Vous êtes sur la page 1sur 17

IDS

Sistemas de Deteccin de Intrusos (IDS)

1.Introduccin..................................................................................................................3
1.1 Tecnologas de deteccin..................................................................................................3 1.2 Cortafuegos vs IDS...........................................................................................................4

2.- Sistemas de Deteccin de Intrusiones (IDS)..............................................................4


2.1 Definiciones.......................................................................................................................4 2.2 Tipos de IDS......................................................................................................................5
Clasificacin por situacin.....................................................................................................................5 Clasificacin segn los modelos de detecciones...................................................................................6 Clasificacin segn su naturaleza..........................................................................................................6

2.3 Topologas de IDS.............................................................................................................7 2.4 os IDS ! las polticas de Seguridad................................................................................"

3.- Diferentes Arquitecturas de IDS................................................................................9


3.1 #r$uitecturas %asadas en #gentes #utno&os...............................................................'
Introduccin...........................................................................................................................................9 Componentes de la arquitectura........................................................................................................... !

3.2 #r$uitecturas de e(ploracin de datos en Tie&po )eal...............................................11


Introduccin......................................................................................................................................... Componentes de la arquitectura........................................................................................................... "

4.- Conclusiones.............................................................................................................13 Ane o A - !"em#lo$ Sensor Cisco Secure IDS 423%.....................................................14 Documentacin & otros tra'a"os....................................................................................1(

"

Sistemas de Deteccin de Intrusos (IDS)

1. Introduccin
Durante estos aos hemos podido comprobar que las redes de ordenadores facilitan el trabajo, la comunicacin y la coordinacin de los diferentes departamentos de una empresa, sea cual sea su situacin geogrfica. Esto, unido a la e pansin de Internet y al n!mero de clientes potenciales que ofrece Internet, hace que lo que era una red de ordenadores corta y de fcil administracin pase a ser una e tensa y compleja red donde recae la responsabilidad de comunicacin y la necesidad de darse a conocer ofreciendo sus productos u ofertas. "or este moti#o y debido a la importancia que han adquirido las redes de ordenadores para el desarrollo empresarial actual, se hace necesario desarrollar una pol$tica de seguridad de las redes de ordenadores general a toda la estructura empresarial. %odos los d$as aparecen noticias de empresas atacadas por hac&ers en las cuales toda la informacin de sus clientes ha sido substra$da o cuyos ser#idores que proporcionan cone in con Internet, ha dejado de funcionar. Es en este conte to donde surgen nue#os conceptos referentes a la seguridad de las redes de ordenadores, como la #ulnerabilidad y los ataques, tanto internos como e ternos. 'a diferencia entre los dos t(rminos, es que la #ulnerabilidad es referente a errores soft)are o de configuracin que pueden permitir a un intruso acceder a un sistema mientras que un ataque es un intento de e plotar una #ulnerabilidad en ese sistema. 'as #ulnerabilidades son los caminos para reali*ar los ataques. "or lo tanto debemos estar atentos a las #ulnerabilidades y a las actuali*aciones que e#itan estas #ulnerabilidades y por lo tanto, los posibles ataques. 1.1 Tecnologas de detecci n +mo todas las #ulnerabilidades no son conocidas, as$ como tampoco son conocidos los posibles ataques, estos !ltimos aos se han desarrollado productos para detectar tanto las posibles #ulnerabilidades de los programas instalados en los ordenadores, del sistema operati#o como de ser#icios de red, como los posibles ataques que se pueden perpetrar. ,an surgido productos detectores de #ulnerabilidades, que #erifica la pol$tica de seguridad en b!squeda de agujeros en los sistemas, pass)ords d(biles, pri#ilegios errneos, etc...y que escanean las redes en busca de agujeros y #ulnerabilidades en los dispositi#os conectadas a estas. %ambi(n han surgido detectores de ataques, que act!an como centinelas, esperando desde cambios en los permisos de los ficheros y accesos no permitidos en los sistemas, hasta ataques conocidos en el flujo de datos que circula por las redes.

