Sistema de deteccin de intrusos

Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos crackers, o de Script Kiddies que usan herramientas automticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas.

Funcionamiento
El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.

Tipos de IDS
Existen dos tipos de sistemas de deteccin de intrusos:
1. HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo, con propsito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones. 2. NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la red.

Sistemas pasivos y sistemas reactivos

En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda una seal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee trfico que proviene de la red del atacante. Un sistema que reacciona ante el ataque previniendo que este contine, se denomina IPS por sus siglas en ingls de "intrusion prevention system".

Comparacin con Cortafuegos

Si bien ambos estn relacionados con seguridad en redes de informacin, un IDS, difiere de un cortafuegos, en que este ltimo generalmente examina exteriormente por intrusiones para evitar que estas ocurran. Un cortafuegos limita el acceso entre redes, para prevenir una intrusin, pero no determina un ataque que pueda estar ocurriendo internamente en la red. Un IDS, evala una intrusin cuando esta toma lugar, y genera una alarma. Un IDS adems observa ataques que se originan dentro del sistema. Este normalmente se consigue examinando comunicaciones, e identificando mediante heurstica, o patrones (conocidos como firmas), ataques comunes ya clasificados, y toma una accin para alertar a un operador.

Mecanismos de deteccin de un ataque

Un IDS usa alguna de las dos siguientes tcnicas para determinar que un ataque se encuentra en curso: Heurstica Un IDS basado en heurstica, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este vara de aquel considerado como normal, clasificndolo como anmalo. Patrn Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta tcnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrn, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS ser incapaz de identificar el ataque.

Implementacin
Para poner en funcionamiento un sistema de deteccin de intrusos se debe tener en cuenta que es posible optar por una solucin hardware, software o incluso una combinacin de

estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho trfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta. En redes es necesario considerar el lugar de colocacin del IDS. Si la red est segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el trfico de la red realizando una conexin a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el trfico de esta red.

Host-based intrusion detection system

(Redirigido desde HIDS)

HIDS, Sistema de deteccin de intrusos en un Host. Busca detectar anomalas que indican un riesgo potencial, revisando las actividades en la mquina (host). Puede tomar medidas protectoras. Las funciones de este tipo de software son muy similares a las de los IDS. Configuraciones tpicas permiten varios HIDS repartidos por la red que envian sus resultados a un servidor centralizado que los analizar en busca de los riegos y alertas antes mencionados. Este fue el primer tipo de software de deteccin de intrusos que se dise, siendo el objetivo original el Mainframe, donde la interaccin exterior era infrecuente.1 Proteccin de los HIDS Los HIDS generalmente hacen todo lo posible para evitar que las bases de datos de objetos, de checksum y sus reportes sufran cualquier forma de manipulacin. Despus de todo, si los intrusos lograran modificar cualquiera de los objetos que los HIDS monitorean, nada podra detener a los intrusos de la modificacin de este tipo a los propios HIDS - a menos que los administradores de seguridad tomen las precauciones adecuadas. Muchos gusanos y virus a tratar de desactivar las herramientas anti-virus, por ejemplo. Aparte de las cripto-tcnicas, los HIDS podran permitir a los administradores almacenar las bases de datos en un CD-ROM o en otras dispositivos de memoria de slo lectura (otro factor de lucha para las actualizaciones poco frecuentes ...) o almacenarlos en una memoria fuera del sistema. Del mismo modo, un HIDS frecuentemente enva sus registros (logs) fuera del sistema de inmediato - por lo general utilizando canales VPN a algn sistema de gestin central. Se podra argumentar que el mdulo de plataforma de confianza es un tipo de HIDS. A pesar de su alcance difiere en muchos aspectos a la de un HIDS, fundamentalmente, proporciona un medio para identificar si hay algo/alguien que ha manipulado una porcin

de un ordenador. Arquitectnicamente este proporciona la mxima (por lo menos hasta ahora) deteccin de intrusiones basado en host, ya que depende de un hardware externo a la CPU en s, por lo tanto por lo que es mucho ms difcil para un intruso corromper a sus bases de datos de objetos y de checksums.

Recepcin
InfoWorld opina que el software HIDS es una forma til para administradores de red de encontrar malware, sugiriendo que debera usarse en todos los servidores, no solo en los servidores crticos.

NIDS
NIDS, Sistema de deteccin de intrusos en una Red. Busca detectar anomalas que inicien un riesgo potencial, tales como ataques de denegacin de servicio, escaneadores de puertos o intentos de entrar en un ordenador, analizando el trfico en la red en tiempo real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no slo vigilan el trfico entrante, sino tambin el saliente o el trfico local, ya que algunos ataques podran ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el trfico es casi nula. Para que los NIDS sean efectivos, han de ser actualizados peridicamente. En caso de detectar un ataque contra el sistema, puede tomar medidas protectoras. Un aspecto negativo de los NIDS actuales es su complicacin a la hora de obtener las opciones de configuracin ptimas para su ejecucin. De otro modo, obtendremos demasiados falsos positivos (falsas alarmas, con gran cantidad de informacin que luego un administrador tendr que procesar) o pasar sin advertir ciertos ataques. El campo de los IDS y su versin para red NIDS est actualmente en activa investigacin en diversas universidades como Columbia University y empresas de seguridad.

