Viquipèdia

Sistema de detecció d'intrusos

Aquesta és una versió anterior d'aquesta pàgina, de data 16:32, 25 set 2018 amb l'última edició de Rodamón4 (discussió | contribucions). Pot tenir inexactituds o contingut no apropiat no present en la versió actual.
(dif.) ←la pròxima versió més antiga | vegeu la versió actual (dif.) | Versió més nova → (dif.)

Un sistema de detecció d'intrusions (o IDS de les seves sigles en anglès Intrusion Detection System) és un programa de detecció d'accessos no autoritzats a un computador o a una xarxa.

El IDS sol tenir sensors virtuals (per exemple, un sniffer o analitzador de paquets de xarxa) amb els quals el nucli del IDS pot obtenir dades externes (generalment sobre el tràfic de xarxa). El IDS detecta, gràcies a aquests sensors, les anomalies que poden ser indici de la presència d'atacs i falses alarmes.

Funcionament

El funcionament d'aquestes eines es basa en l'anàlisi detallada del tràfic de xarxa, el qual en entrar a l'analitzador és comparat amb signatures d'atacs coneguts, o comportaments sospitosos, com pot ser l'escaneix de ports, paquets malformats, etc. El IDS no només analitza què tipus de tràfic és, sinó que també revisa el contingut i el seu comportament.

Normalment aquesta eina s'integra amb un tallafoc. El detector d'intrusos és incapaç de detenir els atacs per si només, excepte els quals treballen conjuntament en un dispositiu de porta d'enllaç amb funcionalitat de tallafoc, convertint-se en una eina molt poderosa ja que s'uneix la intel·ligència del IDS i el poder de bloqueig del firewall, a l'ésser el punt on forçosament han de passar els paquets i poden ser bloquejats abans de penetrar a la xarxa.

Els IDS solen disposar d'una base de dades de “signatures” d'atacs coneguts.

Aquestes signatures permeten al IDS distingir entre l'ús normal del PC i l'ús fraudulent, i/o entre el tràfic normal de la xarxa i el tràfic que pot ser resultat d'un atac o intent del mateix.

Tipus de IDS

Existeixen dos tipus de sistemes de detecció d'intrusos:

  1. HIDS (HostIDS): el principi de funcionament d'un HIDS, depèn de l'èxit dels intrusos, que generalment deixessin rastres de les seves activitats en l'equip atacat, quan intenten ensenyorir-se del mateix, amb propòsit de dur a terme altres activitats. El HIDS intenta detectar tals modificacions en l'equip afectat, i fer un reporti de les seves conclusions.
  2. NIDS (NetworkIDS): un IDS basat en xarxa, detectant atacs a tot el segment de la xarxa. La seva interfície ha de funcionar en manera promíscua capturant així tot el tràfic de la xarxa.

Sistemes passius i sistemes reactius

En un sistema passiu, el sensor detecta una possible intrusió, emmagatzema la informació i mana un senyal d'alerta que s'emmagatzema en una base de dades. En un sistema reactiu, el IDS respon a l'activitat sospitosa reprogramant el tallafocs perquè bloquegi tràfic que prové de la xarxa de l'atacant. Un sistema que reacciona davant l'atac prevenint que aquest continuï, es denomina IPS per les seves sigles en anglès de "intrusion prevention system".

Comparació amb Tallafocs

Si ben tots dos estan relacionats amb seguretat en xarxes d'informació, un IDS, difereix d'un tallafocs, que aquest últim generalment examina exteriorment per intrusions per evitar que aquestes ocorrin. Un tallafocs limita l'accés entre xarxes, per prevenir una intrusió, però no determina un atac que pugui estar ocorrent internament a la xarxa. Un IDS, avalua una intrusió quan aquesta pren lloc, i genera una alarma. Un IDS a més observa atacs que s'originen dins del sistema. Aquest normalment s'aconsegueix examinant comunicacions, i identificant mitjançant heurística, o patrons (coneguts com a signatures), atacs comuns ja classificats, i presa una acció per alertar a un operador.

Mecanismes de detecció d'un atac

Un IDS usa alguna de les dues següents tècniques per determinar que un atac es troba en curs:

Patró

Un IDS basat en patrons, analitza paquets a la xarxa, i els compara amb patrons d'atacs coneguts, i preconfigurats. Aquests patrons es denominen signatures. A causa d'aquesta tècnica, existeix un període de temps entre el descobriment de l'atac i el seu patró, fins que aquest és finalment configurat en un IDS. Durant aquest temps, el IDS serà incapaç d'identificar l'atac.

Heurística

Un IDS basat en heurística, determina activitat normal de xarxa, com l'ordre d'ample de banda usat, protocols, ports i dispositius que generalment s'interconnecten, i alerta a un administrador o usuari quan aquest varia d'aquell considerat com a normal, classificant-ho com a anòmal.

Implementació

Per posar en funcionament, un sistema de detecció d'intrusos s'ha de tenir en compte que és possible optar per una solució maquinari, programari o fins i tot una combinació d'aquests dos. La possibilitat d'introduir un element maquinari és a causa de l'alt requeriment de processador en xarxes amb molt tràfic. Al seu torn els registres de signatures i les bases de dades amb els possibles atacs necessiten gran quantitat de memòria, aspecte a tenir en compte.

En xarxes és necessari considerar el lloc de col·locació del IDS. Si la xarxa està segmentada amb hub (capa 1 del model OSI) no hi ha problema a analitzar tot el tràfic de la xarxa realitzant una connexió a qualsevol port. En canvi, si s'utilitza un switch (capa 2 del model OSI), és necessari connectar el IDS a un port SPAN (Switch Port Analiser) per poder analitzar tot el tràfic d'aquesta xarxa.

Vegeu també

Enllaços externs

Obtingut de «https://ca.wikipedia.org/w/index.php?title=Sistema_de_detecció_d%27intrusos&oldid=20353155»