Seguridad de Redes » Blog Archive » Detección de Intrusos

Diciembre 2008

L M X J V S D

« Nov Ene »

1 2 3 4 5 6 7

8 9 10 11 12 13 14

15 16 17 18 19 20 21

22 23 24 25 26 27 28

29 30 31
Páginas
- About

Dic

Filed Under ( Uncategorized ) by mfvaldiviezoon 08-12-2008

IDS
La detección de intrusos (Intrusion Detection o ID) es “un modelo de seguridad aplicable tanto a ordenadores como a redes. Un sistema IDS recolecta y analiza información procedente de distintas áreas de un ordenador o red de ordenadores con el objetivo de identificar posibles fallos de seguridad. Este análisis en busca de intrusiones incluye tanto los posibles ataques externos (desde fuera de nuestra organización) como los internos (debidos a un uso abusivo o fraudulento de los recursos).
HIDS (Host IDS)
Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como ficheros, logs, recursos, etc, para su posterior análisis en busca de posibles incidencias. Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en desarrollar por la industria de la seguridad informática.
- Funcionalidades HIDS nativas en los SO recientes, fácil activación en el momento de instalación
- Punto de vista de los ataques desde el sistema
- Inútil y confuso después de un compromiso
- Uso de rootkits
- Gestión compleja para un gran número de sistemas
- Demasiada carga en el sistema (disco, CPU, etc.)
- Alto coste en despliegues corporativos al utilizar herramientas comerciales

NIDS (Net IDS)
Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque.
Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan, “ven” todos los paquetes que circulan por un segmento de red aunque estos nos vayan dirigidos a un determinado equipo). Analizan el tráfico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
– Fáciles de desplegar
– Gran efectividad.
– Gran escalabilidad
– Reglas demasiado genéricas o ataques de inserción
– Evasión o perdida de paquetes en nuevos ataques
– Alarmas sin contexto.
– Gran volumen de datos.
– Cifrado

Referencias:
http://gabriel.verdejo.alvarez.googlepages.com/DEA-es-3IDS.pdf

Sergio Jaramillo
Marcelo Valdiviezo

Ingresar un comentario

Nombre:
Email:
URL:
Comentario:

• San Cayetano Alto - Loja Ecuador • Apartado postal: 11-01-608 • PBX: (593-7) 2570-275 • FAX: (593-7) 2584-893
©Derechos Reservados UTPL . 2005 Políticas de Privacidad

Páginas

CATEGORÍAS

Blogroll

Últimos Posts

Meta