¿Cómo funciona un sistema de detección de intrusos (IDS)?

Mantener tu red a salvo de intrusiones es una de las partes más vitales de la administración y seguridad de sistemas y redes.

Si un atacante malintencionado penetra en tu red, puede provocar pérdidas masivas para tu empresa, incluidos posibles tiempos de inactividad, violaciones de datos y pérdida de la confianza del cliente.

Un sistema de detección de intrusos (IDS) es una herramienta o software que funciona con tu red para mantenerla segura y marcar cuando alguien está intentando ingresar a tu sistema. Hay varios tipos diferentes de IDS y numerosas herramientas en el mercado y descubrir cuál usar puede ser desalentador.

En esta guía definitiva, analizaré todo lo que necesitas saber (y me refiero a TODO) sobre IDS: qué es un sistema de detección de intrusos, cómo funciona la intrusión en la red, cómo detectar la intrusión en la red y qué herramientas debes considerar con el último software IDS.

¿Qué es un sistema de detección de intrusos?

Los sistemas de detección de intrusos suelen formar parte de otros sistemas o software de seguridad, junto con la intención de proteger los sistemas de información.

La seguridad IDS funciona en combinación con medidas de autenticación y control de acceso de autorización, como una doble línea de defensa contra la intrusión.

Los firewalls y el software antivirus o de malware generalmente se configuran en cada dispositivo individual en una red, pero a medida que las empresas crecen, entran y salen dispositivos más desconocidos o nuevos, como teléfonos celulares y USB. Los firewalls y el software antimalware por sí solo no son suficientes para proteger una red completa de ataques. Actúan como una pequeña parte de todo un sistema de seguridad.

El uso de un IDS completo como parte de tu sistema de seguridad es vital y está destinado a aplicarse en toda tu red de diferentes maneras.

Un IDS puede capturar instantáneas de todo tu sistema y luego usar la inteligencia recopilada de patrones preestablecidos para determinar cuándo se produce un ataque o proporcionar información y análisis sobre cómo ocurrió un ataque.

Esencialmente, hay varios componentes para la preparación de intrusiones:

  • conocimiento de intrusiones potenciales,
  • prevención de intrusiones potenciales,
  • conocimiento de intrusiones activas y pasadas, y
  • respuesta a la intrusión.

Si bien puede parecer «demasiado tarde» una vez que ya ha ocurrido un ataque, saber qué intrusiones han sucedido o se han intentado en el pasado puede ser una herramienta vital para prevenir futuros ataques. Conocer el alcance de la intrusión de un ataque también es importante para determinar su respuesta y responsabilidades ante las partes interesadas que dependen de la seguridad de sus sistemas.

Tipos

Quizás te preguntes: ¿cuáles son las diferentes formas de clasificar un IDS?

Históricamente, los sistemas de detección de intrusos se clasificaron como pasivos o activos.

Un IDS pasivo que detectara actividad maliciosa generaría alertas o entradas de registro, pero no tomaría medidas.

Un IDS activo, a veces llamado sistema de detección y prevención de intrusos (IDPS), generaría alertas y entradas de registro, pero también podría configurarse para tomar medidas, como bloquear direcciones IP o cerrar el acceso a recursos restringidos.

En la actualidad existen distintos tipos de software de detección de intrusiones.

Vamos a analizar cada uno de ellos.

Sistema de detección de intrusos en la red (NIDS)

Un Sistema de detección de intrusiones en la red (NIDS) generalmente se implementa o coloca en puntos estratégicos de la red, destinado a cubrir aquellos lugares donde el tráfico es más vulnerable a los ataques.

En general, se aplica a subredes completas e intenta hacer coincidir el tráfico que pasa con una biblioteca de ataques conocidos.

Examina pasivamente el tráfico de red que llega a través de los puntos de la red en la que se implementa.

Pueden ser relativamente fáciles de asegurar y dificultar la detección de intrusos. Esto significa que un intruso puede no darse cuenta de que el NIDS está detectando su posible ataque.

El software del sistema de detección de intrusos basado en la red analiza una gran cantidad de tráfico de red, lo que significa que a veces tienen poca especificidad. Esto significa que a veces pueden perder un ataque o no detectar algo que sucede en el tráfico encriptado.

En algunos casos, pueden necesitar una mayor participación manual de un administrador para asegurarse de que estén configurados correctamente.

