Qué es el sistema de detección de intrusos

sistema de detección de intrusos

El IDS, o bien, sistema de detección de intrusos es un software que se encarga de detectar los accesos no autorizados que se evidencian dentro de una red o computador. Los IDS cuentan con sensores virtuales a través de los cuales adquieren datos externos. Debido a los sensores, el IDS tiene la oportunidad de detectar una variedad de anomalías que serían la muestra más evidente de falsas alarmas y ataques.

¿Cómo funciona el sistema de detección de intrusos?

El funcionamiento de esta herramienta está basado en un análisis al por menor del tráfico de red, quien en el momento que entra al analizador comienza a ser comparado con comportamientos sospechosos y firmas de ataques conocidos, como en el caso del escaneo de puertos y paquetes malformados. Además de analizar el tipo de tráfico, el IDS también supervisa el contenido y comportamiento que ostente.

Esta herramienta se encuentra integrada a un firewall. El detector de intrusos tiene la incapacidad de detener los ataques por sí mismo. Claro, esto no es aplicable en aquellos que trabajan de forma conjunta con un dispositivo de puerta de enlace, ya que se termina convirtiendo en una herramienta de relevancia al unirse con el bloqueo de firewall y la inteligencia del IDS. Este es el punto donde pasan, de manera forzosa, los paquetes, y terminan siendo bloqueados antes de que se efectúe la penetración en la red.

Los IDS ostentan de una base de datos donde se almacenan las 'firmas' de los ataques más comunes. A través de esta firma se logra distinguir de un uso fraudulento y un uso normal del PC, además del tipo de tráfico que ha llegado a la red, que bien puede ser normal o un intento de ataque.

Hay una amplia variedad de sistemas de detección de intrusiones. Estos inician desde antivirus y culminan en sistemas jerárquicos. La división es evidente, ya que el principio de funcionamiento está determinado por el éxito de los intrusos, quienes suelen dejar rastro de las actividades cuando el equipo es atacado, o bien cuando se intentan adueñar con la finalidad de efectuar distintas actividades.

Cómo se divide el sistema de detección de intrusos

Los sistemas tienden a dividirse entre reactivos o pasivos. En los pasivos solamente se detecta la probabilidad de una intrusión, se procede a almacenar la información y se envía una alerta que es almacenada en una base de datos. En cuanto a los reactivos, el IDS suele responder a la actividad tras reprogramar el cortafuego con la intensión de bloquear el tráfico de donde proviene el atacante. Aquellos sistemas que reaccionan frente al ataque llegando a prevenir que continúe, son denominados IPS.

La manera de determinar si un ataque se encuentra en curso suele basarse en las siguientes técnicas: Heurística y patrón. Este último, que consiste en IDS basado en patrones, se encarga de analizar el paquete en la red y procede a comprarlo con patrones preconfigurados o de ataques conocidos. La denominación de estos patrones es firma. A raíz de esta técnica suele presenciarse un periodo de tiempo entre el ataque y patrón y su descubrimiento, hasta que llega a configurarse en un IDS. La Heurística, por otro lado, consisten en IDS que se rigen por la actividad normal de la red, como los protocolos, orden de ancho de banda, dispositivos y puertos que suelen conectarse. En caso de que llegue a acceder cualquiera que se considere a normal, pasará a considerarse anómalo.

Tal vez te interese: https://ihackear.com/que-es-el-phishing/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir