Está en la página 1de 12

Sistemas de detección de

intrusiones

IDS
Un Sistema de Detección
de Intrusos o IDS (Intrusion
Detection System) es una
herramienta de seguridad
encargada de monitorizar
los eventos que ocurren en
un sistema informático en
busca de intentos de
intrusión.
Funcionamiento

Se lo puede definir como un proceso


de auditoria de la información del
sistema de la red o de un computador,
logrando a través de una
configuración y de una base de datos
“firmas” prevenir y detectar posibles
ataques de intrusos.
El proceso de detección de intrusos,
se lo define de la siguiente manera:
CLASIFICACION DE LOS IDS
TIPOS DE IDS
• NIDS.- IDS basados en Red, Estos IDSs
detectan ataques capturando y analizando
paquetes de la red. Escuchando en un segmento,
un NIDS puede monitorizar el tráfico que afecta a
múltiples hosts que están conectados a ese
segmento de red, protegiendo así a estos hosts.
Los IDSs basados en red a menudo están
formados por un conjunto de sensores localizados
en varios puntos de la red. Estos sensores
monitorizan el tráfico realizando análisis local e
informando de los ataques que se producen a la
• SNORT . es una fuente abierta de prevención y detección de intrusos
de red y
sistema, utiliza una norma impulsada por el idioma, que combina los beneficios de
la
firma, protocolo y anomalía basada en métodos de inspección.
• HIDS.- IDS basados en Host, estos solo
procesan determinadas actividades de los
usuarios o computadoras.
Los HIDS fueron el primer tipo de IDSs
desarrollados e implementados. Operan sobre la
información recogida desde dentro de una
computadora, como pueda ser los ficheros de
auditoría del sistema operativo.
A diferencia de los NIDSs, los HIDSs pueden ver el
resultado de un intento de ataque, al igual que
pueden acceder directamente y monitorizar los
VENTAJAS

• Los IDSs basados en host, al tener la capacidad


de monitorizar eventos locales a un host,
pueden detectar ataques que no pueden ser
vistos por un IDS basado en red.
• Pueden a menudo operar en un entorno en el
cual el tráfico de red viaja cifrado, ya que la
fuente de información es analizada antes de
que los datos sean cifrados en el host origen y/o
después de que los datos sea descifrados en el
host destino.
DESVENTAJAS
• Los IDSs basados en hosts son más costosos de
administrar, ya que deben ser gestionados y
configurados en cada host monitorizado. Mientras que
con los NIDS teníamos un IDS por múltiples sistemas
monitorizados, con los HIDS tenemos un IDS por
sistema monitorizado.
• Si la estación de análisis se encuentra dentro del host
monitorizado, el IDS puede ser deshabilitado si un
ataque logra tener éxito sobre la máquina.
• No son adecuados para detectar ataques a toda una
red (por ejemplo, escaneos de puertos) puesto que el
Sistemas de detección de
intrusiones

IPS
Un IPS se define como un dispositivo que ejerce el control de
acceso en una red para proteger a los sistemas i equipos de
posibles ataques.
Los IPS representan un desarrollo en los sistemas de
seguridad ya que cuentan con la capacidad de tomar
decisiones de control de acceso basado en los contenidos del
trafico como por ejemplo las direcciones IP fuente y destino o
los puertos de acceso.
VENTAJAS
• Protección preventiva antes de que ocurra el
ataque
• Defensa completa (Vulnerabilidades del Sistema
Operativo, Puertos, Trafico de IP, códigos maliciosos e
intrusos)
• Maximiza la seguridad y aumenta la eficiencia en la
prevención de intrusiones o ataques a la red de una
empresa.
• Fácil instalación, configuración y administración
• Es escalable y permite la actualización de
dispositivos a medida que crece la empresa
• No requiere tanta dedicación como un IDS
TIPOS DE IPS
IPS basados en host (HIPS):
Esta aplicación de prevención de intrusiones reside
en la dirección IP específica de un solo equipo,
permite prevenir posibles ataques en los nodos
débiles de una red es decir los host.
IPS basada en red (PIN): Esta aplicación IPS es
en hardware y cualquier acción tomada para
prevenir una intrusión en una red específica de host
(s) se hace de una máquina con otra dirección IP en
la red (Esto podría ser en un front-end de
cortafuegos).
Diferencias entre IDS e IPS
•IDS: Sistema de Detección de Intrusiones
• Solo detecta intrusiones, da alarmas pero no actúa
• Se conecta como una sonda en la red o en un equipo, sin
interferir el tráfico
• Utiliza solamente un interfaceEthernet, no corta la red
•IPS: Sistema de Prevención de Intrusiones
• Ademasde detectar, previene contra intrusiones actuando
de forma proactiva
• Se conecta en medio de la red, cortando la conexión
• Utiliza dos interfaces Ethernet
• Puede actuar conjuntamente con el Cortafuegos

También podría gustarte