UNIVERSIDAD DEL VALLE DE MXICO

Seguridad de redes con IPS e IDS

Redes IV
Flores Angulo Ivan de Jesus.

2011

CAMPUS HISPANO.

IPS: Sistema de Prevencin de Intrusiones. Qu es? Esto es un sistema que como su nombre lo dice para prevenir e identificar la actividad maliciosa, as como bloquearla y mandar un informe del ataque. Estos sistemas son considerados como extensiones de los sistemas de deteccin de intrusos, esto es debido a que el trfico de red es el que controla todas las actividades que pasan dentro de ella y el sistema IPS se coloca dentro del trfico de la red para prevenir todo tipo de intrusiones. Cmo funciona? Los IPS protegen de los ataques de red examinando los paquetes y bloqueando el trfico malicioso. 1- Cada paquete es clasificado en funcin de la cabecera y de la informacin de flujo asociada. 2- En funcin de la clasificacin del paquete, se aplican los filtros en el contexto de su informacin de estado del flujo. 3- Todos los filtros relevantes se aplican en paralelo y, si un paquete se identifica como sospechoso, es etiquetado como tal. 4- Entonces, se descarta, y se actualiza su informacin de estado del flujo relacionada para descartar el resto de dicho flujo. Para detener tales ataques, los sistemas de prevencin de intrusiones (IPS) aportan una lnea frontal y escalable de defensa a los servidores mal configurados o con vulnerabilidades al descubierto. Si los sistemas de deteccin de intrusiones o IDS (Intrusion-Detection Systems) monitorizan el trfico de red y envan alertas sobre actividades sospechosas, los IPS (Intrusion-Prevention Systems) estn diseados para bloquear los ataques, examinando detenidamente todos los paquetes entrantes y tomando en consecuencia decisiones instantneas para permitir o impedir el acceso. Para ello, se cargan con filtros que detienen los ataques producidos contra las vulnerabilidades de todo tipo que presentan los sistemas. Cuando se detecta una nueva vulnerabilidad, se crea un filtro especfico y se aade al IPS, de modo que cualquier intento malicioso de explotarla es bloqueado inmediatamente. Estos dispositivos pueden inspeccionar los flujos de datos en su totalidad a fin de detectar todos los tipos de ataques que explotan las vulnerabilidades desde el Nivel 2 (control de acceso al medio) al Nivel 7 (aplicacin). Por el contrario, los cortafuegos convencionales, como se limitan a realizar inspecciones a Nivel 3 o Nivel 4, son incapaces de detectar los ataques al nivel de aplicacin escondidos dentro de la carga de los paquetes.

Por qu es eficiente? El dispositivo de procesamiento de un IPS est basado en un conjunto de ASIC (circuitos de integracin especficos de aplicacin) altamente especializados que permite inspeccionar totalmente cada bit de un paquete. Una inspeccin a fondo pero no total no lo hace, por lo que puede pasar por alto determinados ataques. Los paquetes son clasificados e inspeccionados en su totalidad por todos los filtros relevantes antes de que se permita su salida. Esta clasificacin se basa en la informacin de cabecera de cada paquete, como puertos y direcciones IP de fuente y destino, y los campos de aplicacin. Cada filtro consta de un conjunto de reglas que definen las condiciones que deben cumplirse para llegar a saber si un paquete o flujo es malicioso o no. Cuando se clasifica el trfico, el dispositivo debe ensamblar la carga til del flujo y pasarla a campos que sean de utilidad para hacer luego un anlisis contextual. Por ejemplo, en un ataque por sobreflujo de buffer el dispositivo habr de identificar la referencia a un parmetro relativo al buffer a nivel de aplicacin y despus evaluar sus caractersticas. A fin de impedir que un ataque alcance su objetivo, en el instante en que se determina que un flujo es malicioso se detiene el avance de los ltimos paquetes y cualquiera de los que lleguen posteriormente y que pertenezcan a dicho flujo. Anlisis en paralelo Obviamente, los ataques multiflujo, como las que van dirigidos a desactivar la red o las inundaciones de paquetes, requieren filtros que realicen estadsticas e identifiquen anomalas en varios flujos agregados. El filtro combina hardware de procesamiento masivamente paralelo para realizar miles de chequeos en cada paquete simultneamente. El procesamiento en paralelo asegura que el paquete pueda seguir movindose con rapidez a travs del sistema con independencia del nmero de filtros que se apliquen. Esta aceleracin por hardware es crtica porque las soluciones de software convencionales, como chequean en serie, perjudican el rendimiento. Los IPS vienen equipados con tcnicas de redundancia y failover para asegurar que la red contine operando en el caso de que se produzca un fallo. Y, adems de actuar como mecanismo de seguridad, tambin sirven como herramienta para mantener limpia la red, ya que pueden eliminar los paquetes con malformaciones y controlar las aplicaciones que no son de misin crtica para proteger el ancho de banda. Por ejemplo, los IPS se han mostrado muy efectivos para evitar la transferencia ilegal de archivos protegidos por copyright mediante aplicaciones peer-to-peer.

