¿Qué es un IDS (Intrusion Detection System) y cómo funciona?
Si estás preocupado por la seguridad de tus redes y otros sistemas informáticos, como servidores o estaciones de trabajo, es inevitable pensar más de los clásicos firewalls. Hoy vamos un poco más allá y nos centramos en los sistemas de detección de intrusos (IDS) y su relación con otros sistemas de seguridad.
- ¿Qué es un sistema de detección de intrusos (IDS)?
- Diferencia entre IDS y firewall
- ¿Cómo funciona un IDS en la protección de redes?
- Tipos de IDS que existen
- Ventajas de implementar un IDS en tu infraestructura
- Herramientas IDS más utilizadas en la actualidad
- Diferencias entre IDS e IPS (Intrusion Prevention System)
- Buenas prácticas para configurar y mantener un IDS
¿Qué es un sistema de detección de intrusos (IDS)?
Un IDS (Intrusion Detection System) es una herramienta que permite monitorizar y analizar el tráfico de red y el comportamiento del sistema donde se encuentra, de modo que pueda detectar actividades no autorizadas o potencialmente maliciosas.
Generalmente se trata de un software que se instala en servidores, estaciones de trabajo o dispositivos, aunque también podría ser un componente de hardware y software que se coloca en áreas estratégicas de una red, sobre todo en entornos corporativos o que requieran una elevada seguridad.
Gracias a los IDS podemos identificar posibles amenazas, intrusiones o vulnerabilidades en los sistemas que pudieran comprometer la integridad o disponibilidad de los sistemas informáticos donde se encuentra instalado.
Diferencia entre IDS y firewall
Los IDS y los firewall son dos componentes dedicados a mejorar la seguridad de los sistemas, sin embargo, cumplen funciones diferentes:
- El firewall se limita a controlar el tráfico que se genera desde o hasta un servidor, ordenador o dispositivo. Simplemente bloquea el tráfico entrante y saliente que no se desea y para ello se usan una serie de reglas predefinidas.
- Por otra parte, los IDS van un poco más allá de los firewall, aunque no los sustituyen, sino que los complementan. Ellos se centran en detectar actividades sospechosas o anómalas, generando alertas cuando se identifica un posible ataque en el sistema.
En resumen, el IDS no se encarga de bloquear el tráfico como el firewall, en realidad solo se encarga de alertar, aunque podría hacerlo también si se integra con otros sistemas, como veremos más adelante en este post.
¿Cómo funciona un IDS en la protección de redes?
Para entender mejor qué son los IDS vamos a explicar ahora las funciones que desempeñan para proteger la red:
Análisis del tráfico en tiempo real
El IDS es capaz de inspeccionar el tráfico de red, constantemente y en tiempo real. Esto quiere decir que revisa cada paquete, conexión y protocolo y pone en marcha su sistema de análisis en busca de comportamientos sospechosos o no autorizados.
Detección de patrones sospechosos
Para la detección de patrones sospechosos utiliza bases de datos de firmas de ataques conocidos, así como técnicas de análisis de comportamiento que permiten identificar actividades potencialmente maliciosas. Entre otras puede alertar de la presencia de malware, exploits, escaneos de puertos o accesos no autorizados a los sistemas donde se encuentra instalado.
Registro y notificación de alertas
Una vez que detecta una potencial amenaza, el IDS está preparado para alertar a los administradores del sistema, de forma que se pueda investigar esa anomalía y comprobar si el sistema está comprometido. También es capaz de llevar un registro de eventos para registrar posibles amenazas que se hayan detectado, que también resulta útil para descubrir cómo un ataque ha podido llegar a comprometer el sistema cuando realizamos un análisis forense.
Tipos de IDS que existen
Dentro de los IDS podemos distinguir entre varios tipos, según el entorno en el que operan y el enfoque de detección que utilizan para encontrar las posibles amenazas.
IDS basados en red (NIDS)
Este tipo de IDS (a menudo llamado NIDS) se encarga de supervisar el tráfico de red. Para ello analiza paquetes en tiempo real que le permiten identificar actividades sospechosas. Muchas veces son dispositivos de hardware dedicados, con software específico que hace las funciones de NIDS, que se colocan en puntos estratégicos de la red que se pretende monitorizar.
IDS basados en host (HIDS)
Los llamados HIDS son soluciones de software que se instalan directamente en servidores o estaciones de trabajo para analizar su actividad. Hacen diversas acciones como analizar archivos de registro, procesos en ejecución y actividades internas del sistema operativo, buscando posibles situaciones anómalas que puedan representar una vulnerabilidad o ataque. Este tipo de IDS es también muy común, de hecho, junto con los NIDS son los más habituales.
IDS híbridos
Este tipo de IDS se llama así porque combina las capacidades de NIDS y HIDS. Su funcionamiento permite estar al tanto de las actividades de red y de los eventos internos del host, proporcionando una visión más completa tanto a nivel de red como de máquina y correlacionando los datos que recibe para poder analizarlos en conjunto. De este modo puede encontrar situaciones delicadas que podrían escaparse a un HIDS o un NIDS que funcionen por separado.
IDS de firmas vs. IDS de comportamiento
Además de las clasificaciones anteriores también podemos establecer una distinción entre el funcionamiento de los IDS. Los IDS de firmas detectan intrusiones comparando el tráfico o comportamiento con patrones predefinidos de ataques conocidos, a los que se conoce como firmas.
