Sistemas de Detección de Intrusos (IDS)

1. Son

1.1. DISPOSITIVOS (equipos)

1.2. o APLICACIONES (software)

2. Tienen como función

2.1. ANALIZAR el TRÁFICO DE RED

2.1.1. Entrante

2.1.2. Saliente

2.2. con el fin de IDENTIFICAR actividad ANÓMALA

2.2.1. Ataques

2.3. o actividad NO AUTORIZADA: política de seguridad de una empresa

2.3.1. Ejemplos

2.3.2. Skype

2.3.3. Team Viewer

2.3.4. Tráfico P2P

3. Existen 2 tipos

3.1. Basados en RED (NetworkIDS)

3.1.1. Revisan cabeceras y datos

3.1.2. Mejores para revisar tráfico externo

3.1.3. Alcance amplio

3.1.4. Solo miran una parte de la red en entornos con switches

3.1.5. Buen complemento a los host IDS

3.1.6. Tasa alta de falsos positivos

3.1.7. No apropiados para redes con switches

3.1.8. No analizan tráfico cifrado

3.2. Basados en HOST (HostIDS)

3.2.1. Revisan solo datos

3.2.2. Produce sobrecarga del host

3.2.3. Buen complemento a IDS de red

3.2.4. Apropiados para redes con switches

3.2.5. Permiten análisis de paquetes cifrados

4. A diferencia de un IPS

4.1. su función es detectiva: envío de alertas (sistema PASIVO)

4.2. no es correctiva: un IPS bloquea (sistema REACTIVO)

4.3. pero hay IDSs ACTIVOS que pueden comportarse como IPSs

4.4. así que la DIFERENCIA puede ser muy SUTIL

5. A diferencia de un FIREWALL

5.1. analizan PAQUETES COMPLETOS, tanto CABECERAS como DATOS

5.2. un firewall solamente examina las CABECERAS de los paquetes

6. Referencias:

6.1. rediris.es/cert/doc/pdf/ids-uv.pdf

6.2. http://derecho-internet.org/docs/ids.pdf

6.3. http://ocw.uv.es/ingenieria-y-arquitectura/seguridad/2.4_ossec.pdf