Sistemas IDS e IPS: Detección y Prevención de Intrusiones en Redes

Clase 21 de 37 • Curso de Seguridad Informática para Equipos Técnicos

Resumen

¿Qué son los IDS y los IPS?

Intrusion Detection Systems (IDS) e Intrusion Prevention Systems (IPS) son herramientas esenciales en la seguridad informática que actúan para proteger las redes internas de las compañías. Mientras que los IDS se encargan solamente de detectar y alertar al administrador sobre actividades sospechosas, los IPS van un paso más allá al tomar medidas para detener un posible ataque. Este artículo explora a fondo el funcionamiento, diferencias y beneficios de implementar estas tecnologías.

¿Cuál es la diferencia entre un IDS y un IPS?

IDS (Sistema de Detección de Intrusos):
- Analiza el tráfico interno de la red.
- Detecta actividades no usuales que puedan indicar un ataque.
- Alerta a un administrador de TI para que tome acciones.
IPS (Sistema de Prevención de Intrusos):
- Además de detectar y alertar, toma medidas automáticas.
- Puede bloquear conexiones o descartar paquetes maliciosos.
- Funciona en línea, monitoreando el tráfico antes de que llegue a los servidores.

¿Cómo funcionan los IDS y los IPS?

Ubicación en la red:
- IPS: Se encuentra detrás del firewall, analizando el tráfico permitido por este.
- IDS: Puede estar conectado al switch principal de la red, analizando el tráfico sin intervenir.
Mecanismos de detección:
- Firmas: Comparan patrones de tráfico con bases de datos conocidas de amenazas.
- Anomalías: Detectan comportamientos anormales, como un número inesperado de peticiones.
- Políticas: Reglas configuradas por la empresa para determinar comportamientos sospechosos.

¿Há un diferencia entre un IDS, IPS y un firewall?

Firewall: Inspecciona sólo una parte del paquete (header) en las capas de red y transporte, basándose en IP, puerto o protocolo.
IDS/IPS: Analizan todo el paquete, incluyendo todos los segmentos, y colectivamente el tráfico para identificar amenazas.

Tipos y clasificiaciones de IPS

¿Qué tipos de IPS existen?

NIPS (Network Intrusion Prevention System):
- Dispositivo de prevención basado en la red.
- Se coloca después del firewall para analizar el tráfico.
HIPS (Host Intrusion Prevention System):
- Software instalado en dispositivos individuales.
- Monitorea y toma acciones de manera local en cada dispositivo.
Otros:
- NVA (Network Behavior Analysis): Analiza el comportamiento del tráfico para detectar irregularidades.
- WIPS (Wireless Intrusion Prevention System): Se enfoca en redes inalámbricas.

Beneficios de implementar un IPS en la red empresarial

Integración sencilla: Compatible con sistemas de gestión de eventos de seguridad (SIEM) para un análisis más profundo.
Mayor eficiencia: Al filtrar trafico, mejora el rendimiento de otros sistemas de seguridad.
Ahorro de tiempo: Reduce el número de incidencias para sistemas posteriores.
Cumplimiento de normativas: Ayuda a cumplir con regulaciones de seguridad.
Personalización: Configurable para adaptarse a la estructura única de cada red empresarial.

Ejemplos de soluciones y proveedores de IDS/IPS

¿Qué soluciones existen para implementar IDS/IPS?

Soluciones independientes: Dispositivos o aplicaciones especializadas únicamente en IDS/IPS.
Sistemas integrados:
- Firewalls de nueva generación: Incluyen funcionalidades adicionales de detección y prevención.
- Gestores unificados de amenazas: Soluciones avanzadas que ofrecen protección integral.

¿Qué proveedores destacan en el mercado?

Open Source: Ofrecen alternativas sin costo, aunque requieren de una evaluación para elegir la mejor opción.
Proveedores empresariales: Dirigidos a grandes empresas con necesidades específicas.
Soluciones en la nube: Para arquitecturas cloud, como las ofrecidas por Google Cloud, AWS, entre otros.

Al entender las diferencias fundamentales y ventajas de los IDS y IPS, se puede optimizar la seguridad de la red empresarial adaptándose a las necesidades específicas de cada organización. La implementación adecuada de estas tecnologías resulta vital para proteger los activos digitales y asegurar la continuidad del negocio frente a posibles amenazas externas.

