Sistemas de detección de intrusos en la red para usuarios no técnicos

Abstract

[ES] Los sistemas NIDS (Network Intrusion Detection System) permiten monitorizar una red generando alertas cuando se dé una o varias conexiones que puedan señalar a un ataque o compromiso. Estos sistemas se usan por organizaciones para ayudar a defender sus entornos informáticos, entornos industriales, etcétera. De hecho, existen aplicaciones que facilitan gestionar más fácilmente un NIDS desde algún tipo de entorno en concreto, pudiendo modificar configuraciones para, por ejemplo, definir e ignorar ciertas conexiones que, siendo legítimas, estuvieran provocando alertas. Sin embargo, hay un ámbito para el que no parece haber soporte en este sentido, y es el de la red doméstica de los usuarios no técnicos, es decir, el público general que no posee especiales conocimientos o formación en seguridad de la información ni en sistemas informáticos. Estos usuarios son los que más dificultad pueden tener para entender y gestionar un sistema de detección de intrusos, pero también tienden a ser precisamente los usuarios más vulnerables y los que menos información tienen sobre el estado de su red, por lo que se podrían beneficiar enormemente de un sistema de este tipo que fuera accesible y orientado al público general.El objetivo de este trabajo es el desarrollo de una aplicación que permita la gestión de un sistema NIDS a los usuarios no técnicos, enfocando la aplicación a la recepción de alertas útiles, la asistencia para poder reaccionar a estas alertas, y la capacidad de definir excepciones a las reglas de forma precisa, para las conexiones que el usuario pueda confirmar como legítimas. Para ello, primero se buscará agrupar los distintos tipos de alerta bajo una serie de casos de uso generales. Esto permitirá diseñar una explicación clara y entendible para cada caso de uso, lo cual no sería factible para cada alerta distinta. También se añadirá una serie de consejos relacionados con el caso de uso, que sean factibles para usuarios con un bajo nivel de conocimiento técnico, así como enlaces de referencia y otros recursos complementarios. Por último, se ofrecerá la posibilidad de añadir una excepción a la regla para esa IP origen o destino, puerto origen o destino, cabeceras, etc. Para que esta opción sea manejable por un usuario sin conocimiento técnico, los consejos al respecto deberán ser claros e incluir los riesgos de ignorar alertas basándose en un criterio demasiado genérico.

[EN] Network Intrusion Detection Systems are a tool to monitor a network generating alerts when certain connections are made that could point to a compromise or attack. These systems are used by companies to help defend their IT environments, industrial environments, and such. Apps have been developed to better manage systems like NIDS, with such functionalities as defining and ignoring a type of connection that is legitimate but has been triggering alerts. However, these kinds of apps are usually developed to be used in a certain environment, and one such environment that has not been covered is the home network of non technical users, that is, users without significant knowledge or training in cybersecurity. These users are confronted with the most hardship when managing such a system as a NIDS, but are also usually the most vulnerable users and the ones with the least intel about the state of their network, so it would be greatly beneficial for them to have a similar app that was oriented to the broader public. The goal of this work is to develop an app that will allow managing a NIDS to the non technical users, focusing in receiving useful alerts, aiding the user in deciding how to react to those alerts, and giving the user a way to define exceptions to the rules in a precise manner, for the connections that the user can confirm are legitimate. In order to achieve this, currently existing rules will first be grouped in a series of general use cases. This will allow the writing of clear and understandable explainings for each use case, which isn't possible for each individual alert. Tips about the use case will also be included, tips intended for users with a low technical level. Also included will be other resources such as reference links. Lastly, there will also be a way to add exceptions to the rules for a specific source IP, destination IP, source or destination port, etc. For this option to be adequate for a non technical user, advice on it must be clear and include the risks of ignoring alerts based on too broad criteria.