La Prensa - Informatica - Detecciónde intrusos

MARTES 13 DE JULIO DEL 2004 / EDICION No. 23509 / ACTUALIZADA 12:33 am

EL HUMOR DE

[an error occurred while processing this directive]

Detecciónde intrusos

Gerald Lanzas*

Antes de empezar con el aspecto técnico hablemos un poco de historia sobre los intrusos.

Todo empezó cuando, en la década de los cincuenta, la empresa americana Bell Telephone System decidió automatizar el registro de eventos en sus máquinas. El ordenador almacenaba cronológicamente los eventos más importantes que iban ocurriendo.

A esto se le llamó EDP (Electronic Data Process, o proceso electrónico de datos) dándose una pequeña revolución en el mundo de la informática.

Pero no fue hasta 1980 cuando James P. Anderson estudió el problema del análisis de logs e ideó un mecanismo que automatizara la ardua tarea de revisión de registros.

Su sistema se basaba en la comparación con estadísticas generadas a partir de la observación.

Durante un período de desarrollo se estudiaba el uso, por ejemplo, que el usuario hacía de una cuenta. A partir de esa observación se creaban patrones estadísticos que definían el comportamiento tipo del usuario.

El “detector de intrusos” podía entonces detectar si se había raptado una cuenta a partir de la comparación de comportamientos cada vez que “alguien” tenía acceso a esa cuenta.

Si se notaba actividad inusual que se salía de los patrones generados previamente, se podía sospechar de que la cuenta no estaba siendo utilizada por su legítimo dueño. Esta idea marcaría el desarrollo de los futuros sistemas de detección de intrusos (IDS; Intrusion Detection System).

En resumen, un sistema de detección de intrusos hace exactamente eso. Detectar “posibles” intrusiones. Proporciona una seguridad parecida a la que un sistema de alarma instalado en casa puede suponer.

Normalmente estos patrones deben ser actualizados a menudo, pues surgen ataques nuevos cada día, varían los existentes o ganan en efectividad. También cabe la posibilidad de configurar específicamente el detector para que nos mande un correo urgente, o envíe un mensaje corto al móvil.

En estos casos, recomiendo definir con cautela lo que puede resultar un ataque y lo que no, pues puede causar muchos falsos positivos y relajarnos en exceso ante tantas falsas alarmas. Los falsos negativos, hablando de IDS, ocurren cuando el detector no detecta un ataque y lo deja pasar, esto es, cuando no cumple uno de sus objetivos marcados.

* Dudas y comentarios por favor enviarlos a informaticos@ucc.edu.ni

Derechos Reservados 2002. La información contenida en este medio de comunicación, no puede ser reproducida ni publicada, parcial o totalmente, en ningún otro medio de comunicación privado o público, sin el consentimiento por escrito de LA PRENSA S.A

IBW Internet MediaHosting
Diseñado por InfoGroup

Detecciónde intrusos

Microsoft en la piel

Asimo, el robot niño