Detección de intrusos, IDS

---

Los sistemas de detección de intrusos (IDS) permiten detectar ataques que pasan inadvertidos a un cortafuegos y avisar antes o justo después de que se produzcan.



¿Se ha parado a pensar alguna vez en cómo se protege una finca? Se rodea de un muro, generalmente culminado en una verja de afiladas puntas, tal vez electrificada. La casa tiene puertas y ventanas con cerrojos, algunas veces incluso blindadas y a lo mejor con rejas en los pisos bajos. Se instalan varios sistemas de alarma, que darán la voz de aviso si un intruso salta una cerca, abre una puerta o ventana, o traspasa un cierto umbral. Cámaras de TV de circuito cerrado vigilan silenciosamente todos los rincones de la finca y en algunos casos se llega a utilizar sensores de movimiento o de temperatura para detectar la presencia de intrusos. Además, se contratan los servicios de una agencia de seguridad, cuyos guardas jurados patrullan la finca con perros o permanecen en sus garitas vigilando las cámaras y haciendo una ronda de vez en cuando.



Pues bien, las similitudes entre el sistema de seguridad de un inmueble físico y una red de ordenadores son lo suficientemente numerosas y profundas como para invitarnos a la reflexión. De la comparación de ambas se pueden inferir conclusiones muy aleccionadoras para la protección de una red informática.



Actualmente, la estrategia de control de intrusos más utilizada es la perimetral, basada en la utilización de cortafuegos (http://www.iec.csic.es/criptonomicon/articulos/expertos35.html). Los cortafuegos actúan como las rejas con pinchos y las puertas con doce cerrojos. Sirven para mantener fuera a los intrusos, es decir, sirven al propósito de prevenir ataques o intrusiones en la red interna por ellos protegida. Pero una puerta blindada no impide que un ladrón se cuele por otro lado (una ventana, un conducto de ventilación, una tarta gigante con un gangster con ametralladora dentro, etc.) o que la propia puerta se use de forma negligente (las llaves debajo del felpudo, la puerta entreabierta para no tener que andar abriendo y cerrando a todo el que llega, un agujero debajo de la manilla y un cordel para poder abrir con facilidad, etc.). Lo peor de todo es que, orgulloso de su puerta de tres pulgadas de acero, el propietario se siente protegido. ¡Falso! Sin una alarma y guardias de seguridad o vecinos comprometidos, la puerta le servirá de bien poco ante el ladrón profesional.



Pese a que innegablemente los cortafuegos proporcionan una eficaz primera línea de defensa frente a amenazas externas, igualmente pueden dar una falsa sensación de seguridad. Una mala configuración del mismo, errores en su software o hardware o una pobre política de seguridad que permita otros puntos de acceso a la red, pueden volver completamente inútil el mejor de los cortafuegos. Es por ello que se vuelve necesaria la utilización de sistemas de detección de intrusión (IDS), que vigilen la red en busca de comportamientos sospechosos.



Los IDS funcionan como las alarmas de las casas: alertan de la realización de ataques con éxito e incluso de ataques en progreso. Para poder ser utilizados con eficacia deben ser exactos, en el sentido de que no ofrezcan ni falsos positivos (calificar de ataque una actividad que no es tal, recuerden el cuento del pastor y del lobo) ni falsos negativos (no considerar como ataque una acción que en realidad sí lo era). Su efectividad será mayor cuanto más corto sea su tiempo de respuesta, para permitir actuar de forma consecuente y poder detener el ataque en curso. Estas características deben estar presentes en todo IDS para ser considerado de verdadera utilidad en la detección de intrusiones.



Si la policía tarda 6 minutos en llegar, el ladrón dispone de hasta seis minutos para escapar desde que haga sonar la alarma. Como se ve, de poco sirve detectar un ataque que ha superado con éxito todas las barreras de seguridad tradicionales, aunque haya sido detectado, si no se es capaz de reaccionar a tiempo o de emprender acciones contra el atacante, ya sea durante o después de la intrusión. Para este fin, los IDS deben realizar un diagnóstico significativo, informando de en qué consiste el ataque y de dónde procede, así como sugerir algún tipo de actuación para paliarlo.



Prevención, detección y reacción constituyen tres conceptos clave en todo sistema de protección que pretenda ofrecer soluciones integrales de seguridad. Cortafuegos para prevenir ataques, IDS para detectar intrusos y herramientas y estrategias para reaccionar a tiempo son las tres patas del taburete de la seguridad. Sin cualquiera de ellas, el taburete cojea... ¡y se cae!



Hoy por hoy, la práctica totalidad de productos de seguridad del mercado se centran en exclusiva en la primera acción, la prevención del ataque, utilizando cortafuegos y criptografía. En un futuro cercano, se verá un auge progresivo de los productos de detección y reacción, como complemento imprescindible a la prevención. Aunque ningún sistema será nunca 100% seguro, lo cierto es que disminuirá la probabilidad de éxito en un ataque y de escapar impune.





Publicado en Boletín del Criptonomicón #88 el 12/03/2002.

http://www.iec.csic.es/~gonzalo/ es Doctor en Informática e Ingeniero Superior de Telecomunicación.

Es el Director de I+D del Instituto para la Seguridad en Internet.

Ha trabajado como investigador del CSIC. Es conocido por sus trabajos sobre criptología, publicaciones en prensa, libros y presentaciones en congresos nacionales e internacionales