Sistema de deteccin de intrusos

Un sistema de deteccin de intrusiones (o IDS de sus

siglas en ingls Intrusion Detection System) es un programa de deteccin de accesos no autorizados a un computador o a una red.

El HIDS intenta detectar tales modicaciones en el

equipo afectado, y hacer un reporte de sus conclusiones.

El IDS suele tener sensores virtuales (por ejemplo, un

snier de red) con los que el ncleo del IDS puede obtener datos externos (generalmente sobre el trco de red).
El IDS no detecta, gracias a dichos sensores, las anomalas que pueden ser indicio de la presencia de ataques y
falsas alarmas.

2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando
as todo el trco de la red.

3 Sistemas pasivos y sistemas reactivos

Funcionamiento

En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda una seal de alerta que se almacena en una base de datos. En un sistema
reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee trco que
proviene de la red del atacante. Un sistema que reacciona
ante el ataque previniendo que este contine, se denomina IPS por sus siglas en ingls de intrusion prevention
Normalmente esta herramienta se integra con un rewall. system.
El detector de intrusos es incapaz de detener los ataques
por s solo, excepto los que trabajan conjuntamente en
un dispositivo de puerta de enlace con funcionalidad de
rewall, convirtindose en una herramienta muy podero- 4 Comparacin con Cortafuegos
sa ya que se une la inteligencia del IDS y el poder de bloqueo del rewall, al ser el punto donde forzosamente de- Si bien ambos estn relacionados con seguridad en redes
ben pasar los paquetes y pueden ser bloqueados antes de de informacin, un IDS, diere de un cortafuegos, en que
penetrar en la red.
este ltimo generalmente examina exteriormente por inEl funcionamiento de estas herramientas se basa en el
anlisis pormenorizado del trco de red, el cual al no entrar al analizador es comparado con rmas de ataques conocidos, o comportamientos sospechosos, como no puede ser el escaneo de puertos, paquetes malformados, etc.
El IDS no slo analiza qu tipo de trco es, sino que
tambin revisa el contenido y su comportamiento.

Los IDS suelen disponer de una base de datos de rmas trusiones para evitar que estas ocurran. Un cortafuegos
limita el acceso entre redes, para prevenir una intrusin,
de ataques conocidos.
pero no determina un ataque que pueda estar ocurrienDichas rmas permiten al IDS distinguir entre el uso nordo internamente en la red. Un IDS, evala una intrusin
mal del PC y el uso fraudulento, y/o entre el trco norcuando esta toma lugar, y genera una alarma. Un IDS ademal de la red y el trco que puede ser resultado de un
ms observa ataques que se originan dentro del sistema.
ataque o intento del mismo.
Este normalmente se consigue examinando comunicaciones, e identicando mediante heurstica, o patrones (conocidos como rmas), ataques comunes ya clasicados, y
2 Tipos de IDS
toma una accin para alertar a un operador.
Existen dos tipos de sistemas de deteccin de intrusos:

5 Mecanismos de deteccin de un

1. HIDS (HostIDS): el principio de funcionamiento de

ataque
un HIDS, depende del xito de los intrusos, que generalmente dejaran rastros de sus actividades en el
equipo atacado, cuando intentan aduearse del mis- Un IDS usa alguna de las dos siguientes tcnicas para demo, con propsito de llevar a cabo otras actividades. terminar que un ataque se encuentra en curso:
1

5.1

Heurstica

Un IDS basado en heurstica, determina actividad normal

de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este
vara de aquel considerado como normal, clasicndolo
como anmalo.

5.2

Patrn

Un IDS basado en patrones, analiza paquetes en la red,

y los compara con patrones de ataques conocidos, y precongurados. Estos patrones se denominan rmas. Debido a esta tcnica, existe un periodo de tiempo entre el
descubrimiento del ataque y su patrn, hasta que este es
nalmente congurado en un IDS. Durante este tiempo,
el IDS ser incapaz de identicar el ataque.

Implementacin

Para poner en funcionamiento, un sistema de deteccin

de intrusos se debe tener en cuenta que es posible optar
por una solucin hardware, software o incluso una combinacin de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho trco. A su vez los registros
de rmas y las bases de datos con los posibles ataques
necesitan gran cantidad de memoria, aspecto a tener en
cuenta.
En redes es necesario considerar el lugar de colocacin
del IDS. Si la red est segmentada con hub (capa 1 del
modelo OSI) no hay problema en analizar todo el trco
de la red realizando una conexin a cualquier puerto. En
cambio, si se utiliza un switch (capa 2 del modelo OSI),
es necesario conectar el IDS a un puerto SPAN (Switch
Port Analiser) para poder analizar todo el trco de esta
red.

Vase tambin
Seguridad informtica
HIDS
NIDS

Enlaces externos
Snort, OpenSource IDS/IPS
Sistemas de Deteccin de Intrusiones, CriptoRed
UPM, 2003

ENLACES EXTERNOS

Text and image sources, contributors, and licenses

9.1

Text

Sistema de deteccin de intrusos Fuente: http://es.wikipedia.org/wiki/Sistema%20de%20detecci%C3%B3n%20de%20intrusos?oldid=

81018548 Colaboradores: Tano4595, El Moska, Caos, Gpdm, Digigalos, Taragui, Oarmas, JMPerez, Taichi, Emijrp, Rembiapo pohyiete
(bot), RobotQuistnix, Victormartin, Caiserbot, Yrbot, Amads, BOTijo, YurikBot, GermanX, Beto29, Ciencia Al Poder, Chlewbot, CEMbot, Damifb, Laura Fiorucci, Daguero, -jem-, Mister, Diosa, Felixgomez18, JAnDbot, TXiKiBoT, Netito777, Amanuense, Plux, Cinevoro,
VolkovBot, Technopat, AlleborgoBot, Muro Bot, HUB, Marcos vazquez~eswiki, AVBOT, Diegusjaimes, Xqbot, Leandrosw, Gaspar87,
RedBot, Nachosan, EmausBot, Savh, ZroBot, Vanearango, WikitanvirBot, Rezabot, 4-1los cogimos, Elvisor, Addbot, Pabafe y Annimos:
62

9.2

Images

9.3

Content license

Creative Commons Attribution-Share Alike 3.0