1420469
0
Resource summary
IDS - Intrusion Detection
System
1 Definición
1.1 Herramienta monitora de Sistemas
de Información en busca de intentos
de intrusión.
2 Arquitectura
2.1 CIDF - Common
Intrusion Detection
Framework
2.1.1 Equipos E - Sensores - Detectar Eventos y Lanzar Informes
2.1.2 Equipos A - Reciben informes y realizan análisis.
2.1.3 Equipos D - Componentes de bases de datos.
2.1.4 Equipos R - Responden a los eventos.
2.2 CISL - Common
Intrusion Specification
Language
2.2.1 Información de eventos en bruto. Unión Equipos E y A.
2.2.2 Resultados de los análisis - Unión equipos A y D.
2.2.3 Prescripciones de respuestas - Unión equipos A y R.
3 Clasificación
3.1 IDSs basados en red (NIDS).
3.1.1 Detectan ataques capturando y analizando
paquetes de la red. Están formados por un conjunto
de sensores localizados en varios puntos de la red.
3.1.2 Bien localizado puede monitorizar una red
grande, Debe tener la capacidad suficiente
para analizar todo el tráfico.
3.1.3 Dificultades en red grande. No analizan información cifrada. No
saben si el ataque tuvo éxito o no. Problema con paquetes
fragmentados. La implementación de la pila TCP/IP es diferente,
3.2 IDSs basados en host (HIDS).
3.2.1 Operan sobre la información recogida desde dentro de una
computadora. pueden ver el resultado de un intento de
ataque. Acceden a los archivos y procesos del sistema.
3.2.2 Pueden detectar ataques que no
pueden ser vistos por un NIDS.
Anaiizan los datos antes de cifrarse.
3.2.3 Más costosos de administrar. Sobre cada host.
No son adecuados para ataques en una red
grande. Pueden ser deshabilitados por ataques
DoS.
4 Tipos de análisis
4.1 Detección de abusos
4.1.1 Buscan eventos que coincidan con un patrón predefinido
4.1.2 Efectivos. Diagnóstico rápido y preciso.
4.1.3 Solo detectan aquellos ataques que
conocen. Necesitan update constante.
4.2 Detección de anomalías
4.2.1 Identifican comportamientos inusuales en un host o una red.
4.2.2 Detectar ataques para los cuales no tienen un
conocimiento específico. Obtiene reglas para
usar en detección de abusos.
4.2.3 Produce un gran número de falsas alarmas.
Necesita entrenamientos muy grandes.