IDS: Sistema de deteccin de Intrusos. Qu es? Es una aplicacin de software que controla las actividades de la red as como actuar ante actividades maliciosas o violaciones hacia la poltica de seguridad de la red, y esta crea informes de una determinada estacin de administracin. La diferencia entre IPS e IDP es que IDP que es ms antiguo no tiene la rapidez de reaccin como un IPS que procesa de inmediato la amenaza y la bloquea mandando una alerta. Cmo funciona? Un IDS puede ser descrito como un detector que procesa la informacin proveniente del sistema monitoreado. Es una herramienta de apoyo en procesos de auditora, entendida como el control del funcionamiento de un sistema a travs del anlisis de su comportamiento interno.

Para detectar intrusiones en un sistema, los IDS utilizan tres tipos de informacin: la recopilada tiempo atrs que tiene datos de ataques previos, la configuracin actual del sistema y finalmente la descripcin del estado actual en trminos de comunicacin y procesos.

Criterios de evaluacin de los IDS.

Existen varios criterios para definir la bondad de un IDS. Segn [03] hay tres criterios para evaluar este tipo de sistemas: la precisin, el rendimiento y la completitud. La precisin tiene que ver con la efectividad de la deteccin y la ausencia de falsas alarmas. Por otra parte, el rendimiento de un IDS es la tasa de eventos procesados por unidad de tiempo, siendo lo ideal que el IDS reconozca los ataques en tiempo real. Finalmente, la completitud es la capacidad del IDS para detectar la mayor cantidad de ataques posibles. Aparte de los anteriores, [02] menciona otros dos criterios: tolerancia a fallas y rapidez. El IDS es tolerante a fallas si es inmune a ataques que comprometan la fiabilidad e integridad de los anlisis y es rpido si tiene la capacidad de informar en el menor tiempo posible una intrusin, lo cual implica realizar todas las actividades de anlisis precedentes en tiempo real.

