Sistema de Detección de Intrusos

Pérez Salinas Alejandra Angélica

Ingeniería en Sistemas Computacionales
Tecnológico de Estudios Superiores de Coacalco
http://www.tecnologicodecoacalco.edu.mx/gem/HTM/INICIO/INICIO.php
Administración y Seguridad en Comunicaciones

ABSTRACT

La importancia de los sistemas de seguridad que se emplean para las redes de comunicaciones tales como los
IDS en base al funcionamiento de los sistemas de transferencias de datos. Un sistema de detección de intrusos
hace exactamente eso. Detectar posibles intrusiones. Específicamente, pretende detectar ataques o abusos al
sistema, alertando con los pormenores del ataque. Mediante varios métodos, ambos detectan si un intruso,
atacante o ladrón está presente, y en consecuencia disparan una alarma. Por supuesto, la alarma puede saltar
sin motivo, al igual que el administrador puede no llegar a oírla. Ante estar irregularidades, solo resta estar
atento y revisar frecuentemente con cautela los avisos recibidos.

KEYWORDS

Sistemas, Funcionamiento, Datos, Redes, Seguridad, IDS, Métodos, Ataques, Intruso y, Administrador.

1. INTRODUCCIÓN

Llamaremos intrusión a un conjunto de acciones que intentan comprometer la integridad,

confidencialidad o disponibilidad de un recurso; analizando esta definición, podemos darnos cuenta
de que una intrusión no tiene por qué consistir en un acceso no autorizado a una máquina: también
puede ser una negación de servicio. A los sistemas utilizados para detectar las intrusiones o los
intentos de intrusión se les denomina sistemas de detección de intrusiones (Intrusion Detection
Systems, IDS) o, más habitualmente - y aunque no sea la traducción literal - sistemas de detección de
intrusos; cualquier mecanismo de seguridad con este propósito puede ser considerado un IDS, pero
generalmente sólo se aplica esta denominación a los sistemas automáticos (software o hardware): es
decir, aunque un guardia de seguridad que vigila en la puerta de la sala de operaciones pueda
considerarse en principio como un sistema de detección de intrusos, como veremos a continuación lo
habitual (y lógico) es que a la hora de hablar de IDSes no se contemplen estos casos.

Las técnicas de un IDS para detectar intrusos: Detección anómala: Diseñada para cubrir los patrones
anormales de comportamiento de los paquetes. El IDS establece una norma base de paquetes
ordinarios y sus usos, y todo lo que se desvíe de ahí, se toma como posible intrusión.
2. DESARROLLO

Los sistemas de detección de intrusos no son precisamente nuevos: El primer trabajo sobre esta materia
desde de 1980; no obstante, este es uno de los campos más en auge desde hace ya unos años dentro de
la seguridad informática. Y no es extraño: la capacidad para detectar y responder ante los intentos de
ataque contra nuestros sistemas es realmente muy interesante. Durante estos veinte años, cientos de
investigadores de todo el mundo han desarrollado, con mayor o menor éxito, sistemas de detección de
todo tipo, desde simples procesadores de logs hasta complejos sistemas distribuidos, especialmente
vigentes con el auge de las redes de computadores en los últimos años.

El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que,

sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este
modo, reducir el riesgo de intrusión. Existen dos claras familias importantes de IDS: el grupo N-
IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red, y el
grupo H-IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.

Detección de abusos o ‘Signature Detection’: Estos predicen los patrones de comportamiento que
derivan en intentos similares. Estos patrones son llamados “firmas” o “Signature”. Un ejemplo es
cuatro intentos fallidos de entrar en el ftp.

Monitorización de objetivos concretos: Esta técnica busca la modificación de ficheros específicos. Es

más, un control correctivo en vez de preventivo. Una forma es crear un hash criptográfico de
antemano con los valores del archivo y compararlo a intervalos regulares (configurables) con otro
hash que se hace en el instante de la comprobación para detectar si se ha producido un cambio en esos
archivos (normalmente de sistema).

Además de estas técnicas, el sistema puede estar orientado al host individual o a la red, algo así como
la diferencia entre tomar los acontecimientos como individuales o colectivos. En general, son más
útiles los orientados a red (distribuidos), por tomar el tráfico como un todo del que entran y salen
paquetes constantemente, en vez de tomar cada máquina como posible objetivo de ataque. Esto último
es lo que se ha venido haciendo desde siempre en los logs que genera, por ejemplo, un sistema
operativo con respecto a los acontecimientos internos.