HIDS

Un sistema de detección de intrusos (HIDS) se ejecuta en todas las computadoras o dispositivos en la red con acceso directo tanto a Internet como a la red interna de la empresa.

Un HIDS tiene una ventaja sobre un NIDS y es que puede detectar paquetes de red anómalos que se originan dentro de la organización o tráfico malicioso que un NIDS no ha podido detectar.

Un HIDS también puede identificar el tráfico malicioso que se origina en el propio host, como cuando el host ha sido infectado con malware y está intentando propagarse a otros sistemas.

SIDS

Un sistema de detección de intrusos basado en firmas (SIDS) monitoriza todos los paquetes que atraviesan la red y los compara con una base de datos de firmas de ataque o atributos de amenazas maliciosas conocidas, al igual que el software antivirus.

SIDA

Un sistema de detección de intrusiones (SIDA) basado en anomalías monitoriza el tráfico de la red y lo compara con una línea de base establecida para determinar lo que se considera normal para la red con respecto al ancho de banda, protocolos, puertos y otros dispositivos.

Este tipo a menudo utiliza el aprendizaje automático para establecer una línea de base y una política de seguridad que la acompañe. Luego alerta a los equipos de TI sobre actividades sospechosas y violaciones de políticas.

Al detectar amenazas utilizando un modelo amplio en lugar de firmas y atributos específicos, el método de detección basado en anomalías mejora las limitaciones de los métodos basados ​​en firmas, especialmente en la detección de nuevas amenazas.

Snort, uno de los sistemas de detección de intrusos más utilizados, es un NIDS de código abierto, de libre acceso y ligero que se utiliza para detectar amenazas emergentes. Se puede compilar en la mayoría de los sistemas operativos  Unix o Linux, con una versión disponible para Windows también.

IDS basados ​​en firma

Este tipo de IDS se centra en la búsqueda de una «firma», patrones, o una identidad conocida, de una intrusión o evento de intrusión específico. La mayoría de los IDS son de este tipo.Necesita actualizaciones periódicas de qué firmas o identidades son comunes en este momento para garantizar que su base de datos de intrusos esté actualizada. Esto significa que los IDS basados ​​en firmas son tan buenos como la actualización de su base de datos en un momento dado.

Los atacantes pueden sortear los IDS basados ​​en firmas cambiando con frecuencia pequeñas cosas sobre cómo se produce el ataque, por lo que las bases de datos no pueden seguir el ritmo.

Además, significa que un tipo de ataque completamente nuevo puede no ser detectado en absoluto por IDS basados ​​en firmas porque la firma no existe en la base de datos. Cuanto más grande sea la base de datos, mayor será la carga de procesamiento para que el sistema analice cada conexión y la compare con la base de datos.

IDS basados ​​en anomalías

A diferencia de los IDS basados ​​en firmas, los IDS basados ​​en anomalías buscan los tipos de ataques desconocidos que los IDS basados ​​en firmas encuentran difíciles de detectar.

Debido al rápido crecimiento del malware y los tipos de ataque, los IDS basados ​​en anomalías utilizan enfoques de aprendizaje automático para comparar modelos de comportamiento confiable con comportamiento nuevo. Como resultado, se marcarán anomalías o comportamientos de aspecto extraño o inusual.

Sin embargo, el comportamiento previamente desconocido pero legítimo también puede marcarse accidentalmente y, dependiendo de la respuesta, esto puede causar algunos problemas.

Además, los IDS basados ​​en anomalías suponen que el comportamiento de la red siempre es predecible y puede ser simple distinguir el buen tráfico del mal.

Pero el IDS basado en anomalías observa el comportamiento del tráfico, no la carga útil, y si una red se ejecuta en una configuración no estándar, el IDS puede tener problemas para determinar qué tráfico marcar.

Los IDS basados ​​en anomalías son buenos para determinar cuándo alguien está sondeando o barriendo una red antes del ataque. Incluso estos barridos o sondas crean señales en la red que los IDS basados ​​en anomalías detectarán.

Este tipo de IDS debe estar más distribuido en la red, y los procesos de aprendizaje automático deben ser guiados y capacitados por un administrador.

Capacidades

Los sistemas de detección de intrusos monitorizan el tráfico de red para detectar cuándo un ataque está siendo llevado a cabo por entidades no autorizadas.

