Departamento de Computación

Los sistemas de deteción de intrusos (SDI's) son mecanismos complementarios a los mecanismos de protección perimetral (firewalls). Su propósito es detectar eventos causados por personas no autorizadas que accesan un sistema desde Internet, por usuarios autorizados de un sistema que intentan obtener privilegios adicionales y por usuarios que abusan de los privilegios que se les han otorgado. Un limitante en los sistemas de detección de intrusos se presenta cuando cualquiera de los sensores encargados de analizar el tráfico de la red deja estar disponible a consecuencia de una falla de hardware o de software. El resultado es que los sucesos que ocurren en el momento en que se presenta la falla y mientras esta permanece, no se registran. La información relacionada a este sensor se pierde y por lo tanto no puede efectuarse la correlación con la información de otros sensores para detectar patrones de intrusión. Otra limitante existente se presenta cuando el servidor de análisis deja de estar disponible para realizar la recopilación y almacenamiento de las alertas enviadas por los sensores, actividad por la cual es considerado como la entidad más crítica en un SDI. Esta tesis presenta el diseño de una arquitectura que incluye técnicas de redundancia y corroboración cruzada para dar una solución a las limitantes antes mencionadas. Nuestro diseño se apoya en un sistema de detección de intrusos basado en red de software libre para su desarrollo. Nuestro diseño introduce una carga mínima en la red y es capáz de detectar las fallas de los sensores y del servidor de análisis sin pérdida de información.