Trabajando juntos, una alianza por la seguridad: IDS e IPS

Los Sistemas de Detección de Intrusos (IDS), son sistemas de hardware y software encargados de monitorear nuestros equipos y la red de manera automática, con la finalidad de dar seguimiento a los posibles ataques a nuestros equipos o redes.

Los IDS no están en la red en tiempo real, sino que, solo reciben una copia del tráfico en la red, la analizan y dan una alerta si detectan una anomalía o intrusión, por lo que, al no actuar en tiempo real puede que al momento de la alerta, la intrusión ya haya sido llevada a cabo y por lo tanto, hay que encontrarla y eliminarla.

Por su parte los Sistemas de Prevención de Intrusiones (IPS) son sistemas de hardware y software que no solo monitorean las posibles intrusiones, sino que, toman acción para detener las posibles acciones maliciosas. 

Los IPS permanecen en la red analizando el tráfico real y actuando en el momento que se registran una intrusión.

Por esas razones el IDS se considera un sistema Pasivo, mientras que el IPS se considera como un sistema Activo.

Fuente:https://campus.unadmexico.mx/contenidos/DCEIT/BLOQUE1/TM/05/KSG2/U3/descargables/KSG2_U3_Contenido.pdf

Características de IDS 

• Debe ser capaz de estar corriendo continuamente para no dejar filtrar intrusiones, opera de forma pasiva necesita de un supervisor humano que actúe en cuanto salte la alarma de intrusión.
• Debe ser a prueba de fallas en el sentido de que deberá sobrevivir a una caída del sistema.
• Debe ser resistente a la subversión, es decir debe auto vigilarse para no ser alterado por elementos del exterior, como atacantes que quisieran apagarlo, destruirlo o evitarlo.
• Debe sobreponerse a las sobrecargas del sistema o no causarlas, un sistema que hace más lentos los equipos, no es un buen sistema.
• Debe observar desviaciones en el comportamiento normal de redes y equipos para indicar que deben ser corregidas.
• Debe adaptarse fácilmente al sistema en cuestión. Cada sistema tiene un patrón de uso diferente y el mecanismo de defensa debe adaptarse fácilmente.
• Debe hacer frente al comportamiento cambiante del sistema a lo largo del tiempo a medida que se agregan nuevas aplicaciones. El perfil del sistema cambiará con el tiempo y el IDS debe poder adaptarse a todos los cambios.
• Debe detectar errores humanos y corregirlos o dar la información para que sean corregidos.

Características de IPS

• Capacidad de reacción automática ante incidentes. 
• Debe trabajar de forma automática sin necesidad de supervisión humana.
• Aplicación de nuevos filtros conforme detecta ataques en progreso. 
• Al detectar una intrusión el sistema debe ser capaz de aplicar los filtros necesarios para bloquear la amenaza, si estos no funcionan deberá aplicar otros y dar aviso al supervisor humano para que tome medidas pertinentes.
• El supervisor humano debe intervenir lo menos posible para solucionar problemas pues el sistema es automático.
• Debe tener un sistema para discriminar ante amenazas reales y errores de otro tipo para evitar en lo posible alarmas que puedan distraer al personal de sus actividades, demasiadas falsas alarmas disminuyen la confianza en el sistema.
• Monitorea la red en tiempo real y por lo tanto debe bloquear las intrusiones que susciten en el momento.  
• Mejora las comunicaciones dentro de la red, debe bloquear la amenaza sin interferir en el funcionamiento y libre tráfico de la red. 

Firmas IDS e IPS

Fuente:https://www.pearsonitcertification.com/articles/article.aspx?p=1739166

Una firma IPS es un conjunto de reglas que ambos sistemas usan para detectar ataques típicos de intrusión, como podrían ser ataques de denegación del servicio o de saturación del servicio.

Los sistemas tienen una base de datos muy extensa de esas firmas y los sensores van comparando el tráfico de la red para encontrar paquetes de datos que coincidan con esas firmas, al encontrar uno, el supervisor es alertado si se trata de una IDS o bloqueado si se trata de una IPS.

