Introducción a los sistemas de detección de intrusiones en la red

Los sistemas de detección de intrusiones en la red identifican las amenazas a la seguridad al detectar actividades maliciosas como exploraciones, ataques de denegación de servicio y acceso no autorizado mediante el examen del tráfico de la red. Se instalan en puntos estratégicos de la red para monitorear el tráfico hacia y desde todos los hosts de la red. A diferencia de un filtro de paquetes o cortafuegos, donde se toma una decisión de filtrado de paquetes en función del clima o para no permitir que el tráfico continúe, los sistemas de detección de intrusiones en la red no interfieren con el tráfico de la red de ninguna manera. En términos simples, estos sistemas podrían describirse como un rastreador de paquetes que también analiza los paquetes capturados.

En 1997, ISS lanzó RealSecure, el primer sistema comercial de detección de intrusiones en redes que pronto comenzó a ganar popularidad. Al año siguiente, Cisco se interesó en esta área de seguridad al comprar una empresa de seguridad llamada ‘Wheel Group’ para suministrar a sus clientes tecnologías similares. A partir de ese momento, una serie de empresas se interesaron y se involucraron en el desarrollo y la evolución de sistemas comerciales. Los sistemas de detección de intrusiones en la red se encuentran ahora entre las herramientas de seguridad basadas en redes más utilizadas.

Si un sistema informático en red no está equipado con un sistema de detección de intrusiones en la red, los administradores de la red podrían no estar al tanto de muchos ataques que tienen lugar y solo se darán cuenta de un ataque exitoso cuando se presenten los síntomas. Un ejemplo de un ataque de este tipo podría ser cuando un usuario no autorizado recupera archivos de contraseña de un servidor de inicio de sesión sin dañar el host. El ataque solo puede hacerse evidente cuando el intruso utiliza la contraseña para obtener privilegios de root, momento en el que la seguridad del sistema se verá seriamente comprometida. En un entorno equipado con un sistema de detección de intrusiones en la red, cuando ocurre un ataque exitoso o no exitoso, se genera una alerta de seguridad y se recopila información que podría ser invaluable como evidencia si se deben tomar acciones legales o para evitar que el ataque vuelva a ocurrir.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *