IDS (Sistemas de Detección de Intrusos)

En los últimos años, la seguridad de redes ha sido un tema muy discutido por gestores de TI, que
aumentan año tras año las inversiones para proteger la privacidad, integridad y disponibilidad de
la información.

Muchas de ellas por cuenta de acciones de usuarios, internos y externos, mal intencionados, que
buscan hacer que nos estén disponibles los servicios, redes y sistemas de empresas de todos los
portes y ramas de actuación.

Para evitar esta situación, se implementan numerosas estrategias de defensa, como firewalls,
uso masivo de criptografía, redes privadas virtuales, entre otros, buscando mantener la seguridad
de las infraestructuras y el secreto de las comunicaciones realizadas a través de Internet.
Entre los métodos comúnmente utilizados, se destaca la detección de intrusión, o IDS (Intrusión
Detection System). Con eso, podemos recopilar y utilizar información de los diversos tipos de
ataques conocidos en pro de la defensa de toda infraestructura, además de poder identificar
puntos o intentos de ataque, permitiendo no sólo el registro sino la mejora continua del ambiente
de seguridad.

1
¿Qué es la detección de intrusión?
Alrededor de la década del 1960, los sistemas financieros comenzaron a introducir la práctica de
la auditoría en sus procesos para inspeccionar datos y verificar la existencia de fraudes o errores
en sistemas. Sin embargo, surgieron algunas cuestiones: ¿qué debería ser detectado, ¿cómo
analizar lo que se descubrió y cómo proteger los diversos niveles de habilitación de seguridad en
una misma red sin comprometer la seguridad?

Entre 1984 y 1986, Dorothy Denning y Peter Neumann desarrollaron un primer modelo de IDS, un
prototipo nombrado como IDES (Sistema Especialista en Detección de Intrusión).

El modelo IDES se basa en la hipótesis de que el patrón de comportamiento de un intruso es

diferente de un usuario legítimo para ser detectado por análisis de estadísticas de uso. Por ello,
este modelo intenta crear un patrón de comportamiento de usuarios respecto a programas,
archivos y dispositivos, tanto a corto como a largo plazo, para hacer la detección, además de
alimentar el sistema que tiene como base las reglas para la representación de violaciones
conocidas.
A finales de los años 80, muchos otros sistemas fueron desarrollados, basados en un enfoque
que combinaba estadística y sistemas especialistas.

Conceptualmente, el IDS se refiere a un mecanismo capaz de identificar o detectar la presencia

de actividades intrusivas. En un concepto más amplio, esto engloba todos los procesos utilizados
en el descubrimiento de usos no autorizados de dispositivos de red o de ordenadores. Esto se
hace a través de un software diseñado específicamente para detectar actividades inusuales o
anormales.
Sin embargo, debemos diferenciar IDS e IPS (Intrusion Prevention System). Mientras que el
primero es un software que automatiza el proceso de detección de intrusos, el segundo es un
software de prevención de intrusión, que tiene como objetivo impedir posibles ataques. Así que uno
trabaja de manera reactiva e informativa, mientras que el IPS disminuye el riesgo de
comprometimiento de un ambiente.

¿Cuáles son los tipos de IDS?

Los sistemas de detección de intrusos pueden clasificarse dependiendo del tipo de evento que
monitorean y cómo se implementan:

IDS basado en máquina y red

Network Based
Este tipo de IDS monitorea el tráfico de red en un segmento o dispositivo, y analiza la red y la
actividad de los protocolos para identificar actividades sospechosas. Este sistema también es
capaz de detectar innumerables tipos de eventos de interés, y por lo general se implementa en
una topología de seguridad como frontera entre dos redes, por donde el tráfico es afilado. Por su
parte, en muchos casos, el propio recurso de IDS termina por integrarse directamente en el
firewall.

2
Host Based
El término host se refiere a un equipo o activo propiamente dicho. En este caso, podemos
considerar un equipo de un usuario, o un servidor, como un host. La detección de intrusión, en
este formato, monitorea las características del dispositivo y los eventos que ocurren con él en
busca de actividades sospechosas.

Generalmente los IDS basados en host se pueden instalar de manera individual, tanto para
equipos corporativos dentro de una red empresarial, como para endpoints, (Los Endpoint son
cualquier punto que sea la parte final de una red. ... “Debido a que el 70% de las vulneraciones
de datos exitosas comienzan en los EndPoint, un enfoque preventivo de la seguridad puede
ayudar a detener los ataques cibernéticos”.)

