Prevención de intrusiones
Cómo desplegar sistemas IPS
El despliegue de sistemas de prevención de intrusiones (IPS) no es sencillo. Además de atender a sus distintos enfoques técnicos, hay que tener en consideración su efecto potencial en el rendimiento y la latencia de la red, así como la dificultad intrínseca de su configuración. Aquí ofrecemos las mejores prácticas para enfrentarse al reto con éxito.
Primero llegaron los firewalls, seguidos de la protección antivirus y, con posterioridad, de los sistemas de detección de intrusiones (IDS), que generaron bastante entusiasmo en el mercado hasta 2003, cuando Gartner auguró su progresiva desaparición. El vaticinio de la consultora se basaba en que, aunque los IDS detectaban satisfactoriamente el comportamiento malicioso, tenían dos fallos cruciales: no cerraban el paso a un eventual ataque, simplemente informaban sobre él, y además inundaban al administrador con falsos positivos hasta el punto de menoscabar seriamente su utilidad. Entonces llegaron los sistemas de protección de intrusiones de red (IPS), con la clara vocación de resolver ambos problemas. Los IPS fueron diseñados, además de para identificar ataques, también para bloquear los paquetes eliminando los considerados sospechosos. Y todo ello, con un mayor nivel de acierto a la hora de discernir entre los auténticos y las falsas alarmas.
La primera generación de productos IPS basaba su funcionamiento en la detección de firmas. Los suministradores utilizaban “cepos” para capturar y reunir el código malicioso que circulaba en cada momento. Después lo analizaban y creaban firmas para cada virus, gusano o cualquier otro tipo de malware. A continuación, enviaban la información actualizada en forma de software a los dispositivos IPS de sus clientes para reflejar en ellos las nuevas firmas.
Contra ataques DoS y de día cero
Esta detección basada en firmas trabaja bien, pero siempre y cuando se cumplan tres condiciones. Primero, obviamente, el ataque que entra en la red debe haber sido ya identificado y, segundo, existir una firma disponible para él. En tercer lugar, el IPS ha de estar actualizado con ella. Si no se dan alguna de estas circunstancias, el dispositivo será incapaz de reconocer el ataque en cuestión. Pero aún cumpliéndose estas tres condiciones, los IPS basados en firmas presentan una limitación: no detienen los ataques DoS distribuidos.
Muchos suministradores decidieron con el tiempo cubrir esta carencia añadiendo a sus IPS funcionalidades de limitación de la cantidad máxima de tráfico aceptable. Así, en caso de producirse un ataque DoS distribuido, el IPS devolverá la cantidad de tráfico entrante, evitando de este modo su éxito. Pero aún con este tipo de funcionalidades, queda por resolver el problema de qué hacer con los ataques de día cero o para los que todavía no existe firma. La respuesta son los IPS basados en la detección de comportamientos sospechosos. Estos productos crean un mapa de la red y de los dispositivos sobre ella y aplican reglas para bloquear dinámicamente los ataques, con una capacidad de reacción más rápida a los de origen desconocido. En cualquier caso, hoy la mayoría de los suministradores cuenta con IPS que combinan los tres tipos de prevención.
Rendimiento, latencia y disponibilidad
Como ocurre con cualquier tipo de dispositivo de seguridad que inspecciona paquetes, su uso puede generar potenciales inconvenientes en términos de rendimiento, latencia y disponibilidad. Después de todo, se trata de dispositivos que abren cada paquete y realizan sobre él una inspección profunda a través de todos los niveles hasta alcanzar el de aplicación (Nivel 7) antes de tomar la decisión de si dejarlo pasar o no.
Aunque los suministradores suelen garantizar que sus dispositivos son capaces de cumplir todas sus funcionalidades y dejar pasar el tráfico a velocidad del cable, las empresas deberían comprobarlo por su cuenta, así como su impacto en cada tipo de tráfico. La latencia es otro problema importante, especialmente en el caso de las operaciones con aplicaciones en tiempo real, como la VoIP o el vídeo.
Por otra parte, hay también una diversidad de opciones de despliegue. Generalmente los IPS se instalan en modo inline “sigiloso”, cuya principal ventaja es que el dispositivo, al no tener asociada una dirección IP, resulta “invisible” a los potenciales atacantes. No obstante, un IPS también puede ser desplegado como un gateway inline, casi como un router de Nivel 3 con una dirección IP asignada a cada puerto. Lo más interesante de esta configuración es que proporciona a los administradores de la red un mayor control sobre la forma de encaminar el tráfico.
