Sistemas de detección de intrusos (IDS)

Un sistema de detección de intrusos o IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático en busca de intentos de comprometer la seguridad de dicho sistema.

Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

Tipos IDS.

• HIDS (Host IDS): Protegen un único servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión. Recaban información del sistema como ficheros, logs, recursos, etc., para su posterior análisis en busca de posibles incidencias.

• NIDS (Net IDS): Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan en tiempo real todos los paquetes que circulan por un segmento de red ).

Arquitectura IDS

• Fuente de recogida de datos: Pueden ser un log, dispositivo de red o el propio sistema
• Reglas y filtros sobre los datos y patrones para detectar anomalías de seguridad en el sistema
• Dispositivo generador de informes y alarmas.

Con respecto a la ubicación del IDS se recomienda disponer uno delante y otro detrás del cortafuegos perimetral de nuestra red, para obtener información exacta de los tipos de ataques que recibe nuestra red .