Qué es un IDS?
Es una
herramienta de
seguridad
encargada de
monitorizar los
eventos que
ocurren en un
sistema
informático en
busca de
intentos de
intrusión
Cual es su
Arquitectura?
Existen varias
propuestas sobra la
arquitectura de los
IDSs pero ninguna
de ellas se usa
mayoritariamente.
Esto provoca que los
productos de los
fabricantes que
trabajan con distinta
arquitectura puedan
difícilmente
interoperar entre sí.
Cuales son sus Estándares?
Los estándares originales
fueron el formato ’autopost
de AusCERT’ y CIDF. En estos
momentos, los esfuerzos de
estandarización actuales
parecen ser IDWG y CVE y
posiblemente algunos
productos comerciales."
CIDF (Common Intrusion Detection
Framework) El Marco de Detección de
Intrusos Común fue un primer intento de
estandarización de la arquitectura de un
IDS. No logró su aceptación como
estándar, pero estableció un modelo y un
vocabulario para discutir sobre las
intrusiones.
Arquitectura de IDWG (Intrusion Detection
Working Group) El IETF rechazó el enfoque de
CIDF seguramente por antipatía a CISL, debido a
su complejidad, y creó un grupo de trabajo
llamado IDWG (Intrusion Detection Working
Group) que tenía como objetivo el de definir
formatos y procedimientos de intercambio de
información entre los diversos subsistemas del
IDS.
Clasificación de los IDS
Fuentes de información.
Existen varias fuentes de
las que un IDS puede
recoger eventos. Algunos
IDSs analizan paquetes de
red, capturados del
backbone de la red o de
segmentos LAN, mientras
que otros IDSs analizan
eventos generados por los
sistemas operativos o
software de aplicación en
busca de señales de
intrusión.
IDSs basados en red
(NIDS). La mayor parte
de los sistemas de
detección de intrusos
están basados en red.
Estos IDSs detectan
ataques capturando y
analizando paquetes
de la red. Escuchando
en un segmento, un
NIDS puede
monitorizar el tráfico
que afecta a múltiples
hosts que están
conectados a ese
segmento de red,
protegiendo así a
estos hosts.
Ventajas: Un IDS
bien localizado
puede monitorizar
una red grande,
siempre y cuando
tenga la capacidad
suficiente para
analizar todo el
tráfico.
Desventajas: Pueden tener
dificultades procesando todos los
paquetes en una red grande o con
mucho tráfico y pueden fallar en
reconocer ataques lanzados
durante periodos de tráfico alto.
Algunos vendedores están
intentando resolver este problema
implementando IDSs
completamente en hardware, lo
cual los hace mucho más rápidos.
IDSs basados en host (HIDS). Los HIDS
fueron el primer tipo de IDSs
desarrollados e implementados. Operan
sobre la información recogida desde
dentro de una computadora, como
pueda ser los ficheros de auditoría del
sistema operativo.
Ventajas: Los IDSs basados
en host, al tener la capacidad
de monitorizar eventos
locales a un host, pueden
detectar ataques que no
pueden ser vistos por un IDS
basado en red.
Desventajas: Los IDSs basados
en hosts son más costosos de
administrar, ya que deben ser
gestionados y configurados en
cada host monitorizado.
Mientras que con los NIDS
teníamos un IDS por múltiples
sistemas monitorizados, con los
HIDS tenemos un IDS por
sistema monitorizado.