El IDS suele tener sensores virtuales con los que el núcleo del IDS puede obtener datos
externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos
sensores, las anomalías que pueden ser indicio de la presencia de ataques y falsas
alarmas.
Funcionamiento:
El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su
comportamiento.
Tipos de IDS
Los sistemas de detección de intrusos basados en host residen en el propio host que
monitorizan, por lo que tienen acceso a información recolectada por las propias
herramientas de auditoría del host (registros de actividad, accesos al sistema de ficheros,
logs de registro. etc.) Incluyen plantillas con los diferentes tipos de ataques predefinidos
por ellas, pero que normalmente son también configurables para incluir nuevos ataques
y variaciones de los antiguos.
Ventajas:
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD FILOSOFÍA, LETRAS Y CIENCIAS DE LA EDUCACIÓN
PEDAGOGÍA DE LAS CIENCIAS EXPERIMENTALES - INFORMÁTICA
Periodo Académico: Octubre 2018 – Febrero 2019
• Detecta mejor los ataques desde dentro de la red, ya que monitorizan inicios de sesión,
cambios en ficheros, en el registro, etc.
• Son capaces de asociar usuarios y programas con sus efectos en un sistema (qué
sistema ejecutó qué comando y cuándo).
• Los HIDS forman parte del propio blanco. Por lo que pueden informar con gran
precisión sobre el estado del blanco atacado.
Desventajas:
• Su principal inconveniente es, sin duda. Su lentitud de respuesta en comparación con
los sistemas NIDS. Si se limitan a analizar los registros de actividad y cambios en el
sistema de ficheros, descubren los ataques cuando ya han tenido lugar y puede ser
demasiado tarde para actuar.
• Otro inconveniente es la dificultad de su implantación ya que al estar instalados en
varias máquinas diferentes será necesario el desarrollo en distintas plataformas. Como
consecuencia. La mayoría de los fabricantes ofrecen HIDS para una o dos plataformas
(p.e. Solaris y Windows). No obstante, para paliar estos problemas muchos HIDS
utilizan lenguajes multiplataforma como PERL o Java, aunque aun así el tipo de ficheros
y registros a monitorizar sigue dependiendo de la plataforma.
• Al residir en el host. Desde el momento en el que éste haya sido atacado con éxito,
uno no puede confiar en sus informes. Que podrían haber sido manipulados por un
atacante excepcionalmente habilidoso.
• A diferencia de los NIDS. Ante un ataque severo (p.e. denegación de servicio), si el
host cae, el HIDS cae con él sin generar ninguna alerta.
• Dado que un HIDS sólo vigila el host en el que reside, para obtener una imagen global
del estado del sistema es necesario agregar y correlacionar la información procedente
de los distintos HIDS en uno o varios servidores centrales.
Observan todo el tráfico de paquetes, detectando anomalías que puedan ser indicadoras
de una intrusión. Funcionan de forma muy similar a como lo hacen los sniffers.
Examinan cada paquete, comprobando su contenido con una plantilla o base de datos
de firmas de ataques, con el fin de detectar si el paquete examinado corresponde con
algún tipo de ataque.
Bibliografía: