13
marzo
2019

IPS: Sistema de Prevención de Intrusos

En la actualidad, el desarrollo de las estrategias de seguridades para los dispositivos y las redes de comunicación, ha influido en el surgimiento de un nuevo tipo de defensa: los IPS (Intrusion Prevention System) o Sistemas de Prevención de Intrusiones, que en buena medida pueden interpretarse como una evolución de los tradicionales IDS (Intrusion Detection System) o Sistemas de Detección de Intrusiones.

Un Sistema de Prevención de Intrusos es un dispositivo de seguridad, fundamentalmente para redes, que se encarga de monitorear actividades a nivel de la capa 3 (red) y/o a nivel de la capa 7 (aplicación) del Modelo OSI, con el fin de identificar comportamientos maliciosos, sospechosos e indebidos, a fin de reaccionar ante ellos en tiempo real mediante una acción de contingencia.

El IPS fue creado con la intensión de ser una alternativa complementaria a otras herramientas de seguridad en redes, tales como un firewall o un IDS, por lo que muchas de sus características son heredadas de estos dos elementos, complementadas con un comportamiento proactivo ante ataques y amenazas.

Los Sistemas de Detección de Intrusos tienen como ventaja respecto de los firewalls tradicionales, el que toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar de hacerlo basados en direcciones o puertos IP.

El contraste entre un IPS y un IDS radica en que este último es reactivo, pues alerta ante la detección de un posible intruso, mientras que el primero es proactivo, pues establece políticas de seguridad para proteger el equipo o la red de un posible ataque.

Clasificación de los IPS

Los IPS se pueden clasificar de diferentes maneras.  Por un lado, dependiendo de su método para realizar detecciones de amenazas y por otro, basados en la tecnología que los implementa.

Clasificación de acuerdo al método de detección:

  • IPS basado en firmas o signaturas: cuentan con una base de datos de “firmas”, en la cual se reflejan patrones conocidos de ataques a la seguridad de un dispositivo o una red. Esta información se adhiere al dispositivo que realizará la detección para que así, mediante una búsqueda de coincidencias, se pueda establecer si existe o no un posible ataque y reaccionar en consecuencia.
  • IPS basado en anomalías: también conocido como basado en “perfil”, esta funcionalidad intenta identificar un comportamiento diferente que se desvíe de lo que, de alguna forma, se ha predefinido como una “actuación normal” de un dispositivo o una red. Para garantizar este comportamiento se hace uso de un potente análisis estadístico de indicadores de tráfico.
  • IPS basado en políticas: se requiere que se declaren muy específicamente las políticas de seguridad. El IPS reconoce el tráfico definido por el perfil establecido, permitiendo o descartando paquetes de datos, por lo que su manera de actuar ocurre de forma muy similar al funcionamiento de un firewall.
  • IPS basados en detección por Honey Pot (Pote de Miel): funciona usando un equipo configurado para que, a primera vista, parezca ser vulnerable e interesante para un ataque, de forma tal, que al ocurrir estos, se deja evidencia de la forma de actuar, con lo cual posteriormente se pueden implementar políticas de seguridad.

Clasificación de acuerdo a su tecnología:

  • IPS basado en host: monitorea las características de un dispositivo de un abonado de la red en particular, para detectar actividades dentro del mismo. Entre las características que supervisa se encuentran: el tráfico de red cableada o inalámbrica, registros del sistema, acceso de los usuarios, ejecución de procesos y modificaciones de archivos; las acciones de contingencia lanzadas, actúan igualmente solo sobre el host en el cual trabaja. Este tipo de IPS se emplea con frecuencia en la protección de servidores y dispositivos con aplicaciones de servicios ininterrumpidos.
  • IPS basado en la red: con esta tecnología, se realiza el monitoreo sobre el tráfico que fluye a través de segmentos particulares, y se analizan los protocolos de la red, de transporte y de aplicación para identificar actividades sospechosas. Su funcionamiento se caracteriza por el análisis en tiempo real de los paquetes de datos del tráfico (cableado o inalámbrico), en busca de patrones que puedan suponer algún tipo de ataque. Una solución recomendada para la detección de intrusos que proceden de redes no fiables, es que el sistema IPS resida junto con el firewall en el mismo dispositivo.

Funcionamiento

El procesamiento de un IPS está basado en un conjunto de instrucciones altamente especializadas, que permiten inspeccionar de forma total cada bit de un paquete de datos intercambiado.

El tráfico de datos es clasificado e inspeccionado en su totalidad por todos los filtros relevantes antes de que se permita su salida, lo que se realiza analizando la información del encabezamiento de cada paquete, como puertos y direcciones IP de fuente y destino, y los campos de aplicación.

Cada filtro consta de un conjunto de reglas que definen las condiciones que deben cumplirse para llegar a saber si un paquete o flujo es malicioso o no. Cuando se clasifica el tráfico, el dispositivo debe ensamblar la carga útil del flujo y pasarla a campos que sean de utilidad para hacer luego un análisis contextual.

