Sistemas de control de accesos y alarmas de detección de intrusos

sistemas de control de accesos y alarmas de detección de intrusos

¿Qué es un IDS?

Un IDS (Intrusion Detection System) es un software de seguridad cuya función es detectar accesos no autorizados en un sistema o una red de ordenadores, y en base a ello, generar algún tipo de alerta o log para que posteriormente pueda ser gestionado por el administrador de sistemas correspondiente.

A diferencia de un IPS (Intrusion Prevention System), el IDS no actúa ante un posible ataque, simplemente alerta del mismo. Podríamos decir que el IPS es en base, la misma idea, pero que, al detectar una intrusión, ejerce alguna función determinada en base al tipo de ataque, para prevenir que este llegue a ser efectuado o mitigarlo en caso de que ya se haya materializado.

Tipos de IDS (en base a su radio de actuación)

HIDS (HostIDS) – Monitorea el tráfico entrante y saliente de un host específico. Sólo actúa en el host en el que está corriendo (recomendado para servidores web).

NIDS (NetworkIDS) – Captura todo el tráfico de la red y detecta tráfico inusual (están constituidos por un sniffer).

Una ventaja del HIDS, a diferencia del NIDS, es que monitoriza el sistema operativo y procesos del sistema específicos del host. También controla comportamiento malicioso como cambios en el registro, directorios, ejecución de programas y actividades que puedan causar buffer overflows.

También puede ayudar a detectar si el host forma parte de un ataque DDoS o de una sesión ilícita de FTP. Al no tener una visión de la red, para que sea más efectivo debe haber uno por cada host de la red y ser compatible con los distintos sistemas operativos. Detecta tráfico cifrado.