Archivo de la etiqueta: HIPS

IPS e IDS

Los sistemas de detección de intrusos (IDS, Intrusion Detection System) y los sistemas de protección de intrusos (IPS, Intrsion Prevention System) son una evolución de los sistemas de defensa basados en firewall. Estos sistemas ya no se basan únicamente en las comunicaciones basadas en direcciones IP y puertos sino que revisa el tráfico de red o el comportamiento de los equipos para detectar actividad maliciosa.

Esquema de un IPS

Esquema de un IPS
Fuente imagen: BringCom

La principal característica que diferencia ambos sistemas es el comportamiento una vez detectado un posible comportamiento malicioso: los sistemas de detección, IDS, avisan a los administradores para que pueda analizar y actuar en consecuencia mientras que los de protección, IPS, aplican una serie de políticas que intentan detener las actividades maliciosas. Ambos sistemas pueden utilizarse en las mismas redes y utilizan las mismas técnicas si bien es el matiz de su actuación una vez detectada una amenaza el que los diferencia.

IPS e IDS por objetivo de monitorización

Estos sistemas pueden clasificarse en función del sistema que analizan en cuatro categorías:

  • Los sistemas basados en red (NIPS, Network IPS) analizan el tráfico de una red en busca de intenciones maliciosas.
  • Los sistemas de detección en redes inalámbricas (WIPS, Wireless IPS) realizan la misma función en redes Wi-Fi.
  • Los sistemas basados en servidores (HIPS, Host IPS) monitorizan el comportamiento del propio servidor (uso de memoria, disco duro, conexiones, etc.) para detectar posible software malintencionado.

Sistemas IPS e IDS por sistema de detección

Existen diferentes formas de intentar distinguir un comportamiento anómalo o malicioso por lo que los diferentes desarrolladores de sistemas IDS han abordado el problema de diferentes formas. Aunque las soluciones que podemos encontrar en el mercado suelen incluir varias de estas formas de trabajo, tradicionalmente se han categorizado de la forma siguiente:

  • Detección basada en firmas: Este sistema intenta localizar una cadena de información, previamente conocida, en una comunicación. Así el sistema analiza el tráfico http en busca de cadenas de peticiones que induzcan a un posible ataque de SQL Injection. La principal ventaja de esta estrategia es su alta eficiencia para detectar ataques ya conocidos pero, como contrapartida, es prácticamente inútil para detectar ataques aún no conocidos por el sistema.
  • Detección basada en políticas: Este sistema requiere definir de forma concienzuda el tipo de comunicación (y no sólo puertos y protocolo) entre los servidores o diferentes redes. Se trata de sistemas muy efectivos pero que requieren de un configuración detallada.
  • Detección basada en anomalías: Estos sistemas buscan detectar comportamientos anormales en nuestros sistemas. La principal dificultad es definir qué es normal y qué no. Actualmente se utilizan dos formas para intentar registrar cambios maliciosos:
    • Detección estadística de anormalidades: Los sistemas analizan el comportamiento de nuestra red o servidores durante un tiempo determinado. Con esta información generan un patrón. Cuando el comportamiento difiere demasiado del patrón normal previamente calculado salta las alarmas y generan los avisos o actuaciones pertinentes.
    • Detección no estadística de anormalidades: En estos equipos es un administrador quien define los patrones de comportamiento normal por lo que pueden ser muy granulares y específicos si bien es muy posible que con el tiempo se generen falsos positivos.