Los IDS proporcionan algunas o todas estas funciones a los profesionales de seguridad:

  • Supervisar el funcionamiento de enrutadores, cortafuegos, servidores de administración de claves y archivos que necesitan otros controles de seguridad destinados a detectar, prevenir o recuperarse de ataques cibernéticos;
  • Brindar a los administradores una forma de ajustar, organizar y comprender los  registros de auditoría relevantes del sistema operativo  y otros registros que de otro modo serían difíciles de rastrear o analizar;
  • Proporcionar una interfaz fácil de usar para que miembros del personal no expertos puedan ayudar con la gestión de la seguridad del sistema;
  • Incluir una extensa base de datos de firmas de ataques contra la cual se puede comparar la información del sistema;
  • Reconocer e informar cuando el IDS detecta que los archivos de datos han sido alterados;
  • Generar una alarma y notificar que se ha violado la seguridad; y
  • Reaccionar a los intrusos bloqueándolos o bloqueando el servido.

Beneficios

Los sistemas de detección de intrusos ofrecen a las organizaciones varios beneficios, comenzando con la capacidad de identificar incidentes de seguridad.

Se puede usar un IDS para ayudar a analizar la cantidad y los tipos de ataques. Las organizaciones pueden utilizar esta información para cambiar sus sistemas de seguridad o implementar controles más efectivos.

Un sistema de detección de intrusos también puede ayudar a las empresas a identificar errores o problemas con sus configuraciones de dispositivos de red. Estas métricas se pueden utilizar para evaluar los riesgos futuros.

Los sistemas de detección de intrusos también pueden ayudar a la empresa a lograr el cumplimiento normativo. Un IDS brinda a las empresas una mayor visibilidad en sus redes, lo que facilita el cumplimiento de las normas de seguridad. Además, las empresas pueden usar sus registros de IDS como parte de la documentación para demostrar que cumplen con ciertos requisitos de cumplimiento.

Los sistemas de detección de intrusos también pueden mejorar las respuestas de seguridad. Dado que los sensores IDS pueden detectar hosts y dispositivos de red, también se pueden usar para inspeccionar datos dentro de los paquetes de red, así como para identificar los sistemas operativos de los servicios que se utilizan. 

¿Cómo funciona la intrusión en la red?

Los atacantes pueden adoptar diferentes enfoques cuando intentan penetrar en un sistema. Con el software de detección de intrusos en la red, comprender qué tipos de ataques se pueden usar es de vital importancia para establecer una prevención efectiva.

Revisaré algunos de los tipos más comunes de intrusión y ataque de red, para que tengas una idea clara de lo que un sistema de detección de intrusión de red intenta evitar.

En muchos casos de intrusión en la red, el ataque implica inundar o sobrecargar la red, recopilar datos sobre la red para atacarla desde un punto débil más tarde o insertar información en la red para propagarse y obtener acceso desde adentro.

Es importante mantener activas las herramientas de detección de piratas informáticos, para evitar que estas vulnerabilidades entren en tu sistema.

Escaneo de ataques

Un tipo de ataque es un ataque de exploración, que implica:

  • enviar paquetes o información a la red,
  • intentar recopilar datos sobre:
    • topología de la red,
    • puertos abiertos o cerrados,
    • tipos de tráfico permitido,
    • hosts activos en una red o
    • qué tipos o versiones de software se está ejecutando.

Los ataques de inyección SQL ciegos pueden usar algunas de estas técnicas de escaneo mientras intentan encontrar puntos más vulnerables en la red. Los ataques de escaneo a menudo buscan puertos abiertos donde se puedan insertar virus o códigos maliciosos.

Enrutamiento asimétrico

El enrutamiento asimétrico es cuando los paquetes que viajan a través de la red toman una ruta hacia su destino y luego una ruta diferente de regreso. Este es un comportamiento de red normal pero no deseado.

Dependiendo de cómo estén configurados sus firewalls, los atacantes pueden usar comportamientos de enrutamiento asimétrico para enviar paquetes maliciosos a través de ciertas partes de tu sistema para evitar tus configuraciones de seguridad.

En general, permitir que tu red realice un enrutamiento asimétrico puede dejarte abierto a ataques de inundación SYN (un tipo de ataque DDoS ) y, en la mayoría de los casos, debe desactivarse para una mejor protección de la red.

Ataques de desbordamiento de búfer

Este tipo de ataque intenta penetrar secciones de memoria en dispositivos en la red, reemplazando los datos normales en esas ubicaciones de memoria con datos maliciosos que se ejecutarán más adelante en un ataque.

En la mayoría de los casos, esto también está destinado a convertirse en una forma de ataque DDoS.

