HIDS
HIDS
HIDS
Hids
Jess Cisneros Valle, Universidad Autnoma de Quito (UNAQ), Quito - Ecuador
Resumen El presente documento indica brevemente lo que es Hids, para que y como se usa, adems contienen informacin para el usarlo eficientemente a fin de potenciar su trabajo y mantener a las redes y ordenadores con un cierto grado de seguridad ante el eventual ataque de un intruso, la topologa y la figura muestra las diversas formas de instalacin del sistema para proteger la informacin y evitar su vulneracin. Se detalla tambin la forma como y que herramientas utiliza para trabajar en la proteccin de datos.
I. INTRODUCCIN Todos los sistemas informticos sean redes o PCs, tienen la probabilidad de ser atacadas para realizar en ellas actos no autorizados (sustraccin de informacin) que probablemente tengan consecuencias catastrficas para sus propietarios. Hids, Sistema de deteccin de intrusos en un Host, nos permite detectar anomalas que indican un riesgo potencial, supervisando las actividades de la mquina (Host), pudindose entonces tomar medidas que protejan nuestra preciada informacin. II. PREPARACIN DEL TRABAJO TCNICO A. Qu es Hids. Es un Sistema de Deteccin de Intrusos, que nos permite detectar ataques o actividades informticas no autorizadas, que vulneran las polticas de seguridad de una red o sistema [1]. Los accesos pueden ser perpetrados por hackers o un Script Kiddies que usa herramientas automticas. Puede tener o estar provisto de sensores virtuales (sniffer de red) con los que Hids, puede obtener datos externos de trafico de red por ejemplo, gracias a estos sensores puede detectar anomalas que indicaran probablemente ataques o alarmas falsas. [2]. Cabe indicar que este tipo de sistemas de deteccin de intrusos es un complemento de los firewalls, ya que el detector de intrusos es incapaz de detener un ataque por s solo, al unir estas dos herramientas se convierte en un arma poderosa al trabajar conjuntamente en la puerta de enlace con funcionalidad firewall (esta combinacin permite unir permitir la deteccin temprana de intrusos con el poder de bloqueo del firewall , puesto que por all forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red). Regularmente Hids, poseen una base de datos de firmas de ataques conocidos, que le permiten distinguir entre un funcionamiento normal de la PC y uno malicioso al
comparar el trfico normal de red y uno que puede ser el resultado de un ataque o intento de ataque al sistema. Hids puede incluso detectar modificaciones de archivos crticos. Al ser Hids, un sistema de deteccin de intrusos, posee la siguiente estructura, que le permite funcionar para lo que fue creado: a) Una fuente de informacin que le proporciona eventos del sistema, los cuales pueden ser del propio trfico de la red hasta los logs de una aplicacin; b) Un motor de anlisis que busca rastros de intrusiones, que se encarga de encontrar los patrones de ataque o comportamiento anmalo que podra ser muestra del intento de ingreso de un intruso a la red o al sistema, c) Mecanismo de respuesta que acta segn el resultado del motor de anlisis, dependiendo si ha detectado un ataque generara alertas que sern observables por el administrador pudiendo incluso tomar medida l mismo para detener el ataque [3]. B. Topologa de Hids. Puede usar diferentes topologas en la red, pudiendo ser puesto: a) Antes del cortafuegos, lo que le da un aviso prematuro, rastrea los puertos y da un nmero de alertas elevado (Esta es una de las desventajas, puede dar alertas falsas de ataque, falsos positivos o falsos negativos), b) En la DMZ, configuracin efectiva para ataque dirigidos a la DMZ, c) En la intranet, donde verifica el volumen de trfico que regularmente es reducido por lo que se usa Hids menos potentes [4]. Fig. 1.
C. Para que sirve. Creo que despus de lo antes mencionado se puede determinar para que sirve Hids, entre otras cosas podemos mencionar:
REFERENCIAS