3/02/2011

¿Por qué utilizar un IDS?: Un caso real con Snort

En un artículo anterior expliqué como instalar de forma sencilla un sistema de detección de intrusos (IDS), más concretamente Snort con la interfaz Snorby. Hoy voy a mostrar la potencia de este tipo de aplicaciones a través de un ejemplo que me encontré en mi trabajo como consultor.
Para situarnos un poco imaginemos una PYME sin ningún responsable del área de sistemas, como muchas en España. Cuando llegas tardas un tiempo en conocer el funcionamiento de todo el sistema (ya que no hay una persona a quien consultarle las dudas) y un IDS ayuda mucho en esta tarea detectando anomalías en el tráfico de red de la organización.



En la primera imagen (vista del último año) se observa que al principio se detectaron mas de 70 incidencias clasificadas como graves y muchísimas leves, las medias las provoqué yo probando con el nmap. Ésto me llevó a investigar un poco más y resultó que el antivirus no escaneaba (o no lo hacía bien del todo) un tipo de ficheros específico de una aplicación y ahí se escondía el archifamoso gusano Conficker en algunos de los equipos. Podemos ver en la gráfica anterior que tras la eliminación del virus se redujeron drásticamente las alertas hasta llegar a la situación actual de la siguiente imagen (vista del último mes).
NOTA: Es importante revisar también las de severidad baja aunque siempre se tratan de falsos positivos.



Lo que quiero destacar es que nos ayudó a detectar un problema que no sabíamos que existía como lo puede hacer con muchos otros. Otra ventaja de su uso es que ayuda a conocer un poco más sobre el funcionamiento de la red de la organización. :)

Jesús Pérez