Conoce Atico34 - Solicita presupuesto
Ciberseguridad

El sistema de detección de intrusiones (IDS)

Los ciberataques no dejan de producirse y es necesario que las empresas implanten diferentes medidas de seguridad, para poder garantizar la integridad y disponibilidad de la información, así como el correcto funcionamiento de todo el sistema. Entre esas medidas de seguridad que se pueden adoptar, tenemos el sistema de detección de intrusiones (IDS); en este artículo explicaremos en qué consiste, qué tipos existen y cómo funciona.

¿Qué es el sistema de detección de intrusiones (IDS)?

Un sistema de detección de intrusiones es un software de seguridad que se encarga de monitorear la red y/o dispositivos conectados a la misma, para detectar intentos de acceso no autorizados a los mismos y generar una alerta para notificarla al administrador del sistema, que será quien determine el tipo de respuesta o acción a tomar en base a la información recibida.

Por lo tanto, un IDS (siglas en inglés de intrusion detection system) es un sistema de seguridad reactivo, en tanto en cuanto alertan sobre una posible intrusión o una intrusión que se esté produciendo, pero no ponen en marcha ninguna medida o acción para bloquearla o mitigar su impacto.

Características de un sistema de detección de intrusiones

Un sistema de detección de intrusos tiene las siguientes características:

  • Debe observar y reconocer desviaciones del funcionamiento normal de la red o dispositivos conectados a ella.
  • Funciona de forma automatizada y sin supervisión humana.
  • Debe ser capaz de reconocer si ha sido alterado, es decir, debe poder analizarse a sí mismo.
  • No debe suponer una sobrecarga para los recursos del sistema.
  • Debe poder seguir funcionando incluso ante una caída del sistema.
  • Debe ser capaz de adaptarse a cualquier sistema operativo y a los cambios que se hagan sobre el sistema.
  • Capaz de identificar el origen de los ataques.
  • Deben suponer una auténtica «barrera difícil de superar o vulnerar» para ser realmente efectivos en la detección de amenazas.

Tipos de sistemas IDS

Los sistemas de detección de intrusiones se pueden clasificar en diferentes tipos, en función del sistema que monitorean (NIDS e HIDS) y en función de cómo se implementan (SIDS y SIDA).

Sistema de detección de intrusos en la red (NIDS)

El sistema de detección de intrusos basados en la red o NIDS se ocupa de monitorear todo el tráfico de red en un segmento estratégico de la red o en un dispositivo, analizando la red y la actividad de los protocolos en busca de actividades maliciosas o sospechosas, al comparar los datos del tráfico con una biblioteca de ataques conocidos.

Sistema de detección de intrusos en host (HIDS)

El IDS basado en host o HIDS monitorea las características de un host y los eventos que ocurren en él en busca de actividades maliciosas o sospechosas. Un host es un equipo o dispositivo conectado a la red. El HIDS puede identificar tanto el tráfico malicioso que entra en el host como el que origina en el propio host y que un sistema de detección basado en red no podría detectar.

Sistema de detección de intrusos basados en firmas (SIDS)

Un SIDS es un sistema de detección basado en firmas, es decir, analiza los paquetes de datos que entran en la red y los compara con firmas de amenazas conocidas almacenadas en su base de datos, para alertar sobre ellas si detecta una coincidencia.

Sistema de detección de intrusos basado en anomalías (SIDA)

El sistema de detección de intrusiones basado en anomalías o SIDA monitoriza el tráfico de red en busca de comportamientos o actividades anómalas, es decir, que no coinciden con firmas, pero que se consideran extraños para el funcionamiento habitual de la red respecto al ancho de banda, protocolos, puertos y otros dispositivos que estén conectados.

Este sistema basado en anomalías emplea el aprendizaje automático para detectar nuevas amenazas desconocidas.

¿Cómo funciona un IDS?

Un sistema de detección de intrusos analiza el tráfico de red o el uso de dispositivos conectados a esa red en busca de actividades sospechosas, que o bien compara con las firmas de amenazas que tiene en su base de datos, o bien busca comportamientos anómalos respecto al funcionamiento habitual de la red o dispositivos.

Si el IDS detecta una amenaza o un comportamiento anómalo, emite una alerta para que los administradores del sistema tomen las acciones que estimen oportunas. En ese sentido, el IDS no bloquea o evita el ataque, pero sí ayuda a identificarlo cuando ocurre y lleva a tomar las medidas necesarias para mitigarlo.

Algunos ejemplos de sistema de detección de intrusos

Algunos ejemplos de sistemas de detección de intrusos (IDS) son Snort, Suricata, Ossec, Samhain, Bro o Kismet.

Todos estos sistemas se basan en reglas que es necesario preconfigurar en ellos, para que puedan funcionar de forma automática y sin supervisión. Es importante, además, tener en cuenta que serán tan efectivos como actualizadas estén sus bases de datos sobre amenazas conocidas.

Ventajas y desventajas de un sistema de detección de intrusos

El sistema de detección de intrusos cuenta con ventajas y desventajas que deben conocerse, puesto que permitirán complementar este sistema de seguridad con otras soluciones, para hacer más resistente todo el sistema.

Así, entre las ventajas de un IDS tenemos:

  • Permite identificar incidentes de seguridad gracias al registro que hace de ellos.
  • Puede ayudar a identificar problemas o errores de seguridad en la red o en los dispositivos.
  • Permite el monitoreo de la red y los dispositivos en tiempo real.
  • Puede ayudar a automatizar nuevos patrones de búsqueda de amenazas en los paquetes de datos enviados a través de la red.
  • Ayuda con el cumplimiento normativo en materia de ciberseguridad y seguridad de la información.

Mientras que sus principales desventajas son:

  • No pueden prevenir o bloquear ataques, ya que su función es reactiva y no proactiva.
  • Son vulnerables a ataques DDoS, puesto que pueden causar que el IDS deje de funcionar.
  • Pueden dar falsos positivos.

Diferencias entre IDS, IPS y cortafuegos

En muchas ocasiones, entre las herramientas de seguridad que emplea una empresa, encontramos sistemas mixtos que combinan un IDS, un IPS y el firewall, pero qué diferencias hay entre ellos.

Si bien ambos sistemas monitorean y analizan la red y los dispositivos en busca de amenazas con anomalías, la principal diferencia entre un IDS y un IPS, es que el segundo sí puede bloquear ataques, puesto que tiene una función preventiva y proactiva.

Respecto al firewall, este lo que hace es bloquear todo el tráfico, filtrando solo aquel tráfico o paquetes de datos permitido en su configuración. Un IDS hace lo opuesto, es decir, permite el paso de todo el tráfico, lo analiza para detectar actividad o datos maliciosos. Por ello, el IDS y el firewall deben trabajar de forma conjunta, de manera que el segundo filtra el tráfico permitido y el primero lo analiza en busca de amenazas o anomalías.