Los sistemas de deteción de
intrusos (SDI's) son mecanismos complementarios a los mecanismos de
protección perimetral (firewalls).
Su propósito es detectar eventos causados por personas no
autorizadas que accesan un sistema desde Internet, por usuarios
autorizados de un sistema que intentan obtener privilegios adicionales
y por usuarios que abusan de los privilegios que se les han otorgado.
Un limitante en los sistemas de detección de intrusos se
presenta cuando cualquiera de los sensores encargados de analizar el
tráfico de la red deja estar disponible a consecuencia de una
falla de hardware o de software. El resultado es que los sucesos
que ocurren en el momento en que se presenta la falla y mientras esta
permanece, no se registran. La información relacionada a este
sensor se pierde y por lo tanto no puede efectuarse la
correlación con la información de otros sensores para
detectar patrones de intrusión. Otra limitante existente se
presenta cuando el servidor de análisis deja de estar disponible
para realizar la recopilación y almacenamiento de las alertas
enviadas por los sensores, actividad por la cual es considerado como la
entidad más crítica en un SDI.
Esta tesis presenta el diseño de una arquitectura que incluye
técnicas de redundancia y corroboración cruzada para dar
una solución a las limitantes antes mencionadas. Nuestro
diseño se apoya en un sistema de detección de
intrusos basado en red de software libre para su desarrollo.
Nuestro diseño introduce una carga mínima en la red y es
capáz de detectar las fallas de los sensores y del servidor de
análisis sin pérdida de información.