2. IDS/IPS
Un IDS o “sistema de detección de intrusiones” es un software
especialmente diseñado para brindar protección a una red o a un
sistema contra el tráfico malicioso. A menudo, cualquier
actividad que parezca peligrosa se informa a un administrador.
Un IPS o “sistema de prevención de intrusiones” (también
conocido como “sistemas de prevención y detección de
intrusiones” o IPDS), es una aplicación que identifica, informa
e incluso previene malware potencial.
3. Características
IDS
• una vez detectado un posible
comportamiento malicioso: los
sistemas de detección, IDS, avisan a
los administradores para que pueda
analizar y actuar en consecuencia
IPS
• Los de protección, IPS, aplican una
serie de políticas que intentan
detener las actividades maliciosas.
Ambos sistemas pueden utilizarse
en las mismas redes y utilizan las
mismas técnicas si bien es el matiz
de su actuación una vez detectada
una amenaza el que los diferencia.
4. Ventajas y Desventajas
IDS
Ventajas
Puede rastrear cada paso de un ataque.
Facilidad de actualización y la gran
cantidad de firmas que posee en su base
de datos
Desventajas
No se puede bloquear el trafico de
intrusos
Se requiere un alto conocimiento de
seguridad informatica
IPS
Ventajas
Los IPS combinan múltiples
funcionalidades como firewall,
detección de anomalías de protocolo,
antivirus, valoración de vulnerabilidades,
filtrado de contenidos.
Desventajas
Se pueden identificar los basados en
firmas de ataque.
5. Snort
Es un IDS en tiempo real desarrollado por Marty Roesch y disponible
bajo GPL. Se puede ejecutar en máquinas UNIX y Windows. Es el
número uno en sistemas de detección de intrusos en este momento[1].
Dispone actualmente de 1.200 filtros y de multitud de aplicaciones para
el análisis de sus alertas.
En Snort no es posible separar el componente de análisis y los sensores
en máquinas distintas. Sí que es posible ejecutar Snort atendiendo a
varios interfaces a la vez (cada uno podría estar monitorizando lugares
distintos dentro de una red), puesto que se basa en la librería pcap1, pero
esto no permite ningún reparto de carga en el proceso de análisis. Es
más, ni aun disponiendo de una máquina multiprocesador es posible (en
estos momentos) hacer balanceo de carga por CPU. Esto es así porque la
opción de compilación multihilo de Snort está todavía en fase de pruebas
y no es muy estable, lo que obliga a ejecutar Snort como un proceso
monolítico.
6. Snort
Es un IDS en tiempo real desarrollado por Marty Roesch y disponible
bajo GPL. Se puede ejecutar en máquinas UNIX y Windows. Es el
número uno en sistemas de detección de intrusos en este momento[1].
Dispone actualmente de 1.200 filtros y de multitud de aplicaciones para
el análisis de sus alertas.
En Snort no es posible separar el componente de análisis y los sensores
en máquinas distintas. Sí que es posible ejecutar Snort atendiendo a
varios interfaces a la vez (cada uno podría estar monitorizando lugares
distintos dentro de una red), puesto que se basa en la librería pcap1, pero
esto no permite ningún reparto de carga en el proceso de análisis. Es
más, ni aun disponiendo de una máquina multiprocesador es posible (en
estos momentos) hacer balanceo de carga por CPU. Esto es así porque la
opción de compilación multihilo de Snort está todavía en fase de pruebas
y no es muy estable, lo que obliga a ejecutar Snort como un proceso
monolítico.