Sea como fuere, los IDS se han vuelto imprescindibles en cualquier red conectada al exterior y para
los buenos administradores que quieren conocer las entrañas de su red, instalándole sistemas de
alarma como una parte más de su política de seguridad.

2.1 TIPOS DE IDS’es

Sin embargo, en la mayoría de las ocasiones una actividad intrusiva resulta del agregado de otras
actividades individuales que por sí solas no constituyen un comportamiento intrusivo de ningún
tipo. Así las intrusiones pueden clasificarse en:

 Intrusivas, pero no anómalas: Denominados Falsos Negativos (el sistema erróneamente indica
ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es
detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema.
 No intrusivas pero anómalas: Denominados Falsos Positivos (el sistema erróneamente indica
la existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el
sistema "decide" que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se
ignorarán los avisos del sistema, incluso cuando sean acertados.
 No intrusiva ni anómala: Son Negativos Verdaderos, la actividad es no intrusiva y se indica
como tal.
 Intrusiva y anómala: Se denominan Positivos Verdaderos, la actividad es intrusiva y es
detectada.

Los detectores de intrusiones anómalas requieren mucho gasto computacional, ya que se siguen
normalmente varias métricas para determinar cuánto se aleja el usuario de lo que se considera
comportamiento normal.

2.2 REQUISITOS DE UN IDS

Todo IDS debe además presentar cierta tolerancia a fallos o capacidad de respuesta ante situaciones
inesperadas; insistiendo en lo que comentábamos antes sobre el carácter altamente dinámico de un
entorno informático, algunos - o muchos - de los cambios que se pueden producir en dicho entorno
no son graduales sino bruscos, y un IDS ha de ser capaz de responder siempre adecuadamente ante
los mismos. Podemos contemplar, por ejemplo, un reinicio inesperado de varias máquinas o un
intento de engaño hacia el IDS; esto último es especialmente crítico: sólo hemos de pararnos a pensar
que si un atacante consigue modificar el comportamiento del sistema de detección y el propio sistema
no se da cuenta de ello, la intrusión nunca será notificada, con los dos graves problemas que eso
implica: aparte de la intrusión en sí, la falsa sensación de seguridad que produce un IDS que no genera
ninguna alarma es un grave inconveniente de cara a lograr sistemas seguros.

2.3 ¿COMO FUNCIONAN LOS IDS?

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de

red, el cual, al entrar al analizador, es comparado con firmas de ataques conocidos, o comportamientos
sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza
qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un cortafuego. El detector de intrusos es incapaz

de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerto
de enlace con funcionalidad de cortafuegos, convirtiéndose en una herramienta muy poderosa ya que
se une la inteligencia del IDS y el poder de bloqueo del cortafuegos, al ser el punto donde
forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos. Dichas
firmas permiten al IDS distinguir entre el uso normal del ordenador y el uso fraudulento, y/o entre el
tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.
 Figura. 1. Funcionamiento de un dispositivo de detección de intrusos.

2.3.1 COLOCACIÓN DE UN IDS EN LA RED

Para tener un funcionamiento adecuado en un sistema de detección de intrusos (IDS) se requiere crear
en el sistema un registro de firmas (Caracteristicas de intrusos o amenazas) y las bases de datos con
los posibles ataques. En las redes es necesario considerar el lugar de colocación del IDS ya sea antes
o después de un cortafuego ó Firewall (Que se mencionará en la sección de Implantación de
Barreras de Protección en la Red).

Al colocar un IDS después de un Firewall, (véase la Figura 2), el firewall funciona como una barrera
que controla el flujo del tráfico entre los hosts, los sistemas de redes, y los dominios, siendo un filtro
que examina cada paquete enviado hacia algún punto o nodo de la misma red, con el objetivo de
analizar si cumple con una serie de criterios establecidos previamente.

Figura. 2. Ubicación de un IDS después de un Firewall

2.3.2 IDS. BASADOS EN HOST

Los sistemas host-based emplean un diverso procedimiento para buscar a los malos individuos. No
característico de los detectores, los sistemas host-based dependen generalmente de los registros del
sistema operativo para detectar acontecimientos, y no pueden considerar ataques a la capa de red
mientras que ocurren. En comparación con los IDS basados en red, estos sistemas obligan a definir
lo que se considera como actividades ilícitas, y a traducir la política de la seguridad a reglas del IDS.
Los IDS host-based se pueden también configurar para buscar tipos específicos de ataques mientras
que no hace caso de otros. Pero otra vez, el proceso de templar un sensor puede ser desperdiciador de
tiempo. Es decir, los sistemas host-based observan al usuario y la actividad del proceso en la máquina
local para las muestras de la intrusión.

