Sistemas IDS, IPS, HIDS, NIPS, SIEM ¿Qué son?

By albert
12 Feb 2019

De vez en cuando, escuchamos dentro del entorno de la seguridad de la información los términos log, SIEM, IDS, IPS. También escuchamos el nombre de herramientas como Ossec, Samhain, Snort, Bro, Kismet, Wazuh, Ossim y muchas otras, pero ¿sabemos realmente qué hacen y cuál es la diferencia entre ellas?
En ocasiones se utilizan términos que no son los correctos y terminamos confundiendo a nuestros oyentes o ellos nos confunden a nosotros. Para comprender estos conceptos primero debemos saber que es un log, esta es la pieza central de nuestra explicación y por lo tanto vamos a conocer su definición.

¿Qué es un log?

Un log es un registro que deja un sistema informático. Por ejemplo: accesos de usuarios, actividades de borrado y cambios realizados en el sistema. Podríamos decir que es una bitácora, como las que usan los barcos, un archivo de log es el símil en informática.
Un típico archivo de log tiene el siguiente formato, que responde a las preguntas: cuándo, qué y quién.
Feb 13 19:45:05 ubuntu sshd[26999]: Accepted password for root from 192.168.1.3 port 10916 ssh2
Con esta información podemos ver claramente las actividades que se han realizado en nuestros sistemas y, por lo tanto, con un pequeño análisis podríamos detectar situaciones extrañas y anómalas. Este análisis podría funcionar en entornos pequeños con pocos sistemas, pero ¿qué pasa cuando tenemos múltiples equipos escribiendo y registrando logs? El análisis de cada log se haría imposible. No tendríamos la capacidad para analizar todos estos sistemas. Es en este momento donde entran en juego los sistemas IDS, IPS, HIDS, NIPS, SIEM.
Estos sistemas tienen la capacidad de analizar un gran número de fuentes de registros con el objetivo de encontrar anomalías para detectar – e informar, en el caso de los IDS – o prevenir y responder, en el caso de los IPS y SIEM.

IDS (sistema de detección de intrusos; en inglés, “Intrusion Detections System”)

Es una herramienta que, como su nombre lo dice, tiene como función principal detectar intrusos en nuestros sistemas, un IDS puede conectarse a un gran número de fuentes de log para encontrar anomalías.
Es importante decir que los IDS no pueden detener los ataques por si solos, sino que necesitan herramientas adicionales que ayuden en esta tarea. Por ejemplo, la conexión a un firewall para el bloqueo.
Existen dos tipos de IDS:

  • HIDS (Host Intrusion Detections System)

Se enfoca en la detección basada en host de una única máquina, mirando sus registros de auditoria. Algunos ejemplos de HIDS: Ossec, Wazuh, Samhain.

  • NIDS (Network Intrusion Detections System)

Se enfoca en la detección monitorizando el tráfico de la red a la que están conectados los hosts. Algunos ejemplos de NIDS: Snort, Suricata, Bro, Kismet.

IPS (Intrusion Prevention System)

Es una herramienta que permite la prevención de los ataques, normalmente ejerce el control de acceso a una red. Los IPS están muy relacionados con los IDS y se consideran como una extensión de estos. Existen 4 tipos:

  • NIPS: basados en red, buscan tráfico de red sospechoso.
  • WIPS: basados en Wireless, buscan en la red inalámbrica tráfico sospechoso.
  • NBA: basados en el comportamiento de la red, examinan el tráfico inusual como ciertas formas de malware, ataques de denegación de servicios o violaciones de las políticas de seguridad.
  • HIPS: buscan actividades sospechosas en host únicos.

SIEM (Sistema de gestión de eventos e información de seguridad; en inglés, “Security Information and Event Management”)

Es una herramienta que nos permite centralizar la interpretación de los registros relevantes de seguridad.
Un SIEM nos permite recopilar, normalizar y correlacionar eventos de seguridad, proporciona inteligencia de seguridad, descarta falsos positivos, evalúa el impacto de un ataque, unifica la gestión de la seguridad, centraliza la información e integra herramientas de detección de amenazas.
Uno de los SIEM por excelencia es OSSIM, cual realiza su trabajo integrando un conjunto de herramientas, tales como:

  • Descubrimientos de activos: prads, Nmap
  • Detección de amenazas: OSSEC, snort, Suricata
  • Monitorización: fprobe, ntop, tcpdump, Nagios
  • Evaluación de vulnerabilidad: OpenVas, Nikto

¡Ya sabemos un poco más! Ahora la próxima reunión con el equipo de monitorización será mucho más fácil.
 
Ponte en contacto con A2SECURE y sepa qué podemos hacer por tu empresa.
__
Autor: Felipe Concha

Los comentarios están cerrados.