Para ser lo más seguro posible un sistema de información debe disponer de medidas que le permitan detectar los incidentes.
Existen unas soluciones llamadas sistemas de detección de intrusiones o IDS en inglés (Intrusion Detection Systems). Estas soluciones son las encargadas de vigilar la red, sin descubirse, y de emitir una alerta cuando se encuentra con una petición sospechosa o no conforma a la política de seguridad.
La disposición física de estas sondas y su configuración se deben estudiar con cuidada ya que podrían emitir muchas falsas alertas.
Nos podemos encontrar con dos grandes familias de IDS
- Los N-IDS (Network Based Intrusion Detection System): Esta familia de IDS se encargan de la seguridad a nivel de la red. Un miembro de la familia de los N-IDS es Snort. Ver el artículo en la Wikipedia.
- Los H-IDS (Host Based Intrusion Detection System): Esta familia de IDS se encarga de la seguridad a nivel de los host de la red. Un ejemplo de H-IDS sería Tripwire. Ver el artículo de la Wikipedia.
Un N-IDS necesita un hardware dedicado y constituye un sistema capaz de controlar los paquetes que circulan por una o más tarjetas de red para poder descubrir cualquier anomalía. Para poder funcionar el N-IDS debe configurar una o más interfaces de res en modo promiscuo (artículo en Wikipedia sobre el modo promiscuo).
