- Sistemas pasivos y sistemas reactivos
- Implementación
- Soluciones de Seguridad
- Kernel de Linux
- Servicio de red privada virtual (VPN)
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Existen tres tipos de sistemas de detección de intrusos los cuáles son:
- HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.
- NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
- DIDS (DistributedIDS): sistema basado en la arquitectura cliente–servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN).
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de "firmas" de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
Sistemas pasivos y sistemas reactivos
En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el
cortafuegos para que bloquee tráfico que proviene de la red del atacante.
Implementación
Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.
En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.
Soluciones de Seguridad
La seguridad es un tema muy importante para cualquier empresa, este o no conectada a una red pública. No solamente es importante, sino que también puede llegar a ser compleja. Los niveles de seguridad que se pueden implementar son muchos y dependerá del usuario hasta donde quiera llegar.
La seguridad informática y de datos dista mucho de simplemente tener un Firewall. Se aborda un proceso de seguridad recomendado a utilizar (al menos) las siguientes herramientas.
- Un firewall o combinación de ellos.
- Proxies.
- Un sistema de detección de intrusos o IDS.
- Sistemas de actualización automática de software.
- Sistemas de control de la integridad de los servidores, paquetes, etc.
- Un sistema de administración y control para monitorear la seguridad.
Kernel de Linux
Cuando se configura un firewall en Linux, esta configuración no se realiza en una aplicación que corre en el equipo, sino en el mismo núcleo del sistema operativo. La estabilidad y robustez que caracterizan a Linux la obtiene de su núcleo, este es uno de los pedazos de software mejor programados que existen, por lo tanto utilizando un Linux como firewall se obtienen muchos beneficios.
- Velocidad – el núcleo es el que tiene mayor prioridad de procesamiento entre todos los procesos
- Mantenimiento de software hecho por miles de programadores – el núcleo de Linux lo mantienen muchas personas, por lo que las actualizaciones del mismo (potenciales agujeros de seguridad o "puertas traseras") son arregladas y publicadas con gran velocidad.
- Estabilidad – no es una aplicación ejecutandose en forma paralela
- Pocos requerimientos de hardware
Página siguiente |