Detección de intrusos a tiempo real

Detección de intrusos a tiempo real

  • Sistemas de detección de intrusos (IDS), es un programa que detecta el acceso no permitido a un equipo informático o a una red. Suelen tener sensores virtuales con los que el sistema de detección de intrusos puede obtener datos externos, llegando a detectar anomalías que pueden ser sospechas de posibles ataques o falsas alarmas.
  • Estos programas analizan detalladamente el tráfico de la red, determinando que tipo de tráfico es, revisa su contenido y su comportamiento.
  • Por lo general, este programa se integra con un firewall, convirtiéndose en una herramienta muy poderosa al unir la inteligencia del sistema IDS con el poder de bloqueo de un firewall.
  • Los sistemas IDS acostumbran disponer de una base de datos de “firmas” de ataques conocidos, permitiendo distinguir entre un uso normal del equipo informático y un uso fraudulento, o bien, entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque.

Existen varios tipos de sistemas de detección de intrusos:

  1. Host-Based IDS detecta las modificaciones realizas por los hackers en el equipo informático afectado y hace un informe con sus conclusiones.
  2. Network-Based IDS, se basa en la red y detecta todos los ataques sufridos en ella.
  3. Knowledge-Based IDS, sistemas basados en Conocimiento.
  4. Behavior-Based IDS, sistemas basados en Comportamiento, se asume que una intromisión puede ser detectada observando una desviación respecto al comportamiento habitual del sistema.

 

En la mayor parte de las ocasiones una actividad intrusiva deriva de la suma de otras actividades individuales que por sí solas no constituyen un comportamiento intrusivo de ningún tipo. Así, las intrusiones se pueden clasificarse en:

  • Intrusivas pero no anómalas(Falsos negativos), el sistema se equivoca e indica la ausencia de intrusión cuando realmente si que hay una intrusión pero como no es anómala no es detectada. No son deseables, ya que dan una falsa sensación de seguridad del sistema.
  • No intrusivas pero anómalas (Falsos positivos), el sistema mete la pata e indica la existencia de intrusión cuando realmente no hay una intrusión pero como es anómala el sistema “decide” que la acción es intrusiva. Estas intrusiones deben intentar minimizarse, debido a que en caso contrario, se ignorarán los avisos del sistema, incluso cuando sean correctos.
  • No intrusiva ni anómala (Negativos verdaderos), la actividad es no intrusiva y se indica como tal.
  • Intrusiva y anómala (Positivos Verdaderos), la actividad es intrusiva y es detectada.

 

Características de IDS

  • Debe funcionar sin supervisión humana, es decir, debe ser lo suficientemente fiable como para poder ser ejecutado por un background dentro del equipo informático observado. Pero se debe evitar que sea una “caja negra”, es decir, inaccesible desde el exterior.
  • Tiene que ser capaz de sobrevivir ante una caída del sistema.
  • Debe ser resistente a perturbaciones, es más, este sistema puede monitorizarse solo para detectar esas perturbaciones.
  • No puede sobrecargar el sistema, ya que, si se diese el caso contrario este sistema ralentizaría la máquina y dejaría de ser usado.

•        Debe vigilar las posibles desviaciones del comportamiento habitual de los usuarios.

  • Debe ser adaptable al sistema ya instalado en el equipo de una forma fácil y sencilla.
  • Tiene que hacer frente a las variaciones en el comportamiento del sistema, cuando se vayan a añadir nuevas aplicaciones al mismo.
  • Este sistema tiene que ser muy difícil de confundir.

Virtudes de IDS

  • Aporta información de calidad sobre el tráfico malicioso de la red.
  • Puede reaccionar a la hora de percibir el daño.
  • Es una herramienta muy útil a la hora de vigilar la seguridad en la red.
  • Ayuda a determinar de donde proceden los ataques recibidos en el sistema.
  • Recoge las pruebas que pueden ser utilizadas para identificar intrusos.
  • Actúa como cámara de seguridad detectando intrusos y como alarma avisando en caso de intrusión.
  • Disuade a los intrusos del sistema.
  • Protege frente a una invasión en la red.
  • Genera tranquilidad.
  • Es una parte de la estructura para la estrategia de defensa en la red a nivel global.
  • Detecta intrusiones desconocidas e inesperadas, pudiendo llegar a descubrir casi automáticamente nuevos ataques.
  • No depende de los sistemas operativos de los equipos informáticos.
  • Su puesta en marcha tiene un bajo coste.
  • Dificulta que un intruso no deje pistas de su ataque.

 

Debilidades de IDS

  • No existe un parche para la mayor parte de los bugs de seguridad, impidiendo solucionar eses fallos.
  • Se produce una alta tasa de falsas alarmas, detectando amenazas que no son reales.
  • Se producen fallos en las alarmas, no avisando en caso de intrusión.
  • No puede sustituir a un buen firewall, política de seguridad o auditoría de seguridad.
  • Durante la fase de aprendizaje el sistema puede recibir ataques.
  • Con el tiempo puede cambiar el comportamiento, por lo que es necesario realizar un re-entrenamiento periódico.