Alejandro Vargas

student•

++IDS++ (Sistema de Detección de Intrusos) Sólo Detecta actividades maliciosas. ++IPS++ (Sistema de Prevención de Intrusos) Ejecuta una acción ante actividades maliciosas y se encuentra In-line para bloquear la conexión.

Identifican amenazas mediante:

Firmas
Anomalías
Políticas

Un Firewall sólo analiza los Headers TCP/IP, mientras que los IPS/IDS analizan todos los paquetes completos.

Existen diferentes tipos: NIPS Network Intrusion Prevention System Sistema basado en red HIPS Host Intrusion Prevention System Sistema basado en el Host, recopila host mediante el agente en cada equipo para analizarlos. NBA Network Behavior Analysis Analiza tráfico inusual (DDoS) WIPS Wireless Intrusion Prevention System Escanea redes WiFi

Beneficios:

Integración con otras soluciones
Mayor eficiencia en otros controles de seguridad
Ahorro de tiempo
Compliance
Personalizable

Existen como soluciones independientes, en Firewalls de Nueva Generación (NGFW) o en un Gestor Unificado de Amenazas (UTM) y pueden ser Open Source, proveedores de pago o en la nube.

Gus R.A.

student•

muy bien explicado

Juan José Álvarez Pérez

student•

IPS/IDS (Intrusion Prevention/Detection Systems)

El IDS es un sistema que permite monitorear el tráfico interno de la red con el fin de detectar anomalías generadas por un ataque. El IPS es similar al IDS, pero además de detectar, permite tomar acciones como bloquear el tráfico o enviar alertas.

Dada la diferencia de comportamiento, el IPS debe conectarse a la red inmediatamente después del firewall, mientras que el IDS se conecta como un dispositivo más de la red.

El IDS identifica amenazas basándose en:

Firmas: Busca patrones en los paquetes y los compara con los almacenados en una base de datos de patrones sospechosos.
Anomalías: Conociendo el comportamiento normal de la red, detecta paquetes inusuales.
Políticas: Definidas por el administrador, por ejemplo, bloquear un origen si se envían más de 100 paquetes por segundo.

Existen diferentes tipos de IPS:

NIPS (Network Intrusion Prevention System): Analiza todo el tráfico de la red.
HIPS (Host Intrusion Prevention System): Software instalado en cada dispositivo.
NBA (Network Behavior Analysis): Analiza el comportamiento del tráfico.
WIPS (Wireless Intrusion Prevention System): Similar al NBA, pero para redes inalámbricas.

Beneficios:

Integración: Se integra fácilmente con otras sistemas.
Mayor eficiencia en otros controles: Al ser uno de los primero s controles, le quita carga a otros controles.
Ahorro de tiempo: Por lo mismo que el punto anterior.
Compliance: Permite cumplir con normas y estándares de seguridad.
Personalizable: Se adaptan a las necesidades de la organización.

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Gilberto Salvador Hernandez Garcia

student•

Gracias por la información.

Solo tomar en cuenta que la identificación de Amenazas por medio de Firmas/Anomalías/Políticas pertenece a los IPS y no a los IDS.

Alejandro Vargas

student•

Hoy en día los Firewall de nueva generación pueden tener incluída la funcionalidad de IDS e IPS.

Joan Sebastian Roa Alvarado

student•

Ángel Adolfo Ramírez Tobar

student•

IDS (Sistema de Detección de Intrusos) Este alerta al administrador cuando detecta actividad maliciosa.

IPS (Sistema de Prevención de Intrusos) Este además de alertar al administrador cuando detecta actividad maliciosa, puede bloquear, capturar o eliminar paquetes maliciosos.

Laprovittera Carlos

student•

Un honeypot (en inglés «tarro de miel») es un sistema muy flexible dentro de la seguridad informática, que se encarga de atraer y analizar el comportamiento de los atacantes en internet, y que provee a un investigador o analista informático forense de una información extremadamente valiosa. La pregunta sería: ¿para qué puede querer una persona atraer atacantes a su propio sistema? Esto puede resultar muy contradictorio, pero lo que se busca con esta implementación es capturar todo el tráfico de red entrante y conocer todos los detalles acerca de las tendencias y metodologías de ataque de los atacantes así como los fallos de seguridad en nuestra red con el fin de subsanarlos. Los honeypots pueden ejecutarse bajo cualquier sistema operativo y bajo cualquier servicio. Los servicios configurados determinan los vectores de ataque disponibles para que el intruso comprometa y ponga a prueba el sistema. Finalidad de los Honeypots Estas son algunas de las posibilidades que nos ofrecen los honeypots: ● Desviar y distraer la atención del atacante. ● Detectar y aprender nuevas vulnerabilidades. ● Obtener información sobre el atacante (geolocalización, ip, puertos, etc). ● Obtener tendencias de ataque y países más atacados. Detectar nuevas muestras de malware que aún no se conozcan. ● Recopilar y estudiar tendencias de ataque Clasificación de Honeypots Los honeypots se clasifican según su implementación (virtual o física) y su nivel de interacción (baja, media, alta).

