182
El IDS D-Link utiliza una combinación de Reglas de Detección de Intrusos, Patrón de
Coincidencias, y Acciones, con el fin de responder las tres interrogantes mencionadas
con anterioridad.
19.1.1
Reglas de Detección de Intrusos
Una Regla de Detección de Intrusos define el tipo de tráfico-servicio que debe ser
analizado. Además es definido aquí el filtro de campos con respecto a fuente y
destino, interfaces, redes, puertos y protocolos. Sólo el tráfico coincidente con esta
regla es pasado al siguiente nivel de procesamiento de IDS, donde el análisis actual
toma lugar.
19.1.2
Patrón de Coincidencia
Con el fin de que el IDS identifique correctamente un ataque, este debe saber qué es un
Ataque. Para conseguir esto, patrones pre-definidos, denominados "signatures", son
creados para describir ciertos ataques. El tráfico de red es luego analizado por el IDS,
buscando por estas coincidencias. Esto es conocido además como "misuse
detection" o "signature detection".
Considere el siguiente ejemplo. Un usuario intenta recuperar el archive de contraseña
"passwd" desde un sistema, utilizando FTP:
RETR passwd
Una signature buscando por el texto ASCII "RETR" y "passwd" puede causar una
coincidencia en este caso, señalando que se ha encontrado un ataque.
Con el fin de hacer este ejemplo fácil de seguir, se utilizarán patrones contenedores de
Texto ASCII. Esto no es necesario; los patrones pueden de todas formas contener
datos binarios.
Si es encontrado un ataque, se llevará a cabo el siguiente nivel de procesamiento del
IDS- causa de acción.
19.1.3
Acción
Luego de que ha sido detectada una intromisión, una acción ó respuesta debe ser tomada.
Dependiendo de la gravedad del ataque, el tráfico puede tanto ser desechado,
Registrado, ambos, o simplemente ignorado.
Capítulo 19. Sistema de Detección de Intrusos (IDS)
Guía de Usuario de los Firewalls D-Link