Por otro lado, los IDS de comportamiento lo que hacen es un análisis heurístico o estadístico para detectar comportamientos anómalos basados en desviaciones respecto a patrones normales. Pueden detectar anomalías incluso si no existe una firma conocida.
Ventajas de implementar un IDS en tu infraestructura
Por si todavía quedan dudas, vamos a ver las ventajas que te pueden proporcionar los IDS en materia de seguridad:
Mayor visibilidad de amenazas en tiempo real
Permite identificar amenazas, trabajando en tiempo real. Esto quiere decir que pueden alertar de manera inmediata de ataques o intentos de intrusión, pudiendo actuar antes de que causen daños graves.
Mejora de la seguridad preventiva
Ayudan a reforzar la seguridad general con medidas preventivas en base a las alertas emitidas por los IDS, que nos ayudan a mejorar la seguridad del sistema antes de que cierta situación se convierta en un problema. Algunas de estas medidas pueden ser el refinamiento de las políticas de firewall, aplicación de parches o actualizaciones de software, bloqueo manual de IPs sospechosas, actualización de las configuraciones de red y políticas de seguridad, etc.
Registro detallado de eventos
Como hemos dicho antes, además de alertar en el momento, el IDS proporciona también un registro completo de los eventos de seguridad que ha detectado. Esto facilita auditorías y análisis forenses en caso de que se hayan dado incidencias de seguridad.
Complemento ideal para otros sistemas de seguridad
Debe quedarnos claro que los IDS no están pensados para reemplazar a otras soluciones de seguridad como los firewall. En realidad son más un complemento que nos permite disponer de una capa adicional, dedicada específicamente a la detección de problemas.
Herramientas IDS más utilizadas en la actualidad
Ya para concretar, vamos a ver algunas herramientas populares de IDS que podemos encontrar en el mercado en entornos profesionales.
Snort
Snort es uno de los IDS más clásicos y maduros que podemos encontrar. Es una herramienta Open Source, de modo que la podemos usar de manera libre en nuestros sistemas. Es del NIDS (de red). Está pensada para detectar en tiempo real intrusiones basándose en firmas. De hecho destaca por su base de firmas disponibles para trabajar. También es capaz de analizar el tráfico IP.
Suricata
Suricata es una solución también Open Source pero es un poco distinta de Snort porque combina dos funcionalidades, tanto de IDS como de IPS. En el apartado IDS trabaja a nivel de red, por lo tanto es un NIDS. En el apartado IPS, que son las siglas de «Intrusion Prevention System» (Sistema de Prevención de Intrusiones), permite establecer correcciones más activas para mejorar la seguridad. Por tanto, Suricata no solo permite detectar intrusiones, ataques y comportamientos sospechosos, sino que también permite actuar automáticamente como reacción a esas detecciones, bloqueando o previniendo el tráfico malicioso en tiempo real.
OSSEC
OSSEC es también una herramienta Open Source, pero en este caso es un IDS de tipo host (HIDS). Por lo tanto se instala en servidores o estaciones de trabajo para supervisar la integridad de archivos y analizar logs. También es capaz de monitorizar procesos y detectar actividades sospechosas.
Zeek (antes Bro)
Zeek es una herramienta de monitorización y análisis de tráfico de red, es decir, las funcionalidades clásicas de un NIDS. La diferencia con los anteriores es que Zeek está basado en al análisis de comportamiento. Su ventaja principal es que es capaz de analizar de manera flexible y personalizada.
Diferencias entre IDS e IPS (Intrusion Prevention System)
Hemos nombrado otro tipo de herramientas antes que son los IPS. Para que nadie se pierda queremos también establecer algunas diferencias entre estos sistemas, ya que tienen roles diferentes:
Los IDS los hemos explicado ya. Debe quedar claro por tanto que están más enfocados en la detección. Esto quiere decir que son pasivos, es decir, simplemente analizan. Los IPS (Intrusion Prevention System), por su parte, desempeñan un papel más activo y de prevención. Por tanto, son capaces de detectar y desactivar las amenazas automáticamente, bloqueando paquetes, conexiones o usuarios.
Buenas prácticas para configurar y mantener un IDS
Ya para acabar vamos a ver algunos consejos sobre configuración y mantenimiento del IDS que nos permitan mejorar su eficacia y minimizar falsos positivos.
Actualización constante de firmas
Para los IDS que funcionan con firmas resulta muy importante mantenerlas actualizadas para poder detectar correctamente las amenazas, incluidas las más recientes. De esa manera será más difícil que los ataques pasen desapercibidos.
Monitoreo continuo del sistema
El IDS es una herramienta de detección, por lo que para que cumpla su papel en el aumento de la seguridad debemos supervisarlo y actuar ante comportamientos sospechosos y eventos críticos. Si no lo hacemos estaremos desaprovechando su potencial.
Integración con SIEM y herramientas de análisis
SIEM son las siglas de Security Information and Event Management. Son sistemas que almacenan y analizan de manera conjunta los eventos y registros proporcionados por distintos sistemas como los IDS, Firewalls, sistemas operativos, bases de datos y servidores en general. Tener toda esa información en una misma plataforma permite disponer de una visión más global de la seguridad de nuestra infraestructura.
Algunos ejemplos de SIEM populares son IBM QRadar, Elastic Security, Splunk Enterprise Security, Datadog, entre otros.
Como Product Manager en Arsys, ha liderado el desarrollo de innovadores productos digitales. Especializado en SaaS y desarrollo de productos, su formación en Ciencias de la Computación y un máster en Inteligencia Artificial le permiten estar siempre a la vanguardia de la tecnología.