DETECCIÓN DE INTRUSIONES

La filosofía de los sistemas de detección de intrusiones consiste en la protección basada en la vigilancia con el objetivo de prevenir y reducir al máximo las posibles consecuencias de un ataque.

Para ello es necesario cumplir los siguientes objetivos:

  • Identificación y detección precisa de las amenazas y situaciones susceptibles de constituir un ataque. Existen diversas técnicas, como las que se basan en patrones establecidos, las técnicas heurísticas, o las técnicas basadas en análisis de anomalías.
  • Investigación inteligente de las amenazas para filtrar y descartar las falsas alarmas o para clasificarlas según el riesgo que conllevan las amenazas.
  • Sistema de Gestión intuitivo, sencillo y flexible que informe de las amenazas más relevantes.

Un sistema genérico de detección de intrusiones se compone de los siguientes elementos distribuidos:

  • Sensores que, sin afectar al funcionamiento normal de la red y situados en puntos estratégicos, son capaces de detectar situaciones sospechosas y generar alarmas o incluso descartar paquetes o cesar conexiones TCP. Pueden encontrarse en firewalls, routers, switches, servidores (Agentes) o incluso como dispositivos independientes exclusivamente dedicados a la detección de intrusiones.
  • Gestores que interpretan y procesan las alarmas generadas por los sensores y agentes.