Protege tu red con IDS y IPS: ¿Qué son estas herramientas?

 

Foto de Agence Olloweb en Unsplash


Un IDS se encarga de la detección de accesos no autorizados a un ordenador o una red y lo hacen monitorizando el tráfico entrante y cotejándolo con una base de datos actualizada de ataques conocidos. En caso de sospecha, se emite una alerta.

En principio los dispositivos IDS, solo emiten alertas sobre posibles intrusiones, no mitigan la intrusión. Sin embargo, existen algunos IDS que también permiten tomar medidas, como bloquear ciertas acciones. Por lo tanto, podemos destacar dos funciones principales en los IDS:


  • Prevención: A través de determinadas herramientas, denominadas sensores, escuchan el tráfico en la Red e identifican posibles ataques en base a unas reglas preestablecidas o reconocimiento de patrones.
  • Reacción: Tratan de detectar patrones de intrusiones en los comportamientos que se suceden en la Red.

Clasificación de un IDS


Podemos encontrar diferentes tipos de sistemas IDS, en función del enfoque, del origen de los datos, de la estructura del propio IDS o su comportamiento.




Sistema IDS en función del enfoque


  • Detección de anomalías: Lo primero será definir lo que será un comportamiento normal, y esto se hará a través de un aprendizaje automatizado del tráfico, para poder, posteriormente, clasificar los comportamientos anómalos. Estos sistemas pueden conllevar falsos positivos, cuando un comportamiento normal genera una alerta porque se ha considerado anómalo. existen tres técnicas a través de las cuales podemos realizar la detección de anomalías:
    • Conocimiento: Se centra en el establecimiento de reglas previamente configuradas y de una base de datos de firmas en las que se almacenan las vulnerabilidades de sistemas que se han ido descubriendo, por lo que todo aquel comportamiento que se asemeje a lo almacenado en la base de datos será reconocido como un comportamiento anómalo.
    • Métodos estadísticos: Se realiza a través del establecimiento de métricas y modelos estadísticos que se definen por la actividad y comportamiento del usuario, es decir, si un usuario utiliza determinados programas para el desarrollo de su actividad pero un determinado programa nunca lo utiliza y, de repente lo comienza a utilizar, esto supondría un comportamiento anómalo basado en métodos estadísticos.
    • Aprendizaje automático: Esta técnica trata de mejorar la detección y reducir los falsos positivos. Este tipo de sistemas trata de recopilar la información de un ataque y añadirlo a la base de datos, permitiendo su actualización y, por lo tanto, ser capaz de detectar ese nuevo ataque en cuanto la base de datos esté actualizada.

  • Detección de usos incorrectos o de firmas: estos sistemas monitorizan las actividades llevadas a cabo y las comparan con una base de datos de firmas de ataques, por lo que, en el momento en que alguna actividad coincide con lo almacenado en la base de datos, es decir, con alguna de las firmas, se emite un aviso o alerta. Este tipo de sistemas de detección se puede aplicar de tres formas:
    • Sistemas expertos: Basados en el modelo condición-acción, por lo que, si en la actividad que se está monitorizando se dan todas las condiciones, se aplica la acción.
    • Detección de firmas: Se basa en la comparación de los eventos que suceden con las firmas de la base de datos: en caso de que existan coincidencias, se genera una alerta. Las firmas de una base de datos hacen referencia a un archivo donde se almacenan los comportamientos típicos de determinados ataques o atacantes a tener en cuenta para identificarlos. Los IDS comparan en tiempo real si el tráfico que reciben tiene algún patrón identificado en esas firmas.
    • Análisis de transacción: Una intrusión puede verse como una secuencia de eventos que conducen al atacante desde un conjunto de estados inicial a un estado determinado, siendo el último una violación de la seguridad de la organización. Cada uno de esos estados es una “imagen” del sistema en un momento dado, siendo el inicial el inmediatamente posterior al inicio de la intrusión, y el último el que resulta de completar el ataque. Laidea es lograr identificar los estados intermedios entre el estado inicial y el final para ser capaces de detener la intrusión antes de que llegue al estado final.

  • Híbridos: Se trata de una combinación de los dos tipos de sistemas de detección anteriores, los IDS basados en firmas (detección de usos), que resultan más fiables y eficientes; y los IDS basados en anomalías, capaces de detectar ataques desconocidos. Estos sistemas híbridos pretenden mejorar la funcionalidad, el rendimiento y la detección de intrusiones.



Sistema IDS en función del origen de los datos


  • NIDS (Network Intrusion Detection System): Estos sistemas IDS basados en red están diseñados para inspeccionar cada paquete que atraviesa la red, en busca de la presencia de un comportamiento malicioso y, cuando se detecta actividad maliciosa, notifica una alerta. Por ejemplo, un NIDS tras un router o un switch por el que pase todo el tráfico de la red y lo monitorice.

  • HIDS (Host-based Intrusion Detection System): Estos sistemas IDS basados en host se encargan de la monitorización de las actividades de los usuarios y servicios en un determinado dispositivo conectado a la red, como un ordenador; y, además, se encargan de la monitorización de ese sistema en busca de comportamientos sospechosos, ya sea identificando tráfico malicioso que entre en el host o que se pueda originar en él. Por ejemplo, podemos encontrar un HIDS en cada uno de los PLC de la planta industrial que se encargarán de monitorizar el tráfico de cada PLC. 

  • Híbridos: Este tipo de sistemas buscan abarcar las ventajas del HIDS y del NIDS, es decir, permiten una detección local de las actividades del sistema y para cada segmento de red. En este caso, se trataría de combinar los dos anteriores, es decir, los datos del tráfico recogidos por los PLC (HIDS) se combinan con la información de la red (NIDS) logrando así una visión completa.




Sistema IDS en función de la estructura


  • Distribuidos (DIDS - Distributed Intrusion Detection System): Este sistema de detección de intrusiones distribuido está basado en la instalación de sistemas distribuidos, es decir, ubicando los dispositivos IDS de forma repartida por distintos equipos. Estos dispositivos IDS se comunican con un dispositivo o nodo central que recibe la información de todos los demás y, por tanto, permite detectar ataques con alta fiabilidad, además de obtener una visibilidad global. Por ejemplo, podemos disponer de IDS en diferentes equipos y que toda la información la reciba un equipo y la cruce y guarde la información de todos los equipos que tenían intalado el IDS.

  • Centralizados: este tipo de IDS hace uso de dispositivos IDS, que envían la información a un sistema central, y permite detectar posibles ataques. Imaginemos el ejemplo anterior, pero esta vez, los IDS mandan la información a un sistema central que es el que realiza el control del tráfico.



Sistema IDS en función de su comportamiento


  • Activos: Es un tipo de IDS, que además de analizar el tráfico y emitir alertas en caso de que suceda alguna intrusión, también permite configurar reglas.
  • Pasivos: Se encargan únicamente de emitir alertas o avisos, pero no realizan ninguna acción sobre la intrusión; es decir, simplemente analizan la información y las actividades en busca de intrusiones y, si se detecta alguna, se genera una alerta.



IPS - Sistema de Prevención de Intrusiones


Un IPS (Intrusion Prevention System) es una versión más avanzada del IDS, es decir, se trata de un IDS activo, aunque con alguna ventaja más, ya que abarca las mismas funciones que el IDS, pero además puede configurarse para que, en vez de simplemente avisar, realice determinadas acciones configuradas previamente, incluso llegando a inutilizar los paquetes que formen parte de la intrusión.

Un IPS se encarga de proteger los sistemas de posibles ataques e intrusiones. Se analizan las conexiones y los protocolos en tiempo real para precisas si está ocurriendo o va a ocurrir un accidente, y también se analizan los patrones o comportamientos sospechosos, por lo que también se puede rechazar paquetes.


Tipos de IPS


  • HIPS (Host-based Intrusion Prevention System): Estos IPS basados en host, al igual que los HIDS, encargan del análisis y monitorización del tráfico de Red de un host único. además también analizan las conexiones, el acceso que realizan los usuarios, las modificaciones de archivos, los registros del sistema, etc. 
    • Por ejemplo, podemos utilizar el mismo ejemplo que en los HIDS. Encontraríamos HIPS en cada uno de los dispositivos, como los sensores, las válvulas, los PLC, etc., y monitorizarían el tráfico de los mismo, ya sea entrante o saliente y, además, podría llegar a cortar la conexión o impedir la entrada o salida de un paquete. 