Cuando se trata de IPS de nivel empresarial, hay varias cuestiones relacionadas con la usabilidad de los sistemas que no conviene pasar por alto, como la dificultad que entraña su configuración, las diferentes opciones de alertas a considerar y la valoración de las funcionalidades de monitorización, análisis forense y reporting que deben ser valoradas. Existen asimismo dos opciones de alta disponibilidad: modo activo/activo, que ofrece la ventaja de proporcionar la potencia de procesamiento de dos IPS; o modo activo/standby (de reserva), en el que un IPS maneja todo el tráfico mientras que el segundo permanece inactivo hasta que el primero falla.
De cualquier modo, los expertos predicen que, de igual manera que los IDS como dispositivos autónomos y unifuncionales tuvieron que ir progresivamente resignándose a dejar paso a los IPS, en estos días los IPS autónomos serán finalmente integrados en dispositivos de seguridad más globales que cubrirán todos los requerimientos de securización de las empresas. Estos nuevos dispositivos, a los que algunos denominan cortafuegos de próxima generación y otros sistemas de gestión unificada de amenazas (UTM-Unified Threat Management), combinarán firewall, VPN, antivirus, IPS y filtrado de contenidos en una única caja.
Sin embargo, las tecnologías UTM de momento son más populares en las empresas de pequeño y mediano tamaño, donde la disponibilidad de recursos humanos con el conocimiento técnico necesario para correr múltiples dispositivos de seguridad suele ser limitada. Para las grandes organizaciones, el uso de sistemas IPS de red dedicados todavía constituye la norma.
Seis pasos
Con todo, desplegar adecuadamente sistemas de prevención de intrusiones IPS en la red puede resultar una tarea bastante sencilla, si se sigue un plan simple basado en seis pasos.
- Instalar en el lugar adecuado. A la hora de elegir el lugar donde colocar el dispositivo IPS deben tenerse en cuenta dos importantes limitaciones. Una de ellas es el rendimiento: ha de ser capaz de manejar la carga que se les asigne con un nivel de latencia aceptable. La otra, la cobertura: necesita “ver” el tráfico que está protegiendo, sin entorpecer el resto. Por lo general, el IPS se emplazará en el extremo de la red, justo detrás del firewall Internet, o frente a una granja de servidores.
- Configuración potente. El responsable de una red corporativa sabe mucho más sus sistemas operativos, direcciones IP y subredes, puertos y protocolos de aplicación, entre otros elmentos, que cualquier IPS en su origen. Cuanto más de ese conocimiento se logre trasmitir al IPS a través de su configuración, mayor será la probabilidad de captar y detener los ataques (especialmente sobre
Primero llegaron los firewalls, seguidos de la protección antivirus y, con posterioridad, de los sistemas de detección de intrusiones (IDS), que generaron bastante entusiasmo en el mercado hasta 2003, cuando Gartner auguró su progresiva desaparición. El vaticinio de la consultora se basaba en que, aunque los IDS detectaban satisfactoriamente el comportamiento malicioso, tenían dos fallos cruciales: no cerraban el paso a un eventual ataque, simplemente informaban sobre él, y además inundaban al administrador con falsos positivos hasta el punto de menoscabar seriamente su utilidad. Entonces llegaron los sistemas de protección de intrusiones de red (IPS), con la clara vocación de resolver ambos problemas. Los IPS fueron diseñados, además de para identificar ataques, también para bloquear los paquetes eliminando los considerados sospechosos. Y todo ello, con un mayor nivel de acierto a la hora de discernir entre los auténticos y las falsas alarmas.
La primera generación de productos IPS basaba su funcionamiento en la detección de firmas. Los suministradores utilizaban “cepos” para capturar y reunir el código malicioso que circulaba en cada momento. Después lo analizaban y creaban firmas para cada virus, gusano o cualquier otro tipo de malware. A continuación, enviaban la información actualizada en forma de software a los dispositivos IPS de sus clientes para reflejar en ellos las nuevas firmas.
Contra ataques DoS y de día cero
Esta detección basada en firmas trabaja bien, pero siempre y cuando se cumplan tres condiciones. Primero, obviamente, el ataque que entra en la red debe haber sido ya identificado y, segundo, existir una firma disponible para él. En tercer lugar, el IPS ha de estar actualizado con ella. Si no se dan alguna de estas circunstancias, el dispositivo será incapaz de reconocer el ataque en cuestión. Pero aún cumpliéndose estas tres condiciones, los IPS basados en firmas presentan una limitación: no detienen los ataques DoS distribuidos.