Sistemas de Deteccin de Intrusos (IDS)

1.2 Cortafuegos vs IDS Es entonces cuando hablamos de los Intrusion Detection Systems o Sistemas de Deteccin de Intrusos -de ahora en adelante me referir( a ellos como IDS.. /n IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusin a toda acti#idad no autori*ada o no que no deber$a ocurrir en ese sistema. Seg!n esta definicin, muchos podr$an pensar que ese trabajo ya se reali*a mediante los cortafuegos o fire)alls. "ero ahora #eremos las diferencias entre los dos componentes y como un IDS es un buen complemento de los cortafuegos. 'a principal diferencia, es que un cortafuegos es una herramienta basada en la aplicacin de un sistema de restricciones y e cepciones sujeta a muchos tipos de ataques, desde los ataques 0tunneling1-saltos de barrera. a los ataques basados en las aplicaciones. 'os cortafuegos filtran los paquetes y permiten su paso o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utili*ado. 'as reglas #erifican contra una base de datos que determina si est permitido un protocolo determinado y permite o no el paso del paquete basndose en atributos tales como las direcciones de origen y de destino, el n!mero de puerto, etc... Esto se con#ierte en un problema cuando un atacante enmascara el trfico que deber$a ser anali*ado por el cortafuegos o utili*a un programa para comunicarse directamente con una aplicacin remota. Estos aspectos se escapan a las funcionalidades pre#istas en el diseo inicial de los cortafuegos. Es aqu$ dnde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.

2.- Sistemas de Detecci n de Intrusiones (IDS)


2.1 Definiciones +omo se ha descrito en el apartado anterior, un IDS es un soft)are que monitorea el trfico de una red y los sistemas de una organi*acin en busca de seales de intrusin, acti#idades de usuarios no autori*ados y la ocurrencia de malas prcticas, como en el caso de los usuarios autori*ados que intentan sobrepasar sus l$mites de restriccin de acceso a la informacin. 2lgunas de las caracter$sticas deseables para un IDS son3

Sistemas de Deteccin de Intrusos (IDS)

Deben estar continuamente en ejecucin con un m$nimo de super#isin. Se deben recuperar de las posibles ca$das o problemas con la red. Debe poderse anali*ar (l mismo y detectar si ha sido modificado por un atacante. Debe utili*ar los m$nimos recursos posibles. Debe estar configurado acorde con la pol$tica de seguridad seguida por la organi*acin. Debe de adaptarse a los cambios de sistemas y usuarios y ser fcilmente actuali*able.

2.2 Tipos de IDS E isten #arios tipos de IDS, clasificados seg!n el tipo de situacin f$sica, del tipo de deteccin que posee o de su naturale*a y reaccin cuando detecta un posible ataque. Clasificaci n por situaci n Seg!n la funcin del soft)are IDS, estos pueden ser3 4IDS -4et)or& Intrusion Detection System. ,IDS -,ost Intrusion Detection System. 'os 4IDS anali*an el trfico de la red completa, e aminando los paquetes indi#idualmente, comprendiendo todas las diferentes opciones que pueden coe istir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos. "ueden buscar cual es el programa en particular del ser#idor de )eb al que se est accediendo y con que opciones y producir alertas cuando un atacante intenta e plotar alg!n fallo en este programa. 'os 4IDS tienen dos componentes3 /n sensor3 situado en un segmento de la red, la monitori*a en busca de trfico sospechoso /na +onsola3 recibe las alarmas del sensor o sensores y dependiendo de la configuracin reacciona a las alarmas recibidas. 'as principales #entajas del 4IDS son3 - Detectan accesos no deseados a la red. - 4o necesitan instalar soft)are adicional en los ser#idores en produccin. - 5cil instalacin y actuali*acin por que se ejecutan en un sistema dedicado. +omo principales des#entajas se encuentran3 - E aminan el trfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque en diferentes segmentos de la red. 'a solucin ms sencilla es colocar di#ersos sensores. - "ueden generar trfico en la red. - 2taques con sesiones encriptadas son dif$ciles de detectar.

