1. IDS ( Intrusion Detection System )
¿ Qué hacer cuando l@s intrus@s ya están en nuestra red ?
Detectar intrusiones es una tarea muy compleja para la que se ha ido desarrollando un software
específico denominado sistema de detección de intrusiones, IDS.
Estas aplicaciones suelen ser propietarias y muy complejas de utilizar, por lo que su uso suele
limitarse a grandes redes que requieren una seguridad muy concreta.
Aunque existen sistemas que utilizan conceptos tan avanzados como la inteligencia artificial, la
mayoría se basan en el uso de bibliotecas de normas, que describen las condiciones del tráfico para
técnicas de ataque o intrusiones ya conocidas.
Los IDS son un paso adelante en las funciones que implementan los cartafuegos, a los que
dedicaremos la unidad siguiente, y algunas de sus funcionalidades suelen integrarse en ellos,
aunque a un nivel mucho más bajo.
Existen varias herramientas interesantes de detección de intrusos pera su uso es bastante complejo,
algunos ejemplos más representativos son Tripwire Enterprise y Snort:
• Tripwire Enterprise, que permite detectar los acciones en la red que no se ajustan a la política de
seguridad de la empresa, e informar de aquellos que necesitan especial atención.
Ofrece soporte para Windows y Linux, además de para entornos virtuales, como las creados con
VMWare, pero es una aplicación propietaria, pensada para grandes redes con un tráfico y un
número de usuarios muy elevado.
• Snort, que es una aplicación de código abierto que permite tanto la detección de intrusión como
su prevención. Existen versiones para sistemas Windows, aunque el grueso del proyecto se
desarrolla para entornos Linux. En cualquier caso, será necesario instalar algunos paquetes
adicionales que garanticen el funcionamiento de la aplicación, en el caso de las distribuciones
Linux, par ejemplo, se instalarán Libpcap, PCRE, Libnet y Barnyar, que también son de código
abierto.
Este IDS escucha el tráfico de la red en tiempo real y lo relaciona con una serie de normas ya
predefinidas, que pueden descargarse desde Internet. Cuando encuentra alguna coincidencia alerta
sobre ella, hace un lag de dicho tráfico o lo ignora, según se haya indicado en la norma.
Puedes conseguir una versión de evaluación de Tripwire a través de su Web :
http://www.tripwire.com