Vamos a hablar sobre los IPS o sistemas de prevención de intrusos. Uno de los aspectos en donde más tiene que invertir una empresa para garantizar su buen funcionamiento, es en la seguridad.
Los Sistemas de Prevención de Intrusos, conocidos como IPS, mejoran de manera sustancial la seguridad de nuestra empresa, debido a que sirven para proteger las redes. Este tipo de sistemas sirve para vigilar el tráfico, examinando la red y los puertos, analizando toda clase de paquetes de datos para tratar de identificar todos aquellos patrones que sean sospechosos.
¿Qué son los IPS o sistemas de prevención de intrusos?
Un Intrusion Detection System (IDS), en español IPS o sistema de detección de intrusos, es utilizado para detectar a tiempo ataques en contra de un sistema informático o de una red. El IPS o sistema de prevención de intrusos software necesario se puede instalar en el sistema que está siendo supervisado o, también, en un dispositivo independiente. Muchos proveedores distribuyen soluciones IPS o sistemas de prevención de intrusos preconfiguradas de alto precio. Además, los sistemas de detección de intrusos supervisan y analizan las actividades de la red en búsqueda de tráfico inusual para informar al usuario en caso de que lo haya.
Así, este tiene la oportunidad de responder a los ataques de acceso y de detener el ataque. Actualmente es existen dos métodos diferentes de detección de intrusiones de red, ya sean basados en el host o basados en la red.
¿Cómo funcionan los sistemas de reconocimiento modernos?
Para garantizar una tasa más alta de reconocimiento de ataques, los actuales Intrusion Detection Systems combinan, por lo general, ambos enfoques. Estos sistemas híbridos se caracterizan por un sistema de gestión central que recibe las informaciones necesarias tanto desde el software basado en la red como desde el software basado en el host. Hay tres componentes básicos involucrados en el proceso de reconocimiento:
Monitoreo de datos
El monitor de datos tiene la tarea de recoger y hacer un primer filtro a los datos necesarios para filtrar intrusos. Se trata de la auditoría de datos anteriormente mencionada, que incluye archivos log de sistemas informáticas y aplicaciones de seguridad como, por ejemplo, la capacidad de la CPU, el número de conexiones de red activas o la cantidad de intentos de inicio de sesión.
Análisis
El monitor de datos envía el flujo de datos recogidos y previamente filtrados al llamado analyzer . Este debe editar y evaluar la información obtenida en tiempo real, de lo contrario no sería posible evitar los ataques a tiempo. Por consiguiente, el proceso de análisis demanda mayores exigencias al hardware subyacente (CPU y memoria).
Especialmente en redes empresariales muy grandes, la escalabilidad del IDS es uno de los procesos más complicados, aunque también es de las tareas más importantes para garantizar la funcionalidad del sistema de detención de ataques.
Los métodos utilizados por el analizador para evaluar los datos son:
- En caso de usos indebidos del sistema (misuse detection), el analizador intenta detectar patrones de ataque conocidos, denominados firmas (signature), en los datos obtenidos. Estos se almacenan en una base de datos independiente que es actualizada periódicamente. Allí, cada entrada recibe, además, información sobre la gravedad del ataque.
- La detección de anomalías (anomaly detection) se basa en un principio diferente: este método de análisis supone que el acceso no autorizado causa un comportamiento anormal en el sistema y, por lo tanto, se diferencia de los valores previamente establecidos. Así, el analizador se puede configurar de tal manera que encienda una alarma cuando la capacidad de la CPU o el tráfico a la página web sobrepase un cierto número (enfoque estático).
Informe de resultados
En la etapa final, el Intrusion Detection System informa al administrador de la red si encontró un ataque o un comportamiento sospechoso del sistema. Dependiendo del potencial de riesgo, existen diferentes posibilidades de notificarlo.
El grado de riesgo obtenido en la detección de anomalías se deriva del grado de desviación del valor estándar, mientras que el procedimiento de identificación de usos indebidos en el sistema, como se mencionó anteriormente, obtiene un nivel de clasificación dentro de la base de datos de patrones.
Las ventajas e inconvenientes del IPS o sistema de prevención de intrusos.
- Su versátil tecnología permite que los Instrusion Detection Systems detecten ataques potenciales que pasarían desapercibidos ante un firewall tradicional.
- Los IDS software analizan paquetes de datos en la capa más alta del modelo OSI y, de esta forma, controlan específicamente cada aplicación ejecutada.
- Gracias a su enfoque, los sistemas con detección de anomalías también pueden descubrir nuevos y flexibles patrones de ataque y aumentar así la seguridad de una red. Recuerda que los IDS no reemplazan a los cortafuegos, sino que más bien los complementan, ya que solo una combinación de estos dos componentes de seguridad garantizará una protección adecuada.
- Debido a que los sistemas de detección de intrusos son componentes activos de una red, estos también son potenciales objetivos para un ataque, especialmente cuando los intrusos saben de su existencia. Estos son especialmente vulnerables a ataques DoS, es decir a un ataque de sobrecarga, con los que es posible desactivar el IDS software en muy poco tiempo. Además, el atacante también puede aprovecharse de la función de notificación automática de los sistemas de detección de intrusos para lanzar ataques de denegación de servicio desde el IDS.
Anonymous