¿Qué es un intrusion detection system (IDS)?

Los sistemas modernos de detección de intrusiones complementan eficazmente a los firewalls tradicionales. Se encargan de analizar y supervisar continuamente sistemas y redes enteras en tiempo real, identificando posibles amenazas y avisando rápidamente a los administradores. La defensa real contra los ataques se ejecuta posteriormente utilizando software adicional.

¿Qué hay detrás de un IDS (sistema de detección de intrusiones)?

Aunque los actuales sistemas de seguridad de ordenadores y redes son muy avanzados, los ciberataques también son cada vez más inteligentes. Para proteger eficazmente las infraestructuras sensibles, debes considerar la posibilidad de adoptar múltiples medidas de seguridad. En este contexto, un sistema de detección de intrusiones (IDS) es un complemento de primera clase para el firewall: un IDS destaca en la detección precoz de ataques y amenazas potenciales, alertando instantáneamente a los administradores, que pueden tomar medidas defensivas rápidas. No obstante, más importante aún es que un sistema de detección de intrusiones también puede identificar ataques que puedan haber traspasado las defensas del firewall.

A diferencia de un intrusion prevention system, por ejemplo, un IDS no se defiende por sí mismo de los ataques. En su lugar, el sistema de detección de intrusiones analiza toda la actividad de una red y la compara con patrones específicos. Cuando se detectan actividades inusuales, el sistema alerta al usuario y proporciona información detallada sobre el origen y la naturaleza del ataque.

Consejo

Para ampliar la información sobre las diferencias entre los sistemas de detección de intrusiones y de prevención de intrusiones, consulta nuestro artículo específico sobre este tema.

¿Qué tipos de sistemas de detección de intrusiones existen?

Los sistemas de detección de intrusiones se clasifican en tres tipos: basados en el host (HIDS), basados en la red (NIDS), o sistemas híbridos que combinan principios HIDS y NIDS.

HIDS: sistemas de detección de intrusiones basados en el host

El intrusion detection system basado en el host es la forma más antigua de sistema de seguridad. En este caso, el IDS se instala directamente en el sistema correspondiente. Analiza los datos tanto a nivel de log como de núcleo, examinando también otros archivos del sistema. Para adaptarse al uso de estaciones de trabajo autónomas, el sistema de detección de intrusiones basado en host se basa en los llamados agentes de supervisión, que prefiltran el tráfico y envían los resultados a un servidor central. Aunque es muy preciso y completo, puede ser vulnerable a ataques como DoS y DDoS. Además, depende del sistema operativo concreto.

NIDS: sistemas de detección de intrusiones basados en la red

Un sistema de detección de intrusiones basado en la red examina los paquetes de datos intercambiados dentro de una red, identificando rápidamente patrones inusuales o anormales para informar sobre ellos. Sin embargo, gestionar un gran volumen de datos puede suponer un auténtico reto, que podría saturar el sistema de detección de intrusiones y dificultar una supervisión completa.

Sistemas híbridos de detección de intrusiones

Hoy en día, muchos proveedores optan por sistemas híbridos de detección de intrusiones que integran ambos enfoques. Estos sistemas constan de sensores basados en el host, sensores basados en la red y una capa de gestión central en la que convergen los resultados para obtener un análisis en profundidad y un mayor control.

Objetivo y ventajas de un IDS

Un sistema de detección de intrusiones nunca debe considerarse ni utilizarse como sustituto de un firewall. Por el contrario, es un complemento ideal que, junto con el firewall, identifica las amenazas de forma más eficaz. Como el sistema de detección de intrusiones puede analizar incluso la capa más alta del modelo OSI, es capaz de descubrir nuevas fuentes de peligro desconocidas hasta ahora, aunque se hayan violado las defensas del firewall.

MyDefender
Ciberseguridad completa
  • Protección contra el secuestro de datos
  • Escaneos antivirus periódicos
  • Copias de seguridad automáticas y restauraciones

Cómo funciona un sistema de detección de intrusiones

El modelo híbrido es el más habitual de los sistemas de detección de intrusiones, ya que emplea enfoques basados tanto en el host como en la red. La información recopilada se evalúa en el sistema central de gestión, utilizando tres componentes distintos.

