Los sistemas modernos de detección de in­tru­sio­nes co­m­ple­me­n­tan efi­ca­z­me­n­te a los firewalls tra­di­cio­na­les. Se encargan de analizar y su­pe­r­vi­sar co­n­ti­nua­me­n­te sistemas y redes enteras en tiempo real, ide­n­ti­fi­ca­n­do posibles amenazas y avisando rá­pi­da­me­n­te a los ad­mi­ni­s­tra­do­res. La defensa real contra los ataques se ejecuta po­s­te­rio­r­me­n­te uti­li­za­n­do software adicional.

¿Qué hay detrás de un IDS (sistema de detección de in­tru­sio­nes)?

Aunque los actuales sistemas de seguridad de or­de­na­do­res y redes son muy avanzados, los ci­ber­ata­ques también son cada vez más in­te­li­ge­n­tes. Para proteger efi­ca­z­me­n­te las in­frae­s­tru­c­tu­ras sensibles, debes co­n­si­de­rar la po­si­bi­li­dad de adoptar múltiples medidas de seguridad. En este contexto, un sistema de detección de in­tru­sio­nes (IDS) es un co­m­ple­me­n­to de primera clase para el firewall: un IDS destaca en la detección precoz de ataques y amenazas po­te­n­cia­les, alertando in­s­ta­n­tá­nea­me­n­te a los ad­mi­ni­s­tra­do­res, que pueden tomar medidas de­fe­n­si­vas rápidas. No obstante, más im­po­r­ta­n­te aún es que un sistema de detección de in­tru­sio­nes también puede ide­n­ti­fi­car ataques que puedan haber tra­s­pa­sa­do las defensas del firewall.

A di­fe­re­n­cia de un intrusion pre­ve­n­tion system, por ejemplo, un IDS no se defiende por sí mismo de los ataques. En su lugar, el sistema de detección de in­tru­sio­nes analiza toda la actividad de una red y la compara con patrones es­pe­cí­fi­cos. Cuando se detectan ac­ti­vi­da­des inusuales, el sistema alerta al usuario y pro­po­r­cio­na in­fo­r­ma­ción detallada sobre el origen y la na­tu­ra­le­za del ataque.

Consejo

Para ampliar la in­fo­r­ma­ción sobre las di­fe­re­n­cias entre los sistemas de detección de in­tru­sio­nes y de pre­ve­n­ción de in­tru­sio­nes, consulta nuestro artículo es­pe­cí­fi­co sobre este tema.

¿Qué tipos de sistemas de detección de in­tru­sio­nes existen?

Los sistemas de detección de in­tru­sio­nes se cla­si­fi­can en tres tipos: basados en el host (HIDS), basados en la red (NIDS), o sistemas híbridos que combinan pri­n­ci­pios HIDS y NIDS.

HIDS: sistemas de detección de in­tru­sio­nes basados en el host

El intrusion detection system basado en el host es la forma más antigua de sistema de seguridad. En este caso, el IDS se instala di­re­c­ta­me­n­te en el sistema co­rre­s­po­n­die­n­te. Analiza los datos tanto a nivel de log como de núcleo, exa­mi­na­n­do también otros archivos del sistema. Para adaptarse al uso de es­ta­cio­nes de trabajo autónomas, el sistema de detección de in­tru­sio­nes basado en host se basa en los llamados agentes de su­pe­r­vi­sión, que pre­fi­l­tran el tráfico y envían los re­su­l­ta­dos a un servidor central. Aunque es muy preciso y completo, puede ser vu­l­ne­ra­ble a ataques como DoS y DDoS. Además, depende del sistema operativo concreto.

NIDS: sistemas de detección de in­tru­sio­nes basados en la red

Un sistema de detección de in­tru­sio­nes basado en la red examina los paquetes de datos in­te­r­ca­m­bia­dos dentro de una red, ide­n­ti­fi­ca­n­do rá­pi­da­me­n­te patrones inusuales o anormales para informar sobre ellos. Sin embargo, gestionar un gran volumen de datos puede suponer un auténtico reto, que podría saturar el sistema de detección de in­tru­sio­nes y di­fi­cu­l­tar una su­pe­r­vi­sión completa.

Sistemas híbridos de detección de in­tru­sio­nes

Hoy en día, muchos pro­vee­do­res optan por sistemas híbridos de detección de in­tru­sio­nes que integran ambos enfoques. Estos sistemas constan de sensores basados en el host, sensores basados en la red y una capa de gestión central en la que convergen los re­su­l­ta­dos para obtener un análisis en pro­fu­n­di­dad y un mayor control.

Objetivo y ventajas de un IDS

Un sistema de detección de in­tru­sio­nes nunca debe co­n­si­de­rar­se ni uti­li­zar­se como sustituto de un firewall. Por el contrario, es un co­m­ple­me­n­to ideal que, junto con el firewall, ide­n­ti­fi­ca las amenazas de forma más eficaz. Como el sistema de detección de in­tru­sio­nes puede analizar incluso la capa más alta del modelo OSI, es capaz de descubrir nuevas fuentes de peligro de­s­co­no­ci­das hasta ahora, aunque se hayan violado las defensas del firewall.

Cómo funciona un sistema de detección de in­tru­sio­nes

El modelo híbrido es el más habitual de los sistemas de detección de in­tru­sio­nes, ya que emplea enfoques basados tanto en el host como en la red. La in­fo­r­ma­ción re­co­pi­la­da se evalúa en el sistema central de gestión, uti­li­za­n­do tres co­m­po­ne­n­tes distintos.

