Este documento describe los tipos y funciones de los sistemas de detección de intrusos (IDS). Explica que un IDS analiza el tráfico de red para detectar ataques conocidos o comportamientos sospechosos y que normalmente se integra con un firewall. También describe los tipos de IDS como HIDS que monitorea un solo host o NIDS que monitorea toda una red, y los mecanismos de detección como heurística que identifica actividad anormal o patrones que comparan paquetes con firmas de ataques conocidos. Finalmente
2. INTRODUCCIÓN
• Un IDS o sistema de detección de intrusos es un programa usado para
detectar accesos no autorizados a un computador o a una red.
• El IDS suele tener sensores virtuales con los que el núcleo del IDS puede
obtener datos externos . El IDS detecta, gracias a dichos sensores, anomalías
que pueden ser indicio de la presencia de ataques o falsas alarmas.
3. FUNCIONAMIENTO
• El funcionamiento de estas herramientas se basa en el análisis pormenorizado
del tráfico de red, el cual al entrar al analizador es comparado con firmas de
ataques conocidos, o comportamientos sospechosos, como puede ser
el escaneo de puertos, paquetes malformados, etc.
• Normalmente esta herramienta se integra con un firewall ya que no puede
detener los ataques por sí solo.
4. TIPOS DE IDS
• HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito
de los intrusos, que generalmente dejaran rastros de sus actividades en el
equipo atacado, cuando intentan adueñarse del mismo, con propósito de
llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones
en el equipo afectado, y hacer un reporte de sus conclusiones.
• NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el
segmento de la red. Su interfaz debe funcionar en modo promiscuo
capturando así todo el tráfico de la red.
5. TIPOS DE IDS
• Sistema pasivo: el sensor detecta una posible intrusión, almacena la
información y manda una señal de alerta que se almacena en una base de
datos.
• Sistema reactivo: el IDS responde a la actividad sospechosa reprogramando el
cortafuegos para que bloquee tráfico que proviene de la red del atacante.
6. MECANISMOS DE DETECCIÓN DE UN
ATAQUE
• Heurística
Un IDS basado en heurística, determina actividad normal de red y alerta a un
administrador o usuario cuando este varía de aquel considerado como normal,
clasificándolo como anómalo.
• Patrón
Un IDS basado en patrones, analiza paquetes en la red, y los compara con
patrones de ataques conocidos, y preconfigurados.
7. VENTAJAS
• Poder de reacción para prevenir el daño.
• Suministra información sobre el tráfico malicioso de la red.
• Protege contra la invasión de la red.
• Ayuda a identificar de dónde provienen los ataques que se sufren.
8. DESVENTAJAS
• Se producen falsas alarmas.
• Se producen fallos en las alarmas.
• El comportamiento puede cambiar con el tiempo.
• El sistema puede sufrir ataques durante la fase de aprendizaje.
9. PATRIOT NG
• Es una aplicación que se encarga de monitorizar nuestro sistema Windows.
Este programa nos avisa de los cambios que se producen en nuestro
ordenador, dándonos la posibilidad de permitirlos o denegarlos.
• Esta aplicación es gratuita y hay versiones de 32 y 64 bits.
10. PATRIOT NG
• La instalación y la configuración de
la aplicación es simple.
• Al iniciar la aplicación le indicamos
que zonas queremos que busque
anomalías.
11. PATRIOT NG
• Ahora nos aparecerá un mensaje en
pantalla cuando detecte alguna
anomalía en nuestro sistema.
• Esta imagen corresponde a un aviso
ante un MITM.