Controlador de datos

El controlador de datos recoge todos los datos pertinentes a través de sensores y los filtra en función de su relevancia. Esto abarca los datos procedentes del host, incluidos los archivos de registro y los detalles del sistema, así como los paquetes de datos transmitidos a través de la red. Entre otras cosas, el IDS recopila y organiza las direcciones de origen y destino y otros atributos críticos. Un requisito crucial es que los datos recopilados procedan de una fuente fiable o directamente del sistema de detección de intrusiones para garantizar la integridad de los datos y evitar su manipulación previa.

Analizador

El segundo componente del sistema de detección de intrusiones es el analizador, responsable de evaluar todos los datos recibidos y prefiltrados utilizando diversos patrones. Esta evaluación se realiza en tiempo real, lo que puede ser especialmente exigente para la CPU y la memoria principal. Es esencial disponer de suficiente capacidad para realizar un análisis rápido y preciso. Para ello, el analizador emplea dos métodos distintos:

  • Detección de uso indebido: en la detección de uso indebido, el analizador examina los datos entrantes en busca de patrones de ataque reconocidos almacenados en una base de datos específica, que se actualiza periódicamente. Cuando un ataque coincide con una firma registrada previamente, se puede identificar en una fase temprana. Sin embargo, este método es ineficaz para detectar ataques que aún no son conocidos por el sistema.
  • Detección de anomalías: para detectar anomalías hay que evaluar todo el sistema. Cuando uno o más procesos se desvían de las normas establecidas, se señalan dichas anomalías. Por ejemplo, si la carga de la CPU supera un umbral específico o si se produce un pico inusual en los accesos a páginas, se activa una alerta. El sistema de detección de intrusiones también puede analizar el orden cronológico de varios eventos para identificar patrones de ataque desconocidos. Sin embargo, es importante tener en cuenta que, en algunos casos, también pueden notificarse anomalías inofensivas.
Nota

Las anomalías típicas que detecta un buen IDS incluyen el aumento del tráfico y el aumento del acceso a los mecanismos de inicio de sesión y autenticación. Esto convierte a la tecnología de seguridad en una solución de primer nivel contra los ataques de fuerza bruta. Para aumentar el porcentaje de aciertos, muchos sistemas modernos de detección de intrusiones utilizan IA para la detección de anomalías.

Alerta

El tercer y último componente del sistema de detección de intrusiones es la alerta propiamente dicha. Si se detecta un ataque o alguna anomalía, el sistema informa al administrador. Esta notificación puede realizarse por correo electrónico, mediante una alarma local o a través de un mensaje en el smartphone o la tablet.

¿Qué inconvenientes tiene un sistema de detección de intrusiones?

Aunque los sistemas de detección de intrusiones mejoran la seguridad, no están exentos de inconvenientes. Los IDS basados en el host pueden ser vulnerables a los ataques DDoS, y los sistemas basados en la red pueden tener problemas en configuraciones de red más grandes, lo que puede producir la pérdida de paquetes de datos. La detección de anomalías, dependiendo de la configuración, puede disparar falsas alarmas. Además, todos los IDS están diseñados únicamente para la detección de amenazas, por lo que requieren software adicional para conseguir una defensa eficaz contra los ataques.

Intrusion detection system: el ejemplo de Snort

Uno de los sistemas de detección de intrusiones más conocidos y populares es Snort. Esta herramienta de seguridad, desarrollada por Martin Roesch en 1998, no solo es multiplataforma y de código abierto, sino que también proporciona a los usuarios amplias medidas de prevención como un sistema de prevención de intrusiones. El programa está disponible gratuitamente y en una versión de pago con la que, por ejemplo, se obtienen actualizaciones más rápidamente.

¿Le ha resultado útil este artículo?
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración de su navegador en nuestra. Política de Cookies.