Sistemas de prevención de intrusiones
Las nuevas vulnerabilidades de seguridad están provocando ataques cada vez más numerosos y sofisticados, tanto internos como externos, que ponen en evidencia a los cortafuegos convencionales. Para detener tales ataques, los sistemas de prevención de intrusiones (IPS) aportan una línea frontal y escalable de defensa a los servidores mal configurados o con vulnerabilidades al descubierto.
Si los sistemas de detección de intrusiones o IDS (Intrusion-Detection Systems) monitorizan el tráfico de red y envían alertas sobre actividades sospechosas, los IPS (Intrusion-Prevention Systems) están diseñados para bloquear los ataques, examinando detenidamente todos los paquetes entrantes y tomando en consecuencia decisiones instantáneas para permitir o impedir el acceso. Para ello, se cargan con filtros que detienen los ataques producidos contra las vulnerabilidades de todo tipo que presentan los sistemas. Cuando se detecta una nueva vulnerabilidad, se crea un filtro específico y se añade al IPS, de modo que cualquier intento malicioso de explotarla es bloqueado inmediatamente.
Estos dispositivos pueden inspeccionar los flujos de datos en su totalidad a fin de detectar todos los tipos de ataques que explotan las vulnerabilidades desde el Nivel 2 (control de acceso al medio) al Nivel 7 (aplicación). Por el contrario, los cortafuegos convencionales, como se limitan a realizar inspecciones a Nivel 3 o Nivel 4, son incapaces de detectar los ataques al nivel de aplicación escondidos dentro de la carga de los paquetes.
Inspección a fondo
El dispositivo de procesamiento de un IPS está basado en un conjunto de ASIC (circuitos de integración específicos de aplicación) altamente especializados que permite inspeccionar totalmente cada bit de un paquete. Una inspección a fondo pero no total no lo hace, por lo que puede pasar por alto determinados ataques.
Los paquetes son clasificados e inspeccionados en su totalidad por todos los filtros relevantes antes de que se permita su salida. Esta clasificación se basa en la información de cabecera de cada paquete, como puertos y direcciones IP de fuente y destino, y los campos de aplicación.
Cada filtro consta de un conjunto de reglas que definen las condiciones que deben cumplirse para llegar a saber si un paquete o flujo es malicioso o no. Cuando se clasifica el tráfico, el dispositivo debe ensamblar la carga útil del flujo y pasarla a campos que sean de utilidad para hacer luego un análisis contextual. Por ejemplo, en un ataque por sobreflujo de buffer el dispositivo habrá de identificar la referencia a un parámetro relativo al buffer a nivel de aplicación y después evaluar sus características.
A fin de impedir que un ataque alcance su objetivo, en el instante en que se determina que un flujo es malicioso se detiene el avance de los últimos paquetes y cualquiera de los que lleguen posteriormente y que pertenezcan a dicho flujo.
Análisis en paralelo
Obviamente, los ataques multiflujo, como las que van dirigidos a desactivar la red o las inundaciones de paquetes, requieren filtros que realicen estadísticas e identifiquen anomalías en varios flujos agregados.
El filtro combina hardware de procesamiento masivamente paralelo para realizar miles de chequeos en cada paquete simultáneamente. El procesamiento en paralelo asegura que el paquete pueda seguir moviéndose con rapidez a través del sistema con independencia del número de filtros que se apliquen. Esta aceleración por hardware es crítica porque las soluciones de software convencionales, como chequean en serie, perjudican el rendimiento.
Los IPS vienen equipados con técnicas de redundancia y failover para asegurar que la red continúe operando en el caso de que se produzca un fallo. Y, además de actuar como mecanismo de seguridad, también sirven como herramienta para mantener “limpia” la red, ya que pueden eliminar los paquetes con malformaciones y controlar las aplicaciones que no son de misión crítica para proteger el ancho de banda. Por ejemplo, los IPS se han mostrado muy efectivos para evitar la transferencia ilegal de archivos protegidos por copyright mediante aplicaciones peer-to-peer.
Cómo funciona
---------------------
Los IPS protegen de los ataques de red examinando los paquetes y bloqueando el tráfico malicioso.
1. Cada paquete es clasificado en función de la cabecera y de la información de flujo asociada.
2. En función de la clasificación del paquete, se aplican los filtros en el contexto de su información de estado del flujo.
