Capítulo 9. Detección de intrusos

Las propiedades de gran valor necesitan ser protegidas de robo o destrucción potencial. Algunos hogares están equipados con sistemas de alarmas que pueden detectar ladrones, notificar a las autoridades cuando ocurre una entrada ilegal y hasta advertir a los dueños cuando sus hogares estan bajo fuego. Tales medidas son necesarias para asegurar la integridad de los hogares y la seguridad de sus dueños.

El mismo aseguramiento de la integridad y seguridad debería ser aplicado a los sistemas de computación y datos. La Internet ha facilitado el flujo de la información, desde personal hasta financiera. Al mismo tiempo, también ha promovido muchos peligros. Los usuarios maliciosos y crackers buscan objetivos vulnerables tales como sistemas no actualizados, sistemas infectados con troyanos y redes ejecutando servicios inseguros. Las alarmas son necesarias para notificar a los administradores y a los miembros del equipo de seguridad que ha ocurrido una entrada ilegal para que así estos puedan responder en tiempo real a la amenaza. Se han diseñado los sistemas de detección de intrusos como tales sistemas de notificación.

9.1. Definición de sistema de detección de intrusos

Un sistema de detección de intrusos (IDS) es un proceso o dispositivo activo que analiza la actividad del sistema y de la red por entradas no autorizadas y/o actividades maliciosas. La forma en que un IDS detecta las anomalías pueden variar ampliamente; sin embargo, el objetivo final de cualquier IDS es el de atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos.

Un IDS protege a un sistema contra ataques, malos usos y compromisos. Puede también monitorear la actividad de la red, auditar las configuraciones de la red y sistemas por vulnerabilidades, analizar la integridad de los datos y más. Dependiendo de los métodos de detección que seleccione utilizar, existen numerosos beneficios directos e incidentales de usar un IDS.

9.1.1. Tipos de IDS

Entender que es un IDS y las funciones que proporciona, es clave para determinar cuál será el tipo apropiado para incluir en una política de seguridad de computación. Esta sección discute los conceptos detrás de los IDSes, las funcionalidades de cada tipo de IDS y la aparición de los IDSes híbridos, que emplean varias técnicas de detección y herramientas en un sólo paquete.

Algunos IDSes están basados en conocimiento, lo que alerta a los administradores de seguridad antes de que ocurra una intrusión usando una base de datos de ataques comunes. Alternativamente, existen los IDS basados en comportamiento, que hacen un seguimiento de todos los recursos usados buscando cualquier anomalía, lo que es usualmente una señal positiva de actividad maliciosa. Algunos IDSes son servicios independientes que trabajan en el fondo y escuchan pasivamente la actividad, registrando cualquier paquete externo sospechoso. Otros combinan las herramientas de sistemas estándar, configuraciones modificadas y el registro detallado, con la intuición y la experiencia del administrador para crear un kit poderoso de detección de intrusos. Evaluando las diferentes técnicas de detección de intrusos lo ayudará a encontrar aquella que es adecuada para su organización.

Los tipos más importantes de IDSes mencionados en el campo de seguridad son conocidos como IDSes basados en host y basados en red. Un IDSes basado en host es el más completo de los dos, que implica la implementación de un sistema de detección en cada host individual. Sin importar en qué ambiente de red resida el host, estará protegido. Un IDS basado en la red filtra los paquetes a través de un dispositivo simple antes de comenzar a enviar a host específicos. Los IDSes basados en red a menudo se consideran como menos completos puestos que muchos host en un ambiente móvil lo hacen indisponible para el escaneo y protección de paquetes de red.