You are on page 1of 7

Sistema de detección de intrusos

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos crackers, o de Script Kiddies que usan herramientas automáticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Funcionamiento
El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

Tipos de IDS
Existen dos tipos de sistemas de detección de intrusos:
1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones. 2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

ataques comunes ya clasificados. Un IDS además observa ataques que se originan dentro del sistema. protocolos. difiere de un cortafuegos. Patrón Un IDS basado en patrones. determina actividad normal de red. analiza paquetes en la red. el IDS será incapaz de identificar el ataque. evalúa una intrusión cuando esta toma lugar. En un sistema reactivo. el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante. como el orden de ancho de banda usado. existe un periodo de tiempo entre el descubrimiento del ataque y su patrón. y toma una acción para alertar a un operador. el sensor detecta una posible intrusión. almacena la información y manda una señal de alerta que se almacena en una base de datos. Mecanismos de detección de un ataque Un IDS usa alguna de las dos siguientes técnicas para determinar que un ataque se encuentra en curso: Heurística Un IDS basado en heurística. Durante este tiempo. para prevenir una intrusión. o patrones (conocidos como firmas). pero no determina un ataque que pueda estar ocurriendo internamente en la red. y alerta a un administrador o usuario cuando este varía de aquel considerado como normal. Un sistema que reacciona ante el ataque previniendo que este continúe. puertos y dispositivos que generalmente se interconectan. en que este último generalmente examina exteriormente por intrusiones para evitar que estas ocurran. y preconfigurados. e identificando mediante heurística. Estos patrones se denominan firmas. Implementación Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware. Debido a esta técnica. y genera una alarma. clasificándolo como anómalo. Un cortafuegos limita el acceso entre redes.Sistemas pasivos y sistemas reactivos En un sistema pasivo. hasta que este es finalmente configurado en un IDS. un IDS. se denomina IPS por sus siglas en inglés de "intrusion prevention system". Comparación con Cortafuegos Si bien ambos están relacionados con seguridad en redes de información. Este normalmente se consigue examinando comunicaciones. Un IDS. software o incluso una combinación de . y los compara con patrones de ataques conocidos.

Las funciones de este tipo de software son muy similares a las de los IDS. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria. Host-based intrusion detection system (Redirigido desde «HIDS») HIDS. si los intrusos lograran modificar cualquiera de los objetos que los HIDS monitorean. Puede tomar medidas protectoras. Aparte de las cripto-técnicas.estos dos. siendo el objetivo original el Mainframe. si se utiliza un switch (capa 2 del modelo OSI). En cambio. donde la interacción exterior era infrecuente. de checksum y sus reportes sufran cualquier forma de manipulación.a menos que los administradores de seguridad tomen las precauciones adecuadas. Del mismo modo. aspecto a tener en cuenta.. En redes es necesario considerar el lugar de colocación del IDS.1 Protección de los HIDS Los HIDS generalmente hacen todo lo posible para evitar que las bases de datos de objetos. es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red. fundamentalmente. proporciona un medio para identificar si hay algo/alguien que ha manipulado una porción . Muchos gusanos y virus a tratar de desactivar las herramientas anti-virus. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. Después de todo. nada podría detener a los intrusos de la modificación de este tipo a los propios HIDS .por lo general utilizando canales VPN a algún sistema de gestión central. Sistema de detección de intrusos en un Host. Se podría argumentar que el módulo de plataforma de confianza es un tipo de HIDS. Este fue el primer tipo de software de detección de intrusos que se diseñó. A pesar de su alcance difiere en muchos aspectos a la de un HIDS. revisando las actividades en la máquina (host). por ejemplo. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto.. los HIDS podrían permitir a los administradores almacenar las bases de datos en un CD-ROM o en otras dispositivos de memoria de sólo lectura (otro factor de lucha para las actualizaciones poco frecuentes .) o almacenarlos en una memoria fuera del sistema. Busca detectar anomalías que indican un riesgo potencial. un HIDS frecuentemente envía sus registros (logs) fuera del sistema de inmediato . Configuraciones típicas permiten varios HIDS repartidos por la red que envian sus resultados a un servidor centralizado que los analizará en busca de los riegos y alertas antes mencionados.

analiza todos los paquetes. su influencia en el tráfico es casi nula. En caso de detectar un ataque contra el sistema. Para ello. obtendremos demasiados falsos positivos (falsas alarmas. NIDS NIDS. puede tomar medidas protectoras. Para que los NIDS sean efectivos. El campo de los IDS y su versión para red NIDS está actualmente en activa investigación en diversas universidades como Columbia University y empresas de seguridad. A pesar de la vigilancia. . ya que algunos ataques podrían ser iniciados desde el propio sistema protegido. Recepción InfoWorld opina que el software HIDS es una forma útil para administradores de red de encontrar malware. sugiriendo que debería usarse en todos los servidores. escaneadores de puertos o intentos de entrar en un ordenador. han de ser actualizados periódicamente. Sistema de detección de intrusos en una Red. De otro modo. Arquitectónicamente este proporciona la máxima (por lo menos hasta ahora) detección de intrusiones basado en host. tales como ataques de denegación de servicio. analizando el tráfico en la red en tiempo real. Un aspecto negativo de los NIDS actuales es su complicación a la hora de obtener las opciones de configuración óptimas para su ejecución.de un ordenador. con gran cantidad de información que luego un administrador tendrá que procesar) o pasará sin advertir ciertos ataques. ya que depende de un hardware externo a la CPU en sí. sino también el saliente o el tráfico local. Los NIDS no sólo vigilan el tráfico entrante. buscando en ellos patrones sospechosos. Busca detectar anomalías que inicien un riesgo potencial. no solo en los servidores críticos. por lo tanto por lo que es mucho más difícil para un intruso corromper a sus bases de datos de objetos y de checksums.