Entre las principales características que los acompaña, se destaca el tráfico de la red para el
dispositivo, los procesos en ejecución, los registros del sistema, así como el acceso y cambio en
archivos y aplicaciones.

IDS basado en conocimiento y comportamiento

Conocimiento
Un IDS basado en conocimiento hace referencia a una base de datos de perfiles de
vulnerabilidades de sistemas ya conocidos para identificar intentos de intrusión activos. En este
caso, es de suma importancia que la estructura tenga una política de actualización continua de la
base de datos (firmas) para garantizar la continuidad de la seguridad del ambiente, teniendo en
cuenta que lo que no se conoce, literalmente, no será protegido.

Comportamiento
El IDS basado en comportamiento, por otro lado, analiza el comportamiento del tráfico siguiendo
una línea de base o estándar de actividad normal del sistema para identificar intentos de
intrusión.

IDS activo y pasivo

Activo
Se define un IDS como activo desde el momento en que se define para bloquear
automáticamente ataques o actividades sospechosas que sean de su conocimiento, sin
necesidad de intervención humana. Aunque potencialmente es un modelo extremadamente
interesante, es importante un ajuste de parámetros adecuado a los ambientes protegidos para
minimizar falsos positivos, bloqueando conexiones legítimas y causando trastornos para las
empresas.
Pasivo
Un IDS pasivo, por otro lado, actúa de manera a monitorear el tráfico que pasa a través de él,
identificando potenciales ataques o anormalidades y, con base en ello, generando alertas para
administradores y equipos de seguridad; sin embargo, no interfiere en absolutamente nada en la
comunicación.
Se trata de un modelo bastante interesante en una arquitectura de seguridad,
independientemente de no actuar directamente en la prevención, sirve como un excelente
termómetro de ataques e intentos de acceso no autorizados a la infraestructura de una empresa.
3
¿Por qué es importante un sistema de detección de intrusión?
Cada día se crean nuevas técnicas para exponer a los ambientes computacionales, y es un gran
desafío para el mercado de seguridad de la información acompañar esta velocidad, e incluso
estar al frente para no actuar de forma reactiva. Por ello, la implementación de una buena política
de IDS es fundamental en una arquitectura de seguridad, ya que este recurso, si se actualiza
constantemente, es capaz de mantener la infraestructura distante de ataques oportunistas, ya
sea desde una perspectiva de la red, o por la propia exposición de un ordenador.

Combinar tanto los sistemas de detección y prevención de intrusión basados en red como en host
es fundamental para una buena salud de seguridad. Ninguno de los modelos presentados es
necesariamente excluyente, por el contrario, ellos deben ser tratados como complementarios de
acuerdo a la necesidad y criticidad de protección exigidas por un negocio.

En resumen

IDS (Intrusion Detection System) o sistema de detección de intrusiones: es una aplicación

usada para detectar accesos no autorizados a un ordenador o a una red, es decir, son
sistemas que monitorizan el tráfico entrante y lo cotejan con una base de datos actualizada de
firmas de ataque conocidas. Ante cualquier actividad sospechosa, emiten una alerta a los
administradores del sistema quienes han de tomar las medidas oportunas. Estos accesos pueden
ser ataques esporádicos realizados por usuarios malintencionados o repetidos cada cierto
tiempo, lanzados con herramientas automáticas. Estos sistemas sólo detectan los accesos
sospechosos emitiendo alertas anticipatorias de posibles intrusiones, pero no tratan de mitigar
la intrusión. Su actuación es reactiva.

IPS (Intrusion Prevention System)

IPS o sistema de prevención de intrusiones: es un software que se utiliza para proteger a los
sistemas de ataques e intrusiones. Su actuación es preventiva. Estos sistemas llevan a cabo
un análisis en tiempo real de las conexiones y los protocolos para determinar si se está
produciendo o se va a producir un incidente, identificando ataques según patrones, anomalías o
comportamientos sospechosos y permitiendo el control de acceso a la red, implementando
políticas que se basan en el contenido del tráfico monitorizado, es decir, el IPS además de
lanzar alarmas, puede descartar paquetes y desconectar conexiones.

Muchos proveedores ofrecen productos mixtos, llamándolos IPS/IDS, integrándose

frecuentemente con cortafuegos y UTM (en inglés Unified Threat Management o Gestión
Unificada de Amenazas) que controlan el acceso en función de reglas sobre protocolos y sobre el
destino u origen del tráfico.