Los sistemas relacionados al host se despliegan de la misma forma que los escáneres antivirus o las
soluciones de administración de red: se instala algún tipo de agente en todos los servidores y se usa
una consola de gestión para generar informes.

Los sistemas basados en host no tienen problemas de ancho de banda; no obstante, sólo pueden
reconocer ataques contra máquinas que están ejecutando sus agentes. Si la compañía tiene servidores
que usan un sistema operativo no reconocido, el administrador no habrá ganado nada. Sin embargo,
las soluciones que operan en host ofrecen algunos servicios adicionales, más allá de los que ofrecen
los sistemas basados en red, como verificación de integridad binaria, análisis sintáctico de logs y
terminación de procesos no válidos.

2.4 CARACTERISTICAS DE LOS IDS’es

Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en que esté
basado, debería contar con las siguientes características:

 Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente
fiable para poder ser ejecutado en background dentro del equipo que está siendo observado. Sin
embargo, no debe ser una "caja negra" (debe ser examinable desde el exterior).
 Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del
sistema.
 En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema puede
monitorizarse a sí mismo para asegurarse de que no ha sido perturbado.
 Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la máquina,
simplemente no será utilizado.
 Debe observar desviaciones sobre el comportamiento estándar.
 Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un patrón de
funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos
patrones.
 Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas
aplicaciones al mismo.
 Debe ser difícil de "engañar".

2.4.1 VENTAJAS Y DESVENTAJAS DE LOS IDS’es

VENTAJAS

Pueden prestar un mayor grado de integridad al resto de su infraestructura de seguridad. Los IDS
proporcionan capas adicionales de protección a un sistema asegurado. La estrategia de un
atacante del sistema incluirá a menudo los dispositivos de seguridad que atacan, que anulan o
que protegen. Los IDS la intrusión pueden reconocer estos primeros sellos de ataque, y
potencialmente responden a ellos, atenuando daños, Además, cuando estos dispositivos fallan,
debido a la configuración, al ataque, o al error del usuario, los IDS puede reconocer el problema
y notificar a la gente adecuada.
 Los IDS permiten que los administradores y los encargados templen, que ordenen, y que
comprendan lo que les dicen estas fuentes de información, a menudo revelando problemas antes
de que ocurra la pérdida.

Pueden rastrear la actividad del usuario de la punta de entrada a la punta de salida o del impacto.

Pueden reconocer y señalar alteraciones a los archivos críticos del sistema y de datos. Las
herramientas de integridad del archivo utilizan sumas de comprobación criptográficas fuertes
por bloques, y en el caso de un problema, comprobar rápidamente el fragmento del daño.

Pueden manchar los errores de su configuración de sistema que tienen implicaciones de la

seguridad, corrigiéndolas a veces si el usuario desea. Los productos de revisión de vulnerabilidad
permiten la revisión y la diagnosis constantes de las configuraciones del sistema que pudieron
causar problemas de la seguridad.

DESVENTAJAS

La seguridad es un área compleja con posibilidades y dificultades innumerables. No hay

soluciones mágicas a los problemas de la seguridad de la red, y los productos de la detección de
la intrusión no son ninguna anomalía a esta regla. Sin embargo, como parte de una gerencia
comprensiva de la seguridad saben desempeñar un papel vital en la protección de sus sistemas.

No pueden compensar para los mecanismos débiles de la identificación y de la autentificación.

Una infraestructura de la seguridad que incluye la detección fuerte de I&A y de la intrusión es
más fuerte de una que contiene solamente uno o la otra.

No pueden conducir investigaciones de ataques sin la intervención humana. Uno debe realizar
la dirección del incidente. Uno debe investigar los ataques, determinarse, en lo posible, el partido
responsable, después diagnosticar y corregir la vulnerabilidad que permitió que ocurriera el
problema, señalando el ataque y los detalles a las autoridades donde se requiera.

No pueden intuir el contenido de la política organizacional de la seguridad. Los sistemas expertos

de la detección de la intrusión aumentan de valor cuando se permiten funcionar como alarmas
de hacker.

No pueden compensar para los problemas en la calidad o integridad de la información que el

sistema proporcional. Es decir, la " basura es basura " todavía se aplica.

