Prevención de amenazas, IDS / IPS

En pasados posts se comentaban los tipos de malware que existen actualmente y como estos pueden afectar según su tipología. Por ello, es necesario que los administradores de red o seguridad dispongan de las herramientas necesarias para evitar este tipo de eventos nada deseables.

Dos de las herramientas clásicas que pueden ayudar a evitar amenazas son los IDS o IPS.

Las tecnologías de IDS / IPS no son nada nuevas, si no que tienen una larga trayectoria. La finalidad de estas es llevar la protección contra amenazas al nivel de red, cada una con dos enfoques.

Por un lado, los sistemas IDS (Intrusion Detection System) se podrían definir como herramientas de detección de amenazas capaces de monitorizar la red y generar alertas en casos positivos, por ejemplo, en un SOC.

Por otro lado, los sistemas IPS (Intrusion Prevention System) son realmente parecidos a los IDS, la única diferencia es la inclusión de la prevención. Es decir, analizan igual que los IDS pero en este caso, los IPS tienen la capacidad de parar la amenaza.

Estos sistemas son capaces de aprender con la finalidad de adaptarse al entorno y, normalmente, están basados en dos técnicas:

• Basados en firmas. Esto no es otra cosa que patrones que identifican ciertos tipos de amenazas previamente analizadas y conocidas.
• Basados en anomalías. En este caso, analizan el comportamiento y lo comparan con lo que seria “normal”. Aquel comportamiento que salga de los cánones establecidos seria motivo de amenaza.

Esta es la principal diferencia entre ambos, mientras que los IDS solo monitorizan, los IPS tienen capacidad de prevención o bloqueo.

El concepto básico es el expuesto anteriormente, aun así existen diferentes tipos de sistemas, principalmente dependiendo de donde se establezca el sistema:

• NIDS / NIPS: Se denominan así a aquellos que se ubican dentro de uno o varios segmentos de red específicos y estratégicos. Pueden estar en línea o fuera de línea, pero siempre se ubican a nivel de red.
• HIDS / HIPS: La ubicación de este tipo de soluciones se ubican en el propio host. Analizan todas aquellas amenazas que afectan al propio host y son capaces de tener un análisis más profundo pero restringido allí donde están instalados.
• WIDS / WIPS: Muy parecidos a los primeros, se ubican en el segmento de red inalámbrica con la finalidad de encontrar intrusiones en esta ubicación.

Actualmente en el mercado se encuentran muchas soluciones abiertas y comerciales para la implementación de estas tecnologías. Quizá dos de las soluciones más conocidas y mejores que se pueden encontrar son Snort y Suricata. Ambos son Open Source y tienen una comunidad bastante grande.

En el ámbito comercial, soluciones como Trend Micro Tipping Point o Cisco NGIPS son bastante conocidas y aportan grandes rendimientos. Aun así, cada vez es mas común ver como las soluciones UTM incluyen módulos de IPS para aplicar esta tecnología a nivel de firewall.