¿Qué es un Sistema de Detección de Intrusos (IDS)?
Un Sistema de Detección de Intrusos (IDS) supervisa el tráfico de red en busca de actividades sospechosas y amenazas conocidas, y emite alertas cuando se descubren dichas actividades.
Esencialmente, un IDS es un rastreador de paquetes que detecta anomalías en los paquetes de datos que viajan a lo largo de varios canales. Su papel es:
- sistemas de monitorización. Evalúe y evalúe routers, firewalls, servidores de gestión de claves y archivos, con el fin de hacer frente a los ciberataques.
- Registros del sistema de investigación. Vea las pistas de auditoría del sistema operativo y otros registros para ajustar los sistemas para una mejor protección.
- Identificar el diseño de ataques típicos. Compara las bases de datos de firmas de ataque con información del sistema.
Tipos de Sistemas de Detección de intrusos
Un sistema de detección de intrusos se clasifica ampliamente en función del lugar donde se colocan los sensores IDS: red o host.
Sistema de Detección de Intrusos de red
Un sistema de detección de intrusos (NID) basado en red monitorea y analiza el tráfico de red en busca de comportamientos sospechosos y amenazas reales con la ayuda de sensores NID. Examina el contenido y la información del encabezado de todos los paquetes que se mueven a través de la red.
Los sensores NIDS se colocan en puntos cruciales de la red para inspeccionar el tráfico de todos los dispositivos de la red. Por ejemplo, los sensores NIDS se instalan en la subred donde se encuentran los cortafuegos para detectar ataques de denegación de servicio (DOS) y otros ataques similares.
Sistema de Detección de intrusiones de host
Un sistema de detección de intrusiones (HIDS) basado en host supervisa y analiza la configuración del sistema y la actividad de las aplicaciones para los dispositivos que se ejecutan en la red empresarial. Los sensores HIDS se pueden instalar en cualquier dispositivo, independientemente de si se trata de un PC de escritorio o de un servidor.
Los sensores HIDS esencialmente toman una instantánea de los archivos del sistema existentes y los comparan con instantáneas anteriores. Buscan cambios inesperados, como sobrescribir, eliminar y acceder a ciertos puertos. En consecuencia, se envían alertas a los administradores para investigar las actividades que parecen dudosas.
Son una herramienta altamente efectiva contra amenazas internas. Los HIDS pueden identificar cambios de permisos de archivos y solicitudes de cliente-servidor inusuales, que generalmente tienden a ser una mezcla perfecta para ataques internos. Es por eso que no debe sorprender que HIDS se use a menudo para máquinas de misión crítica que no se espera que cambien.
NIDS vs HIDS: ¿Cuál es la Diferencia?
Cada uno de estos sistemas de detección de intrusos tiene sus propias fortalezas. Los NID funcionan en tiempo real, lo que significa que rastrean los datos en vivo y marcan los problemas a medida que ocurren. Por otro lado, HIDS examina los datos históricos para atrapar a los hackers inteligentes que usan métodos no convencionales que podrían ser difíciles de detectar en tiempo real.
El escenario ideal es incorporar tanto HIDS como NIDS ya que se complementan entre sí. Los NID ofrecen un tiempo de respuesta más rápido, mientras que los HIDS pueden identificar paquetes de datos maliciosos que se originan dentro de la red empresarial.
Vea el video a continuación para obtener más información sobre la diferencia entre los NID y los HIDS.