Kevin Cala Sánchez

Seguridad Corporativa: Detección de Intrusos

En una empresa con datos sensibles es posible que nos interese controlar quien genera el tráfico en la red y poder detectar accesos no autorizados para esta actuación, podemos utilizar un Sistema de Detección de Intrusos o IDS en ingles Intrusion Detection System.

Un IDS es un appliance o software que monitorea la red o el sistema en busca de actividades maliciosas o violaciones de políticas y crea informes de dichas actividades.  Su funcionalidad es la de monitorizar en busca de amenazas la red para evitar posibles ataques.

Los IDS normalmente tienen una base de datos de ataques,  esto les permite distinguir entre el uso que puede hacer un usuario y el que realiza un ataque.

Se pueden determinar de dos formas:

  • Heuristica: Es decir, con estadísticas de uso de la red, un equipo normalmente consume ancho de banda determinado, con un número determinado de puertos, etc.., todo con sus márgenes. Una vez un equipo supera estos márgenes, el usuario es considerado como peligroso.
  • Patrón: Es decir, se analizan paquetes de red y se compara con patrones de ataques conocidos. Este tipo de análisis toma un tiempo ya que deben analizarse un número suficiente de paquetes distanciados entre sí para que salten las alarmas mediante detección por patrón.

Que diferencia hay entre IDS y un Firewall

Un firewall son los encargados de filtrar quien puede acceder a la red, los IDS son los que vigilan que todo lo que está dentro de la red es legitimo.

El Firewall es el portero de un edificio, que permite que pase determinada gente según se le indica, el IDS son las cámaras que están dentro del edificio.

Tipos de IDS

Podemos encontrar dos tipos de IDS según su soporte.

  • IDS basado en Red (NIDS), es decir, appliances específicos donde su función principal es escanear la red,
  • IDS basado en Host(HIDS), es decir, programas ejecutados en un equipo con la posibilidad de monitorizar el mismo.

Podemos encontrar dos tipos de IDS según su actuación:

  • Pasivo: Detección de una posible intrusión, almacena la información y envía una alerta.
  • Reactivo: Detección de una posible amenaza y reconfiguración del cortafuegos para bloquear el ataque. Este tipo de IDS se llaman IPS, “Intrusion Prevention System”.

 

Kevin Cala

, , ,

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies. ACEPTAR

Aviso de cookies