- Sistemas
pasivos y sistemas reactivos - Implementación
- Soluciones de
Seguridad - Kernel de
Linux - Servicio de red privada virtual
(VPN)
Un sistema de
detección de intrusos (o IDS de sus siglas en inglés
Intrusion Detection System) es un programa usado
para detectar accesos desautorizados a un computador o a
una red. Estos
accesos pueden ser ataques de habilidosos hackers, o
de Script Kiddies que usan herramientas
automáticas.
El IDS suele tener sensores
virtuales (por ejemplo, un sniffer de red) con los
que el núcleo del IDS puede obtener datos externos
(generalmente sobre el tráfico de red). El IDS detecta,
gracias a dichos sensores, anomalías que pueden ser
indicio de la presencia de ataques o falsas alarmas.
Existen tres tipos de sistemas de
detección de intrusos los cuáles son:
- HIDS (HostIDS): un IDS
vigilando un único ordenador y por tanto su interfaz
corre en modo no promiscuo. La ventaja es que la carga de
procesado es mucho menor. - NIDS (NetworkIDS): un
IDS basado en red, detectando ataques a todo el segmento de
la red. Su interfaz debe funcionar en modo promiscuo
capturando así todo el tráfico de la
red. - DIDS (DistributedIDS):
sistema basado en la arquitectura
cliente–servidor
compuesto por una serie de NIDS (IDS de redes) que actúan
como sensores centralizando la información de posibles ataques en una
unidad central que puede almacenar o recuperar los datos de
una base de
datos centralizada. La ventaja es que en cada NIDS se
puede fijar unas reglas de control
especializándose para cada segmento de red. Es la
estructura
habitual en
redes privadas virtuales
(VPN).
El funcionamiento de estas
herramientas se basa en el análisis pormenorizado del tráfico
de red, el cual al entrar al analizador es comparado con firmas
de ataques conocidos, o comportamientos sospechosos, como puede
ser el
escaneo de
puertos, paquetes
malformados, etc. El IDS no sólo analiza qué tipo
de tráfico es, sino que también revisa el contenido
y su comportamiento.
Normalmente esta herramienta se
integra con un firewall.
El detector de intrusos es incapaz de detener los ataques por
sí solo, excepto los que trabajan conjuntamente en un
dispositivo de
puerta de enlace
con funcionalidad de firewall,
convirtiéndose en una herramienta muy poderosa ya que se
une la inteligencia
del IDS y el poder de
bloqueo del firewall, al ser el punto donde forzosamente deben
pasar los paquetes y pueden ser bloqueados antes de penetrar en
la red.
Los IDS suelen disponer de una
base de datos de "firmas" de ataques conocidos.
Dichas firmas permiten al IDS
distinguir entre el uso normal del PC y el uso fraudulento, y/o
entre el tráfico normal de la red y el tráfico que
puede ser resultado de un ataque o intento del mismo.
Sistemas pasivos y sistemas
reactivos
En un sistema pasivo, el sensor
detecta una posible intrusión, almacena la
información y manda una señal de alerta que se
almacena en una base de datos. En un sistema reactivo, el IDS
responde a la actividad sospechosa reprogramando el
cortafuegos para que bloquee tráfico que proviene de
la red del atacante.
Implementación
Para poner en funcionamiento un
sistema de detección de intrusos se debe tener en cuenta
que es posible optar por una solución hardware, software o incluso una
combinación de estos dos. La posibilidad de introducir un
elemento hardware es debido al alto requerimiento de procesador en
redes con mucho tráfico. A su vez los registros de
firmas y las bases de datos con los posibles ataques necesitan
gran cantidad de memoria, aspecto
a tener en cuenta.
En redes es necesario considerar
el lugar de colocación del IDS. Si la red está
segmentada con hub (capa 1 del
modelo
OSI) no
hay problema en analizar todo el tráfico de la red
realizando una conexión a cualquier puerto. En cambio, si se
utiliza un switch (capa 2
del modelo OSI), es necesario
conectar el IDS a un puerto
SPAN (Switch Port
Analiser) para poder analizar todo el tráfico de esta
red.
Soluciones de Seguridad
La seguridad es un
tema muy importante para cualquier empresa, este o
no conectada a una red pública. No solamente es
importante, sino que también puede llegar a ser
compleja.
Los niveles de seguridad que se pueden implementar son muchos y
dependerá del usuario hasta donde quiera
llegar.
La seguridad
informática y de datos dista mucho de simplemente
tener un Firewall. Se aborda un proceso de
seguridad recomendado a utilizar (al menos) las siguientes
herramientas.
- Un firewall o
combinación de ellos. - Proxies.
- Un sistema de detección
de intrusos o IDS. - Sistemas de
actualización automática de software. - Sistemas de control de la
integridad de los servidores,
paquetes, etc. - Un sistema de administración y control para monitorear
la seguridad.
Kernel de Linux
Cuando se configura un firewall en
Linux, esta
configuración no se realiza en una aplicación que
corre en el equipo, sino en el mismo núcleo del sistema
operativo.
La estabilidad y robustez que caracterizan a Linux la obtiene de
su núcleo, este es uno de los pedazos de software mejor
programados que existen, por lo tanto utilizando un Linux como
firewall se obtienen muchos beneficios.
- Velocidad – el núcleo es
el que tiene mayor prioridad de procesamiento entre todos los
procesos - Mantenimiento de software hecho
por miles de programadores – el núcleo de Linux lo
mantienen muchas personas, por lo que las actualizaciones del
mismo (potenciales agujeros de seguridad o "puertas traseras")
son arregladas y publicadas con gran velocidad. - Estabilidad – no es una
aplicación ejecutandose en forma paralela - Pocos requerimientos de
hardware
Página siguiente |