Un sistema de detección de intrusos (IDS) utiliza sensores para monitorear el tráfico de red y detectar actividades sospechosas como escaneos de puertos o paquetes malformados mediante la comparación con firmas de ataques conocidos. Normalmente se integra con un firewall para bloquear el tráfico malicioso detectado por el IDS antes de que ingrese a la red. Existen dos tipos principales de IDS: host-based (HIDS) que monitorea un solo host, y network-based (NIDS) que supervisa todo un
1. Sistema de detección de intrusos
Un sistema de detección de intrusos (o IDS de sus siglas en inglés IntrusionDetectionSystem) es
un programa usado para detectar accesos no autorizados a un computador o a una red. Estos
accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas
automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS
puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a
dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de
red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o
comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el
contenido y su comportamiento.
Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de
detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo
depuerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy
poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto
donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en
la red.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o
entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del
mismo.
[editar]Tipos de IDS
Existen dos tipos de sistemas de detección de intrusos:
1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los
intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado,
cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras
actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y
hacer un reporte de sus conclusiones.
2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de
la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de
la red.
2. Vulnerabilidades en capas de modelo TCP/IP
Capa de red
En esta capa la mayor vulnerabilidad se encuentra en el factor humano, pues si alguien ajeno o
algún intruso tiene acceso al cuarto de comunicaciones, o al los equipos con los que se maneja
la red, puede modificar, borrar o restringir el acceso a la misma. Se deben de considerar
algunos aspectos para mantener protegida nuestra red, algunos son:
-Confidencialidad
-Autenticidad
-Integridad
Capa de Internet
Esta capa sufre de mayor ataque por medio de softwares espías, los cuales permiten recolectar
información a través de un proceso que se conoce como Sniffing, el cual es un término
asociado a la captura de información que circula por la red, en donde se puede hacer
una separación de la información, para discriminar si es relevante.
Otro punto es que la autentificacion en esta capa es a nivel de maquina, es decir solo se
identifica por la ip, pero esta puede ser cualquiera, cuando se encuentre alguien filtrado el
reseptorsera incapaz de reconocerlo,
Capa de Transporte
Las principales vulnerabilidades están asociadas a la autenticación de integración y
autenticación de confidencialidad. Estos términos se relacionan con el acceso a los
protocolos de comunicación entre capas, permitiendo la denegación o manipulación de
ellos.
Capa de Aplicación
Aqui los ataques se basan principalmente en 4 puntos asociados a la autentificacion de datos.
Punto1:Cuando se tiene acceso a la base de datos de los usuarios o de ip's, generalmente un
servidor de DNS funciona como esta.
Punto 2: Está dado por el servicio Telnet, el cual se encarga de autentificar la solicitud
de usuario, de nombre y contraseña que se trasmiten por la red, tanto por el canal de
datos como por el canal de comandos.
3. Punto 3: Está dado por File Transfer Protocol (FTP), el cual al igual que el servicio
Telnet, se encarga de autentificar. La diferencia se encuentra en que el FTP lo hace
más vulnerable ya que es de carácter anónimo.
Punto 4: Está dado por el protocolo HTTP, el cual es responsable del servicio World Wide
Web. Por este medio se puede ingresar por medio del link, esto claro es por deficiencias de
programación.