logo

TechCodeview

Sistema de detección de intrusiones (IDS)

Un sistema de detección de intrusiones (IDS) mantiene el tráfico de la red, busca actividad inusual y envía alertas cuando ocurre. Las funciones principales de un sistema de detección de intrusiones (IDS) son la detección y notificación de anomalías; sin embargo, ciertos sistemas de detección de intrusiones pueden tomar medidas cuando se descubre actividad maliciosa o tráfico inusual. En este artículo, discutiremos todos los puntos sobre el sistema de detección de intrusiones.

¿Qué es un sistema de detección de intrusos?

Un sistema llamado sistema de detección de intrusiones (IDS) observa el tráfico de la red en busca de transacciones maliciosas y envía alertas inmediatas cuando se observa. Es un software que verifica una red o sistema en busca de actividades maliciosas o violaciones de políticas. Cada actividad ilegal o infracción suele registrarse de forma centralizada mediante un sistema SIEM o notificarse a una administración. IDS monitorea una red o sistema en busca de actividad maliciosa y protege una red informática del acceso no autorizado por parte de usuarios, incluidos quizás usuarios internos. La tarea de aprendizaje del detector de intrusiones es construir un modelo predictivo (es decir, un clasificador) capaz de distinguir entre 'malas conexiones' (intrusión/ataques) y 'buenas conexiones (normales)'.



Funcionamiento del sistema de detección de intrusos (IDS)

  • Un IDS (Sistema de Detección de Intrusos) monitores el tráfico en un Red de computadoras para detectar cualquier actividad sospechosa.
  • Analiza los datos que fluyen a través de la red para buscar patrones y signos de comportamiento anormal.
  • El IDS compara la actividad de la red con un conjunto de reglas y patrones predefinidos para identificar cualquier actividad que pueda indicar un ataque o intrusión.
  • Si el IDS detecta algo que coincide con una de estas reglas o patrones, envía una alerta al administrador del sistema.
  • Luego, el administrador del sistema puede investigar la alerta y tomar medidas para evitar daños o una mayor intrusión.

Clasificación del sistema de detección de intrusiones (IDS)

Los Sistemas de Detección de Intrusos se clasifican en 5 tipos:

  • Sistema de detección de intrusiones en la red (NIDS): Los sistemas de detección de intrusiones en la red (NIDS) se configuran en un punto planificado dentro de la red para examinar el tráfico de todos los dispositivos de la red. Realiza una observación del tráfico que pasa en toda la subred y compara el tráfico que pasa en las subredes con la colección de ataques conocidos. Una vez que se identifica un ataque o se observa un comportamiento anormal, la alerta se puede enviar al administrador. Un ejemplo de NIDS es instalarlo en la subred donde cortafuegos están ubicados para ver si alguien está tratando de descifrar el cortafuegos .
  • Sistema de detección de intrusiones en el host (HIDS): Los sistemas de detección de intrusiones en el host (HIDS) se ejecutan en hosts o dispositivos independientes de la red. Un HIDS monitorea los paquetes entrantes y salientes del dispositivo únicamente y alertará al administrador si se detecta actividad sospechosa o maliciosa. Toma una instantánea de los archivos del sistema existentes y la compara con la instantánea anterior. Si los archivos del sistema analítico se editaron o eliminaron, se envía una alerta al administrador para que los investigue. Se puede ver un ejemplo del uso de HIDS en máquinas de misión crítica, de las que no se espera que cambien su diseño.
Sistema de detección de intrusiones (IDS)

Sistema de detección de intrusiones (IDS)

  • Sistema de detección de intrusiones basado en protocolos (PIDS): El sistema de detección de intrusiones basado en protocolo (PIDS) comprende un sistema o agente que residiría constantemente en el extremo frontal de un servidor, controlando e interpretando el protocolo entre un usuario/dispositivo y el servidor. Está intentando proteger el servidor web monitoreando periódicamente el protocolo HTTPS stream y aceptando los relacionados protocolo HTTP . Como HTTPS no está cifrado y antes de ingresar instantáneamente a su capa de presentación web, este sistema necesitaría residir en esta interfaz para usar HTTPS.
  • Sistema de detección de intrusiones basado en protocolo de aplicación (APIDS): Una aplicación Sistema de detección de intrusiones basado en protocolos (APIDS) es un sistema o agente que generalmente reside dentro de un grupo de servidores. Identifica las intrusiones monitoreando e interpretando la comunicación en protocolos específicos de la aplicación. Por ejemplo, esto monitorearía el protocolo SQL explícitamente en el middleware mientras realiza transacciones con la base de datos en el servidor web.
  • Sistema híbrido de detección de intrusiones: El sistema de detección de intrusiones híbrido se crea mediante la combinación de dos o más enfoques del sistema de detección de intrusiones. En el sistema híbrido de detección de intrusiones, el agente host o los datos del sistema se combinan con información de la red para desarrollar una vista completa del sistema de red. El sistema híbrido de detección de intrusiones es más eficaz en comparación con otros sistemas de detección de intrusiones. Prelude es un ejemplo de IDS híbrido.

Técnicas de evasión del sistema de detección de intrusos

  • Fragmentación: Dividir el paquete en paquetes más pequeños llamados fragmento y el proceso se conoce como fragmentación . Esto hace que sea imposible identificar una intrusión porque no puede haber una firma de malware.
  • Codificación de paquetes: La codificación de paquetes utilizando métodos como Base64 o hexadecimal puede ocultar contenido malicioso de IDS basados ​​en firmas.
  • Ofuscación de tráfico: Al hacer que el mensaje sea más complicado de interpretar, la ofuscación se puede utilizar para ocultar un ataque y evitar la detección.
  • Cifrado: Varias características de seguridad, como integridad de datos, confidencialidad y privacidad de datos, son proporcionadas por cifrado . Desafortunadamente, los desarrolladores de malware utilizan funciones de seguridad para ocultar ataques y evitar la detección.

