Definicion De Ids
Enviado por cesar1388 • 17 de Julio de 2014 • 1.116 Palabras (5 Páginas) • 198 Visitas
DEFINICION DE IDS
Un IDS es un software que monitorea el tráfico de una red y los sistemas de una organización en busca de señales de intrusión, actividades de usuarios no autorizados y la ocurrencia de malas prácticas, como en el caso de los usuarios autorizados que intentan sobrepasar sus límites de restricción de acceso a la información.
Los IDS son herramientas de seguridad en red que recopilan información de una variedad de fuentes del sistema, analizan la información de los parámetros que reflejan el uso erróneo o la actividad inusual, responden automáticamente a la actividad detectada, y finalmente informan el resultado del proceso de la detección.
Algunas de las características deseables para un IDS son:
Deben estar continuamente en ejecución con un mínimo de supervisión.
Se deben recuperar de las posibles caídas o problemas con la red.
Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
Debe utilizar los mínimos recursos posibles.
Debe estar configurado acorde con la política de seguridad seguida por la organización.
Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
COMPARACION DE 5 IDS
1. Snort: Un sistema de detección de intrusiones (IDS) libre para las masas.
Snort es una sistema de detección de intrusiones de red de poco peso (para el sistema), capaz de realizar análisis de tráfico en tiempo real y registro de paquetes en redes con IP. Puede realizar análisis de protocolos, búsqueda/identificación de contenido y puede ser utilizado para detectar una gran varidad de ataques y pruebas, como por ej. buffer overflows, escaneos indetectables de puertos {"stealth port scans"}, ataques a CGI, pruebas de SMB {"SMB Probes"}, intentos de reconocimientos de sistema operativos {"OS fingerprinting"} y mucho más. Snort utilizar un lenguaje flexible basado en reglas para describir el tráfico que debería recolectar o dejar pasar, y un motor de detección modular. Mucha gente también sugirió que la Consola de Análisis para Bases de Datos de Intrusiones (Analysis Console for Intrusion Databases, ACID) sea utilizada con Snort.
2. Suricata
Suricata es un código abierto basado en el sistema de detección de intrusiones (IDS). Fue desarrollado por el Open Information Security Foundation (OISF). Una versión beta fue lanzada en diciembre de 2009, con el siguiente comunicado primera norma en julio de 2010. Suricata es un IDS de red de alto rendimiento, IPS y el motor Network Security Monitoring. De código abierto y es propiedad de una comunidad de gestión sin ánimo de lucro, el Open Information Security Foundation (OISF). Suricata es desarrollado por el OISF y sus proveedores de apoyo.
3. AIDE
El entorno de detección de intrusiones avanzado (AIDE) fue desarrollado inicialmente como un reemplazo libre para Tripwire disponible bajo los términos de la Licencia Pública General de GNU (GPL).
Los desarrolladores principales son nombrados como Rami Lehti Virolainen y Pablo, que se asocian con la Universidad de Tecnología de Tampere, junto con Richard van den Berg, un consultor de seguridad independiente holandés. El proyecto se utiliza en muchos sistemas de tipo Unix como un control de línea de base de bajo costo y sistema de detección de rootkit.
Qué Aide básicamente hace es tomar una "instantánea" del estado del sistema, los hashes de registro, modificaciones temporales y otros datos con respecto a los archivos definidos por el administrador. Esta "instantánea" se utiliza para construir una base de datos que se guarda y (generalmente) es almacenado en un dispositivo externo.
Cuando el administrador desea ejecutar una prueba
...