Laprovittera Carlos

student•

Un IDS basado en patrones, analiza paquetes en la red y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque. Un IDS basado en heurística, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándose como anómalo. Cuenta con una base de datos (firmas) de donde basándose en la técnica de “censar” paquetes, los compara y actúa en consecuencia, respetando los parámetros asignados a los que se configuran (envío de alarmas, mails, etc.).

¿QUE HACEN LOS IDS? ● Reconfiguración de dispositivos externos (firewalls o ACL en routers) Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y así poder bloquear una intrusión. Esta reconfiguración es posible a través del envío de datos que expliquen la alerta (en el encabezado del paquete). ● Envío de una trampa SNMP a un hipervisor externo Envío de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa. ● Envío de un correo electrónico a uno o más usuarios Envío de un correo electrónico a uno o más buzones de correo para informar sobre una intrusión sería. ● Registro del ataque Se guardan los detalles de la alerta en una base de datos central, incluyendo información como el registro de fecha, la dirección IP del intruso, la dirección IP del destino, el protocolo utilizado y la carga útil. ● Almacenamiento de paquetes sospechosos Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta. ● Apertura de una aplicación: Se lanza un programa externo que realice una acción específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora). ● Notificación visual de una alerta Se muestra una alerta en una o más de las consolas de administración.

De acuerdo a su estructura, se cuentan con dos tipos que son especiales para redes: NIDS: basados en hardware o software, para analizar segmentos de red donde estén conectados, garantizando la seguridad dentro de una red. HIDS: basado en software, generalmente aplicado sobre el sistema operativo del equipo a proteger, garantizando la seguridad de un host.

Eloy Canelon

student•

Un IDS open source muy bueno es Wazuh, básicamente si lo complementas con otras herramientas como Snort y graylog te da toda la función que tiene un SIEM

Jehizon Miguel Parejo Altamar

student•

Proveedores Open Source IDS/IPS

OSSEC
SNORT
SURICATA

Laprovittera Carlos

student•

**Seguridad en redes **Dentro de una red, encontraremos maneras de poder securizar la misma, mediante la instalación y configuración de dispositivos que cumplen con las medidas necesarias brindando un comportamiento de cuidado en la red. Dispositivos como: Firewall / IDS / IPS / NIDS / HIDS. También en los routers y switches, existen configuraciones y appliances que nos brindarían esa seguridad. Dentro de estos dispositivos, por ejemplo, existe lo que se llama ACL (access-list), que nos da la posibilidad de negar o permitir un determinado servicio o comunicación en la red. El Firewall es un dispositivo de red, donde su función principal es la de bloquear todo acceso hacia la red y desde ella, mediante configuraciones llamadas “reglas o políticas”. El mismo trabaja revisando todo tráfico especificado y comparándolo con la lógica de permitir o negar según criterios de comportamiento. Restrictivo: lo que no sea explícitamente permitido, será negado. Permisivo: lo que no sea explícitamente negado, será permitido. Un firewall puede ser no solamente un dispositivo de red, sino que también lo podemos encontrar mediante un software de un sistema operativo, cumpliendo igualmente la función de permitir o negar. Donde se instale el firewall, nos indicará como intermedia las comunicaciones de la red que desea inspeccionar o proteger.

DUAL-HOMED FIREWALL: el equipo cuenta con dos dispositivos o interfaces, que permitirán interactuar tanto con la red pública como con la privada.

Laprovittera Carlos

student•

Los HIDS, analizan la información almacenada en registros, aparte de capturar paquetes que entran o salen del dispositivo, dando la posibilidad de detectar: Ataques de denegación de servicio – Troyanos – Ejecución de códigos maliciosos – Ataques de desbordamiento de buffer – Intentos de acceso no autorizado. Y por último tenemos el IPS (Intrusion Prevention Systems) que a diferencia de los IDS, este analiza en tiempo real, teniendo para contemplar esa posibilidad, un puerto de entrada y otro de salida. Una de sus funciones más importantes es monitorear el tráfico de red y/o las actividades de un sistema en busca de actividad maliciosa.