A fin de impedir que un ataque alcance su objetivo, en el instante en que se determina que un flujo es malicioso, se detiene el avance de los paquetes, así como de aquellos que lleguen posteriormente y que pertenezcan a dicho flujo.

Puede ocurrir, además, un ataque multiflujo, dirigido a desactivar una red inundándola de paquetes, por lo que se requieren filtros que realicen estadísticas e identifiquen anomalías en varios flujos agregados.

Los IPS más avanzados, combinan procesamiento masivo de paquetes en paralelo, para realizar chequeos simultáneamente. El procesamiento en paralelo generalmente se implementa sobre hardware, porque las soluciones de software convencionales, disminuyen por lo general el rendimiento.

Adicionalmente, los IPS pueden incorporar técnicas de redundancia y tolerancia a errores (failover), para asegurar que una red continúe operando en el caso de que se produzca un fallo. De la misma manera, agregan control sobre las aplicaciones que no son de misión crítica, para proteger el ancho de banda.

IPS de Nueva Generación

El dinamismo de las redes actuales, provoca la aparición constante de nuevas tecnologías, dispositivos y sistemas, lo que incrementa la exposición a mejoradas técnicas para vulnerar la seguridad de la información y evidencia la necesidad de mecanismos que tengan cierta inteligencia para poder hacerle frente, propiciando el desarrollo de IPS de Nueva Generación.

Un IPS de Nueva Generación, debe cumplir con los siguientes elementos:

  • Siempre en Línea: nunca entorpecer o interrumpir el funcionamiento de una red.
  • Conciencia de Aplicaciones: capacidad para poder identificar aplicaciones e implementar políticas de seguridad de red en la capa de aplicación.
  • Conciencia del Contexto: las decisiones de detección y enfrentamiento de las amenazas, debe basarse en el análisis complejo de circunstancias que rodean un ataque específico, que permitan decidir automáticamente la prioridad específica a la respuesta que el equipo deba dar ante un incidente de seguridad inminente.
  • Conciencia del Contenido: debe ser capaz de inspeccionar y clasificar los tipos de archivos reflejados en los paquetes de datos.
  • Agilidad: debe ser capaz de incorporar nuevos mecanismos de retroalimentación para enfrentar amenazas futuras.

Esta nueva generación de IPS puede tener visibilidad sobre el comportamiento de la red, los perfiles de los equipos dentro de la infraestructura de comunicación, y la identidad de los usuarios y las aplicaciones que están en uso, de tal forma que esa información le sirva de insumo para poder realizar un proceso de afinamiento automático.

Comparación entre IPS e IDS

Tanto el IDS (Intrusion Detection System) como el IPS (Intrusion Prevention System) aumentan la seguridad de las redes, vigilando el tráfico, examinando y analizando los paquetes en busca de datos sospechosos. Ambos sistemas basan sus detecciones principalmente en firmas o signaturas ya detectadas y reconocidas.

La principal diferencia entre un IDS y un IPS es el tipo de acción que llevan a cabo al detectar un ataque en sus primeras fases (análisis de red y escaneo de puertos):

  • El IDS aporta a la red un grado de seguridad de tipo preventivo ante de cualquier actividad sospechosa, y consigue su objetivo a través de alertas anticipadas dirigidas a los Administradores de Seguridad de los sistemas. Informáticos. Sin embargo, a diferencia del sistema IPS, no está diseñado para detener los ataques.
  • El IPS es un dispositivo que ejerce el control de acceso en una red para proteger a los sistemas computacionales de ataques y abusos. Está diseñado para analizar los datos del ataque y actuar en consecuencia, deteniéndolo en el mismo momento en que se está gestando y antes de que logre su objetivo.

Combinar tanto los sistemas de detección y prevención de intrusión basados en la red como en el host es fundamental para una buena salud de la seguridad informática. Ninguno de los modelos presentados es necesariamente excluyente, por el contrario, ellos deben ser tratados como complementarios de acuerdo a la necesidad y criticidad de protección exigidas por un negocio.

De forma general, más allá de su capacidad de reacción automática ante ciertos incidentes, los IPS disminuirán las falsas alarmas de ataques en progreso, bloquearán de manera automática los ataques efectuados en tiempo real, proporcionarán protección de sistemas no parcheados, aplicarán nuevos filtros conforme vayan detectando nuevas actividades maliciosas en progreso, y ofrecerán optimización en el rendimiento del tráfico de una red como estrategia de seguridad.

La compañía Infotecs ha desarrollado Sistemas para la Detección y Erradicación de Amenazas (ViPNet Threat Detection and Response), que cuentan con todos los componentes para la detección y un módulo de toma de decisiones automáticas Threat Intelligence Analytic System -TIAS, el que basado en firmas o signaturas, aprendizaje por máquina e inteligencia artificial es capaz de detectar ataques del Día Cero.

Si deseas conocer más: ViPNet Threat Intelligence