Sistemas de Detección de Intrusos

 

Sistemas de Detección de Intrusos


Un Sistema de Detección de Intrusos (IDS) es un sistema de monitoreo que detecta actividades sospechosas y genera alertas cuando se detectan. Según estas alertas, un analista de un centro de operaciones de seguridad (Security Operations Center, SOC) o un responsable de respuesta a incidentes puede investigar el problema y tomar las medidas adecuadas para remediar la amenaza.

Los IDS se pueden clasificar en dos tipos: IDS basado en red (Network-Based IDS, NIDS) e IDS basado en host (Host-Based IDS, HIDS). Los NIDS supervisan el tráfico de red y buscan patrones de tráfico inusual, mientras que los HIDS supervisan los eventos del sistema operativo y buscan patrones de actividad inusual.

Los IDS tienen las siguientes características:

  • Debe observar y reconocer desviaciones del funcionamiento normal de la red o dispositivos conectados a ella.
  • Funciona de forma automatizada y sin supervisión humana.
  • Debe ser capaz de reconocer si ha sido alterado, es decir, debe poder analizarse a sí mismo.


Snort y Tripwire 

Son dos herramientas de seguridad informática que se utilizan para detectar y prevenir intrusiones en una red.

Snort es un sistema de detección de intrusiones basado en red (Network-Based IDS, NIDS) que supervisa el tráfico de red y busca patrones de tráfico inusual. Es capaz de detectar una amplia variedad de amenazas, incluyendo ataques de denegación de servicio (DoS), escaneos de puertos, ataques de buffer overflow y más.

Por otro lado, Tripwire es un sistema de detección de intrusiones basado en host (Host-Based IDS, HIDS) que supervisa los eventos del sistema operativo y busca patrones de actividad inusual. Se enfoca en la integridad del archivo y el sistema, y puede detectar cambios no autorizados en archivos críticos del sistema o configuraciones.


Firmas IDS en red

Un sistema de detección de intrusiones (IDS) basado en red (Network-Based IDS, NIDS) puede utilizar la detección basada en firmas para identificar un ataque comprobando si tiene un comportamiento o patrón específico, como firmas maliciosas, secuencias de bytes, etc

Cisco IDS es un ejemplo de solución IDS basada en red que utiliza firmas para examinar paquetes de datos y buscar ciertos contenidos



Comentarios

Publicar un comentario