Co­n­tro­la­dor de datos

El co­n­tro­la­dor de datos recoge todos los datos pe­r­ti­ne­n­tes a través de sensores y los filtra en función de su re­le­va­n­cia. Esto abarca los datos pro­ce­de­n­tes del host, incluidos los archivos de registro y los detalles del sistema, así como los paquetes de datos tra­n­s­mi­ti­dos a través de la red. Entre otras cosas, el IDS recopila y organiza las di­re­c­cio­nes de origen y destino y otros atributos críticos. Un requisito crucial es que los datos re­co­pi­la­dos procedan de una fuente fiable o di­re­c­ta­me­n­te del sistema de detección de in­tru­sio­nes para ga­ra­n­ti­zar la in­te­gri­dad de los datos y evitar su ma­ni­pu­la­ción previa.

Ana­li­za­dor

El segundo co­m­po­ne­n­te del sistema de detección de in­tru­sio­nes es el ana­li­za­dor, re­s­po­n­sa­ble de evaluar todos los datos recibidos y pre­fi­l­tra­dos uti­li­za­n­do diversos patrones. Esta eva­lua­ción se realiza en tiempo real, lo que puede ser es­pe­cia­l­me­n­te exigente para la CPU y la memoria principal. Es esencial disponer de su­fi­cie­n­te capacidad para realizar un análisis rápido y preciso. Para ello, el ana­li­za­dor emplea dos métodos distintos:

  • Detección de uso indebido: en la detección de uso indebido, el ana­li­za­dor examina los datos entrantes en busca de patrones de ataque re­co­no­ci­dos al­ma­ce­na­dos en una base de datos es­pe­cí­fi­ca, que se actualiza pe­rió­di­ca­me­n­te. Cuando un ataque coincide con una firma re­gi­s­tra­da pre­via­me­n­te, se puede ide­n­ti­fi­car en una fase temprana. Sin embargo, este método es ineficaz para detectar ataques que aún no son conocidos por el sistema.
  • Detección de anomalías: para detectar anomalías hay que evaluar todo el sistema. Cuando uno o más procesos se desvían de las normas es­ta­ble­ci­das, se señalan dichas anomalías. Por ejemplo, si la carga de la CPU supera un umbral es­pe­cí­fi­co o si se produce un pico inusual en los accesos a páginas, se activa una alerta. El sistema de detección de in­tru­sio­nes también puede analizar el orden cro­no­ló­gi­co de varios eventos para ide­n­ti­fi­car patrones de ataque de­s­co­no­ci­dos. Sin embargo, es im­po­r­ta­n­te tener en cuenta que, en algunos casos, también pueden no­ti­fi­car­se anomalías ino­fe­n­si­vas.
Nota

Las anomalías típicas que detecta un buen IDS incluyen el aumento del tráfico y el aumento del acceso a los me­ca­ni­s­mos de inicio de sesión y au­te­n­ti­ca­ción. Esto convierte a la te­c­no­lo­gía de seguridad en una solución de primer nivel contra los ataques de fuerza bruta. Para aumentar el po­r­ce­n­ta­je de aciertos, muchos sistemas modernos de detección de in­tru­sio­nes utilizan IA para la detección de anomalías.

Alerta

El tercer y último co­m­po­ne­n­te del sistema de detección de in­tru­sio­nes es la alerta pro­pia­me­n­te dicha. Si se detecta un ataque o alguna anomalía, el sistema informa al ad­mi­ni­s­tra­dor. Esta no­ti­fi­ca­ción puede rea­li­zar­se por correo ele­c­tró­ni­co, mediante una alarma local o a través de un mensaje en el sma­r­t­pho­ne o la tablet.

¿Qué in­co­n­ve­nie­n­tes tiene un sistema de detección de in­tru­sio­nes?

Aunque los sistemas de detección de in­tru­sio­nes mejoran la seguridad, no están exentos de in­co­n­ve­nie­n­tes. Los IDS basados en el host pueden ser vu­l­ne­ra­bles a los ataques DDoS, y los sistemas basados en la red pueden tener problemas en co­n­fi­gu­ra­cio­nes de red más grandes, lo que puede producir la pérdida de paquetes de datos. La detección de anomalías, de­pe­n­die­n­do de la co­n­fi­gu­ra­ción, puede disparar falsas alarmas. Además, todos los IDS están diseñados úni­ca­me­n­te para la detección de amenazas, por lo que requieren software adicional para conseguir una defensa eficaz contra los ataques.

Intrusion detection system: el ejemplo de Snort

Uno de los sistemas de detección de in­tru­sio­nes más conocidos y populares es Snort. Esta he­rra­mie­n­ta de seguridad, de­sa­rro­lla­da por Martin Roesch en 1998, no solo es mu­l­ti­pla­ta­fo­r­ma y de código abierto, sino que también pro­po­r­cio­na a los usuarios amplias medidas de pre­ve­n­ción como un sistema de pre­ve­n­ción de in­tru­sio­nes. El programa está di­s­po­ni­ble gra­tui­ta­me­n­te y en una versión de pago con la que, por ejemplo, se obtienen ac­tua­li­za­cio­nes más rá­pi­da­me­n­te.

Ir al menú principal