4.5+Detección+de+intrusos

Un **sistema de detección de intrusos ** (o **IDS ** de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

El aumento y la gravedad de los ataques hoy en día hacen que los sistemas de detección de intrusos sean una parte indispensable de la seguridad.

Las empresas tienen buenas razones comerciales y legales para establecer sólidas políticas de seguridad. Después de todo, su existencia depende de dichas políticas. Sin embargo, la empresa que no controle el abuso de estas políticas perderá un importante componente de seguridad. Si no implementan ningún control, los ejecutivos nunca sabrán si se cumplen sus políticas de seguridad. Por esta razón, es esencial instalar un Sistema de Detección de Intrusos (IDS).

Este artículo discute las razones para invertir en un Sistema de detección de intrusos (IDS) y los aspectos clave que deben tener en cuenta las empresas cuando evalúen un sistema.

Las empresas algunas veces invierten en un sistema de detección de intrusos IDS que es difícil de soportar, que reporta demasiados falsos positivos (ataques aparentes generados por actividades legítimas) y que no puede responder a la velocidad de la red. Para reducir las posibilidades de que suceda esto, las empresas deben tener en cuenta los siguientes criterios cuando evalúen un sistema de detección de intrusos IDS. =Definición de sistema de detección de intrusos= Un sistema de detección de intrusos (IDS) es un proceso o dispositivo activo que analiza la actividad del sistema y de la red por entradas no autorizadas y/o actividades maliciosas. La forma en que un IDS detecta las anomalías pueden variar ampliamente; sin embargo, el objetivo final de cualquier IDS es el de atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos. Un IDS protege a un sistema contra ataques, malos usos y compromisos. Puede también monitorear la actividad de la red, auditar las configuraciones de la red y sistemas por vulnerabilidades, analizar la integridad de los datos y más. Dependiendo de los métodos de detección que seleccione utilizar, existen numerosos beneficios directos e incidentales de usar un IDS.

Tipos de IDS
Entender que es un IDS y las funciones que proporciona, es clave para determinar cuál será el tipo apropiado para incluir en una política de seguridad de computación. Esta sección discute los conceptos detrás de los IDSes, las funcionalidades de cada tipo de IDS y la aparición de los IDSes híbridos, que emplean varias técnicas de detección y herramientas en un sólo paquete. Algunos IDSes están //basados en conocimiento//, lo que alerta a los administradores de seguridad antes de que ocurra una intrusión usando una base de datos de ataques comunes. Alternativamente, existen los IDS basados en //comportamiento//, que hacen un seguimiento de todos los recursos usados buscando cualquier anomalía, lo que es usualmente una señal positiva de actividad maliciosa. Algunos IDSes son servicios independientes que trabajan en el fondo y escuchan pasivamente la actividad, registrando cualquier paquete externo sospechoso. Otros combinan las herramientas de sistemas estándar, configuraciones modificadas y el registro detallado, con la intuición y la experiencia del administrador para crear un kit poderoso de detección de intrusos. Evaluando las diferentes técnicas de detección de intrusos lo ayudará a encontrar aquella que es adecuada para su organización. Los tipos más importantes de IDSes mencionados en el campo de seguridad son conocidos como IDSes //basados en host// y //basados en red//. Un IDSes basado en host es el más completo de los dos, que implica la implementación de un sistema de detección en cada host individual. Sin importar en qué ambiente de red resida el host, estará protegido. Un IDS basado en la red filtra los paquetes a través de un dispositivo simple antes de comenzar a enviar a host específicos. Los IDSes basados en red a menudo se consideran como menos completos puestos que muchos host en un ambiente móvil lo hacen indisponible para el escaneo y protección de paquetes de red.