No pueden analizar todo el tráfico en una red ocupada. La detección network-based de la

intrusión es capaz de vigilar tráfico de una red, pero solamente a una punta.

2.4.2 FORTALEZAS Y DEBILIDADES DE LOS IDS’es

 Suministra información muy interesante sobre el tráfico malicioso de la red.

 Poder de reacción para prevenir el daño.
 Es una herramienta útil como arma de seguridad de la red.
 Ayuda a identificar de dónde provienen los ataques que se sufren.
× No existe un parche para la mayoría de bugs de seguridad.
× Se producen falsas alarmas.
× Se producen fallos en las alarmas.
× No es sustituto para un buen Firewall, una auditoría de seguridad regular y una fuerte y estricta
política de seguridad.

2.5 POLITICAS DE SEGURIDAD EN LA RED

Las políticas de seguridad se pueden definir como una serie de reglas que reflejen seguridad en una
red. Los objetivos de la política de seguridad de red son establecer instancias en un sistema de
seguridad tales como en los Firewall o IDS para proteger redes y sistemas ante amenazas o intrusiones
que afecten el desempeño de la red.

Los mecanismos de políticas de seguridad de red auxilian en la identificación y la prevención de

daños del sistema causados por amenazas ó ataques. Para establecer una política de seguridad para
una red se deben tomar los siguientes puntos.

 Confidencialidad
 Integridad (Mantener seguro los puntos de interés en la red)
 Autenticidad (Verificar la legitimidad de los clientes o usuarios)
 Disponibilidad de los recursos y de la información
 Control de Accesos (Analizar las direcciones de procedencia y destino para mantener un control
de conexión de los usuarios)
 Auditoria (Realizar un registro que permita conocer la vulnerabilidad en seguridad con la que
cuenta una red)

2.5.1 FIREWALL

Además de los IDS, existen otros elementos en una red de comunicación que funcionan como
elementos para prevenir alguna intrusión o ataque, funcionando como filtros de datos o paquetes con
el objetivo de hacer a un sistema de seguridad más eficiente.

Un Firewall es la parte de un sistema de seguridad en una red, diseñado para bloquear el acceso no
autorizado. Se compone de uno o varios dispositivos configurados para permitir, limitar y descifrar
el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas.

Un Firewall se implementa en hardware y software, utilizando para evitar que los usuarios de Internet
no autorizados tengan acceso a redes privadas conectadas a Internet. Todos los mensajes que entren
o salgan de la intranet pasan a través del Firewall, el cual tiene como función examinar cada mensaje
y bloquear aquéllos que no cumplen los criterios de seguridad especificados. Véase la Figura 3.

Figura. 3. Esquema de una red de computadores empleando un Firewall.

2.6 IPS (Sistema de Prevención de Intrusos)

Un IPS se define como un dispositivo que ejerce el control de acceso en una red para proteger a los
sistemas o equipos de posibles ataques. Los IPS representan un desarrollo en los sistemas de
seguridad ya que cuentan con la capacidad de tomar decisiones de control de acceso basado en los
contenidos del tráfico como por ejemplo las direcciones IP fuente y destino o los puertos de acceso.

En cuanto a su funcionamiento un IPS al igual que un sistema para la detección de intrusos, funciona
ante la detección de intrusos pero la diferencia es que el IDS alerta al administrador de la red ante la
detección de un posible intruso, mientras que en un sistema de prevención de intrusos establece
políticas de seguridad para proteger el equipo o la red de un ataque protegiendo de manera proactiva,
es decir que alerta de manera anticipada de la detección del ataque y un IDS protege reactivamente,
lo que indica que este ultimo actúa en el momento de detectar el ataque.

De la misma manera los IPS se clasifican en relación con la detección del tráfico malicioso:

 Detección Basada en Firmas

 Detección Basada en Políticas
 Detección Basada en Anomalías

2.6.1 IPS. CARACTERISTICAS.

Sin embargo, las redes actuales son muy dinámicas, aparecen nuevas tecnologías, nuevos sistemas,
nuevas aplicaciones a un ritmo acelerado, lo que provoca obviamente una mayor exposición a las
amenazas de seguridad. Hoy en día y antes el dinamismo con el que nos enfrentamos se necesitan
mecanismos de seguridad que tengan cierta inteligencia para poder hacerle frente a las crecientes
amenazas de seguridad, es ahí donde es importante destacar la incorporación a las infraestructuras
de red de un IPS de Nueva Generación.