Sistemas de Deteccin de Intrusos (IDS)

En cambio, los ,IDS anali*an el trfico sobre un ser#idor o un "+, se preocupan de lo que est sucediendo en cada host y son capaces de detectar situaciones como los intentos fallidos de acceso o modificaciones en archi#os considerados cr$ticos. 'as #entajas que aporta el ,IDS son3 - ,erramienta potente, registra comandos utili*ados, ficheros abiertos,... - %iende a tener menor n!mero de falsos6positi#os que los 4IDS, entendiendo falsos6positi#os a los paquetes etiquetados como posibles ataques cuando no lo son. - 7enor riesgo en las respuestas acti#as que los IDS de red. 'os incon#enientes son3 - 8equiere instalacin en la mquina local que se quiere proteger, lo que supone una carga adicional para el sistema. - %ienden a confiar en las capacidades de auditoria y logging de la mquina en s$. Clasificaci n seg n los modelos de detecciones 'os dos tipos de detecciones que pueden reali*ar los IDS son3 Deteccin del mal uso. Deteccin del uso anmalo. 'a deteccin del mal uso in#olucra la #erificacin sobre tipos ilegales de trfico de red, por ejemplo, combinaciones dentro de un paquete que no se podr$an dar leg$timamente. Este tipo de deteccin puede incluir los intentos de un usuario por ejecutar programas sin permiso -por ejemplo, 0sniffers1.. 'os modelos de deteccin basado en el mal uso se implementan obser#ando como se pueden e plotar los puntos d(biles de los sistemas, describi(ndolos mediante unos patrones o una secuencia de e#entos o datos -0firma1. que sern interpretados por el IDS. 'a deteccin de acti#idades anmalas se apoya en estad$sticas tras comprender cual es el trfico 0normal1 en la red del que no lo es. /n claro ejemplo de acti#idad anmala ser$a la deteccin de trfico fuera de horario de oficina o el acceso repetiti#o desde una mquina remota -rastreo de puertos.. Este modelo de deteccin se reali*a detectando cambios en los patrones de utili*acin o comportamiento del sistema. Esto se consigue reali*ando un modelo estad$stico que contenga una m(trica definida y compararlo con los datos reales anali*ados en busca de des#iaciones estad$sticas significantes. Clasificaci n seg n su naturaleza /n tercer y !ltimo tipo bsico de clasificacin ser$a respecto a la reaccin del IDS frente a un posible ataque3 "asi#os. 8eacti#os.

Sistemas de Deteccin de Intrusos (IDS)

'os IDS pasi#os detectan una posible #iolacin de la seguridad, registran la informacin y genera una alerta. 'os IDS reacti#os estn diseados para responder ante una acti#idad ilegal, por ejemplo, sacando al usuario del sistema o mediante la reprogramacin del cortafuegos para impedir el trfico desde una fuente hostil. 2.3 Topolog as de IDS E isten muchas formas de aadir las herramientas IDS a nuestra red, cada una de ellas tiene su #entaja y su des#entaja. 'a mejor opcin deber$a ser un compendio entre coste econmico y propiedades deseadas, manteniendo un alto ni#el de #entajas y un n!mero controlado de des#entajas, todo ello de acuerdo con las necesidades de la organi*acin. "or este moti#o, las posiciones de los IDS dentro de una red son #arias y aportan diferentes caracter$sticas. 2 continuacin #amos a #er diferentes posibilidades en una misma red. Imaginemos que tenemos una red dnde un cortafuegos nos di#ide la Internet de la *ona desmilitari*ada -D79 : Demilitari*ed 9one., y otro que di#ide la D79 de la intranet de la organi*acin como se muestra en el dibujo ;. "or *ona desmilitari*ada entendemos la *ona que debemos mostrar al e terior, la *ona desde la cual mostramos nuestros ser#icios o productos3

Dibujo ;3 8ed con IDS simple

Si situamos un IDS antes del cortafuegos e terior permitir$a detectar el rastreo de puertos de reconocimiento que seala el comien*o de una acti#idad hac&ing, y obtendr$amos como #entaja un a#iso prematuro. Sin embargo, si los rastreos no son seguidos por un ataque real, se generar un numeroso n!mero de alertas innecesarias con el peligro de comen*ar a ignorarlas.

