Saltar la navegación

Arquitectura de Sistemas IDS.

Como en el caso de los sistemas con cortafuegos, cuando tengas que implantar un IDS optarás probablemente por una combinación de las categorías antes explicadas.

Es frecuente que haya varias subredes en la empresa y por tanto te encuentres con que la situación de los sensores debería de ser en todas estas subredes. Además, si la red está segmentada también tendrás que colocar un sensor en cada segmento de ésta. Así, tendrás que tener en cuenta todos los factores de la topología de la red para colocar los sensores.

Otra decisión importante que debes tomar, es el tipo de respuesta que el IDS dará ante una detección de ataque. Quizá te gustaría que el IDS se pudiera comunicar con el Firewall para indicarle las nuevas reglas que debe aplicar para evitar este ataque que se está produciendo. Por ejemplo, si el IDS detecta un intento de ataque al servidor web desde la dirección IP w.x.y.z, el IDS le dirá al Firewall que añada una regla que deniegue todo el tráfico desde esa dirección hacia nuestra red.

(Inglés: Intrusion Detection System o IDS). Sistema que detecta manipulaciones no deseadas en el sistema, especialmente a través de internet. Las manipulaciones pueden ser ataques de hackers malintencionados.

Para saber más

Snort es un Sistema de detección de intrusiones basado en red que permite detectar ataques o barridos de puertos, registrándolos y generando alertas. En el siguiente enlace podrás ver los diferentes modos de uso que SNORT tiene:

Snort, un NIDS. (NIDS)

(Network Intrusion Detection System): un sistema de IDS pero para la red, detectando ataques que se hacen en la misma.

Tecleando.

Una vez que hayas colocado los sensores de red tienes que pensar que éstos no son infalibles, pues han podido diseñar métodos para evadirlos, o bien se trate de un ataque totalmente nuevo que no detecten, por lo que ahora te planteas fortalecer el IDS instalado con otro tipo de IDS. Como lo que más te preocupa son los ordenadores o servidores que tienen instalados algún tipo de servicio, probablemente sea un decisión acertada vigilar qué ocurre en estos equipos. Por lo que decides instalar HIDS en estos equipos tan sensibles. Estos HIDS se encargarán de examinar los log del sistema y de las aplicaciones más importantes buscando trazas de intrusión y también se ocupará de comprobar la integridad de los archivos esenciales del sistema, con el fin de prever una modificación no autorizada de los mismos.

Ejemplos de IDS.

Snort es un sniffer capaz de actuar como sistema de detección de intrusos en redes de tráfico moderado; su facilidad de configuración y su adaptabilidad, funciona en sistemas UNIX y Windows, y además se trata de un sistema no muy caro. Es una buena herramienta y es menos caro que Network Flight Recorder o ISS RealSecure, aunque estos últimos son más potentes.

Tripwire es una comprobador de integridad para ficheros y directorios de sistemas UNIX: compara un conjunto de estos objetos con la información sobre los mismos almacenada en la base de datos, y, alerta al administrador en caso de que algo haya cambiado. La idea es simple: Creas un fichero resumen de cada fichero o directorio importante para nuestra seguridad nada más instalar el programa. Almacenas esos resúmenes en un medio seguro, de forma que si alguno de los ficheros es modificado, por ejemplo por una versión infectada del mismo fichero, o añadiendo una contraseña al fichero de contraseñas, Tripware lo detectará y te avisará la próxima vez que realices la comprobación. Tripware utiliza MD5 y CRC-32 entre otras funciones de hash para generar los resúmenes, y como recuerdas, estos hash son imposibles de generar iguales si los ficheros son diferentes.

(Host Intrusion Detection System): un sistema IDS que vigila una sola computadora.

Un Sniffer, es el programa que captura datos para su auditoría dentro de tu red, pero ojo porque también es utilizado por los hackers para obtener nombres de usuarios y contraseñas.

Reflexiona

Los sistemas IDS son un elemento más en la implementación de una política de seguridad. No se trata de una solución definitiva y es importante que no tengas una falsa sensación de seguridad solo por el hecho de instalar un IDS en el sistema. El peligro sigue existiendo y es necesaria la revisión continua de la política de seguridad para adecuarla a los cambios. Tú sistema seguirá siendo tan seguro como lo sea el punto más débil del mismo.