Detección de Intrusos

Arquitectura general de un sistema de detección de intrusiones

Tabla de Contenidos

Introducción

Como acabamos de ver, desde el comienzo de la década de los ochenta se han llevado a cabo multitud de estudios referentes a la construcción de sistemas para la detección de intrusos. En todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir los siguientes requisitos:

• Precisión.

Un sistema de detección de intrusos no debe que confundir acciones legítimas con acciones deshonestas a la hora de realizar su detección. Cuando las acciones legítimas son detectadas como acciones maliciosas, el sistema de detección puede acabar provocando una denegación de servicio contra un usuario o un sistema legítimo. Este tipo de detecciones se conoce como falsos positivos. Cuanto menor sea el número de falsos positivos, mayor precisión tendrá el sistema de detección de intrusos.

• Eficiencia.

El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada (conocida como falsos  negativos). Cuanto menor sea la tasa de falsos negativos, mayor será la eficiencia del sistema de detección de intrusos. Este es un requisito complicado, ya que en ocasiones puede llegar a ser imposible obtener todo el conocimiento necesario sobre ataques pasados, actuales y futuros.

• Rendimiento.

El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detección en tiempo real responde a la detección de la intrusión antes de que ésta llegue a provocar daños en el sistema. Según los expertos, este tiempo debería de ser inferior a un minuto.

• Escalabilidad.

A medida que la red vaya creciendo (tanto en medida como en velocidad), también aumentará el número de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el número de eventos, sin que se produzca pérdida de información. Este requisito es de gran relevancia en sistemas de detección de ataques distribuidos, donde los eventos son lanzados en diferentes equipos del sistema y deben ser puestos en correspondencia por el sistema de detección de intrusiones.

• Tolerancia en fallos.

El sistema de detección de intrusiones debe ser capaz de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión).
Con el objetivo de normalizar la situación, algunos miembros del IETF* presentaron a
-* Internet Engineering Task Force.
-**Common Intrusion Detection Framework.
mediados de 1998 una arquitectura de propósito general para la construcción de sistemas de detección de intrusos, conocida como CIDF.

Deteccion de intrusos informatica

La detección de intrusos informática es una parte fundamental de cualquier sistema de seguridad cibernética. Consiste en la monitorización y análisis de las actividades de red y de los sistemas informáticos con el fin de identificar y responder a posibles amenazas o intrusiones. Este proceso se basa en la detección de patrones y comportamientos anómalos que puedan indicar la presencia de un ataque.

Para llevar a cabo la detección de intrusos, se utilizan diferentes técnicas y herramientas. Una de las más comunes es el uso de sistemas de detección de intrusiones (IDS, por sus siglas en inglés). Estos sistemas analizan el tráfico de red en busca de patrones sospechosos y generan alertas cuando se detecta una actividad que podría ser maliciosa. Además, también se pueden emplear técnicas de análisis de registros, monitoreo de eventos y análisis de comportamiento.

La detección de intrusos es esencial para proteger los sistemas y datos de una organización frente a amenazas externas e internas. Permite identificar ataques en tiempo real y tomar medidas para mitigarlos, como bloquear direcciones IP sospechosas, cerrar puertos de red o notificar a los administradores de seguridad. Además, también puede ayudar en la investigación forense después de un incidente de seguridad para determinar cómo ocurrió y qué información se vio comprometida.

Es importante destacar que la detección de intrusos no es una solución única y definitiva para garantizar la seguridad de un sistema. Debe ser complementada con otras medidas de seguridad, como firewalls, sistemas de prevención de intrusiones (IPS) y políticas de seguridad robustas. Además, también debe ser actualizada y adaptada constantemente para hacer frente a las nuevas amenazas y técnicas de ataque que van surgiendo.

En resumen, la detección de intrusos informática es un componente esencial de un sistema de seguridad cibernética. Permite identificar y responder de manera proactiva a las posibles amenazas y ataques, protegiendo los sistemas y datos de una organización. Sin embargo, debe ser complementada con otras medidas de seguridad y actualizada constantemente para mantenerse efectiva frente a las nuevas amenazas.

Sistemas de detección de intrusiones

Un sistema de detección de intrusiones (IDS, por sus siglas en inglés) es una herramienta esencial en la seguridad informática. Su principal objetivo es detectar y responder a actividades maliciosas o no autorizadas en una red o sistema. El IDS monitorea constantemente el tráfico de red y los eventos del sistema en busca de patrones o comportamientos anómalos que puedan indicar una intrusión.

Existen dos tipos principales de IDS: los basados en red y los basados en host. Los IDS basados en red se colocan en puntos estratégicos de la red para analizar el tráfico en busca de actividad sospechosa. Por otro lado, los IDS basados en host se instalan directamente en los sistemas individuales para monitorear su actividad interna y detectar intrusiones.

Los IDS utilizan firmas para identificar actividades maliciosas conocidas. Estas firmas son patrones o características específicas que se comparan con el tráfico o eventos en tiempo real para determinar si hay una coincidencia. Sin embargo, los IDS también pueden utilizar técnicas de anomalía para detectar comportamientos inusuales que no se ajusten a los patrones conocidos.

Una vez que el IDS detecta una posible intrusión, puede tomar una serie de acciones para responder a la amenaza. Estas acciones pueden incluir alertas a los administradores, bloqueo del tráfico malicioso, generación de registros detallados para su posterior análisis o incluso la interrupción de la conexión con el sistema comprometido.

En resumen, un sistema de detección de intrusiones es una parte fundamental de la seguridad informática, ya que ayuda a identificar y responder a actividades maliciosas o no autorizadas en una red o sistema. Mediante el uso de firmas y técnicas de anomalía, los IDS pueden detectar intrusiones y tomar medidas para mitigar los riesgos asociados.

Fuente

Aspectos avanzados de seguridad en redes
UOC
Jordi Herrera Joancomartí (coord.)
Joaquín García Alfaro
XP04/90789/00892
Xavier Perramón Tornil

Si quieres conocer otros artículos parecidos a Arquitectura general de un sistema de detección de intrusiones puedes visitar la categoría ARQUITECTURA SOFTWARE.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Subir