SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSOS

SISTEMAS DE DETECCIÓN Y PREVENCIÓN DE INTRUSOS.

Siempre ha existido la necesidad de proteger la información importante, debido a que es el recurso más valioso dentro de una organización o incluso para una persona, el hecho de que información de relevancia sea accedida por entes no deseados puede convertirse en una amenaza de alto riesgo. Teniendo en cuenta esto y que los sistemas de cómputo son la estructura que soporta los sistemas de información actuales, se puede afirmar que la seguridad de la red se ha convertido en un aspecto fundamental para cualquier empresa. Esta seguridad está constituida por tres aspectos fundamentales: la prevención, la detección y la respuesta. Sin embargo la mayoría de los recursos se han dedicado a las dos primeras, porque si somos capaces de detectar y evitar las amenazas de seguridad, no hay necesidad de emitir una respuesta.

Se puede definir la detección de intrusos como un método para detectar el intento de acceso (buscando obtener información valiosa a la que generalmente le dará mal uso) no autorizado a un sistema. El proceso de intrusión en un sistema está conformado por varias fases que empiezan con la selección del objetivo a atacar, lo cual es seguido por un reconocimiento que busca obtener toda la información posible de la víctima y encontrar puntos débiles o huecos en el sistema que posteriormente serán utilizados para acceder al mismo, obteniendo finalmente el uso de sus recursos. Dentro de los peligros asociados a la intrusión de un sistema se pueden resaltar la pérdida de datos personales, privacidad comprometida y responsabilidad legal.

Un Sistema de Detección de Intrusos (IDS), es un sistema que se utiliza para detectar intrusiones no autorizadas en los sistemas y redes informáticas. El funcionamiento de estos sistemas se basa en el análisis detallado del tráfico de la red, el cual es comparado con firmas de ataques conocidos o comportamientos sospechosos, como lo son paquetes anómalos, el escaneo de puertos, entre otros. El sistema de detección de intrusos no solo divisa que tipo de tráfico transita, sino que también revisa su contenido y comportamiento. Los IDS cuentan con una base de datos de firmas de ataques conocidos, que le permiten por un lado distinguir entre el uso normal de una estación de trabajo y el uso fraudulento, y por otro difiere entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. Los IDS son clasificados acorde a su ámbito de supervisión; los que vigilan una zona amplia, llamados Sistemas de Detección de Intrusos basado en Red (NIDS), y los que tienen un alcance limitado, llamados Sistemas de Detección de Intrusos basado en Host (HIDS). Los NIDS supervisan el tráfico de la red para detectar intrusiones, ellos son los responsables de detectar datos raros, inapropiados, o de otro tipo que puedan ser considerados no autorizados y/o con efectos nocivos en la red. Un NIDS está constituido por varias partes que trabajan en conjuntos para generar una alerta, estas partes son: Network Tap/Load Balancer, Network Sensor/Monitoring, Analizer, Alert Notifier, Command Console/Manager, Response Subsystem y Database. Dentro de las ventajas de la utilización de NIDS sobre HIDS tenemos la capacidad de detectar los ataques, dificultad de los ataques para eliminar evidencias del mismo, detección y respuesta en tiempo real, y capacidad de detectar los ataques fallidos y malintencionados. Por otro lado es oportuno señalar que los puntos ciegos y el cifrado de datos son debilidades de este sistema. En cuanto a los HIDS se tiene que es un sistema de inspección local, que busca la detección de actividades maliciosas en un solo ordenador, haciendo uso de un software que monitorea logs específicos del sistema operativo, en los cuales se incluyen el sistema, eventos y registros de seguridad. Las ventajas de un HIDS pueden ser la capacidad de verificar rápidamente el éxito o el fracaso de un ataque, monitoreo a bajo nivel, notificar en tiempo real una detección y respuesta, capacidad de hacer frente a entornos cifrados y conmutados, y la relación costo-efectividad. Este sistema también tiene dos debilidades que son un punto de vista miope y la susceptibilidad a manipulaciones indebidas.

...