QUE ES IDS El IDS es un sistema de deteccin de intrusos, escucha el trfico en la red para detectar actividades anormales o sospechosas, y de este

modo, reducir el riesgo de intrusin PARA QUE SIRVE El IDS se utiliza para detectar accesos no permitidos a una red. Adems acta como un daemon o servicio estndar en el sistema de un host. Tradicionalmente, el IDS analiza la informacin particular almacenada en registros y tambin captura paquetes de la red que se introducen/salen del host para poder verificar las seales de intrusin como ataques por denegacin de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecucin de cdigos malignos o ataques de desbordamiento de bfer. DONDE SE UBICA Un IDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El IDS pone uno o ms de los adaptadores de red exclusivos del sistema en modo promiscuo. ste es una especie de modo "invisible" en el que no tienen direccin IP. Tampoco tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han realizado desde dentro.

El IDS se encuentra en un host particular. Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.

TIPO DE ANALISIS Los principales tipos utilizados por N-IDS para analiza, informar y bloquear intrusiones son:

Reconfiguracin de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo como un filtro de paquetes o un firewall para que se reconfigure inmediatamente y as poder bloquear una intrusin. Esta reconfiguracin es posible a travs del envo de datos que expliquen la alerta en el encabezado del paquete. Envo de una trampa SNMP a un hipervisor externo: Envo de una alerta y detalles de los datos involucrados en forma de un datagrama SNMP a una consola externa como HP Open View Tivoli, Cabletron, Spectrum, etc. Envo de un correo electrnico a uno o ms usuarios: Envo de un correo electrnico a uno o ms buzones de correo para informar sobre una intrusin seria. Registro del ataque: Se guardan los detalles de la alerta en una base de datos central, incluyendo informacin como el registro de fecha, la direccin IP del intruso, la direccin IP del destino, el protocolo utilizado y la carga til. Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta. Apertura de una aplicacin: Se lanza un programa externo que realice una accin especfica (envo de un mensaje de texto SMS o la emisin de una alarma sonora). Envo de un "ResetKill": Se construye un paquete de alerta TCP para forzar la finalizacin de una conexin slo vlido para tcnicas de intrusin que utilizan el protocolo de transporte TCP. Notificacin visual de una alerta: Se muestra una alerta en una o ms de las consolas de administracin.

TIPOS DE IDS EJEMPLOS HIDS IDS: Procesan actividades de usuario NIDS IDS: Realizan sniffing en algn punto de red DIDS: Distribuidos en varios lugares de la red IDS Basados en Log: Precision y completitud

IDS COMERCIALES DRAGON Intruder Alert Net Prowier Iss Realsecure Cisco NetRanger

IDS NO COMRCIALES Shadow Network Fligh Recorder Tripwire Snort