Hoy en día, la evolución de las tácticas de seguridad para diferentes dispositivos y redes de comunicación, han tenido relación con la creación de un nuevo tipo de defensa: los Sistemas de prevención de Intrusos, “IPS” por sus siglas en ingles (Intrusión Prevention System), que de igual manera se puede interpretar como un desarrollo avanzado de los tradicionales “IDS”por sus siglas en inglés, (Intrusion Detection System) o por su traducción al español, Sistemas de Detección de intrusos
Pero, ¿en qué consiste el sistema de prevención de Intrusos? Se refiere a un dispositivo de seguridad, básicamente para redes, que monitorea las actividades a nivel de la capa 3 (red) y/o a nivel capa 7 (aplicación) del Modelo OSI, esto con el objetivo de identificar acciones indebidas o sospechosas y que de esta manera se consiga obtener defensa ante ellos en tiempo real por medio de acciones de contingencia.
El Sistema de Prevención de Intrusos surge de la intensión de ser una opción complementaria a diferentes elementos de seguridad en redes, como un Firewall o un IDS, razón por la cual gran parte de sus características son basadas en estos dos elementos, además que cuentan con un comportamiento proactivo cuando de amenazas y ataques se habla.
Además, estos sistemas cuentan con una serie de ventajas, respecto de los Firewalls tradicionales, toman decisiones de control de acceso basados en los contenidos del tráfico, en lugar de realizarlos basándose en direcciones o puertos IP.
Sabemos que un IDS es reactivo, ya que alerta ante la detección de algún intruso, de ahí que podamos entender la gran diferencia que existe entre este y un IPS, pues este último es productivo ya que establece políticas de seguridad para proteger el equipo o la red de algún ataque.
CLASIFICACIÓN DE LOS IPS
Existen diferentes maneras de clasificar los IPS. Estas pueden ser por el método que utilicen para la detección de amenazas y por la tecnología que los implementa.
- POR EL MÉTODO DE DETECCIÓN:
- Sistemas de Prevención de Intrusos basados en signaturas: estos cuentan con una serie de información de “firmas”, donde reflejan patrones conocidos de ataques a la seguridad de una red o dispositivo. Todos estos datos se suman al dispositivo que realizará la detección para que de esta forma, gracias a la búsqueda de similitudes, se consiga afirmar la existencia o no de un posible ataque y responder en consecuencia.
- Sistema de Prevención de Intrusos basado en anomalías o basado en “perfil”: este elemento procura identificar alguna acción diferente que no se relaciona con lo que es, de alguna manera, se ha definido como una actuación normal de una red o dispositivo. Para asegurar este comportamiento se utiliza un importante análisis estadístico de indicadores de tráfico.
- Sistema de Prevención de Intrusos basado en políticas: se necesita la declaración específica de las políticas de seguridad. Este sistema, reconoce el tráfico definido por el perfil ya establecido, aceptando o rechazando paquetes de datos, por lo que su actuación es semejante a la de un Firewall.
- Sistema de Prevención de Intrusos basados en detección por Pote de Miel o mejor conocido como Honey Por: su funcionamiento se basa en el uso de un equipo configurado para que, desde la primera vista, finja ser interesante y vulnerable a un ataque, de tal forma que al ocurrir esto exista evidencia de la forma de actuar, y así, posteriormente se pueda implementar políticas de seguridad.
2. POR EL USO DE SU TECNOLOGÍA
- Sistema de Prevención de intrusos basado en host: supervisa características de un dispositivo de un abonado de la red en particular, para que se detecte acciones dentro del mismo. Dichas características son: tráfico de red inalámbrica o cableada, acceso de usuarios, modificaciones de archivos, registros del sistema y ejecución de procesos, las acciones de contingencia lanzadas, racionan de igual formal sobre el host en cual se trabaja. Este tipo de sistema se utiliza frecuentemente cuando se trata de la protección de servidores y dispositivos con aplicaciones de servicios ininterrumpidos.
- Sistema de Prevención de Intrusos basados en la red: gracias a esta tecnología se efectúa el monitoreo sobre el tráfico que circula por medio de segmentos específicos, y además, se estudian los protocolos de la red, de transporte y de aplicación para hallar actividades inadecuadas o sospechosas. La característica principal de su funcionamiento es el análisis en tiempo real de los paquetes de datos de tráfico ya sea inalámbrico o cableado, buscando patrones que supongan algún tipo de ataque o riesgo. Una solución que siempre es recomendada para identificar intrusos que provengan de redes no fiables, es que el sistema IPS permanezca junto con el Firewall en el mismo dispositivo.
FUNCIONAMIENTO
Cuando se trata del procesamiento de un Sistema de Prevención de Intrusos, se habla de que se basa en una serie de instrucciones especializadas, que permiten analizar en su totalidad cada bit de un paquete de datos de intercambio.
De igual forma, el trafico de datos se clasifica y se inspecciona completamente por los filtros mas relevante antes de que se autorice su salida, lo que se obtiene del análisis de la información del encabezamiento de cada uno de los paquetes, como puertos y direcciones IP de fuente y destino, como también, los campos de aplicación.
Cada uno de los filtros cuentan con un conjunto de reglas que establecen los requisitos a cumplir que darán a conocer si un paquete o flujo es riesgoso o no. Para establecer la clasificación del tráfico, el dispositivo deberá ensamblar la carga útil del flujo y transportarla a campos que sean de utilidad para posteriormente realizar un análisis profundo y contextual.
