Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras. Las funciones de este tipo de software son muy similares a las de los IDS. Configuraciones típicas permiten varios HIDS repartidos por la red que envian sus resultados a un servidor centralizado que los analizará en busca de los riegos y alertas antes mencionados. Este fue el primer tipo de software de detección de intrusos que se diseñó, siendo el objetivo original el Mainframe, donde la interacción exterior era infrecuente.
EXISTEN DOS TIPOS DE DETECCIÓN DE INTRUSOS:
1. HIDS (HostIDS):
Host-based intrusion detection system
HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras.
Las funciones de este tipo de software son muy similares a las de los IDS. Configuraciones típicas permiten varios HIDS repartidos por la red que envían sus resultados a un servidor centralizado que los analizará en busca de los riegos y alertas antes mencionados.
Este fue el primer tipo de software de detección de intrusos que se diseñó, siendo el objetivo original el Mainframe, donde la interacción exterior era infrecuente.
OBJETIVOS.
Las principales motivaciones para HID eran las de permitir innovaciones en los dispositivos de entrada a la computadora y simplificar el proceso de instalar esos dispositivos. Antes de HID, los dispositivos normalmente se ajustaban a muy estrictos protocolos para el ratón, teclados y joysticks. Cualquier innovación en el hardware requería sobrecargar el uso de datos en un protocolo existente o la creación de un nuevo driver y la evangelización de un nuevo protocolo para los desarrolladores de aplicaciones. En contraste con todos los dispositivos HID, entregan paquetes auto descriptivos que pueden contener una infinidad variada de tipos de datos y formatos. Un solo driver HID en la computadora analiza sintácticamente los datos y permite una asociación dinámica de datos de entrada y salida (I/O) con la funcionalidad de la aplicación. Éste tiene habilitado la innovación rápida y proliferación de nuevos dispositivos de interfaz humana.
Los objetivos principales y subyacentes de la definición de clase HID son:
- Ser lo más compacto posible para ahorrar espacio de datos del dispositivo.
- Permitir la aplicación de software para omitir información desconocida.
- Ser extensible y robusto.
- Que soporte la anidación y las colecciones.
- Ser auto descriptivo para permitir aplicaciones de software genéricas.
PROTECCIÓN DE LOS HIDS.
Los HIDS generalmente hacen todo lo posible para evitar que las bases de datos de objetos, de checksum y sus reportes sufran cualquier forma de manipulación. Después de todo, si los intrusos lograran modificar cualquiera de los objetos que los HIDS monitorean, nada podría detener a los intrusos de la modificación de este tipo a los propios HIDS - a menos que los administradores de seguridad tomen las precauciones adecuadas. Muchos gusanos y virus a tratar de desactivar las herramientas anti-virus, por ejemplo.
Aparte de las cripto-técnicas, los HIDS podrían permitir a los administradores almacenar las bases de datos en un CD-ROM o en otras dispositivos de memoria de sólo lectura (otro factor de lucha para las actualizaciones poco frecuentes...) o almacenarlos en una memoria fuera del sistema. Del mismo modo, un HIDS frecuentemente envía sus registros (logs) fuera del sistema de inmediato - por lo general utilizando canales VPN a algún sistema de gestión central.
Se podría argumentar que el módulo de plataforma de confianza es un tipo de HIDS. A pesar de su alcance difiere en muchos aspectos a la de un HIDS, fundamentalmente, proporciona un medio para identificar si hay algo/alguien que ha manipulado una porción de un ordenador. Arquitectónicamente este proporciona la máxima (por lo menos hasta ahora) detección de intrusiones basado en host, ya que depende de un hardware externo a la CPU en sí, por lo tanto por lo que es mucho más difícil para un intruso corromper a sus bases de datos de objetos y de checksums.
RECEPCIÓN.
InfoWorld opina que el software HIDS es una forma útil para administradores de red de encontrar malware, sugiriendo que debería usarse en todos los servidores, no solo en los servidores críticos.
2. NIDS (NetworkIDS):NIDS, Sistema de detección de intrusos en una Red. Busca detectar anomalías que inicien un riesgo potencial, tales como ataques de denegación de servicio, escaneadores de puertos o intentos de entrar en un ordenador, analizando el tráfico en la red en tiempo real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no sólo vigilan el tráfico entrante, sino también el saliente o el tráfico local, ya que algunos ataques podrían ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el tráfico es casi nula.
Para que los NIDS sean efectivos, han de ser actualizados periódicamente.
En caso de detectar un ataque contra el sistema, puede tomar medidas protectoras.
Un aspecto negativo de los NIDS actuales es su complicación a la hora de obtener las opciones de configuración óptimas para su ejecución. De otro modo, obtendremos demasiados falsos positivos (falsas alarmas, con gran cantidad de información que luego un administrador tendrá que procesar) o pasará sin advertir ciertos ataques.
El campo de los IDS y su versión para red NIDS está actualmente en activa investigación en diversas universidades como Columbia University y empresas de seguridad.
No hay comentarios:
Publicar un comentario