Sistemas de Deteccin de Intrusos (IDS)

Si optamos por colocar el IDS en la *ona desmilitari*ada -D79. tendr$amos como #entaja la posibilidad de adecuar la base de datos de atacantes del 4IDS para considerar aquellos ataques dirigidos a los sistemas que estn en la D79 -ser#idor )eb y ser#idor de correo. y configurar el cortafuegos para bloquear ese trfico. 2s$ mismo, un 4IDS dentro de la red, por ejemplo, de 8ecursos ,umanos podr$a monitorear todo el trfico para fuera y dentro de esa red. Este 4IDS no deber$a ser tan poderoso como los comentados anteriormente, puesto que el #olumen y el tipo de trfico es ms reducido. El resultado lo podemos #isuali*ar el segundo dibujo3

Dibujo <3 8ed completa con IDS

El IDS; se encargar$a de a#isar del rastreo de puertos, y si es reacti#o podr$a en#iar un 0a#iso1 tanto al que esta rastreando -por ejemplo un ping a la direccin que emite el paquete. como al encargado de la seguridad de la organi*acin. El IDS< se encargar$a de #igilar la *ona desmilitari*ada y anali*ar el trfico que reciben tanto el ser#idor )eb como el ser#idor de correo. 'os otros dos IDS se encargar$an de la red interna, el IDS= de la totalidad de la red, y el IDS> de una subred, en este caso la de 88,,. Estos dos 4IDS internos -el IDS= y el IDS>. podr$an ser sensores que recogiesen la informacin y lo en#iasen a una consola dnde se reali*ar$an los clculos. 2.4 Los IDS y las pol ticas de Seguridad 'os IDS deben ser tratados como un elemento complementario en las pol$ticas de seguridad de las organi*aciones, pero antes de implementar o

&

Sistemas de Deteccin de Intrusos (IDS)

instalar un sistema de deteccin de intrusiones se recomienda anali*ar la pol$tica de seguridad y #er cmo encajar$a el IDS en ella3 - Se recomienda una pol$tica de seguridad bien definida y a alto ni#el, que cubra lo que est y lo que no est permitido en nuestro sistema y nuestras redes. - "rocedimientos documentados para que proceda el personal si se detecta un incidente de seguridad. - 2uditor$as regulares que confirmen que nuestras pol$ticas estn en #igencia y nuestras defensas son adecuadas. - "ersonal capacitado o soporte e terno cualificado.

3.- Diferentes Arquitecturas de IDS


'as arquitecturas que implementan sistemas de deteccin de intrusos han ido modificndose y mejorando con el paso del tiempo y con la e periencia. 'os primeros IDS eran herramientas soft)are r$gidos, diseados y reali*ados bajo la super#isin de un e perto en seguridad de redes y basndose en la e periencia personal. Eran #erdaderos sistemas r$gidos, dnde la actuali*acin ante nue#os tipos de ataques requer$a #erdaderos esfuer*os de anlisis y programacin, adems de contar con un solo programa que reali*aba todo el trabajo, sin pensar en sistemas distribuidos. 2ctualmente, las arquitecturas empleadas para el desarrollo de herramientas IDS, se basan fundamentalmente en dos principios bsicos, la utili*acin de 2gentes autnomos que recogen informacin por separado, para luego anali*ar una parte de esta informacin ellos y la otra una entidad central coordinadora, y las arquitecturas basadas en la e ploracin de los datos en tiempo real. ? como ocurre en el mundo de la informtica, se dan arquitecturas h$bridas en busca de la mejor solucin posible. 3.1 Arquitecturas asadas en Agentes Autno!os Introducci n @asa su desarrollo en las carencias y limitaciones que presentan los IDS e istentes. 'a principal carencia de los #iejos -y primeros. IDS es que los datos son recogidos por un solo host, adems, algunos de los que intentan solucionar esta des#entaja utili*an una coleccin de datos distribuida, pero anali*ada por una consola central. 'os principales problemas de utili*ar estas arquitecturas son3

Sistemas de Deteccin de Intrusos (IDS)

'a consola central es un solo punto de fallo, la red entera esta sin proteccin si esta falla. 'a escalabilidad esta limitada. "rocesar toda la informacin en un host implica un l$mite en el tamao de la red que puede monitori*ar. Dificultad en reconfigurar o aadir capacidades al IDS. El anlisis de los datos de la red puede ser defectuoso.

