Los llamados IDS son una medida de seguridad que se implementa con la finalidad de detectar amenazas que por lo general no son detectadas por los cortafuegos o los antivirus, los ids se pueden operar bajo 2 modalidades, los analisadores de red conocidos como NIDS que detectan amenazas en el trafico de red, aunque son muy efectivos en realidad generan trafico adicional y en caso de que el ataque puede estar encriptado o cifrado, se debe tomar en cuenta que este sistema unicamente se puede implementar en un segmento de red. El segundo modo de operacion de los IDS son los conocidos huespedes HIDS, estos se albergan en una maquina conocida como host y operan enviando informacion hacia un equipo central indicando modificaciones no autorizadas. Cave recalcar que los NIDS y los HIDS tienen una consola que permite verificar las alarmas, asi como una programacion dedicada que permiten detectar amenazas comunes, pero en ambos casos es importante una buena determinacion de los parametros a supervisar, una correcto conocimiento de los metodos de operacion de la red y los host y un sistema de actualizaciones eficiente.
Los ids se los puede implementar en varias plataformas es asi como en el mercado existen varios de codigo abierto, se recomienda visitar la pagina http://www.idssoftware.com/, para descargar un servidor IDS, y http://es.kioskea.net/contents/detection/ids.php3, para obtener informacion adicional del funcionamiento del IDS

Sistema de detección de intrusiones (IDS)

El término IDS hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.
Existen dos claras familias importantes de IDS:

• El grupo N-IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.
Características:
- Un N-IDS necesita un hardware exclusivo.
- Es común encontrar diversos IDS en diferentes partes de la red

• El grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.
Un N-IDS necesita un hardware exclusivo.
Características:
- Se encuentra en un host particular.
- Su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc

En la actualidad cada vez resuena más el término IPS (Sistema de prevención de intrusiones) que viene a sustituir al IDS “tradicional”.

El IPS es un sistema de prevención/protección para defenderse de las intrusiones y no sólo para reconocerlas e informar sobre ellas, como hacen la mayoría de los IDS.
Existen dos características principales que distinguen a un IDS (de red) de un IPS (de red):

- El IPS se sitúa en línea dentro de la red IPS y no sólo escucha pasivamente a la red como un IDS.
- Un IPS tiene la habilidad de bloquear inmediatamente las intrusiones, sin importar el protocolo de transporte utilizado y sin reconfigurar un dispositivo externo. Esto significa que el IPS puede filtrar y bloquear paquetes.
Fuente: http://es.kioskea.net/contents/detection/ips.php3

Jimmy Sanchez
Ricardo Agila

• Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema.

• Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.
• Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa.

• Los IDS no están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.

• Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos.

• Existe 2 tipos de IDS:

HIDS: Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como ficheros, logs, recursos, para su posterior análisis en busca de posibles incidencias.

NIDS: Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque.

Por: Jaime Romero

IDS (Intrusion Detection System)

Su propósito es detectar cualquier intento de penetrar el perímetro de seguridad del elemento que está siendo protegido. Este perímetro está definido por firewalls, puntos de demarcación de telecomunicaciones o computadoras de escritorio con módems.

Características:
- Aplicable a PCs y redes
- Buscar vulnerabilidades y busqueda de patrones
- Siempre se deben actualizar los patrones
- Prevenir, detectar, documentar, proveer informacion

Fallos:
- Debido a malas configuraciones. 2 tipos:
- Falso positivo
- Falso negativo

2 Tipos de IDS:

NIDS
- Monitorea tráfico de red
- No analiza información encriptada

HIDS
- Puede analizar informacion encriptada en el receptor

Puntos claves NIDS:
- No es conveniente colocar un IDS antes de un firewall
- Se puede poner en el DMZ (Zona DesMilidarizada)
- DMZ -> Se encuentran todos los servidores
- Luego del firewall de nuestra red
- En cada segmento de red
- NIDS distribuidos poseen un solo centro de monitoreo
- IPS es una evolución de un IDS

Por:
Roger Agreda
Vicente Martinez

IDS
La detección de intrusos (Intrusion Detection o ID) es “un modelo de seguridad aplicable tanto a ordenadores como a redes. Un sistema IDS recolecta y analiza información procedente de distintas áreas de un ordenador o red de ordenadores con el objetivo de identificar posibles fallos de seguridad. Este análisis en busca de intrusiones incluye tanto los posibles ataques externos (desde fuera de nuestra organización) como los internos (debidos a un uso abusivo o fraudulento de los recursos).
HIDS (Host IDS)
Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como ficheros, logs, recursos, etc, para su posterior análisis en busca de posibles incidencias. Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en desarrollar por la industria de la seguridad informática.
- Funcionalidades HIDS nativas en los SO recientes, fácil activación en el momento de instalación
- Punto de vista de los ataques desde el sistema
- Inútil y confuso después de un compromiso
- Uso de rootkits
- Gestión compleja para un gran número de sistemas
- Demasiada carga en el sistema (disco, CPU, etc.)
- Alto coste en despliegues corporativos al utilizar herramientas comerciales

NIDS (Net IDS)
Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque.
Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan, “ven” todos los paquetes que circulan por un segmento de red aunque estos nos vayan dirigidos a un determinado equipo). Analizan el tráfico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.
– Fáciles de desplegar
– Gran efectividad.
– Gran escalabilidad
– Reglas demasiado genéricas o ataques de inserción
– Evasión o perdida de paquetes en nuevos ataques
– Alarmas sin contexto.
– Gran volumen de datos.
– Cifrado

Referencias:
http://gabriel.verdejo.alvarez.googlepages.com/DEA-es-3IDS.pdf

Sergio Jaramillo
Marcelo Valdiviezo

DIANA MERINO
ROCIO ORTIZ

IDS.- sistema de detección de es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Funcionamiento.-
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.
Las firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

HID .-

Es un dispositivo de interfaz humana para computadores que interactúa directamente con, y que toman entradas de humanos, y que también pueden entregar una salida a los humanos. El termino “HID” comúnmente se refiere a la especificación USB-HID. El termino fue acuñado por Mike Van Flandern de Microsoft cuando el le propuso a la comitiva USB, crear un grupo de trabajo para la clase Human Input Device. El nombre del grupo de trabajo fue cambiado a la clase Human Interface Device en sugerencia de Tom Schmidt de DEC, porque la norma propuesta soportaba la comunicación bidireccional.
Las principales motivaciones pada HID eran las de permitir inovaciones en los dispositivos de entrada a la computadora y simplificar el proceso de instalar esos dispositivos. Antes de HID, los dispositivos normalmente se ajustaban a muy estrictos protocolos para el ratón, teclados y joystricks. Cualquier innovación en el hardware, requería sobrecargar el uso de datos en un protocolo existente o la creación de un nuevo driver y la evangelización de un nuevo protocolo para los desarrolladores de aplicación. En contraste con todos los dispositivos HID, entregan paquetes autodescriptivos que pueden contener una infinidad variada de tipos de datos y formatos. Un solo driver HID en la computadora parsea los datos y permite una asociación dinámica de datos de entrada y salida (I/O) con la funcionalidad de la aplicación. Este tiene habilitado la innovación rápida y proliferación de nuevos dispositivos de interfaz humana.