Sistemas IDS e IPS y sus diferencias

CISCO IPS 4200

Fuente:https://www.cisco.com/c/en/us/support/security/ips-4200-series-sensors/series.html

Ventajas

• Pasando a sus capacidades diremos que detecta amenazas a la propiedad intelectual y datos de los clientes. 
• Detecta y detiene ataques sofisticados y comportamientos anómalos e intrusiones para detectar vulnerabilidades.
• Previene amenazas aplicando base de firmas y políticas organizacionales.
• Actualización permanente de firmas y amenazas.

Limitaciones 

• Lo primero que tenemos que decir, es que, el fabricante indica que ese producto ya no es compatible con la normatividad de CISCO, pues ya no se fabrican.
• No tiene fuentes redundantes de energía, por lo que, al perder energía el sistema deja de operar.

CISCO Catalyst 6500

Fuente:https://www.serverbasket.com/shop/cisco-catalyst-6500-series-switches-price-list/

Ventajas 

• Puede conectarse a un Bus de 32 GBbps.
• Usa el mismo código que los otros IDS e IPS de Cisco por lo que es compatible con ellos.
• Puede registrar hasta medio millón de firmas.
• Puede monitorear 600 Mbps en tráfico de red.
• Baja latencia por lo que permite una red fluida.

Limitaciones 

• Una limitación es la incapacidad de algunos routers para soportar su velocidad de análisis de la red.
• Contar con sistemas de prevención de intrusiones en cualquier organización es una necesidad, pues permite analizar y bloquear amenazas de intrusión en la red y en nuestros equipos, el dilema es si elegir un sistema IDS más limitado por ser pasivo o un IPS activo con más funciones.
• Su principal limitación es su costo ya que mientras un IDS ronda los $250 dólares un IPS puede sobrepasar los $1000.

Conclusión

Cómo hemos visto existen dos tipos de sistemas de detección y bloqueo de intrusiones. El IDS que actúa de manera pasiva, pues no analiza la red en tiempo real y el IPS que sí lo hace.
Ambos actúan de forma automática para monitorear, pero el sistema pasivo necesita un operario que bloquee la amenaza, mientras que IPS no lo requiere.
Ambos utilizan también los mismos métodos de detección de amenazas, principalmente basados en una base de datos de firmas que comparan contra los paquetes que circulan a través de las redes internas y los equipos, bloqueando los paquetes que no cumplan con dichas firmas registradas.
Las firmas son un conjunto de instrucciones o reglas determinadas por el usuario basadas en sus políticas de seguridad para bloquear sitios, clientes o direcciones que consideren riesgosas.
La compañía CISCO tiene productos para la detección de intrusiones como el sensor CISCO 4200 IPS o el CISCO Catalyst 6500, este último, tiene la desventaja de ser muy caro.

Referencias consultadas

• UNADM. (s.f.). Seguridad 2. Unidad 3. Técnicas y Metodologías Avanzadas en Seguridad. Recuperado el 18 de Agosto de 2021, de https://campus.unadmexico.mx/contenidos/DCEIT/BLOQUE1/TM/05/KSG2/U3/descargables/KSG2_U3_Contenido.pdf
• Logical Read. (s.f.).¿Qué es un sistema de detección de intrusiones (IDS)? Recuperado el 30 de Agosto de 2021, de https://logicalread.com/intrusion-detection-system/#.YTVixo5KiUm
• Cerias. (s.f.). Detección de intrusiones. Recuperado el 30 de Agosto de 2021, de https://www.cerias.purdue.edu/about/history/coast_resources/idcontent/detection.html
• Ciscopress (s.f.). Seguridad de red con Cisco IOS IPS. Recuperado el 30 de Agosto de 2021, de https://www.ciscopress.com/articles/article.asp?p=1336425&seqNum=5
• Pearsonitcertification. (2011). Creación de firmas personalizadas con IPS 7.0. Recuperado el 30 de Agosto de 2021, de https://www.pearsonitcertification.com/articles/article.aspx?p=1739166
• CISCO. (s.f.). Sensores Cisco IPS de la serie 4200. Recuperado el 18 de Agosto de 2021, de https://www.cisco.com/c/en/us/products/security/ips-4200-series-sensors/index.html
• CISCO. (s.f.). 14. ANEXO A Hoja de datos de la serie Cisco Catalyst 6500. Recuperado el 18 de Agosto de 2021, de https://drive.google.com/file/d/1m1li5TgMaw9L4inTEvTITNXdWDlCczuV/view