Requerimientos
Sistemas de Detección de Intrusos (IDS)
Estos sistemas intentan en tiempo "casi-real" detectar la presencia o el accionar de atacantes en uno o varios sistemas de cómputo.
Uno de los tipos más difundidos de estos sistemas se basan en información de auditoría y puntos límites para ciertas variables (como intentos de login fallidos, intentos de accesos indebidos a ciertos archivos, etc.) para "saber" cuándo emitir alarmas o incrementar la seguridad del sistema (por ejemplo bloqueando cuentas, migrando o encriptando archivos, reduciendo la atención a los procesos de los atacantes, enviando mails a los administradores, emitiendo alarmas sonoras, apagando el equipo, etc.).
La información de auditoría puede provenir de múltiples fuentes con formatos diferentes. El IDS deberá ser capaz de tomar información de cualquiera de estas fuentes llevándola a un formato común. Las fuentes pueden variar con el tiempo.
El IDS deberá contar con una interfaz para el administrador que le permita (incluso desde puntos remotos) administrar y configurar el sistema. Los cambios a las cofiguraciones se deberán reflejar automáticamente en el sistema. Entre los parámetros para la configuración se encuentran: seleccionar las fuentes de información, setear los puntos limites y/o los rangos de actividad sospechosa, perfilar el sistema para detectar los niveles normales de funcionamiento, indicar las alarmas o acciones a tomar en caso de alcanzar ciertos puntos limites o al y moverse en uno de los rangos, indicar diversos parámetros para la administración de la información recibida por el IDS (tiempo de vida, lugar de almacenamiento, encriptación, ACL), generación de los traductores para las fuentes de información, tipificación de las intrusiones para uso futuro, estipular si las intrusiones pasadas tienen o no precedencia sobre el comportamiento fijado por administración, etc.
Las acciones que el IDS tome a medida que una intrusión progresa deberán poder ajustarse con precisión de manera de tornarlas más evidentes y contundentes.
El IDS deberá ser capaz de almacenar en un cierto formato el progreso de intrusiones pasadas (y las acciones por él tomadas) para ser usadas ante nuevas intrusiones. Dada una nueva intrusión (la cual se detecta al alcanzar ciertos puntos límites o ingresar en ciertos rangos de alarma) el IDS comparará el comportamiento de esta frente al comportamiento de las que tenga almacenadas y tomará las acciones pertinentes en caso de concordancia; en caso contrario seguirá el proceso fijado por los administradores. Las intrusiones almacenadas pueden provenir del sistema o del fabricante.
El sistema podrá ejecutar en una computadora diferente (conectada a la red) a la del resto de los sistemas que se intenta proteger. Se deberá diseñar una forma efectiva y segura de colectar la información de auditoría de los otros equipos.