Sistemas IDS: Clave en la Seguridad de Redes y Detección de Amenazas

Detección de Preámbulos de Ataques con IDS

Cuando un individuo ataca un sistema, lo hace típicamente en fases predecibles. En la primera fase, un atacante realiza pruebas y examina el sistema o la red en busca de un punto de entrada óptimo. En sistemas o redes que no disponen de un Sistema de Detección de Intrusiones (IDS), el atacante es libre de examinar el sistema con un riesgo mínimo de detección. Esto le facilita la búsqueda de un punto débil en la red.

La misma red, con un IDS monitorizando sus operaciones, le presenta una mayor dificultad. Aunque el atacante puede examinar la red, el IDS observará estas acciones, las identificará como sospechosas, podrá bloquear activamente el acceso del atacante al sistema objetivo y avisará al personal de seguridad de lo ocurrido para que tome las acciones pertinentes.

Documentación del Riesgo Organizacional con IDS

Cuando se elabora un presupuesto para la gestión de seguridad de la red, es necesario conocer cuál es el riesgo de la organización ante posibles amenazas, la probabilidad de ser atacada o si incluso está siendo atacada. Un IDS puede ayudarnos a conocer la amenaza desde fuera y dentro de la organización, facilitándonos la toma de decisiones acerca de los recursos de seguridad que deberemos emplear en nuestra red.

Información Útil sobre Intrusiones

Incluso cuando los IDS no son capaces de bloquear ataques, pueden recopilar información detallada y relevante sobre estos. Esta información puede, bajo ciertas circunstancias, ser utilizada como prueba en actuaciones legales. También se puede usar esta información para detectar fallos en la configuración o en la política de seguridad de la organización.

Sistemas de Detección de Intrusiones (IDS) Comunes

A continuación, mencionaremos los IDS existentes más comunes:

Snort: Un IDS en Tiempo Real y de Código Abierto

Snort es un Sistema de Detección de Intrusiones (IDS) en tiempo real, desarrollado por Marty Roesch y disponible bajo licencia GPL. Se puede ejecutar en sistemas UNIX y Windows, siendo uno de los sistemas de detección de intrusos más populares actualmente.

Dispone de aproximadamente 1.200 filtros y de multitud de aplicaciones para el análisis de sus alertas. En Snort no es posible separar el componente de análisis y los sensores en máquinas distintas. Sí es posible ejecutar Snort atendiendo a varias interfaces a la vez (cada una podría estar monitorizando lugares distintos dentro de una red), pero esto no permite ningún reparto de carga en el proceso de análisis.

Es más, ni aun disponiendo de una máquina multiprocesador es posible (en estos momentos) realizar balanceo de carga por CPU. Esto es así porque la opción de compilación multihilo de Snort está todavía en fase de pruebas y no es muy estable, lo que obliga a ejecutar Snort como un proceso monolítico.

Shadow: Detección de Intrusiones Asíncrona para DMZ

Shadow fue desarrollado como respuesta a los falsos positivos de un IDS anterior, NID. La idea era construir una interfaz rápida que funcionara bien en una DMZ 'caliente' (una DMZ que sufre muchos ataques). La interfaz permitiría al analista evaluar una gran cantidad de información de red y decidir de qué eventos informar.

A diferencia de otros sistemas, Shadow no opera en tiempo real. Sus diseñadores sabían que no estarían disponibles para vigilar el sistema de detección de intrusos 7 días a la semana, 24 horas al día. Por ello, Shadow almacena el tráfico de red en una base de datos y se ejecuta por la noche, dejando los resultados listos para el analista a la mañana siguiente.

Al no operar en tiempo real, es inviable que Shadow analice el contenido de los paquetes, por lo que solo se centra en las cabeceras. Esto lo hace incapaz de ser útil para el análisis forense.