IDS basados en red

Un IDS de Red o Network IDS nos sirve para inspeccionar tráfico que ocurre entre clientes o hosts.
Existen dos tipos principales para Network IDS: detección mediante firmas y detección mediante
anomalías (comportamiento).

En el IDS basado en firmas, existen patrones o reglas que contemplan tráfico malicioso conocido y
que serán cotejadas por la herramienta. Cuando se encuentre una coincidencia con un patrón,
recibiremos una alerta. Alertas de este tipo nos pueden avisar de problemas como malware,
actividades de escaneo de red o ataques contra servidores, entre otras cosas.

Si pasamos al modelo basado en anomalías, el payload o “carga” del tráfico es bastante menos
relevante respecto a la actividad que genera este. Un IDS basado en análisis de anomalías se basa
en una “línea base” de funcionamiento, a partir de la cual se buscará actividad inusual que se
desvíe de los promedios , así como actividad no contemplada anteriormente.

Como ejemplo de esto último, podríamos mencionar un servidor que está enviando más tráfico
HTTP de lo habitual, o quizá la aparición de un nuevo host (cliente) dentro de nuestra DMZ. Este
tipo de solución nos puede además avisar de violaciones de nuestra política de red, además de si
un empleado está usando servicios como Google Talk o subiendo archivos a la nube en lugar de
“currar”.

Ambos modelos de detección de intrusiones suelen desplegarse de la misma forma, así que
podríamos llegar a crear un IDS basado en anomalías cuya fuente de información sean los flujos de
paquetes recopilados externamente, o información de tráfico similar.

Herramientas IDS Opensource recomendadas

Snort

Todo un veterano cuando se trata de análisis de paquetes. La primera versión vió la luz allá por
1998. Cabe mencionar que en aquel momento no se contempló como IDS puro, pero fue
evolucionando hasta ese punto poco a poco.

snort-deteccion-de-intrusiones
Desde entonces se ha ido convirtiendo en un estandar para sistemas de detección de intrusiones,
eventualmente IPS (Intrusion Prevention System) gracias al trabajo de la comunidad. Sistemas
como el de AlienVault lo integran para el análisis de riesgos.

Entre sus ventajas, podemos destacar varios aspectos. Uno de los más evidentes es su longevidad
y la buena salud del proyecto, algo que nos permite implementarlo sin preocuparnos por el futuro.
También destaca el gran apoyo de la comunidad Snort y por tanto el hecho de ser una
herramienta muy probada.

Como desventajas solo podemos decir que Snort no cuenta por defecto con un GUI o interfaz
gráfica de usuario por defecto, por tanto no es tan fácil de administrar como otras. Sin embargo,
existen herramientas opensource para compensarlo, como Snorby o Squil, así que no es un
problema realmente.