Si bien es muy útil, hay que tener en cuenta, que analiza todo tráfico entrante y saliente, basándose en anomalías y firmas, por lo que habrá que hacer un chequeo exhaustivo para que no ocasione problemas de rendimiento en la red. Cuenta con varios métodos de detección, explicaremos los más importantes: ● Detección basada en firmas: Una firma tiene la capacidad de reconocer una determinada cadena de bytes en cierto contexto. Por ejemplo, los ataques contra los servidores Web generalmente toman la forma de URLs. Por lo tanto se puede buscar utilizando un cierto patrón de cadenas que pueda identificar ataques al servidor web. Sin embargo, como este tipo de detección funciona parecido a un antivirus, el administrador debe verificar que las firmas estén constantemente actualizadas. ● Detección basada en políticas: Declarar específicamente las políticas de seguridad. El IPS reconoce el tráfico fuera del perfil permitido y lo descarta. ● Detección basada en anomalías: Se define qué se va entender como SITUACIÓN NORMAL. Detección estadística de anormalidades: El IPS analiza el tráfico de red por un determinado periodo de tiempo y crea una línea base de comparación. Cuando el tráfico varía demasiado con respecto a la línea base de comportamiento, se genera una alarma. Detección no estadística de anormalidades: En este tipo de detección, es el administrador quien define el patrón «normal» de tráfico. Sin embargo, debido a que con este enfoque no se realiza un análisis dinámico y real del uso de la red, es susceptible a generar muchos falsos positivos.

Jefferson Pacheco Suárez

student•

Platzinautas del saber, en la página de Paloalto encontré que es posible que estos IPs también reaccionan ante malware y hasta exploits - esto último me pregunto cómo lo logra-. Aquí dejo el link para que lo puedan validar por ustedes mismos.

Guadalupe Monge Barale

student•

Capa 3 y 4 del modelo OSI son los que más frecuentemente reciben ataques. . Capa 3: Red. Aquí encontramos por ejemplo al router . Capa 4: Transporte Ejemplo TCP

Juan Nicolás Alvarez Cardona

student•

¿Por qué siguen habiendo IDS si el IPS hace lo mismo que el IDS pero tiene el plus que también toma medias?

Diego Ademir Duarte Santana

Team Platzi•

Efectivamente si aplico Prevention (IPS), debo primero Detectar (IDS)...pero el IDS es útil porque te permite analizar tráfico y cotejarlo con https://attack.mitre.org/, por ejemplo. A nivel comercial te pueden ofrecer que un appliance/caja incluye todo esto PERO no es 100% real.

Angel Alberto Briceño Obregón

student•

Un IDS, detecta la intrusión o la anomalía y lo registra a la central de administración (SIEM), el SIEM a su vez recopilará información de otros incidentes en el espacio tiempo y correlacionarlos para luego alertar y tomar medidas. En entornos de producción, existen sistemas que usan de dos a más servidores reales, estos podrian recibir intentos de petición sospechosa o inesperada, que al ser varios servidores detrás de un balanceador de carga no perciben el número máximo de peticiones por un mismo origen, esto a raíz que muchas veces la carga rota o es balanceada en los servidores, pero a nivel de la aplicación el SIEM podría detectar en suma de las peticiones que podria tratarse de una petición anómala o sospechosa. En tal situación el SIEM podria accionar un XDR para por ejemplo solicitar al Firewall que está delante del balanceador y bloquee el origen de la petición, ayudando a toda la pila de servidores reales del ataque. Hasta aquí solo se ha tomado en consideración el IDS.

Natali Aragón

student•

IDS (Sistema de Detección de Intrusos) _

Es una herramienta de seguridad en la red que analiza el trafico interno para detectar actividad maliciosa yalertar al administrador del sistema._

IPS (Sistema de Prevención de Intrusos) _

Es la evolucion de los IDS. Este, ademas de alertar al administrador del sistema cuando detecta actividad maliciosa; puede bloquear, capturar o eliminar paquetes maliciosos._

Christian Gómez

student•

IPS/IDS (Intrusion Prevention/Detection Systems)

IDS: Es una herramienta de seguridad en la red que analiza el tráfico interno para detectar actividad maliciosa y alertar al administrador del sistema.