@asndose en estas limitaciones, se ha introducido el t(rmino de 2gente 2utnomo definido como una entidad soft)are capa* de anali*ar acti#idades de una manera fle ible e inteligente, capa* de funcionar continuamente y de aprender por su e periencia y la de otros agentes, adems de comunicarse y cooperar con ellos. 'os agentes son autnomos porque son entidades que se ejecutan independientemente y no necesitan informacin de otros agentes para reali*ar su trabajo. 'as principales #entajas que puede aportar una arquitectura basada en 2gentes 2utnomos residen en que si un agente para de trabajar por cualquier moti#o, solamente sus resultados se pierden, sin afectar a otros agentes autnomos. 2dems, la posible organi*acin de los agentes en estructuras jerrquicas con diferentes capas hace un sistema escalable. "or estos moti#os, un agente autnomo puede cru*ar la barrera de los ,IDS y los 4IDS y reali*ar ambas funciones, as$ como estar implementado en el lenguaje que mejor le con#enga para cada caso. Componentes de la arquitectura 'a arquitectura basada en 2gentes 2utnomos se basa en tres componentes esenciales3 agentes, transcei#ers y monitores. /n agente autnomo puede ser distribuido sobre cualquier n!mero de hosts en una red. +ada host puede contener un n!mero de agentes que monitori*a una cierta caracter$stica -cada uno.. %odos los agentes de un host en#$an sus resultados a un transcei#er y estos en#$a sus resultados globales del host a uno o ms monitores. /na posible topolog$a de esta red ser$a la descrita a continuacin3
Leyenda %ranscei#er 7onitor 2gente 5lujo de +ontrol 5lujo de Datos Dibujo =3 2rquitectura de un sistema autnomo

/n agente se encarga de monitori*ar un aspecto del sistema total, por ejemplo, un agente puede estar destinado a monitori*ar y #igilar las cone iones telnet de un host protegido. Este agente genera un informe y lo

Sistemas de Deteccin de Intrusos (IDS)

en#$a a su respecti#o transcei#er. El agente no puede generar una alarma por s$ mismo, solo informa. /n transcei#er es la interfa* e terna de comunicacin de cada host. %iene #arios agentes a su ser#icio de los que recibe informes y construye un mapa de estado del host al que pertenece. %iene dos funciones principales, una de control y otra de procesamiento de datos. +omo funciones de control, debe iniciali*ar o parar los agentes de su host y ejecutar los comando que le en#$a el monitor al que pertenece. +omo funciones de procesamiento, recibe informes de los agentes de su host, los procesa y la informacin obtenida la en#$a al monitor o lo reparte con los agentes. El monitor es la entidad de ms alto ni#el. %iene funciones parecidas a las del transcei#er, la principal diferencia es que un monitor puede controlar entidades que estn ejecutndose en diferentes hosts, adems, la informacin que recibe de los transcei#ers es limitada y solamente un monitor es capa* de obtener conclusiones ms refinadas de esta informacin. Atras entidades opcionales que se pueden implementar en las arquitecturas basadas en 2gentes 2utnomos son los agentes S47" o los auditores de routers. 'a principal des#entaja de esta arquitectura es que si un monitor detiene su ejecucin, todos los transcei#ers que controla paran de producir informacin. 3.2 Arquitecturas de e"ploraci n de datos en Tie!po #eal Introducci n El principal punto negati#o de estas arquitecturas es que necesitan un gran paquete de datos de entrenamiento ms complicados que los utili*ados en los sistemas tradicionales. 'as principales caracter$sticas que intentan aportar las arquitecturas basadas en anlisis de datos en tiempo real son la e actitud o #eracidad, la eficiencia -en cuanto a coste computacional. y la facilidad de uso3 #eracidad3 medido seg!n el ratio de deteccin -ataques que puede detectar el sistema. y el ratio de falsos positi#os -porcentaje de datos normales que el sistema determina como intruso cuando no lo es.. En la prctica, solo un ratio falso6positi#o bajo puede tolerarse. Eficiencia3 un IDS en tiempo real debe detectar las intrusiones lo ms pronto posible. 2nte grandes flujos de datos a anali*ar, el tiempo tomado en procesar cada registro y calcular las estad$sticas de sus caracter$sticas es demasiado ele#ado. Este BretrasoC en el clculo puede propiciar un ataque que tardar$a en detectarse. 'a principal

Sistemas de Deteccin de Intrusos (IDS)

caracter$stica de la eficiencia es el coste computacional, di#idido en > ni#eles3 - 4i#el ;3 caracter$sticas que pueden ser computados con el primer paquete recibido - 4i#el <3 caracter$sticas que pueden ser anali*adas en cualquier momento de la cone in. - 4i#el =3 caracter$sticas anali*adas al final de la cone in. - 4i#el >3 estad$sticas computadas al final de la cone in. /sabilidad3 entendido como facilidad de crear el paquete de entrenamiento y de actuali*ar los patrones utili*ados por el IDS.

