IPS: La potencia sin control no sirve de nada

“La potencia sin control no sirve de nada”, este famoso eslogan popular gracias a la campaña de una famosa marca de neumáticos, podríamos aplicarlo al éxito de un proyecto de civerseguridad. Controlar el tráfico de nuestra red de forma activa con un IDS / IPS es esencial para estar seguros ante las nuevas amenazas.

El título del artículo es un símil, en donde la potencia viene dada por el nuevo hardware de nuestro Firewall más demandado por su relación calidad/precio, el modelo 326, que pese a la actualización mantiene su precio y en donde el control viene dado por la nueva versión del software, pasemos a verlo por partes:

Actualización del Hardware

Actualizamos la potencia de nuestro Firewall 326 manteniendo el tamaño, la refrigeración pasiva mediante la caja y mejorando su consumo, estas son sus nuevas características:

• Procesador: Quad Core AMD GX-412TC 1 GHz 64 bit
• Soporte encriptación por hardware: AES-NI
• Memoria: 4 GB DDR3-1333 DRAM con soporte ECC
• Interfaces de red: 3 Gigabit Ethernet Intel i211AT
• Consumo: de 6W a 10W dependiendo de la carga.

Comparándolo con el anterior modelo, se duplica la potencia del procesador, pasando de Dual-Core a Quad-Core, ampliando la memoria de 2GB a 4GB y su velocidad a 166 MHz.

Además, el nuevo procesador soporta encriptación por hardware, el cual nos ayudará a conseguir mejor rendimiento en VPN.

Y un cambio muy importante, el uso de interfaces de red Intel, las cuales mejoran considerablemente el Throughput, es decir, su rendimiento, frente a las tarjetas Realtek del anterior modelo.

Actualización del Software

La nueva versión del firmware, es compatible con el anterior hardware y todos nuestros clientes ya están disfrutando de sus novedades, entre las que se encuentran:

• Nuevo Proxy con soporte HTTPS
• Antivirus auto-actualizable
• Histórico de navegación y Generador de informes del proxy
• Búsquedas seguras: Force Safe Search Google, Bing, Yahoo.
• Gestor de contenido
• Bloqueo de proxies anónimos y Tor
• Bloqueo de capa 7
• Nuevas herramientas: nmap, iperf, nut, etc…

Aunque la mejora más importante se encuentra en el nuevo motor IDS / IPS, vamos a ver con más detalle de que se trata.

Sistema de detección y prevención de intrusiones

¿Qué es IDS o Sistema de Detección de Intrusiones?

Un IDS, es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema, generando alertas.

Existen varios tipos de IDS, pero nos vamos a centrar en los Net IDS, los cuales actúan sobre una red capturando y analizando paquetes de red.

Luego analizan dichos paquetes buscando patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

Como actividad sospechosa, podemos definir diferentes tipos de eventos, desde ataques de hackers, pasando por el incumplimiento de políticas de salida (mensajería instantánea, juegos, chats, etc), hasta tráfico ocasionado por un ransonware, malware o spyware.

Algunos Net IDS, permiten funcionar como sniffer, es decir registrar en tiempo real todo lo que ocurre en nuestra red y guardarlo para su posterior análisis.

Los IDS, no sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación, en tiempo real.

¿Qué es IPS o Sistema de Prevención de Intrusiones?

A diferencia de un IDS, un IPS (Intrusion Prevention System), es un sistema “activo” capaz de tomar acciones frente a los intentos de intrusiones.

Algunos sistemas IPS empiezan a ofrecer también capacidades antispyware y de “deep inspection” para una seguridad a nivel de aplicación (capa 7), lo que les permite analizar el contenido de los paquetes, pudiendo actuar como un segundo filtro sobre el tráfico, que los firewalls tradicionales dejarían pasar.

Al integrar un IPS en un Firewall, tendremos la gran ventaja de poder bloquear a los host que han generado una alerta, pero esto trae consigo un inconveniente, bloquear tráfico legítimo.

El problema de los falsos positivos

En algunos casos, el tráfico legítimo es bloqueado junto con el maligno.

Por eso, conviene asegurarse de que no se convierta en un punto de bloqueo para la red.

Para evitar los falsos positivos, es conveniente, primero activar el motor en modo IDS, de forma que sólo genere alertas y una vez bien definidas las reglas según nuestra topología y servicios de nuestra red, activar el modo IPS, de forma que bloquee los ataques.

También es muy importante definir bien el tiempo de bloqueo y el tiempo en que se actualizará la base de datos de ataques.

IPS ó IDS: Más vale prevenir que curar

Actualmente, los responsables de seguridad TIC de la mayoría de las empresas, no lo dudan, están migrando sus sistemas basados en la monitorización pasiva de sus redes (IDS) a soluciones que permitan el bloqueo activo y preventivo de las amenazas (IPS) , aún a riesgo, de que a veces, el tráfico legítimo pueda también quedar bloqueado.

Disponer de un Firewall UTM, que aparte de múltiples funcionalidades, como proxy, antivirus, búsquedas seguras, gestor de contenido, bloqueo de proxies anónimos, etc.., cuente con un motor IPS, nos protegerá de los ataques antes de que hayan impactado en nuestra red, poniendo el énfasis en la prevención y en la automatización.

En resumen, con la nueva versión de nuestro Firewall 326, contarás con más potencia, pero sobretodo con más control de tu red.