¿Qué es un IDS/IPS?
Las siglas IDS se corresponde con Sistema de Detección de Intrusiones, las siglas IPS se corresponde con Sistema de Prevención de Intrusiones. Es un conjunto de sistemas que se complementan para proveer de mayor seguridad a las redes de distintos tamaños. En especial, aquellas redes que requieren de un alto nivel de respuesta y servicio. Estos sistemas pueden aplicarse tanto a nivel de software o bien, a nivel hardware mediante equipos especializados. Se habla normalmente de IDS/IPS porque trabajan conjuntamente.
Varias de estas herramientas integran la capacidad de detectar ataques cibernéticos, además de realizar acciones que logran anular sus efectos. Ahora bien, esto último apunta específicamente a los Sistemas de Prevención de Intrusiones. Es sumamente recomendable optar por estos sistemas, en especial si es que deseamos garantizar que las amenazas de ataques informáticos se materialicen o bien, que generen el menor nivel de impacto posible.
Años atrás, la disponibilidad de estos sistemas era limitada. Se reservaba para aquellas organizaciones que, sobre todo, tenían la posibilidad de pagar por los costes que implicaban su implementación. Sin embargo, los ataques informáticos se han multiplicado en los últimos años y el panorama apunta que las organizaciones de cualquier envergadura son vulnerables. Por eso, muchas compañías especializadas en su provisión, las ofrece como parte de un paquete de productos y servicios. De todas formas, también se acostumbran a vender los IDS/IPS como productos por separado.
Recomendaciones de IDS/IPS gratuitos y de coste accesible
Es bueno tener presente que una buena parte de la oferta de este tipo de sistemas puede tener costes no muy accesibles. Algunas soluciones de marcas líderes como la de Cisco, sobrepasan los miles de Euros sin mucha dificultad. Esto es así, principalmente por el tipo de clientes con el que cuentan y el paquete completo de servicios adicionales enlazado al sistema IDS/IPS en cuestión. Soporte técnico, recursos y una reputación bastante considerable hace que muchas organizaciones de gran tamaño opten por marcas como esta.
Por otro lado, ¿existen soluciones gratuitas? ¿O tal vez alguna de coste más accesible o en todo caso, alguna que sea código abierto para mayor personalización? Esta guía cuenta con algunas recomendaciones.
OSSEC
Es un sistema IDS basado en hosts que es desarrollado por un grupo de personas que forman parte de un proyecto de código abierto. Dicho proyecto lleva ya muchos años trabajando y OSSEC tiene un importante nivel de aceptación. Cuenta con un amplio equipo de desarrolladores dedicados a este sistema, además de una activa comunidad que está orientada a la ayuda a usuarios, creación de traducciones, documentación de soporte y mucho más. OSSEC ya pasa las 500.000 descargas anuales y lo mejor de todo, es que es multiplataforma: está disponible en Windows, macOS. ¿Utilizas algún sistema basado en Unix o Linux? No hay problema, este sistema IDS cuenta con su host compatible.
Este es el esquema de funcionamiento: OSSEC monitoriza los logs de los diversos componentes de tu sistema en tiempo real. Es capaz de detectar todo tipo de cambios a archivos individuales, incluyendo a los registros de Windows más importantes. Esta solución es un sistema IDS, pero así también tiene algunas prestaciones de IPS, estas prestaciones IPS consisten en la respuesta a ataques mediante sus propias capacidades y sus integraciones con herramientas de terceros.
¿Te gustaría comenzar a probar esta herramienta? Puedes acceder al sitio oficial en donde tendrás acceso al detalle de esta solución. Además, será posible inscribirse a una lista de difusión por e-mail para estar al tanto de las novedades y acceder a su canal de Slack para comunicarte directamente con otros miembros de la comunidad. Si no necesitas de una solución a nivel corporativo con prestaciones más avanzadas como integraciones con sistemas SIEM, de almacenamiento de datos, de servicios en la nube como AWS y mucho más, cuentan con la opción de OSSEC Atomic Enterprise.
Nota: los sistemas basados en host se enfocan en la protección de los hosts en cuestión, no precisamente la red en la cual está conectado. Esto último sirve mucho si la protección está enfocada en un sólo usuario o un reducido grupo. El escenario es diferente si hablamos de los sistemas IDS/IPS que operan a nivel de red (o basados en la red), son de carácter crítico. Ahora bien, esto último puede ser de mayor utilidad porque como administrador de red, tendrás más visibilidad sobre los potenciales problemas que afectarían a uno o más hosts.
Snort
Es un proyecto de código abierto que en sus comienzos empezó como una solución de tipo analizador de paquetes. Ha pasado el tiempo y este se ha convertido en un completo sistema IDS del cual, cualquier red se puede ver sumamente beneficiada. Las reglas de aplicación son configurables mediante diversos parámetros, de manera que se pueden analizar los paquetes que viajan por tu red de manera precisa y eficaz. Tiene capacidad de detectar varios tipos de ataques mediante algoritmos de detección basados en firmas y también, detección de anomalías (actividad inusual).