"ara detectar los intrusos, debemos tener un paquete de caracter$sticas cuyos #alores en los campos de los paquetes anali*ados difieran de los #alores de los campos de los paquetes intrusos. "ara poder lle#a a cabo esta tarea, el flujo de datos -en binario. es anali*ado y procesado en registros que contienen un n!mero bsico de caracter$sticas para ms tarde ser anali*ados por programas especiali*ados que comparan estos registros con los patrones de la base de datos en b!squeda de #ariaciones o combinaciones peligrosas. Estos patrones pueden ser entrenados para comprobar su correcto funcionamiento generando anomal$as de forma artificial, utili*ando una heur$stica para cambiar el #alor de un campo dejando los dems como estaban. "ara a continuacin introducir este flujo de datos en una cone in normal. El IDS ejecuta un conjunto de reglas, con coste computacional creciente o con combinaciones de los ni#eles coste computacional para obtener una buena eficiencia y e actitud en tiempo real acorde con las caracter$sticas deseadas. +ada modelo ejecuta un conjunto de reglas. Componentes de la arquitectura 'a arquitectura de IDS basada en tiempo real consiste en sensores, detectores, almac(n de datos y modelos de generacin de caracter$sticas. El sistema esta diseado para ser independiente del formato de datos de los sensores y del modelo utili*ado. Este modelo puede estar representado como una red neuronal, un conjunto de reglas o un modelo probabil$stico. 'a codificacin D7' permitir$a intercambiar datos entre los diferentes modelos. Si todos los componentes residen en la misma rea local, la carga de trabajo puede distribuirse sobre todos los componentes, si estn distribuidos por diferentes redes, pueden colaborar con otros IDS en Internet, intercambiando informacin de nue#os ataques. Esta es el diseo de una arquitectura basada en tiempo real3

"

Sistemas de Deteccin de Intrusos (IDS)

Dibujo >3 2rquitectura de un IDS basado en tiempo real.

'os sensores obser#an los bits en un sistema monitori*ado y anali*a sus caracter$sticas para utili*arlas en el modelo. 'os detectores procesan los datos de los sensores y utili*an un modelo de deteccin para e#aluar los datos y determinar si es un ataque. 2dems, en#$a el resultado a un almac(n de datos -t$picamente una base de datos. para otro posterior anlisis y para generar informes. "ueden coe istir detectores monitori*ando el mismo sistema -en paralelo.. 'os detectores Bbac&6endC emplear$an modelos con coste computacional complejo mientras que los detectores Bfront6endC reali*ar$an una deteccin de intrusin sencilla y rpida. "or !ltimo, la centrali*acin del almacenamiento de los datos y de los modelos aportar$a #arias #entajas3 - Eficiencia3 #arios componentes podr$an manejar el mismo tipo de datos. - Aperati#ilidad3 los datos de los sensores podr$an ser consultados con una simple SE'. - 8endimiento3 la deteccin de complicados ataques y ataques a gran escala podr$a ser posible mediante el conocimiento y el manejo de los datos por todos los detectores.

4.- Conclusiones
E isten muchos IDS en el mercado, desde soft)are con un alto coste econmico a ofertas totalmente gratuitas y capaces. 'o que hay que tener en cuenta es qui(n se encargar del soporte del IDS y si esta lo

Sistemas de Deteccin de Intrusos (IDS)

suficientemente capacitado para actuali*ar la base de datos del IDS y conocer todos los tipos de ataques y sus #ariaciones. %ambi(n se debe tener en cuenta que el costo total es el gasto inicial hasta finali*ada la instalacin y a #eces la inclusin de hard)are especiali*ado, adems de los recursos humanos requeridos. 2unque todo esto implique complicaciones, la utili*acin de IDS en las organi*aciones deber$a estar integrado en la pol$tica de seguridad de las mismas, en completa coordinacin con los dems recursos como los cortafuegos. En caso de alejarse demasiado del presupuesto inicial, siempre e isten alternati#as econmicas y algunas gratuitas como el S4A8% -))).snort.org., un 4IDS para /ni F4% capa* de reali*ar anlisis en tiempo real y logs de paquete en redes I" si no estn muy saturadas.

