Sistemas de Detección y Prevención de Intrusiones (IDS/IPS)

🧠 1. Qué es

IDS (Intrusion Detection System): Sistema que detecta actividad sospechosa (pero no actúa).
IPS (Intrusion Prevention System): Sistema que detecta y bloquea automáticamente el ataque en curso.

Ambos se encargan de analizar tráfico en tiempo real, pero IDS es pasivo y IPS es activo.

🔗 2. Componentes

🔹 Sensores de captura

Funcionan como "ojos" del sistema, recogiendo tráfico en tiempo real.
Se colocan:
- Tras un firewall (para detectar lo que logra evadirlo).
- Cerca de activos críticos (servidores, bases de datos, servicios de autenticación).

🔹 Métodos de captura

TAP (Test Access Point): copia directa del tráfico.
SPAN/Mirror: replica el tráfico desde un puerto del switch.

🧠 Importante: no filtran, solo "espían".

🛠️ 3. Herramientas populares IDS

Herramienta Tipo Características principales
Snort IDS/IPS Basado en firmas, muy usado, flexible.
Suricata IDS/IPS Multihilo, más veloz que Snort.
Zeek/Bro IDS Analítico y basado en scripts. Ideal para tráfico HTTP/SSL.

⚠️ 4. Qué puede detectar un IDS

Escaneos de puertos y reconocimiento.
Ataques de fuerza bruta (login).
Inyecciones SQL.
Backdoors.
Tráfico no autorizado.
Paquetes malformados.

🧪 Ejemplo: un escaneo Nmap detectado por firma en Snort → se genera una alerta en Kibana (SIEM) dentro de Security Onion.

🛡️ 5. Qué puede hacer un IPS

Bloquear IP origen.
Resetear la conexión TCP.
Redirigir tráfico malicioso a un honeypot.
Reconfigurar dinámicamente reglas del firewall vía API.

🧠 Ejemplo: Un IPS con Snort + pfSense puede automáticamente cortar una conexión SSH no autorizada en segundos.

🧩 6. Integración en la arquitectura de red

Elemento IDS o IPS ¿En línea o pasivo? Comportamiento
IDS Solo IDS Pasivo Detecta, registra, pero no bloquea.
IPS IDS + IPS En línea Puede bloquear, redirigir o cortar.

🧱 7. Dónde lo coloco como arquitecta de seguridad

IDS: en zonas de monitoreo silencioso (post-firewall, DMZ, VLANs sensibles).
IPS: en bordes críticos o dentro de zonas segmentadas, donde una reacción rápida es clave (por ejemplo, antes de llegar a Active Directory o base de datos).

IDS / IPS

1. Definición clave del concepto

Un IDS (Intrusion Detection System) es un sistema que monitoriza el tráfico o los registros para detectar comportamientos maliciosos, sin bloquearlos automáticamente.
Un IPS (Intrusion Prevention System) no solo detecta, sino que también actúa activamente para prevenir la amenaza en tiempo real.

2. ¿Qué problemas soluciona y por qué es esencial?

IDS IPS
✅ Detecta ataques en tiempo real. ✅ Previene ataques antes de que impacten.
🧠 Útil para análisis forense. 🛡️ Útil para detener campañas activas.
👀 Permite observar patrones y nuevas amenazas. 🔐 Detiene comportamientos no permitidos y bloquea IPs o conexiones.

🔐 Clave como arquitecta: los IDS son ojos. Los IPS, manos que actúan.

3. Funcionamiento interno (simplificado + técnico)

IDS:
- Usa sensores que capturan tráfico (Snort, Suricata, Zeek).
- Se conecta mediante puertos SPAN o TAPs.
- Procesa datos con firmas (ataques conocidos) o heurística (comportamiento sospechoso).
- Genera alertas, logs o avisos → se envía al SIEM.
IPS:
- Se coloca en línea (inline) entre el tráfico real.
- Examina paquetes en tiempo real.
- Toma acciones como:
  - ❌ Bloquear IP.
  - 🔁 Resetear conexión.
  - 🎣 Redirigir a honeypot.

4. Tipos, modos y componentes importantes

🔎 IDS (pasivo):

No interrumpe el tráfico.
Perfecto para observar zonas críticas.
Ej: IDS en modo monitor detrás del firewall.

🛡️ IPS (activo):

Bloquea conexiones sospechosas.
Se integra con firewalls, proxies y orquestadores.