pero en realidad es otro tipo de control de acceso. Detección honey pot (jarra de miel): funciona usando un equipo que se configura para que llame la atención de los hackers. Tiempo después. Dado que los IPS fueron extensiones literales de los sistemas IDS. algunos IPS fueron comercializados por la empresa One Secure. y entonces lanza una alerta. la cual fue finalmente adquirida por NetScreen Technologies. Detección basada en firmas Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto. Detección basada en políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad. en lugar de direcciones IP o puertos. al situar sistemas de detecciones en la vía del tráfico. al igual que un Sistema de Detección de Intrusos.Sistema de prevención de intrusos Un sistema de prevención de intrusos (o por sus siglas en inglés IPS) es un software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos. que a su vez fue adquirida por Juniper Networks en 2004. Funcionamiento Un sistema de prevención de intrusos. La tecnología de prevención de intrusos es considerada por algunos como una extensión de los sistemas de detección de intrusos (IDS). mientras que un Sistema de Prevención de Intrusos establece políticas de seguridad para proteger el equipo o la red de un ataque. También es importante destacar que los IPS pueden actuar al nivel de equipo. al tomar decisiones de control de acceso basados en los contenidos del tráfico. continúan en relación. Los IPS presentan una mejora importante sobre las tecnologías de cortafuegos tradicionales. Los IPS se categorizan en la forma que detectan el tráfico malicioso:     Detección basada en firmas: como lo hace un antivirus. para combatir actividades potencialmente maliciosas. pero la diferencia es que este último alerta al administrador ante la detección de un posible intruso (usuario que activó algún Sensor). más cercano a las tecnologías cortafuegos. se podría decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigüedades en la monitorización pasiva de redes de computadoras. los ataques contra los servidores Web . Por ejemplo. funciona por medio de módulos. Detección basada en anomalías: en función con el patrón de comportamiento normal de tráfico.

y de esa forma implementar políticas de seguridad acordes en nuestros sistemas de uso real. se genera una alarma. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta. Sin embargo. debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red. Detección no estadística de anormalidades: En este tipo de detección. Detección honey pot (jarra de miel) Aquí se utiliza un distractor. Detección basada en políticas En este tipo de detección. En este tipo de detección tenemos dos opciones: 1. Mediante esto. El análisis del comportamiento de la red (NBA) : analiza el tráfico de red para identificar las amenazas que generan flujos inusuales de tráfico. 2. es susceptible a generar muchos falsos positivos.generalmente toman la forma de URLs. Se asigna como honey pot un dispositivo que pueda lucir como atractivo para los atacantes. Clasificaciones Los sistemas de prevención de intrusiones se pueden clasificar en cuatro tipos diferentes: 1. Detección basada en anomalías Este tipo de detección tiende a generar muchos falsos positivos. como este tipo de detección funciona parecido a un antivirus. se puede monitorizar los métodos utilizados por el atacante e incluso identificarlo. es el administrador quien define el patrón «normal» de tráfico. como la denegación de servicio distribuido (DDoS). Detección estadística de anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. ciertas formas de malware y violaciónes de política. Por ejemplo. Los sistemas de prevención de intrusiones inalámbricas (WIPS) : monitorear una red inalámbrica para el tráfico sospechoso mediante el análisis de protocolos de redes inalámbricas. Sistema de prevención de intrusiones basado en red (NIPS) : monitorea toda la red para el tráfico sospechoso mediante el análisis de la actividad de protocolo. el administrador debe verificar que las firmas estén constantemente actualizadas. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor web. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento. . ya que es sumamente difícil determinar y medir una condición „normal‟. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Sin embargo. determinar que hosts pueden tener comunicación con determinadas redes. 2. 3. el IPS requiere que se declaren muy específicamente las políticas de seguridad.

1.4. qué puertos y dispositivos de conexión general entre sí-y alertar al administrador o usuario cuando el tráfico es detectado que es anómala (no normal). Los métodos de detección La mayoría de los sistemas de prevención de intrusión utilizar uno de los tres métodos de detección:. Detección Firma basada en : IDS basado Firma monitoriza paquetes en la red y lo compara con los patrones de ataque pre-configurados y predeterminadas conocidas como firmas. 2. Sistema basado en host de prevención de intrusiones (HIPS) : un paquete de software instalado que supervisa un único host para detectar actividades sospechosas mediante el análisis de los acontecimientos que ocurren dentro de ese host. Basada en firmas. y el análisis de protocolos con estado. como qué tipo de ancho de banda se utiliza generalmente. 3. qué protocolos se utilizan. Basado en la detección de anomalías de Estadística : A estadísticos IDS basados en anomalías determina la actividad de la red normal. Con estado de detección de análisis de protocolo : Este método identifica las desviaciones del protocolo establece mediante la comparación de eventos observados con "perfiles predeterminados de las definiciones generalmente aceptadas de la actividad benigna." . estadística anomalía basada en acciones.