Por su parte, Axelsson en [04] reconoce como criterios de bondad la interoperabilidad (capacidad que tiene el IDS para comunicarse y operar con otros IDS) y la facilidad de uso (el nivel de claridad que ofrece el IDS a los usuarios para su administracin y anlisis de alarmas). Existen varios criterios para definir la bondad de un IDS. Segn [03] hay tres criterios para evaluar este tipo de sistemas: la precisin, el rendimiento y la completitud. La precisin tiene que ver con la efectividad de la deteccin y la ausencia de falsas alarmas. Por otra parte, el rendimiento de un IDS es la tasa de eventos procesados por unidad de tiempo, siendo lo ideal que el IDS reconozca los ataques en tiempo real. Finalmente, la completitud es la capacidad del IDS para detectar la mayor cantidad de ataques posibles. Aparte de los anteriores, [02] menciona otros dos criterios: tolerancia a fallas y rapidez. El IDS es tolerante a fallas si es inmune a ataques que comprometan la fiabilidad e integridad de los anlisis y es rpido si tiene la capacidad de informar en el menor tiempo posible una intrusin, lo cual implica realizar todas las actividades de anlisis precedentes en tiempo real. Por su parte, Axelsson en [04] reconoce como criterios de bondad la interoperabilidad (capacidad que tiene el IDS para comunicarse y operar con otros IDS) y la facilidad de uso (el nivel de claridad que ofrece el IDS a los usuarios para su administracin y anlisis de alarmas). Adicionalmente existen los siguientes indicadores estadsticos que permiten cuantificar la bondad del IDS como se muestra en la Figura 2. Tales indicadores (sensibilidad, especificidad y precisin) se basan en los siguientes conceptos: Verdaderos positivos (TP): Intrusin existente y correctamente detectada. Falsos positivos (FP): Intrusin no existente e incorrectamente detectada. Falsos negativos (FN): Intrusin existente y no detectada. Verdaderos negativos (TN): Intrusin no existente y no detectada. A partir de los anteriores conceptos, los indicadores se definen como: Sensibilidad= Mide la efectividad de las detecciones cuando existe alguna intrusin

Especificidad= Mide la efectividad de las detecciones cuando no existe intrusin Precisin= Mide la efectividad de las detecciones cuando existe o no existe intrusin.

Si bien ambos estn relacionados con seguridad en redes de informacin, un IDS, difiere de un cortafuegos, en que este ltimo generalmente examina exteriormente por intrusiones para evitar que estas ocurran. Un cortafuegos limita el acceso entre redes, para prevenir una intrusin, pero no determina un ataque que pueda estar ocurriendo internamente en la red. Un IDS, evala una intrusin cuando esta toma lugar, y genera una alarma. Un IDS adems observa ataques que se originan dentro del sistema. Este normalmente se consigue examinando comunicaciones, e identificando mediante heurstica, o patrones (conocidos como firmas), ataques comunes ya clasificados, y toma una accin para alertar a un operador.

Conclusiones: Desde cualquier punto de vista comercial, garantizar la seguridad de las redes es activador de negocios. Los defectos en la seguridad de las redes informticas y la adhesin de usuarios a la poltica de seguridad , a menudo permiten a atacantes localizar y comprometer redes informticas. La correcta implementacin de IPS y de IDS nos ayuda no solo a controlar el trfico dentro de nuestra red y protegerla de intrusos, sino tambin a la administracin de este tipo de fallas. Es importante recordar que sirven para brindar seguridad y prevencin de alerta anticipada ante cualquier actividad sospechosa. No estn diseados para detener un ataque, (a excepcin de los IPS) aunque s pueden generar ciertos tipos de respuesta ante stos. Hay que recordar que las amenazas no surgen slo de lugares externos a nuestra empresa si no tambin dentro de la misma y que aunque nuestra red la tengamos muy protegida y nuestras polticas de seguridad dentro de ella sean extremas, la ingeniera social es una rama muy importante y qu no necesita penetrar fsicamente nuestra red, si no que nuestro personal debe de ser seleccionado con cautela y nombrar solo a un administrador general para evitar que la responsabilidad recaiga en muchas personas. La continua evolucin de sistemas de seguridad y protocolos hacen que nuestra red sea mucho ms compleja de descifrar y evadir, pero de la misma forma los conocimientos para el control de estos pueden ser conocidos o llegar a estar en manos de personas que lo utilicen de uno forma inadecuada para fines de manipulacin de datos.

Bibliografa: Seguridad de Redes (Tecnicas y herramientas para la evaluacn de seguridad de redes). Chris McNab. Ed. OREILLY. www.wikipedia.com www.maestrosdelaweb.com

http://www.criptored.upm.es www.ecualinux.com http://uxio0.blogspot.com IPS presentacin Autor: Arturo de la Torre.