5. Comparaciones clave para tu toma de decisiones

Característica IDS IPS
¿Bloquea tráfico? ❌ No ✅ Sí
¿Impacta en latencia? ⚠️ Bajo ⚠️ Medio-alto (depende del análisis)
¿Visibilidad? 👁️ Excelente 🧠 Buena (pero no todo se analiza)
¿Detecta nuevas amenazas? 🟨 Limitado (sin heurística) ✅ Avanzado si usa AI/heurística

6. Errores comunes y riesgos a evitar

❌ No calibrar bien las reglas → falsos positivos o falsos negativos.
⚠️ Colocar IDS en puntos irrelevantes → desperdicio de recursos.
⚔️ IPS mal configurado → puede cortar servicios legítimos (por eso requiere testeo y whitelisting).
💥 Desincronización con el SIEM → los logs no se correlacionan bien.

7. Ventajas estratégicas para ti como Arquitecta

Te permite tener visibilidad profunda de lo que ocurre dentro de tu red (IDS).
Puedes responder de forma automática e inteligente a amenazas (IPS).
Es un pilar clave del diseño Zero Trust y la segmentación por zonas.
Permite integrar honeypots, correlación de eventos, AI, threat intel feeds, etc.

Ronda de ejercicios prácticos Purple Team - IDS/IPS en acción

🧪 Ejemplo 1 – Evasión de IDS mediante fragmentación IP – 🔹Nivel Avanzado

🔴 Red Team ataca:

Ejecuta un ataque de evasión sobre Snort usando fragmentación IP: divide el payload en fragmentos para que no coincida con las firmas de detección.
Herramienta: fragroute o nmap -f.

🔵 Blue Team defiende:

Configura Snort/Suricata con reensamblado de paquetes para detectar fragmentos sospechosos.
Activa reglas de detección de evasiones: frag3, stream5.
Avisa si detecta inconsistencias en el TTL o tamaño de los fragmentos.

🟣 Purple Team gestiona:

Correlaciona los logs de Snort con el SIEM para identificar el patrón evadido.
Optimiza la regla del IDS para ensamblar correctamente y detectar esta técnica.
Crea alerta personalizada si el payload llega fragmentado desde fuentes sospechosas.

🧪 Ejemplo 2 – Flood de conexiones falsas TCP SYN (DoS) – 🔸Nivel Experto

🔴 Red Team ataca:

Ejecuta un ataque de SYN flood contra un servidor, saturando el stack TCP.
Herramienta: hping3, scapy, o metasploit > auxiliary/dos/tcp/synflood.

🔵 Blue Team defiende:

Habilita reglas de IPS para detectar múltiples conexiones SYN sin ACK.
Configura mecanismos como SYN cookies y límites de conexiones por IP.
Utiliza NetFlow o Suricata para medir el tráfico anómalo.

🟣 Purple Team gestiona:

Analiza el ratio de SYN/ACK vs ACK para confirmar el ataque.
Diseña una estrategia de rate-limiting + automatización de bloqueo.
Ajusta la arquitectura IPS para mitigar sin impactar usuarios reales.

🧪 Ejemplo 3 – Carga maliciosa cifrada en HTTPS – 🛑Nivel Maestro

🔴 Red Team ataca:

Inyecta malware dentro de tráfico HTTPS cifrado, usando un dominio legítimo.
Herramientas: powershell Empire o Cobalt Strike con HTTPS Beacon.

🔵 Blue Team defiende:

Configura un proxy TLS de inspección profunda (SSL interception).
Implementa reglas de detección de comportamiento anómalo (IDS basado en comportamiento o ML).
Usa un IDS tipo Zeek para analizar metadatos SSL (SNI, certificado, longitud, etc.).

🟣 Purple Team gestiona:

Integra IDS + Proxy + SIEM para observar tráfico anómalo en túneles cifrados.
Define listas de confianza (allowlist) y examina todo lo que esté fuera.
Crea una alerta SIEM para tráfico cifrado con SNI no registrado o sin hostname.

Ejemplo 1 - Ataque: Port Scanning Sigiloso (Stealth Scan)

🎯 Nivel Avanzado

🟥 Red Team ataca

Realizo un escaneo de puertos stealth (SYN scan) usando Nmap con flags personalizados para evadir reglas básicas:

bash: nmap -sS -T2 -Pn -p- --source-port 53 --data-length 50 --randomize-hosts --badsum 192.168.1.10

Utilizo técnicas para evadir firewalls (source port DNS, paquetes malformados).
Objetivo: encontrar puertos abiertos y evadir el IPS.

🟦 Blue Team defiende

Acciones:

IDS/IPS con Snort detecta tráfico anómalo en puertos altos desde un puerto 53.
Se lanza alerta: "POSIBLE ESCANEO STEALTH – BADSUM".
Se revisan logs en Kibana (Security Onion).
Se marca la IP como sospechosa y se bloquea en el firewall periférico.

