Host-based intrusion detection system

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

HIDS, Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras.

Las funciones de este tipo de software son muy similares a las de los IDS. Configuraciones típicas permiten varios HIDS repartidos por la red que envian sus resultados a un servidor centralizado que los analizará en busca de los riegos y alertas antes mencionados.

Este fue el primer tipo de software de detección de intrusos que se diseñó, siendo el objetivo original el Mainframe, donde la interacción exterior era infrecuente.[1]


Protección de los HIDS[editar]

Los HIDS generalmente hacen todo lo posible para evitar que las bases de datos de objetos, de checksum y sus reportes sufran cualquier forma de manipulación. Después de todo, si los intrusos lograran modificar cualquiera de los objetos que los HIDS monitorean, nada podría detener a los intrusos de la modificación de este tipo a los propios HIDS - a menos que los administradores de seguridad tomen las precauciones adecuadas. Muchos gusanos y virus a tratar de desactivar las herramientas anti-virus, por ejemplo.

Aparte de las cripto-técnicas, los HIDS podrían permitir a los administradores almacenar las bases de datos en un CD-ROM o en otras dispositivos de memoria de sólo lectura (otro factor de lucha para las actualizaciones poco frecuentes ...) o almacenarlos en una memoria fuera del sistema. Del mismo modo, un HIDS frecuentemente envía sus registros (logs) fuera del sistema de inmediato - por lo general utilizando canales VPN a algún sistema de gestión central.

Se podría argumentar que el módulo de plataforma de confianza es un tipo de HIDS. A pesar de su alcance difiere en muchos aspectos a la de un HIDS, fundamentalmente, proporciona un medio para identificar si hay algo/alguien que ha manipulado una porción de un ordenador. Arquitectónicamente este proporciona la máxima (por lo menos hasta ahora) detección de intrusiones basado en host, ya que depende de un hardware externo a la CPU en sí, por lo tanto por lo que es mucho más difícil para un intruso corromper a sus bases de datos de objetos y de checksums.

Recepción[editar]

InfoWorld opina que el software HIDS es una forma útil para administradores de red de encontrar malware, sugiriendo que debería usarse en todos los servidores, no solo en los servidores críticos.[2]

Véase También[editar]

Referencias[editar]

  1. Debar, Hervé; Dacier, Marc; Wespi, Andreas (April, 23 1999). «Towards a taxonomy of intrusion-detection systems». Computer Networks 31 (8):  pp. 805–822. doi:10.1016/S1389-1286(98)00017-6. 
  2. Marsan, Carolyn Duffy (July 6, 2009), «The 10 dumbest mistakes network managers make», InfoWorld (IDG Network), http://www.infoworld.com/d/security-central/10-dumbest-mistakes-network-managers-make-162?page=0,2&r=974, consultado el 2011-07-31 

Enlaces Externos[editar]

Lista de HIDS comerciales, Mosaic Security Research (en inglés)