Como en el caso de los sistemas con cortafuegos, cuando tengas que implantar un IDS optarás probablemente por una combinación de las categorías antes explicadas.

Es frecuente que haya varias subredes en la empresa y por tanto te encuentres con que la situación de los sensores debería de ser en todas estas subredes. Además, si la red está segmentada también tendrás que colocar un sensor en cada segmento de ésta. Así, tendrás que tener en cuenta todos los factores de la topología de la red para colocar los sensores.

Otra decisión importante que debes tomar, es el tipo de respuesta que el IDS dará ante una detección de ataque. Quizá te gustaría que el IDS se pudiera comunicar con el Firewall para indicarle las nuevas reglas que debe aplicar para evitar este ataque que se está produciendo. Por ejemplo, si el IDS detecta un intento de ataque al servidor web desde la dirección IP w.x.y.z, el IDS le dirá al Firewall que añada una regla que deniegue todo el tráfico desde esa dirección hacia nuestra red.

Una vez que hayas colocado los sensores de red tienes que pensar que éstos no son infalibles, pues han podido diseñar métodos para evadirlos, o bien se trate de un ataque totalmente nuevo que no detecten, por lo que ahora te planteas fortalecer el IDS instalado con otro tipo de IDS. Como lo que más te preocupa son los ordenadores o servidores que tienen instalados algún tipo de servicio, probablemente sea un decisión acertada vigilar qué ocurre en estos equipos. Por lo que decides instalar HIDS en estos equipos tan sensibles. Estos HIDS se encargarán de examinar los log del sistema y de las aplicaciones más importantes buscando trazas de intrusión y también se ocupará de comprobar la integridad de los archivos esenciales del sistema, con el fin de prever una modificación no autorizada de los mismos.

Ejemplos de IDS.

Snort es un sniffer capaz de actuar como sistema de detección de intrusos en redes de tráfico moderado; su facilidad de configuración y su adaptabilidad, funciona en sistemas UNIX y Windows, y además se trata de un sistema no muy caro. Es una buena herramienta y es menos caro que Network Flight Recorder o ISS RealSecure, aunque estos últimos son más potentes.

Tripwire es una comprobador de integridad para ficheros y directorios de sistemas UNIX: compara un conjunto de estos objetos con la información sobre los mismos almacenada en la base de datos, y, alerta al administrador en caso de que algo haya cambiado. La idea es simple: Creas un fichero resumen de cada fichero o directorio importante para nuestra seguridad nada más instalar el programa. Almacenas esos resúmenes en un medio seguro, de forma que si alguno de los ficheros es modificado, por ejemplo por una versión infectada del mismo fichero, o añadiendo una contraseña al fichero de contraseñas, Tripware lo detectará y te avisará la próxima vez que realices la comprobación. Tripware utiliza MD5 y CRC-32 entre otras funciones de hash para generar los resúmenes, y como recuerdas, estos hash son imposibles de generar iguales si los ficheros son diferentes.