"IDS" Sistemas de detección de intrusos

Dentro de los componentes de seguridad que encontramos dentro de una organización nos encontramos los sistemas de detección de intrusos (IDS).

Un IDS es un proceso, sistema o software encargado de escuchar el tráfico que se desarrolla dentro de una red, con el objetivo de detectar actividades anomalas, anormales o sospechosas, con el objetivo de reducir riesgos de intrusión y minimizar posibles daños potenciales.

Podemos clasificar los IDS según función o comportamiento en:

• Sistemas de detección de intrusos basados en el host (HIDS). Estos trabajan desde un host detectando actividades anómalas o inusuales en su interior.

• Sistemas basados en el comportamiento. Tratan de observar el tráfico creando una serie de parámetros de comportamiento estructurado y esquematizado, esperando una desviación de este haciendo saltar las alarmas.

• Sistemas de detección basados en redes (NIDS). Como su nombre indica, trabajan sobre el tráfico de datos e información que circulan por la red, buscando comportamientos o actividades que se salgan de lo normal.

Ejemplo de utilización de IDS dentro de una red

El objetivo principal de los sistemas de detección de intrusos, es que ante una actividad anómala o intrusiva, un ataque, o cualquier comportamiento dado fuera de la actividad rutinaria y normal, harán saltar las alarmas de que algo está sucediendo.
Esta forma de procedimiento de actuación, se basa en la idea de que  cualquier atacante, persona o software externo, que intenten acceder de forma ilegal a nuestro sistema, no actuará como nosotros o cualquier otro usuario de nuesta red lo haría normalmente, sino que intentará acceder a lugares donde no tiene permisos, estará interactuando como usuario desconocido, en una horas en las que no es normal que se produzca esa actividad, siguiendo pautas que no sigue normalmente ninguno de los usuarios registrados, etc.

Básicamente estas son las funciones y objetivos de un IDS, pueden ser instaladas como un componente único o integradas dentro de otro elemento como puede ser un "Firewall" o una "Puerta de enlace (Gateway)" ganando de esta manera en funcionalidades, pero hay que dejar claro que por si solos los IDS son incapaces de detener los ataques detectados, simplemente porque no está dentro de sus funciones que son solo detectar.

Dicho esto, también hay que aclarar que no todo lo detectado por un sistema de detección tiene que tratarse de una amenaza, ya que como bien he dicho lo que capta son actividades y comportamientos inusuales dentro de su actividad normal de cada día.
De manera que podemos encontrarnos ante diferentes tipos de intrusiones:

• Detecciones de intrusión anómala. En esta ocasión se ha producido una intrusión externa en la red con objetivo desconocido y ha sido detectada.

• Detección de una falsa intrusión (Falso pósitivo). El IDS detecta una intrusión, cuando en realidad no se ha producido ninguna. Esto puede suceder debido a un comportamiento inusual de alguno de los usuarios habituales (Inusual no quiere decir anómalo).

•  Intrusión sin detección. En este caso se produce una intrusión desde el exterior, bien por un curioso, bien por alguién probando sus habilidades, pero que no tiene ninguna mala intención, con lo cual al no realizar ninguna actividad intrusiva o fuera de lo normal dentro de la red, el IDS no es capaz de detectarlo. Esta clase de situación a priori no causa problema ya que no se produce prejuicio, sin embargo puede producir una sensación de poca seguridad de cara al exterior.

Una vez vistas las características generales de IDS, pasará como con todas las cosas, tendrán sus defensores y sus detractores. ¿Quien tiene razón? ¡Pues para gustos los colores!
Yo por mi parte voy a nombrar algunas de las ventajas y desventajas que nos proporcionan.

VENTAJAS:
- Detección de amenazas con el consiguiente suministro de información sobre estas, como por ejemplo su origen, su forma de proceder, etc.
- Con la detección de las amenazas conseguimos prevenir daños antes de que sucedan.
- Gracias a ellos podemos detectar intrusiones imprevistas y con las que no habíamos contado como posibilidad remota, de manera que podrémos reforzar nuestra seguridad.
- Ayudan a evitar comportamientos indebidos dentro de la red por los usuarios registrados, como abuso de privilegios, ruptura de protocolos de seguridad, etc.
- Son una barrera más a posibles intrusos, además de capturar su comportamiento y su rastro.

DESVENTAJAS:
- Falsas alarmas.
- Fallos de funcionamiento (no detección de intrusiones sin actividades agresivas).
- En algunos casos son tomadas como única medida, sin tener en cuenta que solo son un componente más a utilizar en una buena política de seguridad.
- Al ser un sistema que se basa en comportamientos normales y anormales, en caso de cambiar actividades dentro de la red, el IDS debería de entrar en un periodo de reconfiguración, lo cual le haría perder su efectividad durante dicho periodo.