News
S21sec

IDS: SISTEMAS DE DETECCIÓN DE INTRUSIONES (INTRUSION DETECTION SYSTEM)

Hoy en día y cada vez más a menudo oímos noticias sobre ataques informáticos a ciertas empresas, gracias a que en la actualidad y cada vez más, se pueden realizar ataques informáticos de una forma muy sencilla.

Es entonces cuando nos hacemos la pregunta de cuán protegidos estamos o cuán protegida esta nuestra empresa hacia estos ataques.

Dentro de las empresas y ante todo, una vez definida la política de seguridad a seguir, es cuando muchas empresas deciden implantar los llamados IDS.

Los IDS tal y como su nombre nos indica, son sistemas software y hardware capaces de detectar intrusiones o intentos de intrusión. Estos sistemas automatizan el proceso de monitorizar los eventos en un sistema o en una red analizándolos en busca de problemas de seguridad.

Los IDS nacieron en 1980 de la mano de James P. Anderson (docAnderson) gracias a un estudio promovido por las Fuerzas Aéreas de EEUU con el fin de detectar intrusiones. A partir de aquí empezaron a surgir los primeros IDS físicos alcanzando su auge en 1995 con la crisis del Firewall, naciendo así IDS como “Computer Watch”, “ISOA”…

Los IDS están formados por las siguientes características:

  • Fuentes de Información: Orígenes de datos que se usan para determinar si una intrusión se ha llevado a cabo. Las fuentes de información pueden ser de tres tipos:
    • Host: Recogiendo datos de una máquina (procesos, recursos…).
    • Red: Monitorizando una red en concreto, es decir, una cierta interfaz.
    • Aplicación: Recaban datos de una aplicación activa en el sistema (por ejemplo logs) y buscan evidencias en esos datos.
  • Análisis de Eventos: Define el método de detección utilizado. Los métodos de detección se centran en dos grandes tendencias:
    • Basados en firmas o estado del mal uso: Suelen usar BBDD con el fin de detectar las anomalías. Generan un bajo porcentaje de falsas alarmas. Suelen funcionar en base a ciertas reglas.
    • Detección de Anomalías: Suelen centrarse en el trafico que genera el origen de datos a observar. Están más centrados en el análisis en tiempo real. (Data Mining, Redes Neuronales, Series Temporales…).
  • Respuesta: Cuando el IDS detecta una intrusión, los IDSs pueden responder bien de forma activa (realizando una acción) o de forma pasiva (mostrando una alerta).
  • Componentes funcionales: Esta centrada en si el IDS corre dentro del mismo sistema que analiza o no.
  • Estrategias de Control: Método de toma de decisiones del IDS y de la generación de Informes.
En la actualidad, los IDS han ido evolucionando hacia mejoras en la gestión y hacia los sistemas distribuidos, es decir, sistemas que están alejados o separados del sistema a analizar con el fin de que no sean detectados y anulados por los intrusos.

Aitor Corchero Rodríguez
S21sec labs

Deja un comentario

  • Patrick SAURY 7 November, 2008 a las 1:33 pm Reply

    ESte articulo esta bastante bien para presentar los basicos de estos sistemas pero hoy me parece mas importante hablar de los evolutiones que podemos ver como los IPS y tambien sus implantaciones en las emprezas y todo el impacto que lleva.
    Attentamente,
    patrick.saury-borrar-[at]-borrar-wanadoo.fr