3. Todos los filtros relevantes se aplican en paralelo y, si un paquete se identifica como sospechoso, es etiquetado como tal.
4. Entonces, se descarta, y se actualiza su información de estado del flujo relacionada para descartar el resto de dicho flujo.
Si los sistemas de detección de intrusiones o IDS (Intrusion-Detection Systems) monitorizan el tráfico de red y envían alertas sobre actividades sospechosas, los IPS (Intrusion-Prevention Systems) están diseñados para bloquear los ataques, examinando detenidamente todos los paquetes entrantes y tomando en consecuencia decisiones instantáneas para permitir o impedir el acceso. Para ello, se cargan con filtros que detienen los ataques producidos contra las vulnerabilidades de todo tipo que presentan los sistemas. Cuando se detecta una nueva vulnerabilidad, se crea un filtro específico y se añade al IPS, de modo que cualquier intento malicioso de explotarla es bloqueado inmediatamente.
Estos dispositivos pueden inspeccionar los flujos de datos en su totalidad a fin de detectar todos los tipos de ataques que explotan las vulnerabilidades desde el Nivel 2 (control de acceso al medio) al Nivel 7 (aplicación). Por el contrario, los cortafuegos convencionales, como se limitan a realizar inspecciones a Nivel 3 o Nivel 4, son incapaces de detectar los ataques al nivel de aplicación escondidos dentro de la carga de los paquetes.
Inspección a fondo
El dispositivo de procesamiento de un IPS está basado en un conjunto de ASIC (circuitos de integración específicos de aplicación) altamente especializados que permite inspeccionar totalmente cada bit de un paquete. Una inspección a fondo pero no total no lo hace, por lo que puede pasar por alto determinados ataques.
Los paquetes son clasificados e inspeccionados en su totalidad por todos los filtros relevantes antes de que se permita su salida. Esta clasificación se basa en la información de cabecera de cada paquete, como puertos y direcciones IP de fuente y destino, y los campos de aplicación.
Cada filtro consta de un conjunto de reglas que definen las condiciones que deben cumplirse para llegar a saber si un paquete o flujo es malicioso o no. Cuando se clasifica el tráfico, el dispositivo debe ensamblar la carga útil del flujo y pasarla a campos que sean de utilidad para hacer luego un análisis contextual. Por ejemplo, en un ataque por sobreflujo de buffer el dispositivo habrá de identificar la referencia a un parámetro relativo al buffer a nivel de aplicación y después evaluar sus características.
A fin de impedir que un ataque alcance su objetivo, en el instante en que se determina que un flujo es malicioso se detiene el avance de los últimos paquetes y cualquiera de los que lleguen posteriormente y que pertenezcan a dicho flujo.
Análisis en paralelo
Obviamente, los ataques multiflujo, como las que van dirigidos a desactivar la red o las inundaciones de paquetes, requieren filtros que realicen estadísticas e identifiquen anomalías en varios flujos agregados.
El filtro combina hardware de procesamiento masivamente paralelo para realizar miles de chequeos en cada paquete simultáneamente. El procesamiento en paralelo asegura que el paquete pueda seguir moviéndose con rapidez a través del sistema con independencia del número de filtros que se apliquen. Esta aceleración por hardware es crítica porque las soluciones de software convencionales, como chequean en serie, perjudican el rendimiento.
Los IPS vienen equipados con técnicas de redundancia y failover para asegurar que la red continúe operando en el caso de que se produzca un fallo. Y, además de actuar como mecanismo de seguridad, también sirven como herramienta para mantener “limpia” la red, ya que pueden eliminar los paquetes con malformaciones y controlar las aplicaciones que no son de misión crítica para proteger el ancho de banda. Por ejemplo, los IPS se han mostrado muy efectivos para evitar la transferencia ilegal de archivos protegidos por copyright mediante aplicaciones peer-to-peer.
Cómo funciona
---------------------
Los IPS protegen de los ataques de red examinando los paquetes y bloqueando el tráfico malicioso.
1. Cada paquete es clasificado en función de la cabecera y de la información de flujo asociada.
2. En función de la clasificación del paquete, se aplican los filtros en el contexto de su información de estado del flujo.
3. Todos los filtros relevantes se aplican en paralelo y, si un paquete se identifica como sospechoso, es etiquetado como tal.
4. Entonces, se descarta, y se actualiza su información de estado del flujo relacionada para descartar el resto de dicho flujo.
