LUK
07-11-2008, 15:43
Hoy en día y cada vez más a menudo oímos noticias sobre ataques informáticos a ciertas empresas, gracias a que en la actualidad y cada vez más, se pueden realizar ataques informáticos de una forma muy sencilla.
Es entonces cuando nos hacemos la pregunta de cuán protegidos estamos o cuán protegida esta nuestra empresa hacia estos ataques.
http://img223.imageshack.us/img223/8505/ataque1pb9.jpg
Dentro de las empresas y ante todo, una vez definida la política de seguridad a seguir, es cuando muchas empresas deciden implantar los llamados IDS.
Los IDS tal y como su nombre nos indica, son sistemas software y hardware capaces de detectar intrusiones o intentos de intrusión. Estos sistemas automatizan el proceso de monitorizar los eventos en un sistema o en una red analizándolos en busca de problemas de seguridad.
Los IDS nacieron en 1980 de la mano de James P. Anderson (docAnderson (http://csrc.nist.gov/publications/history/ande80.pdf)) gracias a un estudio promovido por las Fuerzas Aéreas de EEUU con el fin de detectar intrusiones. A partir de aquí empezaron a surgir los primeros IDS físicos alcanzando su auge en 1995 con la crisis del Firewall, naciendo así IDS como “Computer Watch”, “ISOA”…
http://img223.imageshack.us/img223/5325/esquema1tg5.jpg
Los IDS están formados por las siguientes características:
Fuentes de Información: Orígenes de datos que se usan para determinar si una intrusión se ha llevado a cabo. Las fuentes de información pueden ser de tres tipos:
Host: Recogiendo datos de una máquina (procesos, recursos…).
Red: Monitorizando una red en concreto, es decir, una cierta interfaz.
Aplicación: Recaban datos de una aplicación activa en el sistema (por ejemplo logs) y buscan evidencias en esos datos.
Análisis de Eventos: Define el método de detección utilizado. Los métodos de detección se centran en dos grandes tendencias:
Basados en firmas o estado del mal uso: Suelen usar BBDD con el fin de detectar las anomalías. Generan un bajo porcentaje de falsas alarmas. Suelen funcionar en base a ciertas reglas.
Detección de Anomalías: Suelen centrarse en el trafico que genera el origen de datos a observar. Están más centrados en el análisis en tiempo real. (Data Mining, Redes Neuronales, Series Temporales…).
Respuesta: Cuando el IDS detecta una intrusión, los IDSs pueden responder bien de forma activa (realizando una acción) o de forma pasiva (mostrando una alerta).
Componentes funcionales: Esta centrada en si el IDS corre dentro del mismo sistema que analiza o no.
Estrategias de Control: Método de toma de decisiones del IDS y de la generación de Informes.
En la actualidad, los IDS han ido evolucionando hacia mejoras en la gestión y hacia los sistemas distribuidos, es decir, sistemas que están alejados o separados del sistema a analizar con el fin de que no sean detectados y anulados por los intrusos.
Aitor Corchero Rodríguez
S21sec labs (http://blog.s21sec.com/2008/11/ids-sistemas-de-deteccin-de-intrusiones.html)
Es entonces cuando nos hacemos la pregunta de cuán protegidos estamos o cuán protegida esta nuestra empresa hacia estos ataques.
http://img223.imageshack.us/img223/8505/ataque1pb9.jpg
Dentro de las empresas y ante todo, una vez definida la política de seguridad a seguir, es cuando muchas empresas deciden implantar los llamados IDS.
Los IDS tal y como su nombre nos indica, son sistemas software y hardware capaces de detectar intrusiones o intentos de intrusión. Estos sistemas automatizan el proceso de monitorizar los eventos en un sistema o en una red analizándolos en busca de problemas de seguridad.
Los IDS nacieron en 1980 de la mano de James P. Anderson (docAnderson (http://csrc.nist.gov/publications/history/ande80.pdf)) gracias a un estudio promovido por las Fuerzas Aéreas de EEUU con el fin de detectar intrusiones. A partir de aquí empezaron a surgir los primeros IDS físicos alcanzando su auge en 1995 con la crisis del Firewall, naciendo así IDS como “Computer Watch”, “ISOA”…
http://img223.imageshack.us/img223/5325/esquema1tg5.jpg
Los IDS están formados por las siguientes características:
Fuentes de Información: Orígenes de datos que se usan para determinar si una intrusión se ha llevado a cabo. Las fuentes de información pueden ser de tres tipos:
Host: Recogiendo datos de una máquina (procesos, recursos…).
Red: Monitorizando una red en concreto, es decir, una cierta interfaz.
Aplicación: Recaban datos de una aplicación activa en el sistema (por ejemplo logs) y buscan evidencias en esos datos.
Análisis de Eventos: Define el método de detección utilizado. Los métodos de detección se centran en dos grandes tendencias:
Basados en firmas o estado del mal uso: Suelen usar BBDD con el fin de detectar las anomalías. Generan un bajo porcentaje de falsas alarmas. Suelen funcionar en base a ciertas reglas.
Detección de Anomalías: Suelen centrarse en el trafico que genera el origen de datos a observar. Están más centrados en el análisis en tiempo real. (Data Mining, Redes Neuronales, Series Temporales…).
Respuesta: Cuando el IDS detecta una intrusión, los IDSs pueden responder bien de forma activa (realizando una acción) o de forma pasiva (mostrando una alerta).
Componentes funcionales: Esta centrada en si el IDS corre dentro del mismo sistema que analiza o no.
Estrategias de Control: Método de toma de decisiones del IDS y de la generación de Informes.
En la actualidad, los IDS han ido evolucionando hacia mejoras en la gestión y hacia los sistemas distribuidos, es decir, sistemas que están alejados o separados del sistema a analizar con el fin de que no sean detectados y anulados por los intrusos.
Aitor Corchero Rodríguez
S21sec labs (http://blog.s21sec.com/2008/11/ids-sistemas-de-deteccin-de-intrusiones.html)