Qué es el sistema de detección de intrusos

ElIDS, o bien, sistema de detección de intrusos es unsoftware que se encarga de detectar los accesos no autorizados que seevidencian dentro de una red o computador. LosIDS cuentan con sensores virtuales a través de los cuales adquieren datosexternos. Debido a los sensores, el IDS tiene la oportunidad de detectar unavariedad de anomalías que serían la muestra más evidente de falsas alarmas yataques.

¿Cómo funciona el sistema de detección de intrusos?

El funcionamiento de esta herramienta estábasado en un análisis al por menor del tráfico de red, quien en el momento queentra al analizador comienza a ser comparado con comportamientos sospechosos yfirmas de ataques conocidos, como en el caso del escaneo de puertos y paquetesmalformados. Además de analizar el tipo de tráfico, el IDS también supervisa elcontenido y comportamiento que ostente.

Esta herramienta se encuentra integrada aun firewall. El detector de intrusos tiene la incapacidad de detener losataques por sí mismo. Claro, esto no es aplicable en aquellos que trabajan deforma conjunta con un dispositivo de puerta de enlace, ya que se terminaconvirtiendo en una herramienta de relevancia al unirse con el bloqueo defirewall y la inteligencia del IDS. Este es el punto donde pasan, de maneraforzosa, los paquetes, y terminan siendo bloqueados antes de que se efectúe lapenetración en la red.

Los IDS ostentan de una base de datos dondese almacenan las 'firmas' de los ataques más comunes. A través de esta firma selogra distinguir de un uso fraudulento y un uso normal del PC, además del tipode tráfico que ha llegado a la red, que bien puede ser normal o un intento deataque.

Hay una amplia variedad de sistemas de detección de intrusiones.Estos inician desde antivirus y culminan en sistemas jerárquicos. La divisiónes evidente, ya que el principio de funcionamiento está determinado por eléxito de los intrusos, quienes suelen dejar rastro de las actividades cuando elequipo es atacado, o bien cuando se intentan adueñar con la finalidad deefectuar distintas actividades.

Cómo se divide el sistema de detección de intrusos

Los sistemas tienden a dividirse entrereactivos o pasivos. En los pasivos solamente se detecta la probabilidad de unaintrusión, se procede a almacenar la información y se envía una alerta que esalmacenada en una base de datos. En cuanto a los reactivos, el IDS sueleresponder a la actividad tras reprogramar el cortafuego con la intensión debloquear el tráfico de donde proviene el atacante. Aquellos sistemas quereaccionan frente al ataque llegando a prevenir que continúe, son denominadosIPS.

La manera de determinar si un ataque se encuentra en curso suele basarse en las siguientes técnicas: Heurística y patrón. Este último, que consiste en IDS basado en patrones, se encarga de analizar el paquete en la red y procede a comprarlo con patrones preconfigurados o de ataques conocidos. La denominación de estos patrones es firma. A raíz de esta técnica suele presenciarse un periodo de tiempo entre el ataque y patrón y su descubrimiento, hasta que llega a configurarse en un IDS. La Heurística, por otro lado, consisten en IDS que se rigen por la actividad normal de la red, como los protocolos, orden de ancho de banda, dispositivos y puertos que suelen conectarse. En caso de que llegue a acceder cualquiera que se considere a normal, pasará a considerarse anómalo.

Tal vez te interese: https://ihackear.com/que-es-el-phishing/