Sistema de prevencin de intrusos

Un sistema de prevencin de intrusos (o por sus siglas en ingls IPS) es un software que ejerce el control de acceso en una red informtica para proteger a los sistemas computacionales de ataques y abusos. La tecnologa de prevencin de intrusos es considerada por algunos como una extensin de los sistemas de deteccin de intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las tecnologas cortafuegos. Los IPS fueron inventados de forma independiente por Jed Haile y Vern Paxon para resolver ambigedades en la monitorizacin pasiva de redes de computadoras, al situar sistemas de detecciones en la va del trfico. Los IPS presentan una mejora importante sobre las tecnologas de cortafuegos tradicionales, al tomar decisiones de control de acceso basados en los contenidos del trfico, en lugar de direcciones IP o puertos. Tiempo despus, algunos IPS fueron comercializados por la empresa One Secure, la cual fue finalmente adquirida por NetScreen Technologies, que a su vez fue adquirida por Juniper Networks en 2004. Dado que los IPS fueron extensiones literales de los sistemas IDS, continan en relacin. Tambin es importante destacar que los IPS pueden actuar al nivel de equipo, para combatir actividades potencialmente maliciosas.

Funcionamiento
Un sistema de prevencin de intrusos, al igual que un Sistema de Deteccin de Intrusos, funciona por medio de mdulos, pero la diferencia es que este ltimo alerta al administrador ante la deteccin de un posible intruso (usuario que activ algn Sensor), mientras que un Sistema de Prevencin de Intrusos establece polticas de seguridad para proteger el equipo o la red de un ataque; se podra decir que un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. Los IPS se categorizan en la forma que detectan el trfico malicioso:

Deteccin basada en firmas: como lo hace un antivirus. Deteccin basada en polticas: el IPS requiere que se declaren muy especficamente las polticas de seguridad. Deteccin basada en anomalas: en funcin con el patrn de comportamiento normal de trfico. Deteccin honey pot (jarra de miel): funciona usando un equipo que se configura para que llame la atencin de los hackers.

Deteccin basada en firmas Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto, y entonces lanza una alerta. Por ejemplo, los ataques contra los servidores Web

generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrn de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este tipo de deteccin funciona parecido a un antivirus, el administrador debe verificar que las firmas estn constantemente actualizadas. Deteccin basada en polticas En este tipo de deteccin, el IPS requiere que se declaren muy especficamente las polticas de seguridad. Por ejemplo, determinar que hosts pueden tener comunicacin con determinadas redes. El IPS reconoce el trfico fuera del perfil permitido y lo descarta. Deteccin basada en anomalas Este tipo de deteccin tiende a generar muchos falsos positivos, ya que es sumamente difcil determinar y medir una condicin normal. En este tipo de deteccin tenemos dos opciones:
1. Deteccin estadstica de anormalidades: El IPS analiza el trfico de red por un determinado periodo de tiempo y crea una lnea base de comparacin. Cuando el trfico vara demasiado con respecto a la lnea base de comportamiento, se genera una alarma. 2. Deteccin no estadstica de anormalidades: En este tipo de deteccin, es el administrador quien define el patrn normal de trfico. Sin embargo, debido a que con este enfoque no se realiza un anlisis dinmico y real del uso de la red, es susceptible a generar muchos falsos positivos.

Deteccin honey pot (jarra de miel) Aqu se utiliza un distractor. Se asigna como honey pot un dispositivo que pueda lucir como atractivo para los atacantes. Los atacantes utilizan sus recursos para tratar de ganar acceso en el sistema y dejan intactos los verdaderos sistemas. Mediante esto, se puede monitorizar los mtodos utilizados por el atacante e incluso identificarlo, y de esa forma implementar polticas de seguridad acordes en nuestros sistemas de uso real.

Clasificaciones
Los sistemas de prevencin de intrusiones se pueden clasificar en cuatro tipos diferentes: 1. Sistema de prevencin de intrusiones basado en red (NIPS) : monitorea toda la red para el trfico sospechoso mediante el anlisis de la actividad de protocolo. 2. Los sistemas de prevencin de intrusiones inalmbricas (WIPS) : monitorear una red inalmbrica para el trfico sospechoso mediante el anlisis de protocolos de redes inalmbricas. 3. El anlisis del comportamiento de la red (NBA) : analiza el trfico de red para identificar las amenazas que generan flujos inusuales de trfico, como la denegacin de servicio distribuido (DDoS), ciertas formas de malware y violacines de poltica.

4. Sistema basado en host de prevencin de intrusiones (HIPS) : un paquete de software instalado que supervisa un nico host para detectar actividades sospechosas mediante el anlisis de los acontecimientos que ocurren dentro de ese host.

Los mtodos de deteccin

La mayora de los sistemas de prevencin de intrusin utilizar uno de los tres mtodos de deteccin:. Basada en firmas, estadstica anomala basada en acciones, y el anlisis de protocolos con estado. 1. Deteccin Firma basada en : IDS basado Firma monitoriza paquetes en la red y lo compara con los patrones de ataque pre-configurados y predeterminadas conocidas como firmas. 2. Basado en la deteccin de anomalas de Estadstica : A estadsticos IDS basados en anomalas determina la actividad de la red normal, como qu tipo de ancho de banda se utiliza generalmente, qu protocolos se utilizan, qu puertos y dispositivos de conexin general entre s-y alertar al administrador o usuario cuando el trfico es detectado que es anmala (no normal). 3. Con estado de deteccin de anlisis de protocolo : Este mtodo identifica las desviaciones del protocolo establece mediante la comparacin de eventos observados con "perfiles predeterminados de las definiciones generalmente aceptadas de la actividad benigna."