🟪 Purple Team gestiona

Tareas de correlación y mejora:

Correlaciono alertas de Snort con logs del firewall.
Ajusto la firma en el IDS para incluir source-port spoofing.
Añado alerta automatizada al SIEM para detectar patrones similares.
Documentación + tabla de puertos más escaneados → uso para Threat Intel.

🧪 Ejemplo 2 - Ataque: Exfiltración por HTTP Túnel

🎯 Nivel Experto

🟥 Red Team ataca

Uso herramientas como HTTPTunnel o DNSCat2 para tunelizar una shell por tráfico HTTP legítimo (puerto 80 abierto).

bash: httptunnel-client -F 2222 192.168.1.10:80

Paso datos de exfiltración codificados en payload HTTP POST/GET.
Uso User-Agent y Referer válidos para evadir heurísticas.

🟦 Blue Team defiende

Acciones:

El IPS detecta anomalías en cantidad y frecuencia de paquetes POST.
Se activa análisis de Deep Packet Inspection (DPI).
Suricata lanza alerta de "HTTP Tunnel Detected".
Se activa respuesta automática → tráfico redirigido a honeypot para análisis.

🟪 Purple Team gestiona

Tareas:

Integro esta firma como IOC en las reglas del IPS.
Desarrollo visualización en ELK: patrones de exfiltración.
Coordino pruebas rojas periódicas para validación del IPS ante nuevas variantes.
Capacito a los analistas en estos tipos de túneles ocultos.

🧪 Ejemplo 3 - Ataque: RCE encubierto + evasión IPS con tráfico segmentado

🎯 Nivel Maestro

🟥 Red Team ataca

Lanzo un ataque de ejecución remota (RCE) a través de una vulnerabilidad web con tráfico segmentado y ofuscado:

bash: curl -X POST "https://webvictima.com" \ --header "Content-Type: multipart/form-data" \ --data-binary @payload_encoded_chunks

Fragmento la carga útil (Payload chunking).
Codifico comandos en Base64 y los reparto en múltiples paquetes HTTP POST.

🟦 Blue Team defiende

Acciones:

Suricata con reglas avanzadas detecta tráfico inusual multipart/form-data.
Análisis con Zeek muestra actividad fuera de lo normal (User-Agent modificado).
Se dispara respuesta automática → redireccionamiento + bloqueo + generación IOC.
SIEM correlaciona con intento anterior del mismo actor → alerta crítica.

🟪 Purple Team gestiona

Tareas:

Desarrollo regla de detección para tráfico multipart segmentado + payloads ofuscados.
Creo playbook para reacción ante RCE encubierto.
Reentreno modelos ML del IPS para detectar fragmentación + tiempo entre paquetes.
Aplico hunting retroactivo con reglas YARA en logs antiguos.

Sistemas de Detección y Prevención de Intrusiones (IDS/IPS)

🧠 1. Qué es

🔗 2. Componentes

🛠️ 3. Herramientas populares IDS

⚠️ 4. Qué puede detectar un IDS

🛡️ 5. Qué puede hacer un IPS

🧩 6. Integración en la arquitectura de red

🧱 7. Dónde lo coloco como arquitecta de seguridad

IDS / IPS

1. Definición clave del concepto

2. ¿Qué problemas soluciona y por qué es esencial?

3. Funcionamiento interno (simplificado + técnico)

4. Tipos, modos y componentes importantes

5. Comparaciones clave para tu toma de decisiones

6. Errores comunes y riesgos a evitar

7. Ventajas estratégicas para ti como Arquitecta

Ronda de ejercicios prácticos Purple Team - IDS/IPS en acción

🧪 Ejemplo 1 – Evasión de IDS mediante fragmentación IP – 🔹Nivel Avanzado

🔴 Red Team ataca:

🔵 Blue Team defiende:

🟣 Purple Team gestiona:

🧪 Ejemplo 2 – Flood de conexiones falsas TCP SYN (DoS) – 🔸Nivel Experto

🔴 Red Team ataca:

🔵 Blue Team defiende:

🟣 Purple Team gestiona:

🧪 Ejemplo 3 – Carga maliciosa cifrada en HTTPS – 🛑Nivel Maestro

🔴 Red Team ataca:

🔵 Blue Team defiende:

🟣 Purple Team gestiona:

Ejemplo 1 - Ataque: Port Scanning Sigiloso (Stealth Scan)

🟥 Red Team ataca

🟦 Blue Team defiende

🟪 Purple Team gestiona

🧪 Ejemplo 2 - Ataque: Exfiltración por HTTP Túnel

🟥 Red Team ataca

🟦 Blue Team defiende

🟪 Purple Team gestiona

🧪 Ejemplo 3 - Ataque: RCE encubierto + evasión IPS con tráfico segmentado

🟥 Red Team ataca

🟦 Blue Team defiende

🟪 Purple Team gestiona

Configuración avanzada