Un IPS de Nueva Generación, según Gartner, debe de cumplir con los siguientes elementos:
En línea: Nunca debe de interrumpir el funcionamiento de una red.

Tener capacidad de IPS estándares de primera generación: Capacidad para poder detectar
vulnerabilidades y amenazas basadas en firmas.

Conciencia de Aplicaciones: Capacidad para poder identificar aplicaciones e implementar

políticas de seguridad de red en la capa de aplicaciones.

Conciencia del Contexto: Las decisiones de Bloqueo deben basarse en información que
provenga fuera del IPS.

Conciencia del Contenido: Debe ser capaz de inspeccionar y clasificar tipos de archivos.

Ágil: Debe ser capaz de incorporar nuevos mecanismos de retroalimentación para enfrentar
amenazas futuras.

Antiguamente un IPS era utilizado simplemente para poder detectar y bloquear amenazas de
seguridad que se generaban a lo externo de la organización basado en firmas.
Uno de los elementos que más sobresalen dentro de la definición de IPS de Nueva Generación, es
que ahora los IPS basarán sus acciones en una Conciencia del Contexto. Por contexto se entiende:
“Al conjunto complejo de circunstancias que rodean un ataque específico” y que marcaran el punto
de partido para poder asignarle una prioridad específica a la repuesta que el equipo deba dar ante
una amenaza inminente.

3. CONCLUSIÓN
Los sistemas de detección de intrusos aportan una capacidad de prevención y de alerta anticipada ante
cualquier actividad sospechosa. Y, aunque inicialmente no están diseñados para detener un ataque, sí
pueden generar ciertos tipos de respuesta ante éstos. Para la realización de este trabajo se aplicaron
los métodos y técnicas del nivel empírico: criterios de expertos, la observación y la revisión
bibliográfica y como métodos y técnicas de nivel teórico se utilizó el análisis histórico lógico.

Al usar un IDS se extiende la capacidad en la administración de seguridad, incluyendo auditoria,

monitoreo, reconocimiento de ataques y respuestas. Este trabajo muestra la unión entre el campo de
la seguridad informática y el de los sistemas de detección de intrusos, lo que robustece la seguridad
reduciendo las vulnerabilidades. Se amplían los conocimientos acerca de los sistemas de detección
de intrusos con el objetivo de minimizar los riesgos en aplicaciones informáticas.

4. REFERENCIAS
1. CORRAL, D. (2016). COMPUTERWORLD. Obtenido de http://www.computerworld.es/economia-
digital/ips-sistemas-de-prevencion-de-intrusiones
2. ECURED. (2016). Obtenido de SISTEMAS INFORMATICOS:
https://www.ecured.cu/Intrusion_Prevention_System
3. EL NUEVO DIARIO. (2016). Obtenido de EL NUEVO DIARIO.COM:
https://www.elnuevodiario.com.ni/economia/333197-sistemas-prevencion-intrusos-nueva-
generacion/
4. INTEROUTE. (2017). Obtenido de https://www.interoute.es/hosting/servicios-gestionados/seguridad-
gestionada/prevencion-de-intrusiones
5. LUIS, I. R. (2008). DK4NNO. Obtenido de https://dk4nno.wordpress.com/2008/01/22/ids-sistemas-
de-detecion-de-intrusos/
6. Martinez, C. (2017). SISTEMAS PARA DETECCION DE INTRUSOS. MÉXICO: UDLAP.
7. RED HAT ENTERPRISE. (2016). Obtenido de http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-
4/ch-detection.html
8. RED-IRIS. (2016). Obtenido de RED ACADEMICA Y DE INVESTIGACION NACIONAL:
https://www.rediris.es/cert/doc/unixsec/node26.html
9. SEGU.INFO. (2017). SEGURIDAD DE LA INFORMACION. Obtenido de SEGU.INFO.COM:
https://www.segu-info.com.ar/proteccion/deteccion.htm
10. SYMANTEC. (2016). Obtenido de
https://www.symantec.com/es/mx/security_response/glossary/define.jsp?letter=i&word=ids-
intrusion-detection-system
11. UBALDO, F. (2013). CONECTATEPERU. Obtenido de
https://conectateperu.wordpress.com/2013/05/28/que-es-un-ids/
12. VIALFA, C. (2017). SISTEMAS DE DETECCION DE INTRUSOS. SEGURIDAD INFORMATICA,
23-32.