Para asegurar que un ataque logre su objetivo, en el momento en que se establece que algún flujo es malicioso, se debe detener el progreso de los paquetes, así como de aquellos que lleguen posteriormente y que sean parte de dicho flujo.
Sucede también que, un ataque multiflujo, establecido para desactivar una red saturándola de paquetes, por lo que se necesitan filtros que elaboren estadísticas y que identifiquen irregularidades en diversos flujos agregados
Los Sistemas de Prevención de Intrusos más desarrollados, mezclan procesamiento masivo de paquetes en paralelo, para elaborar revisiones esporádicamente. El procesamiento en paralelo, por lo regular, se implementa sobre hardware, pues las soluciones de software convencionales reducen el rendimiento.
Asimismo, los IPS consiguen agregar estrategias de redundancia y tolerancia a Failover (errores), para asegurarse que una red prosiga operando sin importar que surja un fallo. De igual forma, dentro de las aplicaciones que no son de misión crítica, agregan control para que se pueda proteger el ancho de la banda.
SISTEMAS DE PREVENCIÓN DE INTRUSOS DE NUEVA GENERACIÓN
La eficacia de las nuevas redes, genera el surgimiento constante de nuevas tecnologías, sistemas y dispositivos, lo que aumenta la existencia de renovadas técnicas para vulnerar la seguridad de la información y evidencia la necesidad de mecanismos que cuenten con diferentes tipos de inteligencia para afrontarlo, motivando el desarrollo de Sistemas de Prevención de Intrusos de nueva generación.
Un Sistema de nueva generación, deberá cumplir con una serie de requisitos:
- Siempre en Línea: nunca detener el funcionamiento de una red.
- Conciencia de aplicaciones: facultad para identificar aplicaciones y establecer políticas de seguridad de red en la capa de aplicación.
- Conciencia del contexto: las estrategias de detección y combate de amenazas se basarán en el estudio complejo de situaciones que rodean un ataque específico, que ayuden a decidir en automático la prioridad especifica a la respuesta que se deberá otorgar ante un incidente de seguridad inminente.
- Conciencia del contenido: deberá tener la facultad de inspeccionar y clasificar los diferentes tipos de archivos reflejados en los paquetes de datos.
- Agilidad: deberá tener la capacidad de adicionar nuevos mecanismo de retroalimentación para que de esta forma pueda afrontar amenazas que surgen posteriormente.
Esta nueva etapa de IPS puede llegar a ser visible sobre el comportamiento de la red, la identidad de los usuarios, los perfiles de diferentes equipos dentro de la infraestructura de comunicación y las aplicaciones que están en uso, para que, dicha información la utilicen de insumo y así realizar un procedimiento de afinamiento automático.
DIFERENCIAS ENTRE SISTEMAS DE DETECCIÓN DE INTRUSOS (IDS) Y SISTEMAS DE PREVENCIÓN DE INTRUSOS (IPS)
Como bien sabemos, existe una serie de características con las que ambos sistemas cuentan, tales son que ambos aumentan la seguridad de redes, vigilando el tráfico, explorando y estudiando los paquetes en busca de datos sospechosos. Las detecciones de estos sistemas están basados en firmas o signaturas ya detectadas y reconocidas anteriormente.
Pero, ¿Cuál es la principal diferencia entre ellos? En este caso, hablamos sobre el tipo de acción que llevan a cabo al detectar un ataque en sus primeras fases (escaneo de puertos y análisis de red):
- El Sistema de Detección de Intrusos otorga a la red un nivel de seguridad de tipo preventivo de cualquier acción riesgosa o incluso sospechosa, y además cumple con su objetivo gracias a las alertas anticipadas dirigidas a los Administradores de Seguridad de cada uno de los sistemas. Si bien es un sistema de alta utilidad, una de las desventajas con las que cuenta es que este no es capaz de detener los ataques como tal.
- El Sistema de Prevención de Intrusos es un dispositivo que controla el acceso dentro de una red para conseguir proteger todos los sistemas computacionales de ataques y abusos. Su diseño esta basado para ser útil al momento del realizar análisis de los datos de ataque y actuar en consecuencia, frenándolo en el momento en que se esta gestando y antes de que consiga su objetivo.
Es fundamental para un buen funcionamiento de seguridad informática combinar los sistemas de detección y prevención de intrusión basados en la red como en el host. Ambos modelos presentados no son excluyentes, sino todo lo contrario, ellos deberán ser tratados como complementarios según las necesidades y criticad de protección exigidas por una empresa.
Además de su facultad de reacción automática ante algunos incidentes, los Sistemas de Prevención de Intrusos reducen las alarmas falsas de ataques que siguen en progreso, de manera automática bloquearan ataques en tiempo real, otorgarán protección a sistemas no parcheados, de igual forma, aplicarán filtros nuevos al mismo tiempo en que vayan hallando nuevas acciones sospechosas en progreso, y darán optimización en el rendimiento del tráfico de una red, implementándolo como una estrategia de red.
Nuestra empresa BTOB Consultores ha creado ViPNet Threat Detection and Response, Sistemas para la Detección y Erradicación de Amenazas por su traducción al español, donde se otorgan todos los elementos necesarios para la detección y además un modulo automático de toma de decisiones.
Threat Intelligence Analytic System- TIAS, con la facultad de detectar ataque del Día de Cero y que además está basado en asignaturas o firmas y aprendizaje por máquina e inteligencia artificial
Resuelve tus Dudas sobre IPS con un Especialista