Ane o A - !"emplo#Sensor Cisco Secure IDS 423$


!l sensor Cisco Secure IDS 423$ es un miem%ro de la familia de productos Cisco Secure IDS& lder del mercado. El sensor +isco Secure IDS ><=G es un Hdispositi#oH de seguridad de red que detecta la acti#idad no autori*ada que la atra#iesa, como por ejemplo ataques por parte de hac&ers, mediante el anlisis del trfico en tiempo real, y permite a los usuarios responder con rapide* a las amena*as de seguridad. +uando se detecta una acti#idad no autori*ada, el sensor puede en#iar alarmas a la consola de administracin con detalles de la acti#idad y puede controlar otros sistemas, como los routers, para terminar las sesiones no autori*adas.

Sistemas de Deteccin de Intrusos (IDS)

Aplicaci n
El sensor +isco Secure IDS ><=G se ha optimi*ado para el control de los entornos de ;GG 7bps y resulta ideal para el control del trfico de puertos S"24 -S)itched "ort 2naly*er. y segmentos 5ast Ethernet. %ambi(n se recomienda para el control de m!ltiples entornos %=. 'os sensores pueden colocarse en lugares en los que otros dispositi#os de seguridad no son !tiles, por ejemplo3 Segmentos internos de red Delante de un fire)all Detrs de un fire)all Detrs de un ser#idor de modems para acceso telefnico En cone iones e tranet 'os sensores pueden colocarse en casi todos los segmentos de la red de la empresa donde se requiera #isibilidad de la seguridad.

Caracter sticas ' (enta"as principales


Forma parte del modelo SAFE para el comercio electrnico3 el sensor es un componente necesario para una estrategia de defensa en profundidad y efica*, y para complementar otros mecanismos de seguridad implantados -por ejemplo, fire)alls, cifrado y autenticacin.. +omo componente dinmico de seguridad de la l$nea de productos de seguridad de +isco, el IDS puede funcionar en entornos Internet e intranet para proteger toda la red de la empresa. Deteccin y respuesta a las intrusiones en tiempo real3 el sensor proporciona control y deteccin del mal uso de la red en tiempo real, utili*ando para ello a la propia red como fuente de datos -esto es, capturando paquetes directamente de la red.. 8esponde de forma acti#a a la acti#idad no autori*ada, bloqueando el acceso a la red o terminando las sesiones dainas. Completa cobertura de reconocimiento de ataques/firmas 3 el sensor detecta una amplia #ariedad de ataques. %ambi(n incluye un sofisticado reensamblaje de fragmentacin I" y capacidades de deteccin anti6IDS HIhis&erH. Rendimiento de alta velocidad3 el sensor es especialmente recomendable para el control de entornos de ;GG 7bps. Dispositivo integrado de seguridad DS3 el sensor conforma una solucin completa Hlla#e en manoH y Hplug6and6playH. %odo el paquete hard)are y soft)are se fabrica, prueba y mantiene por un solo fabricante. !a"o costo de propiedad3 el sensor es sencillo de instalar, configurar y mantener. Sencilla instalacin3 la instalacin del sensor es rpida y sencilla, ya que requiere slo siete parmetros de direccionamiento y no es necesaria una formacin especial. +uando el sensor se encuentra ya instalado, como un dispositi#o autnomo con una potente configuracin predeterminada, empie*a a reali*ar su tarea de control inmediatamente. Funcionamiento transparente3 el sensor no est diseado para afectar al rendimiento de la red y es totalmente transparente al usuario final. Se incorpora a la red y es completamente in#isible a los usuarios finales, lo que incrementa el ni#el de seguridad sin afectar al rendimiento o la funcionalidad.