Básicamente, una sección de memoria intermedia puede contener una cadena de caracteres o una gran variedad de enteros. Un desbordamiento del búfer es cuando se escriben más datos en el búfer de los que puede manejar, lo que da como resultado que los datos se desborden en la memoria adyacente.

Esto puede hacer que todo el sistema se bloquee y también puede crear confusión y problemas, ocultando un ataque en otra parte del sistema.

Ataques específicos de protocolo

Este tipo de ataques se dirigen a protocolos específicos, incluidos ICMP, TCP y ARP.

ICMP significa Protocolo de mensajes de control de Internet y lo utilizan los dispositivos de red para comunicarse entre sí.

Un tipo de ataque ICMP también se conoce como inundaciones de ping, en el que el atacante abruma un dispositivo con paquetes de solicitud de eco ICMP

Esto funciona porque las solicitudes ICMP requieren ancho de banda para funcionar, y un ataque aumenta sustancialmente esta carga de red. Si bien el dispositivo está ocupado lidiando con esta gran cantidad de paquetes maliciosos, no puede manejar las solicitudes normales.

TCP también se puede utilizar para tipos específicos de ataques, como la inundación TCP SYN. El Protocolo de control de transmisión normalmente funciona con un «protocolo de enlace de tres vías» para conectar dos dispositivos.

Una inundación TCP SYN es cuando un atacante envía una gran cantidad de mensajes SYN a diferentes puertos en el servidor de destino, pero nunca envía el mensaje ACK. Como resultado, los puertos permanecen abiertos mientras esperan que se reciba el mensaje ACK, durante el cual el atacante envía más mensajes SYN, las tablas de desbordamiento de la conexión del servidor se llenan y el sistema se bloquea o funciona mal.

ARP significa Protocolo de resolución de direcciones , y también se puede usar en ataques de inundación, al enviar grandes cantidades de paquetes ARP a un destinatario para desbordar sus tablas ARP, como los ataques anteriores. También se pueden enviar paquetes ARP falsificados o falsificados.

Malware

Existen varios tipos diferentes de malware, incluidos gusanos, troyanos, virus y bots . El malware es un tipo de software diseñado para dañar o interrumpir su sistema . El malware a menudo se descarga accidentalmente por correo electrónico o se incluye con otro paquete de software.

Algunos de los tipos de malware más conocidos son virus y gusanos. Estos tipos de malware pueden autorreplicarse y propagarse rápidamente por todo el sistema. Los gusanos pueden autopropagarse, mientras que los virus usan programas host para replicarse y propagarse. 

Un software troyano se disfraza de programa normal, como un documento que parece legítimo pero es malware. A diferencia de los gusanos y los virus, no se auto-replican y solo pueden ser propagados por otros usuarios.

Los bots infectarán un dispositivo y luego se conectarán de nuevo a un servidor de control central. El servidor de control central puede usar todos los dispositivos infectados con bots como una «botnet» para lanzar ataques de alta potencia contra otros objetivos.

Inundaciones de tráfico

En muchos casos, este es un tipo de ataque llamado ataque DDoS o ataque de denegación de servicio distribuido. Algunos de los ataques anteriores, incluidos los ataques de desbordamiento de búfer y los ataques de enrutamiento asimétrico, utilizan inundaciones de tráfico.

Diferencias entre IDS y cortafuegos

Un IDS es un sistema de detección de intrusos , no un sistema diseñado para responder a un ataque. Un IDS puede ser parte de una herramienta de seguridad más grande con respuestas y soluciones, pero el IDS en sí mismo es simplemente un sistema de monitorización.

Otro tipo de sistema es el Sistema de prevención de intrusiones o IPS. Un IPS es esencialmente un IDS combinado con un sistema de respuesta o control. IDS no altera los paquetes de red a medida que pasan, mientras que el IPS evitará que el paquete se entregue en función del contenido del paquete (por ejemplo, si ve que el paquete es malicioso).

Tanto un IDS (basado en la firma) como un IPS se refieren a una base de datos de amenazas conocidas y luego marcan o responden a la amenaza en función de esta base de datos.

También podemos preguntarnos cuál es la diferencia entre un IDS y un firewall.

En general, se supone que un firewall está configurado para bloquear todo el tráfico, y luego lo configura para permitir el paso de tipos específicos. El IDS y el IPS funcionan en la dirección opuesta, al permitir todo el tráfico y luego marcar o bloquear solo el tráfico específico.

