETECCIÓN DE INTRUSIONES (INTRUSION DETECTION SYSTEM)

Hoy en día y cada vez más a menudo oímos noticias sobre ataques informáticos a ciertas empresas, gracias a que en la actualidad y cada vez más, se pueden realizar ataques informáticos de una forma muy sencilla.


Es entonces cuando nos hacemos la pregunta de cuán protegidos estamos o cuán protegida esta nuestra empresa hacia estos ataques.

Dentro de las empresas y ante todo, una vez definida la política de seguridad a seguir, es cuando muchas empresas deciden implantar los llamados IDS.

Los IDS tal y como su nombre nos indica, son sistemas software y hardware capaces de detectar intrusiones o intentos de intrusión. Estos sistemas automatizan el proceso de monitorizar los eventos en un sistema o en una red analizándolos en busca de problemas de seguridad.

Los IDS nacieron en 1980 de la mano de James P. Anderson (docAnderson) gracias a un estudio promovido por las Fuerzas Aéreas de EEUU con el fin de detectar intrusiones. A partir de aquí empezaron a surgir los primeros IDS físicos alcanzando su auge en 1995 con la crisis del Firewall, naciendo así IDS como “Computer Watch”, “ISOA”…




Los IDS están formados por las siguientes características:

  • Fuentes de Información: Orígenes de datos que se usan para determinar si una intrusión se ha llevado a cabo. Las fuentes de información pueden ser de tres tipos:
    • Host: Recogiendo datos de una máquina (procesos, recursos…).
    • Red: Monitorizando una red en concreto, es decir, una cierta interfaz.
    • Aplicación: Recaban datos de una aplicación activa en el sistema (por ejemplo logs) y buscan evidencias en esos datos.

  • Análisis de Eventos: Define el método de detección utilizado. Los métodos de detección se centran en dos grandes tendencias:
    • Basados en firmas o estado del mal uso: Suelen usar BBDD con el fin de detectar las anomalías. Generan un bajo porcentaje de falsas alarmas. Suelen funcionar en base a ciertas reglas.
    • Detección de Anomalías: Suelen centrarse en el trafico que genera el origen de datos a observar. Están más centrados en el análisis en tiempo real. (Data Mining, Redes Neuronales, Series Temporales…).
  • Respuesta: Cuando el IDS detecta una intrusión, los IDSs pueden responder bien de forma activa (realizando una acción) o de forma pasiva (mostrando una alerta).
  • Componentes funcionales: Esta centrada en si el IDS corre dentro del mismo sistema que analiza o no.
  • Estrategias de Control: Método de toma de decisiones del IDS y de la generación de Informes.

En la actualidad, los IDS han ido evolucionando hacia mejoras en la gestión y hacia los sistemas distribuidos, es decir, sistemas que están alejados o separados del sistema a analizar con el fin de que no sean detectados y anulados por los intrusos.

Aitor Corchero Rodríguez
S21sec labs

1 comentario:

Patrick SAURY dijo...

ESte articulo esta bastante bien para presentar los basicos de estos sistemas pero hoy me parece mas importante hablar de los evolutiones que podemos ver como los IPS y tambien sus implantaciones en las emprezas y todo el impacto que lleva.
Attentamente,
patrick.saury-borrar-[at]-borrar-wanadoo.fr


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login