NIDS
| ||||||
Las herramientas de detecciones de intrusos NIDS son aplicaciones automáticas, las cuales se encargan de detectar intrusiones en tiempo real, dichos sistemas les llaman “Network Intruder Detection System” NIDS.
Sumario
El punto esencial
Es obtener un sistema seguro, ante cualquier intromisión estos sistemas entran en acción, no obstante existen varios tipos de configuraciones para los IDS.
- Sistemas de Bases de Datos (BDS) con información actualizada de ataques soportados.
- Compañías con información de ataques conocidos
Quiere decir que el NIDS al igual que los Firewalls necesitan una base de datos con ataques soportados, ademas esta BDS. Necesita ser actualizada periódicamente. Un ejemplo seria Un FireWall Phoenix Adaptable que soporta denegaciones de servicios X y aparece una nueva vulnerabilidad que provoca una denegación de servicios en ese tipo de FireWalls y el admin. No ah actualizado la BDS. Simplemente el FireWall cae al ataque. Lo mismo ocurre con los NIDS.
La base de datos del NIDS necesita ser especificada ya que si existen dos ataques similares pero no! iguales el ataque pasara sin ser detectado.
Sistemas adaptables
A mi parecer son los mejores NIDS que existen hasta el momento. Aparte de la BDS con ataques soportados, son capaces mediante Inteligencia Artificial aprender nuevos tipos de ataques a detectar, además de poseer una BDS de ataques. Sus principales desventajas, son de costos muy elevados, difíciles de mantener y necesitan de un admin. Con conocimientos avanzados en estadísticas y matemáticas (no son para mi...)
Sin embargo los NIDS no son cosas de otro mundo si conocen los denominados Network Analyzer o Sniffers, los cuales son aplicaciones de escucha electrónica. Los NIDS se basan similarmente al funcionamientos de los Sniffers, para poder escuchar el traficode la red.
Los métodos a usar son reacción y preventivo.
- Reacción : Siempre visualiza logs en el sistema, cuando detecta una anomalía “actúa”
- Prevención : Siempre escanea el trafico de la red (Sniffer), si detecta paquetes en transito anómalas “actúa”
En la actualidad los NIDS existentes son muy vulnerables a denegaciones de servicios producidas por usuarios y no por fallas en los NIDS, es por eso que es difícil parchar ciertas vulnerabilidades en NIDS, muchos de ellos caen a ataques spoofeados desde direcciones distintas con ataques similares, o cuando un NIDS ejecuta una shell para ejecutar comandos al detectar un ataque puede saturarse el sistema al llamar muchas shells.
La inserción de los NIDS depende bastante de la maquina que se este usando, a que me refiero con esto si instalo un NIDS que escanea logs en vez de paquetes en un tarro 486 simplemente es mucha tarea para un pobre tarro, en esas circunstancias es mejor instalar un NIDS con detección de ataques en paquetes en transito (Sniffer).
Modos de los NIDS
Ciertamente el NIDS al igual que un FireWall emplea modos “bajo, medio, alto, paranoico” si es utilizado un modo paranoico en un NIDS siempre que se ejecuten comandos de root por otro usuario el NIDS va a lanzar alertas de ataques, ciertamente es una decisión mas del admin del NIDS establecer el modo. La idea es siempre poner un equipo con NIDS antes del host victima, de la misma forma con que se tratan los firewalls. También existen aplicaciones que testean a los NIDS como el NIDSBENCH el cual se encarga de atacar equipos NIDS mediante algunas tools que este posee.
- TcpReplay : Es una aplicación que ataca los procesos background de la red con ataques escondidos. Lo que provoca anomalías arbitrarias en TcpDump mediante los ataques. TcpReplay escanea la velocidad de la red y la velocidad de respuesta de esta misma.
- FragRouter : Se encarga de atacar de la misma forma usando ataques conocidos, en otras palabras usa ataques TCP/IP listados en la base de datos de ataques a evadir.
- IdsTest : Consiste en una metodología de chequeo de NIDS. Chequea vulnerabilidades expuestas por empresas, y Vulnerabilities Scanners, además chequea ataques DOS, exploits, etc...
NIDS con NIDSBENCH (Diseño):
Sistemas soportados para usar NIDS
- UNIX, LINUX, WINDOWS, etc.
También existen Cluster con NIDS. De la misma forma estos sistemas también poseen sistemas R.A.I.D.
Herramientas NIDS
Existen diversos software que se pueden utilizar como NIDS, a continuación se relacionan algunos de ellos