Como resultado, se debe usar un firewall en combinación con un IDS o IPS, no uno u otro. Configura tu cortafuegos para dejar pasar solo tipos específicos de tráfico, y luego usa el IDS para detectar anomalías o problemas en el tráfico que permitas. La combinación de estas herramientas proporciona un límite de seguridad integral para tu red.

Técnicas para la detección de ataques

Los sistemas de detección de intrusos (IDS) surgen para dar solución a los problemas de seguridad existentes, siendo concebidos para detectar las acciones que vayan dirigidas a poner en riesgo la integridad, confidencialidad o disponibilidad de un recurso.

Esta tecnología es relativamente joven, pero desde su surgimiento han aparecido una enorme variedad de propuestas que intentan dar solución a este enfoque, tan complicado como rico en posibilidades.

Por patrones

Los IDS más aceptados basan su detección de intrusiones en la comparación de la información a clasificar con los ataques que se encuentran en su base de patrones.

Esta estrategia de análisis es conocida como uso indebido y su principal ventaja radica en el bajo índice de falsos positivos que genera. Por tanto, el buen funcionamiento de estos sistemas depende en gran medida del óptimo nivel de actualización de su base de patrones de ataques.

Con la velocidad de aparición de nuevas versiones de ataques en la actualidad, este tipo de sistemas deja de ser
funcional, puesto que resulta extremadamente difícil mantener un repositorio de ataques debidamente actualizado.

Por heurística

La detección de malware basada en heurística se enfoca en detectar intrusiones al monitorizar la actividad de los sistemas y clasificarla como normal o anómala.

La clasificación a menudo se basa en algoritmos de aprendizaje automático que utilizan heurísticas o reglas para detectar el mal uso, en lugar de patrones o firmas.

Una de sus deficiencias es que tiende a tener una alta tasa de falsos positivos, de modo que muchas acciones legítimas se clasifican como intrusivas y requiere datos de capacitación útiles, que generalmente son difíciles de obtener en entornos de TI grandes.

Los productos contemporáneos de detección de malware basados ​​en host se centran en patrones en memoria. Además de la heurística, aplican técnicas como el hash de bloques, que calcula los hash de partes del archivo sospechoso en lugar del archivo completo, o pueden detectar cargas útiles cifradas polimórficas en la memoria.

Cómo implementar sistemas de detección de intrusos

La detección de intrusiones es vital porque es imposible mantener el ritmo de todas las amenazas y vulnerabilidades actuales y potenciales en una red. Estas amenazas y vulnerabilidades avanzan a la velocidad de la luz, y lleva tiempo para que los proveedores se pongan al día con los parches y las actualizaciones.

Por lo tanto, los IDS se han vuelto indispensables para ayudar a gestionar estas amenazas y vulnerabilidades.

Vamos a analizar la forma de implementar los sistemas de detección de intrusos en la red.

Por software

Un IDS basado en software es una solución que cargas en un sistema operativo compatible para monitorizar y responder a la actividad de la red.

Un ejemplo de IDS de software es RealSecure de Internet Security Systems. Su sistema también consta de dos elementos principales:

  • El sensor RealSecure es un software que carga y configura en una plataforma para proporcionar detección, prevención y respuesta de base amplia para ataques y mal uso que se originan a través de una red. Envía respuestas automáticas a actividades incorrectas y registra eventos en una base de datos, y puede bloquear / terminar una conexión, enviar un correo electrónico, suspender o deshabilitar una cuenta y crear una alerta definida por el usuario.
  • El RealSecure SiteProtector es la plataforma de gestión basada en software. SiteProtector unifica la gestión de los sensores RealSecure IDS y permite la agrupación de estos sensores para proporcionar una correlación interna y externa de amenazas en tiempo real. RealSecure SiteProtector también le permite operar y monitorear sensores remotos y responder a intrusiones identificadas.

Por hardware

Los sistemas de detección de intrusiones dependen mucho de tu arquitectura de hardware Por lo tanto, algunos investigadores se han  centrado en formas de mejorar el rendimiento de IDS mediante el análisis de varios aspectos de la implementación del hardware.

Snort es un IDS popular y muchos investigadores intentan mejorar su rendimiento utilizando algoritmos de aprendizaje automático o mejorando la arquitectura de soporte para acelerar su procesamiento.

Sistemas mixtos

Estos sistemas consisten en la utilización simultánea de software y hardware destinado a la detección de intrusiones en la red.