Beruflich Dokumente
Kultur Dokumente
2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando
as todo el trco de la red.
Funcionamiento
En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda una seal de alerta que se almacena en una base de datos. En un sistema
reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee trco que
proviene de la red del atacante. Un sistema que reacciona
ante el ataque previniendo que este contine, se denomina IPS por sus siglas en ingls de intrusion prevention
Normalmente esta herramienta se integra con un rewall. system.
El detector de intrusos es incapaz de detener los ataques
por s solo, excepto los que trabajan conjuntamente en
un dispositivo de puerta de enlace con funcionalidad de
rewall, convirtindose en una herramienta muy podero- 4 Comparacin con Cortafuegos
sa ya que se une la inteligencia del IDS y el poder de bloqueo del rewall, al ser el punto donde forzosamente de- Si bien ambos estn relacionados con seguridad en redes
ben pasar los paquetes y pueden ser bloqueados antes de de informacin, un IDS, diere de un cortafuegos, en que
penetrar en la red.
este ltimo generalmente examina exteriormente por inEl funcionamiento de estas herramientas se basa en el
anlisis pormenorizado del trco de red, el cual al no entrar al analizador es comparado con rmas de ataques conocidos, o comportamientos sospechosos, como no puede ser el escaneo de puertos, paquetes malformados, etc.
El IDS no slo analiza qu tipo de trco es, sino que
tambin revisa el contenido y su comportamiento.
Los IDS suelen disponer de una base de datos de rmas trusiones para evitar que estas ocurran. Un cortafuegos
limita el acceso entre redes, para prevenir una intrusin,
de ataques conocidos.
pero no determina un ataque que pueda estar ocurrienDichas rmas permiten al IDS distinguir entre el uso nordo internamente en la red. Un IDS, evala una intrusin
mal del PC y el uso fraudulento, y/o entre el trco norcuando esta toma lugar, y genera una alarma. Un IDS ademal de la red y el trco que puede ser resultado de un
ms observa ataques que se originan dentro del sistema.
ataque o intento del mismo.
Este normalmente se consigue examinando comunicaciones, e identicando mediante heurstica, o patrones (conocidos como rmas), ataques comunes ya clasicados, y
2 Tipos de IDS
toma una accin para alertar a un operador.
Existen dos tipos de sistemas de deteccin de intrusos:
5 Mecanismos de deteccin de un
5.1
Heurstica
5.2
Patrn
Implementacin
Vase tambin
Seguridad informtica
HIDS
NIDS
Enlaces externos
Snort, OpenSource IDS/IPS
Sistemas de Deteccin de Intrusiones, CriptoRed
UPM, 2003
ENLACES EXTERNOS
9.1
Text
9.2
Images
9.3
Content license