Sistemas de detección de Intrusiones (IDS)

Internet es un medio excepcional para la comunicación entre personas y para la transmisión de información. Este hecho hace que sea muy importante controlar los accesos a los sitios web, así como las intenciones de esas conexiones. Por motivo de esta necesidad de control de accesos, nació el IDS.

El IDS (Intrusion Detection System) es una aplicación instalada en un ordenador o dispositivo red, con el fin de hallar indicios de actividades maliciosas. Este sistema analiza el tráfico que pasa por los puntos de acceso al sistema o red, y analiza su comportamiento y contenido.

Los IDS se clasifican, principalmente, en dos grandes grupos, según a qué esté enfocado su módulo de captura de información:

  • HIDS: son IDS basados en Host. Son sistemas pasivos, ya que basan su funcionamiento en analizar el rastro que los atacantes dejan al intentar realizar alguna actividad fraudulenta en el sistema.
  • NIDS: son IDS basados en red. Al contrario que los HIDS, son sistemas activos, los cuales analizan todo el tráfico de red en tiempo real en busca de amenazas para prevenirlas, y en caso de ataque, activar la contramedida oportuna.


Los IDS se clasifican en otros dos grupos, atendiendo al modo de detección de ataques, una vez que se ha capturado la información:

  • Basado en firmas: se basa en comparar el registro de huellas que los atacantes dejan en la intrusión, con las firmas que se han registrado en ataques anteriores. Este método tiene el inconveniente de es necesario que existan antecedentes de las huellas para poder detectar el ataque.
  • Basado en anomalías: su funcionamiento consiste en alertar al usuario de posibles amenazas según se va registrando el tráfico de red. Para ello, el IDS analiza características de la red, como el ancho de banda, los protocolos de los mensajes que llegan o los puertos por lo que se accede. Este tipo de detección también se le llama heurístico.


En comparación con los cortafuegos, los IDS sí ven qué está ocurriendo de puertas para adentro, mientras que el firewall es un muro estático que frena accesos indebidos. La seguridad de la red vendrá dada por la correcta implantación de estos dos sistemas, prestando atención a que no se solapen servicios de uno y otro.

En entregas poteriores, hablaremos de una herramienta concreta que proporciona servicios de IDS en red: Snort.

No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)