Para proteger nuestros activos digitales existen diversas soluciones. Uno de los mecanismos más usados en el área de la ciberseguridad son los IDS – Sistema de detección de intrusiones.
¿Qué es un IDS?
Un IDS (Intrusion Detection Systems) es un conjunto de componentes, de software o de hardware, que tiene la función de detectar, identificar y responder a actividades no autorizadas o anormales en un sistema objetivo.
Una intrusión es cualquier conjunto de acciones con el objetivo de comprometer la integridad, la confidencialidad o la disponibilidad de un recurso.
¿Cómo Funciona un IDS?
Un IDS generalmente está formado por varios componentes:
- Sensores: Generan los eventos de seguridad.
- Consola: Controla los sensores, monitoriza los eventos y alertas.
- Motor: Utiliza las reglas de seguridad para generar las alertas a partir de los eventos de seguridad. También registra los eventos, por ejemplo, en una base de datos.
Un IDS se puede clasificar según varias características operativas. La siguiente tabla muestra algunas de las características más relevantes:
Característica operacional | Clasificación |
---|---|
Método de detección | * Basada en conocimiento * Basada en comportamiento |
Recopilación de eventos (local) | * Máquinas * Redes * Híbridos |
Reactividad | * Activos * Pasivos |
Métodos de Detección de un IDS
- Basado en conocimiento:
Analiza la actividad del sistema en busca de patrones de ataque o instrucción conocidos. Este tipo de detección es muy eficiente porque la tasa de falsos positivos es baja. Sin embargo, la principal desventaja es el hecho de que solo detecta problemas conocidos.
- Basado en comportamiento:
Detecta desviaciones de la normalidad en el comportamiento del sistema computacional. Este tipo de detección tiene como principal ventaja la posibilidad de detectar nuevas formas de ataques e instrucciones. A su vez, este método tiene dos grandes problemas: la definición de qué es el comportamiento normal del sistema en análisis y la generación de muchos falsos positivos si está mal configurado.
Recopilación de eventos
- En máquinas (Host IDS – HIDS):
Sirve para monitorizar el estado de diversos componentes de cada máquina: hardware, sistema operativo o sistema de archivos, etc. Los HIDS tienen como principal ventaja el hecho de que están más cerca de los recursos donde se realizan los ataques e intrusiones, por lo que es posible recopilar indicios de los mismos. Sin embargo, los HIDS tienen como desventaja el hecho de que no tienen una visión general de todo el sistema de máquinas, solo tienen la visión de lo que está sucediendo en la máquina que están analizando. También existe una pequeña degradación del rendimiento de la máquina en análisis.
- En redes (Network IDS – NIDS):
Sirve para monitorizar las interacciones entre máquinas. Típicamente, los sensores de este tipo de IDS capturan los paquetes que pasan por la red. Una ventaja de este tipo de IDS es que, con un pequeño conjunto de sensores, pueden analizar un vasto conjunto de máquinas. Estos IDS pueden operar en máquinas dedicadas. Sin embargo, estos IDS no podrán analizar la información cifrada que pasa por la red. Otra desventaja es el hecho de que este tipo de IDS no puede garantizar que haya ocurrido un ataque o intrusión, solo puede indicar que existen actividades sospechosas.
También existen IDSs que actúan tanto como HIDS y NIDS, y se denominan híbridos.
IDS Activo y Pasivo
- IDS Activo:
Puede reaccionar de forma automática a ataques o intrusiones (defensa o contraataque). Las medidas de defensa son típicamente de aislamiento del recurso atacado, activando, por ejemplo, un firewall. En relación con las medidas de contraataque, el IDS podría intentar atacar la máquina que realizó el ataque, intentando saber qué servicios se están ejecutando en la misma y explotar una falla de seguridad. En ambos casos, defensa o contraataque, es necesario tener en cuenta varios factores, ya que las consecuencias de una defensa o contraataque podrían ser más desastrosas que el propio ataque.
- IDS Pasivo:
Solo reacciona con alertas, proporcionando informes con la mayor cantidad de información posible. La generación de este informe permite a los administradores de sistemas analizar lo que está sucediendo y poder reaccionar al ataque o intrusión.
Limitaciones de los IDS
Como todo software, los IDSs también tienen sus limitaciones. Aquí hay algunas:
- La adaptación a sistemas diversificados debe realizarse obligatoriamente para reducir a un nivel aceptable la tasa de falsos positivos, para que los administradores de sistemas no pierdan la confianza en el IDS.
- La escalabilidad de los HIDS es compleja porque cada máquina tiene su propio sistema y la aplicación del mismo IDS es complicada. Los NIDS tampoco escalan fácilmente en redes de alto débito.
- Todos los días hay nuevos ataques. Esto hace que la base de conocimiento de los IDS esté en constante actualización. Así, podrían existir ataques sin que sean detectados por los IDSs.
- Algunos softwares con bugs podrían generar paquetes corrompidos y eso puede hacer que el IDS pueda generar falsos positivos.