Muchos suministradores decidieron con el tiempo cubrir esta carencia añadiendo a sus IPS funcionalidades de limitación de la cantidad máxima de tráfico aceptable. Así, en caso de producirse un ataque DoS distribuido, el IPS devolverá la cantidad de tráfico entrante, evitando de este modo su éxito. Pero aún con este tipo de funcionalidades, queda por resolver el problema de qué hacer con los ataques de día cero o para los que todavía no existe firma. La respuesta son los IPS basados en la detección de comportamientos sospechosos. Estos productos crean un mapa de la red y de los dispositivos sobre ella y aplican reglas para bloquear dinámicamente los ataques, con una capacidad de reacción más rápida a los de origen desconocido. En cualquier caso, hoy la mayoría de los suministradores cuenta con IPS que combinan los tres tipos de prevención.
Rendimiento, latencia y disponibilidad
Como ocurre con cualquier tipo de dispositivo de seguridad que inspecciona paquetes, su uso puede generar potenciales inconvenientes en términos de rendimiento, latencia y disponibilidad. Después de todo, se trata de dispositivos que abren cada paquete y realizan sobre él una inspección profunda a través de todos los niveles hasta alcanzar el de aplicación (Nivel 7) antes de tomar la decisión de si dejarlo pasar o no.
Aunque los suministradores suelen garantizar que sus dispositivos son capaces de cumplir todas sus funcionalidades y dejar pasar el tráfico a velocidad del cable, las empresas deberían comprobarlo por su cuenta, así como su impacto en cada tipo de tráfico. La latencia es otro problema importante, especialmente en el caso de las operaciones con aplicaciones en tiempo real, como la VoIP o el vídeo.
Por otra parte, hay también una diversidad de opciones de despliegue. Generalmente los IPS se instalan en modo inline “sigiloso”, cuya principal ventaja es que el dispositivo, al no tener asociada una dirección IP, resulta “invisible” a los potenciales atacantes. No obstante, un IPS también puede ser desplegado como un gateway inline, casi como un router de Nivel 3 con una dirección IP asignada a cada puerto. Lo más interesante de esta configuración es que proporciona a los administradores de la red un mayor control sobre la forma de encaminar el tráfico.
Cuando se trata de IPS de nivel empresarial, hay varias cuestiones relacionadas con la usabilidad de los sistemas que no conviene pasar por alto, como la dificultad que entraña su configuración, las diferentes opciones de alertas a considerar y la valoración de las funcionalidades de monitorización, análisis forense y reporting que deben ser valoradas. Existen asimismo dos opciones de alta disponibilidad: modo activo/activo, que ofrece la ventaja de proporcionar la potencia de procesamiento de dos IPS; o modo activo/standby (de reserva), en el que un IPS maneja todo el tráfico mientras que el segundo permanece inactivo hasta que el primero falla.
De cualquier modo, los expertos predicen que, de igual manera que los IDS como dispositivos autónomos y unifuncionales tuvieron que ir progresivamente resignándose a dejar paso a los IPS, en estos días los IPS autónomos serán finalmente integrados en dispositivos de seguridad más globales que cubrirán todos los requerimientos de securización de las empresas. Estos nuevos dispositivos, a los que algunos denominan cortafuegos de próxima generación y otros sistemas de gestión unificada de amenazas (UTM-Unified Threat Management), combinarán firewall, VPN, antivirus, IPS y filtrado de contenidos en una única caja.
Sin embargo, las tecnologías UTM de momento son más populares en las empresas de pequeño y mediano tamaño, donde la disponibilidad de recursos humanos con el conocimiento técnico necesario para correr múltiples dispositivos de seguridad suele ser limitada. Para las grandes organizaciones, el uso de sistemas IPS de red dedicados todavía constituye la norma.
Seis pasos
Con todo, desplegar adecuadamente sistemas de prevención de intrusiones IPS en la red puede resultar una tarea bastante sencilla, si se sigue un plan simple basado en seis pasos.
- Instalar en el lugar adecuado. A la hora de elegir el lugar donde colocar el dispositivo IPS deben tenerse en cuenta dos importantes limitaciones. Una de ellas es el rendimiento: ha de ser capaz de manejar la carga que se les asigne con un nivel de latencia aceptable. La otra, la cobertura: necesita “ver” el tráfico que está protegiendo, sin entorpecer el resto. Por lo general, el IPS se emplazará en el extremo de la red, justo detrás del firewall Internet, o frente a una granja de servidores.
- Configuración potente. El responsable de una red corporativa sabe mucho más sus sistemas operativos, direcciones IP y subredes, puertos y protocolos de aplicación, entre otros elmentos, que cualquier IPS en su origen. Cuanto más de ese conocimiento se logre trasmitir al IPS a través de su configuración, mayor será la probabilidad de captar y detener los ataques (especialmente sobre
