15 dic 2006

Sistemas de Deteccion de Intrusos

Existen básicamente de 2 tipos:

HIDS o HostIDS: usado para vigilar 1 sola computadora. Generalmente
realiza verificaciones de integridad de los archivos de sistema y otros
que se indiquen mediante configuración. Almacena una base de datos con
las firmas digitales de los archivos importantes.Se implementan como
agentes que monitorean el núcleo y los módulos cargados a éste
interceptando las syscall.


NIDS o Network IDS: Usado para vigilar segmentos de red o la red entera
de una organización. Para esto la interfaz debe cambiarse a modo
promiscuo ( donde captura todos los paquetes que circulan en la red). En
redes conmutadas se precisa configurar una interfaz del switch en modo
espejo para que pueda capturar todos los paquetes que pasan por ese
switch. Otra alternativa es usar un dispositivo especial de hardware
llamado Network Tap cuyo costo es bastante alto.


También existen otros tipos de IDS


DIDS o Distributed IDS
PIDS o Protocol-based IDS
Application protocol-based IDS



IDS conocidos:

Snort es un NIDS
Prelude IDS Híbrido
Tripwire HIDS

El IDS standar de facto( el mas utilizado) actualmente es SNORT, una
herramienta Open Source

Una vez configurado un IDS debe pasar por una etapa de test, para
reducir el numero de falsos positivos( cuando detecta que hay un ataque
pero en realidad no lo hay) y el de falsos negativos ( cuando hay un
ataque y no lo detecta ). Esto se logra realizando ataques con exploits
conocidos, realizando escaneos de red normales y agresivos o mediante
herramientas automatizadas. Una herramienta usada puede ser THOR ( no
confundir con el software de navegacion anonima de internet)

THOR: A Tool to Test Intrusion Detection Systems by Variations of Attacks
http://thor.cryptojail.net/


Software IDS

http://www.tripwire.com/
http://www.cs.tut.fi/~rammer/aide.html
http://www.mcafee.com/us/enterprise/products/host_intrusion_prevention/index.html
http://www.cisco.com/en/US/products/sw/secursw/ps5057/index.html
http://www.symantec.com/enterprise/products/overview.jsp?pcid=1322&pvid=928_1
http://www.snort.com/
http://base.secureideas.net/
http://www.prelude-ids.org/
http://www-arc.com/sara/
http://zurk.sourceforge.net/zfile.html


Bibliografia

http://www1.cs.columbia.edu/ids/publications.html
http://www.securitywizardry.com/ids.htm
http://www.honeypots.net/ids/integrity-management
http://netsecurity.about.com/cs/firewallbooks/a/aa050804.htm
http://www.cse.sc.edu/research/isl/mirrorSobireys.shtml
http://www.sans.org/whatworks/wall.php?id=1&portal=7efea35d2fe3b646380695e1bb5a52bf
http://www.nss.co.uk/WhitePapers/intrusion_prevention_systems.htm
http://www.nss.co.uk/WhitePapers/gigabit_ids.htm
http://www.securityfocus.com/ids
http://www.dshield.org/
http://www.linux-sec.net/IDS/
http://www.mynetwatchman.com/

1 comentario: