Un sistema de detección de intrusos (IDS) monitorea el tráfico de red y monitorea la actividad sospechosa y alerta al administrador del sistema o de la red. En algunos casos, el IDS también puede responder a un tráfico anómalo o malintencionado mediante acciones como impedir que el usuario o la dirección IP de origen accedan a la red.
Los IDS vienen en una variedad de "sabores" y se acercan al objetivo de detectar tráfico sospechoso de diferentes maneras. Existen sistemas de detección de intrusos basados en red (NIDS) y basados en host (HIDS). Hay IDS que detectan basándose en la búsqueda de firmas específicas de amenazas conocidas, similar a la forma en que el software antivirus detecta y protege contra el malware, y hay IDS que detectan basándose en la comparación de patrones de tráfico con una línea de base y buscando anomalías. Hay IDS que simplemente monitorean y alertan y hay IDS que realizan una acción o acciones en respuesta a una amenaza detectada. Vamos a cubrir cada uno de estos brevemente.
NIDS
Los sistemas de detección de intrusos en la red se ubican en un punto o puntos estratégicos dentro de la red para monitorear el tráfico hacia y desde todos los dispositivos en la red. Lo ideal sería escanear todo el tráfico entrante y saliente, sin embargo, al hacerlo podría crear un cuello de botella que perjudicaría la velocidad general de la red.
HIDS
Los sistemas de detección de intrusión de host se ejecutan en hosts o dispositivos individuales en la red. Un HIDS monitorea los paquetes entrantes y salientes solo desde el dispositivo y alertará al usuario o administrador si se detecta actividad sospechosa
Basado en la firma
Un IDS basado en firmas monitoreará los paquetes en la red y los comparará con una base de datos de firmas o atributos de amenazas maliciosas conocidas. Esto es similar a la forma en que la mayoría de los programas antivirus detectan malware. El problema es que habrá un retraso entre la detección de una nueva amenaza en la naturaleza y la firma para detectar la amenaza aplicada a su IDS. Durante ese tiempo de retraso, su IDS no podrá detectar la nueva amenaza.
Basada en la anomalía
Un IDS que se basa en anomalías monitoreará el tráfico de red y lo comparará con una línea de base establecida. La línea de base identificará lo que es "normal" para esa red (qué tipo de ancho de banda se usa generalmente, qué protocolos se usan, qué puertos y dispositivos se conectan entre sí) y alertará al administrador o usuario cuando se detecte tráfico que sea anómalo. O significativamente diferente a la línea de base.
IDS pasivos
Un IDS pasivo simplemente detecta y alerta. Cuando se detecta tráfico sospechoso o malintencionado, se genera una alerta y se envía al administrador o usuario, y depende de ellos tomar medidas para bloquear la actividad o responder de alguna manera.
IDS reactivos
Un IDS reactivo no solo detectará el tráfico sospechoso o malintencionado y alertará al administrador, sino que tomará acciones proactivas predefinidas para responder a la amenaza. Normalmente, esto significa bloquear cualquier otro tráfico de red desde la dirección IP de origen o el usuario.
Uno de los sistemas de detección de intrusos más conocidos y ampliamente utilizados es el código abierto, Snort disponible gratuitamente. Está disponible para una serie de plataformas y sistemas operativos que incluyen tanto Linux como Windows. Snort tiene muchos seguidores leales y hay muchos recursos disponibles en Internet donde puede adquirir firmas para implementar y detectar las amenazas más recientes.
Hay una línea fina entre un firewall y un IDS. También existe una tecnología llamada IPS - Sistema de prevención de intrusiones. Un IPS es esencialmente un firewall que combina el filtrado de nivel de red y de aplicación con un IDS reactivo para proteger proactivamente la red. Parece que a medida que pasa el tiempo en los firewalls, IDS e IPS adoptan más atributos entre sí y difuminan aún más la línea.
Esencialmente, su firewall es su primera línea de defensa perimetral. Las mejores prácticas recomiendan que su firewall esté configurado explícitamente para DENEGAR todo el tráfico entrante y luego abrir agujeros donde sea necesario. Es posible que deba abrir el puerto 80 para alojar sitios web o el puerto 21 para alojar un servidor de archivos FTP. Cada uno de estos orificios puede ser necesario desde un punto de vista, pero también representan posibles vectores para que el tráfico malicioso ingrese a su red en lugar de ser bloqueado por el firewall.
Ahí es donde entraría su IDS. Ya sea que implemente un NIDS en toda la red o un HIDS en su dispositivo específico, el IDS controlará el tráfico entrante y saliente e identificará el tráfico sospechoso o malintencionado que de alguna manera ha pasado por alto su firewall Es posible que también se origine desde dentro de su red.
Un IDS puede ser una gran herramienta para monitorear y proteger de forma proactiva su red de actividades maliciosas, sin embargo, también son propensos a falsas alarmas. Con casi cualquier solución IDS que implementes, necesitarás "ajustarla" una vez que se instale por primera vez. Necesita que el IDS esté configurado correctamente para reconocer cuál es el tráfico normal en su red en comparación con el tráfico malicioso, y usted, o los administradores responsables de responder a las alertas de IDS, deben entender qué significan las alertas y cómo responder de manera efectiva.
