SISTEMA DE DETECCIÓN DE INTRUSOS (IDS)

Programa de detección de accesos no autorizados a un computador o red.

Suele poseer sensores virtuales (por ejemplo, sniffer de red) con lo que el
núcleo IDS puede obtener datos externos (generalmente sobre el tráfico
de red), El IDS detecta gracias a estos sensores.
*sniffer: Analizador de protocolos, es un programa que captura tramas de
una red de computadoras
FUNCIONAMIENTO:
- Se basa en el análisis detallado del tráfico de red, el IDS no solo
analiza qué tipo de tráfico es, sino que también revisa su contenido
y comportamiento.
- Esta herramienta normalmente está integrada en el firewall.
- El IDS dispone de una base de datos de ataques conocidos.
TIPOS DE IDS
- HIDS: Actúa cuando los intrusos dejan “rastro” durante el intento de
ataque a un equipo, estas “rastros” son detectados por el HIDS y se
genera un reporte.
- NIDS: Está basado en la red, detectando ataques a todo el segmento
de red. Su interfaz debe funcionar rápidamente capturando todo el
tráfico de red.
IDS VS IPS
Las IPS protege las redes de manera proactiva mientras que las IDS
protege las redes de manera reactiva.
Es decir, en las IPS, el sensor detecta una posible intrusión, almacena la
información y manda una señal de alerta que se almacena en una base de
daos.
Las IDS responde a la actividad sospechosa reprogramando el firewall para
que bloquee el tráfico que proviene de la red del atacante.
IDS VS FIREWALL NO, LOS MEJORES ALIDOS SI
El firewall generalmente examina exteriormente por intrusiones para
evitar que estas ocurran, limita el acceso entre redes para prevenir la
intrusión, pero no determina si el ataque puede estar ocurriendo
internamente.
Las IDS evalúa la intrusión cuando ésta actúa y genera una alarma, se
´puede convertir en una herramienta muy poderosa si es que se une la
inteligencia del IDS con el poder de bloqueo del firewall, al ser el punto
donde forzosamente deben pasar paquetes y puedan ser bloqueados
antes de penetrar a una red

IPS (Sistema de prevención de intrusos)

Software que ejerce el control de acceso en una red informática para
proteger los sistemas computacionales de ataques y abusos.
Presentan una mejora importante sobre las tecnologías de cortafuegos
tradicionales, al tomar decisiones de control de accesos basados en los
contenidos de tráfico, en lugar de las direcciones IP o puertos.
FUNCIONAMIENTO:
- Monitorea el tráfico de red y/o actividades del sistema. No solo
identifica el problema, sino intenta detener esta actividad (principal
diferencia con las IDS)
- Puede alertar al administrador ante de detección de alguna
actividad maliciosa (igual que las IDS) pero es de actividad exclusiva
de las IPS establecer políticas de seguridad ante un ataque. Es decir,
las IPS protege las redes de manera proactiva mientras que las IDS
protege las redes de manera reactiva.
- Graba información histórica y genera reportes.
CLASIFICACIÓN
- Basado en red LAN (NIPS): Monitorean la red en busca de tráfico de
red sospechoso al analizar la actividad del protocolo LAN
- Basados en red Wireless (WIPS): Lo mismo, pero al nivel de
protocolo inalámbrico.
- Análisis en comportamiento de red (NBA): Identifican amenazas de
tráfico inusual (como las violaciones de políticas de red)
- Basados en host (HIPS): Se efectúa mediante la instalación de
paquetes de software que monitorean un host único en busca de
una actividad sospechosa.
IDS – IPS EN IPTABLES
En Linux, mediante las Iptables se pueden generar políticas (reglas), en
este caso, las Iptables hacen filtración de paquetes. IDS e IPS son
términos demasiados amplios para usar en este contexto. Algunas
(minoría) funcionalidades de Iptables redundan en las funciones de IDS
e IPS, la mayoría de las funcionalidades de IDS o IPS están fuera de lo
que Iptables puede hacer.
RESUMEN
EL IDS (Sistema de detección de intrusos), mejora la capacidad de
auditoría y vigilancia de la seguridad informática de los sistemas de los
clientes. La principal diferencia con las IPS es que las IDS informan,
mientras las IPS toma acciones para frenar el posible ataque.
Las funcionalidades de esos sistemas de seguridad son similares,
primero cambia el modo de funcionamiento de la NIC en modo rápido
(promiscuo) para escuchar todo el tráfico de red, luego revisa éste
tráfico en busca de patrones de bits ya conocidos como sospechosos y
generan un reporte relacionado a la detección.
Los softwares más conocidos en el mercado tenemos:
- SNORT (Sourcefire): Mayor aplicación mundial
- OSSEC (Open Source Security)
- SURICATA (Distribución Linux)
- EASYIDS (Seguridad de red: CentOS, MYSQL, NTOP, BASE)
- SMOOTH-SEC (Distribución Linux)
- PATRIOT NG (Para Windows)
- TRIPWIRE (IDS basado en host más aclamado para Linux)
- LIDS (Linux Instrusion Detection System): Es un parche del kernel,
instrumento de administración, vigila la modificación de ficheros,
incluso en del superusuario (modo suroot)

APLICACIÓN EN LINUX
SOFTWARE: SURICATA
- Procesa gran cantidad de paquetes de manera simultánea
- Aparte de los protocolos IP, TCP, UDP e ICMP, tiene palabras claves
para otros protocolos como FTP, HTTP, TLS, SMB. De esta forma, se
puede escribir reglas independientemente del protocolo que se
utilice, ésta es detectada automáticamente.
- Los registros se almacenan en /vat/log/suricata/stat.log
- Vuelca todas las peticiones HTTP en el archivo /var/log/http.log
- Soporta redes IPv6
INSTALACIÓN Y CONFIGURACIÓN DE SURICATA
Instalaremos el Suricata

Las reglas de Suricata se guardan por defecto en el archivo:

/etc/suricata/rules/

El RunMode predeterminado utilizado por Suricata es autofp

(Autoequilibrio).
Y ejecutaremos Suricata
BIBLIOGRAFÍA
Suricata: Instalación y configuración en Linux
http://www.linux-party.com/26-hackers/9548-como-instalar-
suricata-sistema-de-deteccion-de-intrusos-en-linux

Miguel Pajuelo Villanueva

Agosto 2017