Una de las grandes ventajas de Snort es que cuenta con una comunidad grande y activa. Cualquier persona que lo necesite puede recibir asistencia o dar asistencia, de manera a que todos puedan sacar mayor provecho de esta solución. Además, es completamente gratuita, abierto a modificaciones mediante contribuciones. Las actualizaciones de este sistema IDS se realizan con frecuencia en base a unas reglas de comunidad y a la licencia GPL, es decir, Licencia Pública General.
También cuentan con soluciones que son de pago, las cuales son algo más accesibles en relación a otras que tienen esta particularidad. Una de las distinciones es que se actualiza con 30 días de anticipación en relación a las reglas establecidas por la comunidad Snort. Los planes disponibles van desde 27,41 Euros aproximadamente (por mes) hasta casi 366 Euros anuales. Una curiosidad es que Snort está bajo la gestión del gigante Cisco y varias de las funcionalidades responden considerando las reglas de su sistema propietario NGIPS. Estas siglas responden a Sistema de Prevención de Intrusiones de Siguiente Generación.
Para comenzar a utilizar este sistema, puedes usar como guía a este enlace el cual te guiará en estos pasos:
- La instalación en Windows, FreeBSD, Fedora y CentOS. También tienes la opción de descargar directamente el código fuente para adaptar el sistema completamente de acuerdo a tus necesidades.
- La descarga del conjunto de reglas para configurar y poner en marcha Snort lo antes posible.
- Pasos para mantener tu sistema al día con las últimas actualizaciones.
Security Onion
Es una distribución de Linux que funciona como una solución robusta de seguridad. La misma incluye su propio sistema IDS/IPS y funciona mediante soluciones base como OSSEC y Snort. Además, también funciona en base al sistema Suricata en relación a las funcionalidades IDS/IPS basados en red. Un punto super interesante que puede marcar la diferencia a la hora de elegir la solución que necesitas es que viene integradas con diversas herramientas. Algunas de ellas son las siguientes:
- Elasticsearch (motor de búsqueda distribuido)
- Logstash (herramienta de administración de logs)
- Kibana (panel de visualización de datos de código abierto)
- Bro (monitor de seguridad de redes)
- Sguil (monitor de seguridad de redes)
- Squert (visualización de datos almacenados de eventos)
- NetworkMiner (herramienta de análisis de redes) y otras herramientas más orientadas a la seguridad
Pueden acceder a su repositorio oficial en GitHub en donde obtendrás el archivo imagen (de formato ISO), además de todas las instrucciones necesarias para poder utilizarlo cuanto antes.
WinPatrol
Muy probablemente, esta es la solución con funcionalidades IDS/IPS más liviana que podemos encontrar. No ocupada ni siquiera 2MB, así también la instalación no precisa de más de 4,5 MB. Una vez instalado, ya puedes ejecutarlo muy rápidamente. Contarás una vista como esta:
Haciendo una revisión rápida, podemos decir que WinPatrol es más que nada, un programa que te ayuda a gestionar de mejor manera los procesos, programas y otros aspectos de tu sistema operativo. Sin embargo, cuenta con funcionalidades orientadas a la prevención y detección de intrusiones que puede ser de gran ayuda a usuarios individuales. Cuenta con características que permiten la monitorización ante cambios en asociaciones de tipos de archivos y creación de tareas programadas varias. Además, podrás tener visibilidad de cambios importantes como los archivos de registro de Windows, archivos ocultos y más.
Es compatible con Windows, incluyendo Windows 10, puedes descargar aquí la versión gratuita y, si lo necesitas, puedes acceder a una versión de pago.
¿Es posible reemplazar el uso del firewall con los IDS/IPS?
Estamos seguros de que te has hecho esta pregunta. ¿Qué tiene un IDS/IPS que no tenga un firewall? ¿O viceversa? Lo primero a tener presente es que las prestaciones podrían ser similares en cuanto al propósito central, pero no operan de la misma manera. Un firewall se vale de reglas que previenen la entrada o salida de cierto tráfico de red considerando aspectos como el protocolo, dirección de origen y el destino, los números de puerto y otros aspectos. Es un escudo ante protocolos inseguros y cualquier otra actividad sospechosa que pueda impactar a la red.
Sin embargo y por desgracia, existen ataques que afectan a las redes que igualmente cumple con las reglas establecidas por el firewall. Un ejemplo que podríamos citar es un ataque de fuerza bruta mediante SSH. Este último es uno de los protocolos seguros más utilizados para la administración remota vía CLI que tenemos actualmente, sin embargo, es posible ejecutar ataques por esta vía. Ante situaciones como esta, resultan de mucha utilidad los sistemas IDS/IPS para detectar que se está realizando un ataque de fuerza bruta. No debemos olvidar que son capaces de detectar cualquier tipo de actividad maliciosa, aunque «cumpla» con las reglas configuradas en el firewall. Lo que ocurre es que los firewalls y los IDS/IPS trabajan conjuntamente, el IDS detecta la anomalía, y le «dice» al firewall que bloquee las conexiones.
Los firewalls y los sistemas IDS/IPS se vuelven cada vez más esenciales como parte de la suite de seguridad de cualquier red. Aprovecha esta oportunidad para poder contar con herramientas accesibles y un alto nivel de soporte post-implementación.
0 Comentarios