IPS: Se puede ver como una evolución de los IDS, además de alertar al administrador del sistema cuando detecta actividad maliciosa; puede bloquear, capturar o eliminar paquetes maliciosos.

Funcionamiento

Estos se encuentran inline para analizar todo el tráfico en la red detrás del firewall. Identifican amenazas según los siguientes factores:

Firmas
Anomalías
Políticas

¿Que diferencia un IDS/IPS de un Firewall?

El Firewall lo que hace es proteger un paquete de datos especifico, como el header que cubre a que ip, puerto va a ir. En cambio el IPS Analiza todo el tráfico interno de la red, después de pasar el firewall

Clasificación

NIPS (Network Intrusion Prevention System) - Sistema basado en la red: Dispositivo que se coloca después del firewall y analiza los datos antes de entrar a la red interna.
HIPS (Host Intrusion Prevention System) - Sistema basado en el host (PC): Hay una aplicación instalada en cada dispositivo de la red interna empresarial.
NBA (Network Behavior Analysis) - Analiza tráfico inusual (DDoS): Analiza si llegan muchos paquetes de momento y puede prevenir el ataque de DDoS
WIPS (Wireless Intrusion Prevention System) - Escanea redes WiFi: Escanea las redes a las cuales se conectan dispositivos IoT.

Beneficios

Integración con otras soluciones: Se puede integrar con un sistema SIEM, que es un sistema que recopila logs de muchas fuentes.
Mayor eficiencia en otros controles de seguridad: Les llega menos trafico a los sistemas después del IPS, debido a que bloquea la actividad maliciosa
Ahorro de Tiempo
Compliance
Personalizable

Soluciones

Solución independiente: Una aplicación que funcione como un IDS y nada más.
Firewall de nueva Generación (NGFW)
Gestor Unificado de Amenazas (UTM)

John Fredy Ramirez Bedoya

student•

IDS (Sistema de Detección de Intrusos) / IPS (Sistema de Prevención de Intrusos)

 Sistema de Detección de Intrusos o Intrusion Detection System (IDS): es un sistema de supervisión que detecta actividades sospechosas y genera alertas al detectarlas. Enlace de consulta: https://www.checkpoint.com/es/cyber-hub/what-is-an-intrusion-detection-system-ids/

 Sistema de Prevención de Intrusos o Intrusion Prevention System (IPS): La función principal de un sistema de prevención de intrusos es identificar cualquier actividad sospechosa y detectar y permitir (IDS) o prevenir (IPS) la amenaza. Enlace de consulta: https://www.checkpoint.com/es/cyber-hub/what-is-ips/

Clasificación

Network Intrusion Prevention System (NIPS): Sistema basado en la red.
Host Intrusion Prevention System (HIPS): Sistema basado en el host (PC).
Network Behavior Analysis (NBA): Analiza tráfico inusual (DDoS9.
Wireless Intrusion Prevention (WIPS): Escanea redes WiFi.

Beneficios

Integración con otras soluciones.
Mayor eficiencia en otros controles de seguridad.
Ahorro de tiempo.
Compliance.
Personalizable.

Juan Diego Cabrera Moncada

student•

Implementar un HIPS (Host Intrusion Prevention System) puede presentar riesgos, ya que está instalado en cada dispositivo, lo que significa que un ataque exitoso podría comprometer directamente el host. En contraste, un NIPS (Network Intrusion Prevention System) protege toda la red y analiza el tráfico antes de que acceda a los dispositivos. Sin embargo, la efectividad depende de la configuración y las políticas de seguridad implementadas en cada sistema. La combinación de ambos puede ofrecer una defensa más robusta, mitigando los riesgos inherentes a cada enfoque.

Juan Diego Cabrera Moncada

student•

Un IPS generalmente se enfoca en la prevención activa de intrusiones, bloqueando o descartando paquetes maliciosos para proteger la red. Sin embargo, algunas configuraciones avanzadas permiten la redirección de paquetes sospechosos a un sistema de registro para su análisis posterior. Esto se puede implementar en sistemas IDS o mediante el uso de herramientas complementarias que registren estos eventos. Aunque no es la función principal del IPS, es una estrategia válida para mejorar la seguridad y la respuesta ante amenazas.

MARIA TERESA PANIAGUA RIVERA

student•

gracias