Un sistema de detección de intrusos (o IDS – Intrusion Detection System) es un software o hardware especial usado para detectar accesos no autorizados a una computadora o a una red. Estos accesos pueden ser ataques hackers, o de Script Kiddies que usan herramientas automáticas como scanners o sniffers.
Un IDS suele tener «sensores virtuales» (sniffers) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de la red). El IDS detecta, gracias a estos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas esto gracias a que los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o computadora.
Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa pero no están diseñados para detener un ataque, aunque algunos sí pueden generar ciertos tipos de respuesta ante éstos.
La arquitectura común de un IDS es la siguiente:
– La fuente de recogida de datos. Estas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS basados en host, el propio sistema.
– Reglas que contienen los datos y patrones para detectar anomalías de seguridad en el sistema.
– Filtros que comparan los datos snifados de la red o de logs con los patrones almacenados en las reglas.
– Detectores de eventos anormales en el tráfico de red.
– Dispositivo generador de informes y alarmas. En algunos casos con la sofisticación suficiente como para enviar alertas vía mail, o SMS.
– Esto es a modo general. Cada IDS implementa la arquitectura de manera diferente.
IDS gratuito (Snort)
Si nuestro presupuesto o el de nuestra empresa no es lo suficiente como para comprar por ejemplo: un Cisco IDS 4250 existen alternativas gratuitas como:
Snort de Sourcefire
Snort es un IDS basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc conocidos. Todo esto en tiempo real.
Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.
Este IDS implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, DDos, finger, ftp, ataques web, CGI, escaneos de Nmap y mucho más.
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS).
La colocación de Snort en nuestra red puede realizarse según el tráfico quieren vigilar: paquetes que entran, paquetes salientes o en una Zona Desmilitarizada y en realidad donde queramos.
Una característica muy importante e implementada desde hace pocas versiones es FlexResp. Permite, dada una conexión que emita tráfico malicioso, darla de baja, hacerle un DROP mediante el envío de un paquete con el flag RST activa, con lo cual cumpliría también con funciones de firewall, cortando las conexiones que cumplan ciertas reglas predefinidas. No sólo corta la conexiones ya que puede realizar otras muchas acciones como notificar al administrador mediante correo electrónico o almacenar logs.
Ya es de su conocimiento esta herramienta, recuerden no esperar que ocurra una catástrofe para empezar a tomar medidas de seguridad como la gran mayoría de las empresas lo hacen.
? y ¿Porqué debería ser una herramienta fundamental en las PyMEs?){kind=link}
No Responses