  • NIPS (Network Intrusion Prevention System): Este tipo de IPS basados en Red, al igual que los NIDS, analizan y buscan tráfico de Red sospechoso, es decir, analizan en tiempo real los paquetes de datos que entran en la Red y circulan por ella, así como los diferentes protocolos de Red, de transporte y de aplicación, tal y como vimos en el modelo OSI con sus diferentes capas. 
    • Imaginemos al igual que los NIDS, que el IPS se encuentra tras el router o el switch del entorno OT y es capaz de rechazar paquetes si así se configura.

  • WIPS (Wireless Intrusion Prevention System): Se encargan de supervisar la red LAN inalámbrica en busca de aquellos posibles puntos de acceso no autorizados y amenazas inalámbricas. Este tipo de IPS hace una comparación con las direcciones MAC de los puntos de acceso inalámbricos de esa Red, con las firmas conocidas de la base de datos; y, en caso de encontrar alguna actividad sospechosa, alerta al administrador para detener la actividad de forma automática. Funcionaría del mismo modo que el NIPS. Sin embargo, monitorizaría las conexiones inalámbricas, como dispositivos o puntos de acceso no autorizados.

  • IPS basado en el análisis de Red: Este tipo se utiliza para analizar el comportamiento de la Red. Trata de examinar el tráfico para identificar amenazas que puedan generar flujos de tráfico inusuales o anómalos. Por ejemplo, si un empleado realiza muchos intentos de inicio de sesión al PLC para configurarlo pero no recuerda sus claves de acceso, el IPS lo calificaría como intento de intrusión, dado que se trata de un comportamiento anómalo.


Aquí tienes una pequeña explicación sobre los IDS y los IPS, como ves, la ciberseguridad no solo trata de hackear ordenadores. ¿Conocías estos sistemas? Recuerda que puedes dejar tu comentario ✌
Ubicación: Córdoba, España

Comentarios

Publicar un comentario

Entradas populares de este blog

HTML 101: Conceptos Básicos

Imagen
HTML (Hypertext Markup Language) es un lenguaje de marcado utilizado para crear y estructurar contenido en la web. Con HTML, los desarrolladores web pueden crear páginas web con texto, imágenes, videos y otros elementos multimedia para ser visualizados en cualquier dispositivo que tenga acceso a internet. 1. - Evolución y Versiones de HTML La primera versión de HTML, conocida como HTML 1.0, fue lanzada en 1993. Desde entonces, ha habido varias versiones y actualizaciones, incluyendo HTML 2.0, HTML 3.2, HTML 4.01, XHTML 1.0, HTML5 y la versión actual HTML 5.3. 2. - Conceptos básicos HTML utiliza etiquetas para marcar el contenido de una página web. Las etiquetas son códigos que indican al navegador web cómo mostrar el contenido. Cada etiqueta comienza con el símbolo "<" y termina con el símbolo ">". Las etiquetas también pueden contener atributos que proporcionan información adicional sobre cómo se debe mostrar el contenido. 3. - Estructura Un documento HTML c...
Leer más

Entornos OT - Introducción

Imagen
Foto de Crystal Kwok en Unsplash ¿Qué son los entornos OT y por qué son importantes para la industria? Los entornos OT (Tecnología de las Operaciones) son aquellos sistemas que se encargan de controlar y automatizar los procesos industriales en diferentes sectores , como la fabricación, la energía, la logística o el transporte. Estos sistemas son esenciales para el correcto funcionamiento de la infraestructura y la economía de un país, ya que permiten optimizar la producción, reducir los costes y mejorar la calidad de los productos y servicios . Los entornos OT se componen de dispositivos físicos, como sensores, actuadores, válvulas o tuberías, que se comunican entre sí mediante protocolos específicos y que están conectados a sistemas de supervisión y control, como PLCs (Controladores Lógicos Programables), SCADA (Sistemas de Control y Adquisición de Datos) o MES (Sistemas de Ejecución de Manufactura). Estos sistemas recogen y procesan la información generada por los dispositivos ...
Leer más