Introducción: Un IDS es un software que monitorea el tráfico de una red y los sistemas de una organización en busca de señales de intrusión, actividades de usuarios no autorizados y la ocurrencia de malas prácticas, como en el caso de los usuarios autorizados que intentan sobrepasar sus límites de restricción de acceso a la información. Características:

• Deben estar continuamente en ejecución con un mínimo de supervisión.
• Se deben recuperar de las posibles caídas o problemas con la red.
• Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
• Debe utilizar los mínimos recursos posibles.
• Debe estar configurado acorde con la política de seguridad seguida por la organización.
• Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.

Tipos de IDS Según la función del software IDS, tenemos: NIDS (Network Intrusion Detection System)

Los NIDS analizan el tráfico de la red completa, examinando los paquetes individualmente, comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos.

Componentes:

• Un sensor: situado en un segmento de la red, la monitoriza en busca de tráfico sospechoso
• Una Consola: recibe las alarmas del sensor o sensores y dependiendo de la configuración reacciona a las alarmas recibidas.

Ventajas:

• Detectan accesos no deseados a la red.
• No necesitan instalar software adicional en los servidores en producción.
• Fácil instalación y actualización por que se ejecutan en un sistema dedicado.
• Como principales desventajas se encuentran:
• Examinan el tráfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque en diferentes segmentos de la red. La solución más sencilla es colocar diversos sensores.
• Pueden generar tráfico en la red.
• Ataques con sesiones encriptadas son difíciles de detectar.

HIDS (Host Intrusion Detection System)

Los HIDS analizan el tráfico sobre un servidor o un PC, se preocupan de lo que está sucediendo en cada host y son capaces de detectar situaciones como los intentos fallidos de acceso o modificaciones en archivos considerados críticos.

Ventajas:

• Herramienta potente, registra comandos utilizados, ficheros abiertos.
• Tiende a tener menor número de falsos-positivos que los NIDS, entendiendo falsos-positivos a los paquetes etiquetados como posibles ataques cuando no lo son.
• Menor riesgo en las respuestas activas que los IDS de red.

Inconvenientes:

• Requiere instalación en la máquina local que se quiere proteger, lo que supone una carga adicional para el sistema.
• Tienden a confiar en las capacidades de auditoría y logging de la máquina en sí.

Clasificación según los modelos de detecciones Detección del mal uso:

La detección del mal uso involucra la verificación sobre tipos ilegales de tráfico de red, por ejemplo, combinaciones dentro de un paquete que no se podrían dar legítimamente. Este tipo de detección puede incluir los intentos de un usuario por ejecutar programas sin permiso por ejemplo, “sniffers”. Los modelos de detección basada en el mal uso se implementan observando cómo se pueden explotar los puntos débiles de los sistemas, describiéndolos mediante unos patrones o una secuencia de eventos o datos “firma” que serán interpretados por el IDS.

Detección del uso anómalo.

La detección de actividades anómalas se apoya en estadísticas tras comprender cuál es el tráfico “normal” en la red del que no lo es. Un ejemplo de actividad anómala sería la detección de tráfico fuera de horario de oficina o el acceso repetitivo desde una máquina remota. Este modelo de detección se realiza detectando cambios en los patrones de utilización o comportamiento del sistema. Esto se consigue realizando un modelo estadístico que contenga una métrica definida y compararlo con los datos reales analizados en busca de  desviaciones estadísticas significantes.

Por:        Juan Carlos Romero Sigcho

Pedro Damián Vélez Salas