UTM (en inglés Unified Threat Management o Gestión Unificada de Amenazas)

4
 La gestión unificada de amenazas, que comúnmente se abrevia como UTM, es
un término de seguridad de la información que se refiere a una sola solución de
seguridad y, por lo general, a un único producto de seguridad que ofrece varias
funciones de protección en un solo punto en la red.

Video: https://www.youtube.com/watch?v=X7MFGaEHw08&ab_channel=HTMLRules

SIEM

SIEM (Security Information and Event Management) o sistema de gestión de eventos e

información de seguridad: es una solución híbrida centralizada que engloba la gestión de
información de seguridad (Security Information Management) y la gestión de eventos
(Security Event Manager).
La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas
por los distintos dispositivos hardware y software de la red. Recoge los registros de actividad
(logs) de los distintos sistemas, los relaciona y detecta eventos de seguridad, es decir,
actividades sospechosas o inesperadas que pueden suponer el inicio de un incidente,
descartando los resultados anómalos, también conocidos como falsos positivos y generando
respuestas acordes en base a los informes y evaluaciones que registra, es decir, es
una herramienta en la que se centraliza la información y se integra con otras herramientas
de detección de amenazas.

Ventajas y desventajas de cada herramienta

IDS

La principal ventaja de un sistema IDS es que permite ver lo que está sucediendo en la red en
tiempo real en base a la información recopilada, reconocer modificaciones en los documentos y
automatizar los patrones de búsqueda en los paquetes de datos enviados a través de la red. Su
principal desventaja es qué estas herramientas, sobre todo en el caso de las de tipo pasivo, no es
están diseñadas para prevenir o detener los ataques que detecten, además son vulnerables a
los ataques DDoS que pueden provocar la inoperatividad de la herramienta.

IPS

Las ventajas de un IPS son:

 escalabilidad al gestionar multitud de dispositivos conectados a la misma red;

 protección preventiva al comprobarse de forma automatizada comportamientos anómalos
mediante el uso de reglas prefijadas;
5
  fácil instalación, configuración y administración al estar disponibles multitud de
configuraciones predefinidas y centralizar en un punto su gestión.
 defensa frente a múltiples ataques, como intrusiones, ataques de fuerza bruta, infecciones
por malware o modificaciones del sistema de archivos, entre otros;
 aumento de la eficiencia y la seguridad de la prevención de intrusiones o ataques a la red.

Entre sus desventajas, destacan los efectos adversos que pueden producirse en el caso de
que se detecte un falso positivo, si por ejemplo se ejecuta una política de aislamiento de las
máquinas de la red o en el caso de que se reciban ataques de tipo DDoS que pueden provocar
su inutilización.

SIEM

Entre las ventajas de contar con un SIEM destacan la centralización de la información y eventos,
es decir, se proporciona un punto de referencia común. La centralización permite automatizar
tareas, con su consiguiente ahorro de tiempo y costes, el seguimiento de los eventos para detectar
anomalías de seguridad o la visualización de datos históricos a lo largo del tiempo. Además, los
sistemas SIEM muestran al administrador la existencia de vulnerabilidades, así como si están
siendo aprovechadas en los ataques.
Entre sus desventajas en el caso de que se encargue de su mantenimiento un departamento de la
empresa destacan sus altos costes de implantación, una curva de aprendizaje larga al tener
que formar personal propio para esta tarea y una integración limitada con el resto del sistema. En
el caso de que se externalice esta tarea se experimenta una pérdida de control de la información
generada o un acceso limitado a determinada información y una fatiga por la alta recepción de
notificaciones. Estos aspectos pueden gestionarse con el proveedor del servicio a través de los
acuerdos de nivel de servicios o ANS o SLA.

Funcionalidades claves de una solución SIEM

Las soluciones SIEM disponibles comparten puntos en común que son importantes para sus
operaciones. Usted querrá contar con la capacidad de:

 Centralizar la vista de potenciales amenazas

 Determinar qué amenazas requieren resolución y cuáles son solamente ruido
 Escalar temas a los analistas de Seguridad apropiados, para que puedan tomar una acción
rápida
 Incluir el contexto de los eventos de Seguridad para permitir resoluciones bien informadas
 Documentar, en un registro de auditoría, los eventos detectados y cómo fueron resueltos
 Cumplir con las regulaciones de la industria en un formato de reporte sencillo
 Demo descargar de https://www.helpsystems.com/es/cta/comience-su-prueba-gratuita-de-
event-manager

Fuente: https://www.helpsystems.com

6
7