IDS (Sistemas de deteción de Intrusos)

Saludos, primero un sistema de detección de intrusos (IDS de sus siglas en Intrusion Detection System) no es mas que un programa utilizado para deterctar algun intruso en una red X.. es decir accesos no autorizados a un computador o a una red.

Estos Ataque pueden ser de varios tipos entre los que tenemos los habilidosos o los comunmente conocidos ataques por hackers, o los de herramientas automaticas o script kiddies.. que son los mas utilizados..

Las aplicaciones IDS suelen aprovechar sensores virtuales como lo son los sniffer de red, y otros analizadores de red. para obtener datos que le interezan para asi obtener un resultado, es decir los IDS aprovechan estas aplicaciones para encontrar anomalias en el comportamiento de la RED, que le permiten saber si se esta en presencia de un atache o es una falsa alarma.

Su funcionamiento es bien “sencillo”, los IDS analizan el comportamiento de la RED y los comparan con otros para saber si se esta en presencia de algun ataque. los comportamientos raros en una RED pueden ser escaneo de puertos ¿para que alguien escanea puertos constantemente en una red corporativa?, tambien analiza el trafico de paquetes y no solo eso sino analiza que tipo de trafico es y revisa el contenido de los paquetes enviados para supervisar su comportamiento.

Existen varios tipos de IDS. HIDS, NIDS, DIDS no voy a explicar cada uno por que no quiero ahondar, por internet existen bastante informacion acerca de ellos. Esos IDS puedes estar implantados en sistemas pasivos o sistemas reactivos, los sistemas pasivos son como auditores.. que si encuentran una anomalia ellos la registran, la guardan y envian una sañal de alarta al administrador de la red, mientras que los sistemas reactivos, al encontrar una anomalia, reconfigurarn el firewall para bloquear el trafico de paquetes de ese “nodo”, es decir reacciona a la accion del intruso.

Existe otra clasificacion que es IDS software o hardware, o existen los que tienen los 2 unidos, la utilizacion de estos es depende del trafico de la red, es decir si tu red necesita un gran IDS con mucho trafico la recomendacion es hardware, ademas que si existe mucho trafico, va existir por ende muchos registros del comportamiento, esto necesitara gran espacio de memoria, es importante tener en cuesta todas estas cosas a la hora de elegir tu IDS.

Si tu red esta regmentada, es decir que tienes varios hub, puedes colocar el IDs en cualquier parte, pero si en lugar de tener hubs tienes switchs, la cosa cambia pues debes colocar tu IDS en una puerto SPAN (switch port analiser) para que el IDS pueda analizar toda la red de lo contrario.. no estara correctamente colocado..

Ejemplo de un IDS..
voy a ser bastante directo y exacto.. para no eplicar mucho por que ya saben el funcionamiento si no saben algo preguntenle a google..
supongamos SNORT – basado en HIDS

1.- lee el trafico de la res (todo el trafico de la red)
2.- Comprueba el trafico y comprara en funcion de cadenas significativas o patrones de conducta.
3.- Alerta de posibles ataques (puedes ser con un correo o algo al administrador de la red).

para mayor informacion entre en http://www.snort.org

Ing. Luis Rivero

Anuncios