Un sistema de detección de intrusos (IDS) detecta los ataques a ordenadores y redes informáticas. Puede instalarse como hardware o ejecutarse como software directamente en los sistemas que se van a supervisar, o puede servir como complemento de un cortafuegos.
Un IDS puede funcionar de dos maneras diferentes. El mayor funciona con la ayuda de ciertos filtros y firmas en los que se describen patrones de ataque específicos. A continuación, los datos recogidos se comparan con las firmas conocidas que figuran en la base de datos de patrones. En cuanto un nuevo evento coincide con uno de los patrones, se activa una alarma de intrusión. Sin embargo, un requisito para un modo de funcionamiento permanentemente seguro es que se introduzcan permanentemente nuevas firmas.
Una parte menor de los IDS utilizados hace uso de métodos heurísticos con el fin de detectar también patrones de ataque previamente desconocidos o desviaciones del estado normal si es posible.
A diferencia de los sistemas de prevención de intrusiones (IPS), un IDS sólo se limita a la detección de ataques sin prevenirlos ni rechazarlos activamente. Si detecta un patrón de ataque, envía información al respecto al administrador o al usuario, que puede iniciar las contramedidas adecuadas.
Arquitecturas de los sistemas de detección de intrusos
Los sistemas de detección de intrusos se dividen en tres tipos diferentes en función de su arquitectura: Los IDS basados en el host, los basados en la red y los híbridos.
Los IDS basados en el host fueron desarrollados por los militares y son la variedad más antigua. Se utilizan para la seguridad del mainframe, deben instalarse en cada sistema individual y son compatibles con el sistema operativo respectivo. Recogen datos del sistema procedentes de los archivos de registro, el registro o los datos del kernel y los comparan con patrones de ataque conocidos.
Un IDS basado en la red se instala de forma que pueda registrar todos los paquetes de datos dentro de la red y analizarlos en busca de patrones de ataque sospechosos. Sin embargo, debe rendir a un alto nivel para mantenerse al día con el ancho de banda de las redes modernas. Si no es así, ya no puede haber una supervisión sin fisuras.
Un IDS híbrido combina los dos métodos anteriores y, por tanto, ofrece una mejor protección. Suele constar de tres componentes: un sistema de gestión central y sensores basados en el host y en la red.
¿Qué IDS hay?
El líder del mercado es Snort, desarrollado por la empresa Sourcefire. Es un sistema de detección de intrusos de la comunidad de código abierto que también está disponible en versión comercial. Esto incluye, entre otras cosas, asistencia y actualizaciones inmediatas. El sistema de detección de intrusos está disponible para Linux, Windows y MacOS.
Otros IDS conocidos son Botshield, Tripwire, Bro, Prelude, Tiger, Samahain y Xray, pero suelen estar adaptados a un solo sistema operativo.