!specificaciones
)esumen del rendimiento
El sensor +isco Secure IDS ><=G tiene capacidad para controlar hasta ;GG 7bps de trfico. +isco Secure "olicy 7anager -+S"7. #<.< y superior, o +isco Secure Intrusion Detection Director "rocesador3 "III dual a JGG 7,* 8273 K;< 7@

*lataformas de administraci n (requerida)


!specificaciones tcnicas

Sistemas de Deteccin de Intrusos (IDS)

Interfa* de control3 Ethernet ;GF;GG@ase% -8L6>K. con deteccin automtica Interfa* de instrucciones y control3 Ethernet ;GF;GG@ase% -8L6>K. con deteccin automtica 2ltura3 M pulgadasF;MN mm -> 8/. 2nchura3 ;J,NJ pulgadasF><N mm -cuerpo. ;O pulgadasF>N= mm -placa. "rofundidad3 <<,MK pulgadasFKMN mm "eso3 2pro imadamente >K librasF<G,> &g 2utoconmutacin3 ;GG6<>G P+2 5recuencia3 KG6JG ,* 2limentacin en acti#idad3 de >,G 2 a ;;K PQ y de <,G 2 a <<G PQ %emperatura de acti#idad3 de ;GR a S>GR + -de KGR a ;G>R 5. %emperatura de inacti#idad3 de 6=GR a SJGR + -de 6<<R a ;>GR 5. ,umedad relati#a en acti#idad3 de <GT a NGT a >GR + -sin condensacin. ,umedad relati#a en inacti#idad3 de KT a OGT a >GR + -sin condensacin. Emisiones3 >M+58;K clase @, +IS"8<< clase @, E4KKG<< clase @, 2SF49S =K>N clase @, I+ESGG= clase @, P++I clase @ -4ota3 Se requiere el uso de cables blindados para la conformidad con los l$mites de clase @ de 5++ parte ;K. Seguridad3 /', +/' y marcas +E de acuerdo con /' ;OKG, +S2 <<.< 4o. OKG, E4 JGOKG y IE+ JGOKG

Dimensiones fsicas

)equisitos de alimentaci n

!ntorno de acti(idad

+omologaciones

Informaci n para pedidos Cisco Secure IDS 423$


,mero de producto IDS6><=G65E +A46S4%6IDS65E +A46S4%E6IDS65E +A46S4%"6IDS65E +A46AS6IDS65E +A46ASE6IDS65E +A46AS"6IDS65E Descripci n del producto Sensor +isco Secure IDS 5ast Ethernet Ser#icio S728%net N K 4@D Ser#icio S728%net N K > mejorado Ser#icio S728%net <> M > premium Ser#icio S728%net N K 4@D estndar en la instalacin Ser#icio S728%net N K > mejorado en la instalacin Ser#icio S728%net <> M > premium en la instalacin

Consideraciones para la e portaci n


El IDS >=<G est sujeto a controles de e portacin. +onsulte el sitio Ieb sobre normati#a de e portacin en http3FF))).cisco.comF))lFe portFcryptoF para obtener asistencia. "ara preguntas espec$ficas sobre la e portacin, pnganse en contacto con e portUcisco.com .

Informaci n adicional
+isco Secure Intrusion Detection System3 http3FF))).cisco.comFgoFidsF +isco Secure "olicy 7anager3 http3FF))).cisco.comFgoFpolicymanagerF 2ll contents copyright V ;OO<66<GGG +isco Systems, Inc. Important 4otices and "ri#acy Statement.

Documentacin ' otros tra%a"os

Sistemas de Deteccin de Intrusos (IDS)

W;X

2pplication Intrusion Detection 8obert S. Siel&en 7aster of +omputer Science Degree 6 /ni#ersity of Pirginia. 8eal %ime Data 7ining6based Intrusion Detection I. 'ee, ". +han, E. Es&in y 7. 7iller. +olumbia /ni#ersity. 2n 2rchitecture for Intrusion Detection using 2utonomous 2gents L. Sundar, L. Amar, D. Isacoff, E. Spafford y D. 9amboni. "urdue /ni#ersity. 4et)or& Intrusion Detection3 2n 2nalystCs handboo& S. 4orthcutt, D. 7c'achlan y L. 4o#a& 4e) 8iders "ublishing, septiembre <GGG. En Internet3 http3FF)))6rn&s.informati&.tu6cottbus.deFQsobireyFids.html

W<X

W=X

W>X

WKX