¿Qué son los sistemas de detección de intrusiones? ¿Qué tipos hay? ¿Qué son los cortafuegos de aplicación web? A estas y otras preguntas son las que da respuesta este post.

Los sistemas de detección de intrusiones (IDS del inglés Intrusion Detection Systems) analizan la información de un ordenador o de la red para detectar acciones maliciosas o comportamientos que puedan comprometer la seguridad de un sistema.

Los IDS se pueden clasificar atendiendo a diferentes criterios.

En primer lugar distinguiremos entre IDS e IPS (Intrusion Prevention System).

Como su nombre indica, los IDS detectan los ataques y lanzan una alarma en caso de detección, pero no impiden que el ataque tenga lugar. De esta manera, se dice que los IDS son pasivos. En contraposición, los IPS son activos y reaccionan ante los ataques, parándolos o modificándolos cuando son detectados, de manera que se impida que el sistema a proteger pueda quedar comprometido. El inconveniente de los IPS es que son capaces de cortar conexiones para que el ataque no tenga éxito. Esto supone que ciertos activos no estén disponibles, lo que puede suponer un problema en algunas ocasiones.

En segundo lugar, los IDS se pueden clasificar atendiendo a su localización. En este caso se habla de HIDS (Host IDS) y NIDS (Network IDS). Los HIDS protegen una máquina dada. Generalmente lo hacen examinando determinados parámetros del sistema operativo y del comportamiento del usuario tales como el uso de CPU y memoria, intentos fallidos de login, monitorización de logs y del sistema de ficheros, etc. Son más adecuados para combatir amenazas internas.

Por otra parte, los NIDS capturan y analizan todo el tráfico de un segmento de red en busca de actividad maliciosa, detectando los ataques que procedan desde el exterior.

En muchos de los casos, lo ideal para proteger un sistema es utilizar una solución combinada con HIDS y NIDS.

Por último, repasaremos la clasificación atendiendo a su modo de funcionamiento. Típicamente se diferencia entre sistemas basados en firmas y basados en anomalías.

Los sistemas basados en firmas buscan firmas de ataques conocidos en una base de datos de firmas usando técnicas de encaje de patrones. Dicha base de datos debe mantenerse adecuadamente actualizada. La principal desventaja de este enfoque es que no es capaz de detectar ataques nuevos que no estén registrados en la base de datos.

El enfoque basado en anomalías soluciona el problema anterior debido a que define un modelo del comportamiento normal del sistema.  Una vez que está definido, los comportamientos anómalos se consideran como sospechosos de intrusión. De esta manera es posible detectar nuevos ataques. La desventaja de estos enfoques radica en la dificultad de definir con precisión el comportamiento normal del sistema.

Sin embargo, estos sistemas tienden a dar más falsos positivos (FP), es decir, falsas alarmas. Uno de los grandes retos de los IDS es el de reducir al máximo el número de falsos positivos, a la vez que se maximiza la tasa de ataques detectados.

Como se ha mencionado anteriormente, los NIDS suelen trabajar con tráfico de red en general.

Estos sistemas pueden detectar un gran número de ataques, sin embargo no son suficientes para cuando se trata de la detección de ataques web.

Hoy en día las aplicaciones web forman, cada vez más, parte de nuestras vidas y están expuestas a una gran cantidad de amenazas. Esto unido al hecho de que cada día surgen nuevos ataques web, hace que resulte de gran importancia la toma de medidas de seguridad para proteger adecuadamente nuestras aplicaciones web.

Los cortafuegos de aplicación web (WAF -  del inglés Web Application Firewall) son herramientas que trabajan a nivel de aplicación analizando el tráfico HTTP en busca de tráfico malicioso que pueda poner en compromiso el sistema. Por tanto, son adecuados para ayudar a proteger contra los ataques web.

Hasta aquí este primer post sobre el tema, que se seguirá ampliando en próximas ocasiones.

Espero que os haya sido de utilidad.

Gracias y saludos!

Carmen Torrano