Ester Chicano Tejada - Gestión de incidentes de seguridad informática. IFCT0109

A diferencia de los NIDS, los IDS basados en host informan del resultado del ataque en cuanto a su éxito o fracaso. Además, también monitorizan los ficheros y los procesos del sistema atacado para una mejor detección y respuesta ante los ataques.

Sus funcionalidades principales se concretan en:

1 Análisis del tráfico sobre un servidor o sobre un equipo concreto.

2 Detección de los intentos de acceso, tanto fallidos como exitosos.

3 Detección de las modificaciones realizadas en archivos críticos.

Como ventajas importantes, los HIDS destacan por:

1 Detectan ataques que no pueden descubrir los NIDS al poder monitorizar los eventos locales del equipo o host.

2 Pueden operar y detectar ataques ante datos cifrados que circulan por la red porque analizan los datos en el host de origen antes de ser cifrados o los datos en el host de destino una vez ya han sido descifrados.

3 Facilitan información sobre el éxito o fracaso de los intentos de ataque.

Sin embargo, los IDS basados en host también cuentan con una serie de desventajas:

1 Suponen un coste mayor que los NIDS ya que hay que gestionarlos y configurarlos en cada host que se quiere monitorizar.

2 No son útiles cuando se pretende detectar ataques a toda una red, ya que los HIDS solo analizan los paquetes de red que entran en el host en el que están instalados.

3 Suponen un consumo de recursos del host al que monitorizan, lo que implica una disminución del rendimiento del sistema.

4 Los HIDS corren el peligro de ser deshabilitados por algunos DoS.

Recuerde

Los DoS son ataques de denegación del servicio. Estos ataques se realizan a equipos o a redes e impiden al usuario el acceso a un servicio o recurso determinado para el que está legitimado.

Además, los IDS también se pueden clasificar atendiendo a su funcionalidad fundamental:

1 IDS de detección de abusos o firmas.

2 IDS de detección de anomalías.

IDS de detección de abusos o firmas

Los IDS de detección de abusos o firmas tienen como funcionalidad principal buscar eventos que coincidan con un patrón predefinido o con una firma que describa un ataque conocido.

Entre las ventajas de este tipo de IPS destacan:

1 Elevado grado de efectividad sin generar en exceso falsas alarmas.

2 Rápido diagnóstico del uso de un ataque determinado.

Sin embargo, también tiene como desventaja la constante necesidad de actualización continua para que la detección de los abusos o firmas sea eficaz.

IDS de detección de anomalías

Este tipo de IDS, en lugar de buscar abusos conforme a unos patrones, tiene como función principal la detección de comportamientos inusuales que sucedan en un host de una red. Sus ventajas principales son:

1 La elevada capacidad de detectar ataques de los que no hay un conocimiento determinado.

2 La posibilidad de definir firmas en la detección de abusos con la información que obtienen.

Sin embargo, al contrario que con los IPS de detección de abusos o firmas, este tipo de IPS genera un elevado número de falsas alarmas (al no haber ningún patrón definido).

Actividades

8. Busque más información sobre los distintos software de los tipos de IPS diferenciando entre IPS de filtrado de paquetes, IPS de bloqueo e IPS de decepción.

9. Señale qué desventajas puede suponer para una organización la implantación de un sistema IDS en lugar de un sistema IPS. Justifique su respuesta.

Los sistemas de prevención de intrusiones o IPS se desarrollaron en 1990 con la finalidad de monitorizar el tráfico de una red en tiempo real y conseguir prevenir las intrusiones al sistema. Se consideran una evolución de los sistemas de detección de intrusiones (IDS).

Los IPS tratan de prevenir que se filtre cualquier intrusión: en cuanto se produce la caída de algún paquete o se detecta que está dañado o incompleto, la red bloquea la transmisión de este paquete con el fin de prevenir un posible ataque.

Las características fundamentales que tienen en común los distintos tipos de IPS son las siguientes:

1 Tienen una capacidad de respuesta automática en cuanto se produce un incidente.

2 Aplican filtros nuevos conforme se van detectando ataques en progreso.

3 Reducen las falsas alarmas de ataques producidos en la red.

4 Bloquean automáticamente los ataques a la red en tiempo real.

5 Optimizan el rendimiento del tráfico de la red al bloquear de un modo automático los ataques.

Además, los IPS conllevan una serie de ventajas:

1 Ofrecen una protección preventiva antes de que se produzca el ataque.

2 Ofrecen una protección y defensa completa de varios tipos de ataques como: vulnerabilidades del sistema, tráfico de red, códigos maliciosos, intrusiones, etc.

3 Optimiza la seguridad y la eficiencia en la prevención de intrusiones y/o ataques a una red o sistema.

4 Son fáciles de instalar, configurar y administrar.

5 Son escalables, por lo que se pueden ir actualizando según las necesidades de la organización.

6 En comparación con un IDS requieren de menos inversión en recursos para entrar en funcionamiento.

Los IPS se pueden distinguir en tres categorías atendiendo a la acción que realizan:

1 IPS de filtrado de paquetes.

2 IPS de bloqueo de IP.

3 IPS con acción de decepción.

IPS de filtrado de paquetes

Los IPS de filtrado de paquetes tienen como función principal determinar el tipo de tráfico que puede entrar y salir de un equipo o servidor.

En el mercado hay varias soluciones de IPS de filtrado de paquetes, las más importantes se describen a continuación:

1 Hogwash: es un sistema que funciona tanto como IDS, como IPS (es un IDS/IPS). Monitoriza el tráfico de una o varias redes y genera alertas. Además, puede detectar los ataques de la red y filtrarlos. Aunque es imposible que evite todos los ataques a una red, sí que descarta un elevado porcentaje de los mismos.

2 Dragon IPS: herramienta cuya funcionalidad principal es bloquear a los atacantes, reducir los ataques DoS y prevenir el acceso a la información del sistema convirtiendo la red en una red invisible.Herramienta Dragon IPS

3 Snort_Inline: está basado y construido sobre el IDS Snort mencionado anteriormente, y con la función añadida de la capacidad de cambiar o descartar paquetes mientras circulan por el host. Es uno de los IPS de red más conocidos y utilizados.

IPS de bloqueo de IP

Este tipo de IPS tiene como funcionalidad principal bloquear direcciones IP que puedan ser causantes de algún tipo de ataque.

Del mismo modo que con los IPS de filtrado de paquetes, son numerosas las herramientas que hay en el mercado:

1 Snortsam: herramienta gratis y de código abierto que bloquea las direcciones IP por periodos de tiempo que pueden ir desde segundos hasta tiempo indefinido. Además, también permite determinar una serie de direcciones individuales o redes enteras que el usuario no quiere que sean bloqueadas de ningún modo aunque en ellas se genere alguna alerta.

2 Portsentry: herramienta de libre distribución desarrollada por Cisco. Su función principal es rastrear las conexiones sobre el host donde es ejecutada e identificar los intentos de exploración contra dicho host. En cuanto se detecta algún intento Portsentry niega el acceso a la exploración del host.