Beneficios del ID

  • Detecta actividad maliciosa: IDS puede detectar cualquier actividad sospechosa y alertar al administrador del sistema antes de que se produzca algún daño significativo.
  • Mejora el rendimiento de la red: IDS puede identificar cualquier problema de rendimiento en la red, que puede abordarse para mejorar el rendimiento de la red.
  • Requisitos de conformidad: IDS puede ayudar a cumplir los requisitos de cumplimiento monitoreando la actividad de la red y generando informes.
  • Proporciona información: IDS genera información valiosa sobre el tráfico de la red, que puede utilizarse para identificar cualquier debilidad y mejorar la seguridad de la red.

Método de detección de IDS

  • Método basado en firmas: El IDS basado en firmas detecta los ataques en función de patrones específicos, como la cantidad de bytes o la cantidad de unos o la cantidad de ceros en el tráfico de la red. También detecta basándose en la secuencia de instrucciones maliciosas ya conocida que utiliza el malware. Los patrones detectados en el IDS se conocen como firmas. El IDS basado en firmas puede detectar fácilmente ataques cuyo patrón (firma) ya existe en el sistema, pero es bastante difícil detectar nuevos ataques de malware ya que se desconoce su patrón (firma).
  • Método basado en anomalías: El IDS basado en anomalías se introdujo para detectar ataques de malware desconocidos a medida que se desarrolla rápidamente nuevo malware. En el IDS basado en anomalías se utiliza el aprendizaje automático para crear un modelo de actividad confiable y todo lo que viene se compara con ese modelo y se declara sospechoso si no se encuentra en el modelo. El método basado en aprendizaje automático tiene una propiedad mejor generalizada en comparación con el IDS basado en firmas, ya que estos modelos se pueden entrenar de acuerdo con las aplicaciones y las configuraciones de hardware.

Comparación de IDS con Firewalls

Tanto el IDS como el firewall están relacionados con la seguridad de la red, pero un IDS difiere de un cortafuegos ya que un firewall busca intrusiones hacia afuera para evitar que ocurran. Los firewalls restringen el acceso entre redes para evitar intrusiones y, si un ataque ocurre desde dentro de la red, no avisa. Un IDS describe una sospecha de intrusión una vez que ha ocurrido y luego emite una alarma.



Colocación de ID

  • La posición más óptima y común para colocar un IDS es detrás del firewall. Aunque esta posición varía según la red. La ubicación 'detrás del firewall' permite que el IDS tenga una alta visibilidad del tráfico entrante de la red y no reciba tráfico entre los usuarios y la red. El borde del punto de red proporciona a la red la posibilidad de conectarse a la extranet.
  • En los casos en que el IDS esté ubicado más allá del firewall de una red, sería para defenderse contra el ruido de Internet o contra ataques como escaneos de puertos y mapeadores de red. Un IDS en esta posición monitorearía las capas 4 a 7 de la red. modelo OSI y utilizaría el método de detección basado en firmas. Es mejor mostrar el número de intentos de infracción en lugar de las infracciones reales que lograron atravesar el firewall, ya que reduce la cantidad de falsos positivos. También lleva menos tiempo descubrir ataques exitosos contra la red.
  • Se puede utilizar un IDS avanzado incorporado con un firewall para interceptar ataques complejos que ingresan a la red. Las características del IDS avanzado incluyen múltiples contextos de seguridad en el nivel de enrutamiento y el modo puente. Todo esto, a su vez, reduce potencialmente los costos y la complejidad operativa.
  • Otra opción para la colocación de IDS es dentro de la red. Esta elección revela ataques o actividad sospechosa dentro de la red. No reconocer la seguridad dentro de una red es perjudicial, ya que puede permitir que los usuarios generen riesgos de seguridad o permitir que un atacante que haya irrumpido en el sistema deambule libremente.

Conclusión

El sistema de detección de intrusiones (IDS) es una herramienta poderosa que puede ayudar a las empresas a detectar y prevenir el acceso no autorizado a su red. Al analizar los patrones de tráfico de la red, IDS puede identificar cualquier actividad sospechosa y alertar al administrador del sistema. IDS puede ser una valiosa adición a la infraestructura de seguridad de cualquier organización, proporcionando información y mejorando el rendimiento de la red.

Preguntas frecuentes sobre el sistema de detección de intrusiones: preguntas frecuentes

¿Diferencia entre IDS e IPS?

Cuando IDS detecta una intrusión, solo alerta a la administración de la red mientras Sistema de prevención de intrusiones (IPS) bloquea los paquetes maliciosos antes de que lleguen al destino.

¿Cuáles son los desafíos clave de la implementación del IDS?

Los falsos positivos y los falsos negativos son los principales inconvenientes de los IDS. Los falsos positivos se suman al ruido que puede afectar seriamente la eficiencia de un sistema de detección de intrusiones (IDS), mientras que un falso negativo ocurre cuando un IDS pasa por alto una intrusión y la considera válida.



¿Puede IDS detectar amenazas internas?

Sí, el sistema de detección de intrusiones puede detectar amenazas.

¿Cuál es el papel del aprendizaje automático en IDS?

Mediante el uso Aprendizaje automático , se puede lograr una alta tasa de detección y una baja tasa de falsas alarmas.