Aprendizaje y descubrimiento 5min de Leitura - 18 de septiembre de 2020

¿Cómo posicionar mejor el IDS en una arquitectura de red?

This post is also available in: Español Português English

Un sistema de detección y prevención de intrusión es un activo importantísimo en una arquitectura de seguridad de la información. Son sensores que se pueden colocar en varias posiciones en una topología de red para aumentar la seguridad del ambiente.

 

La principal finalidad de un IDS/IPS es detectar firmas de ataques conocidos, o comportamientos anómalos de paquetes o flujos de datos que ocurren en las redes de computadoras. Esto permite a las empresas conocer lo que ocurre en las redes, especialmente en las interfaces de comunicación con Internet.

El posicionamiento forma parte de una estrategia que necesita ser muy bien pensada, por qué hay naturalmente formatos comerciales diferentes para cada modelo que se puede aplicar. Los modelos no son excluyentes, pero necesitan ser bien entendidos para validar la eficiencia deseada en el ambiente.

Si usted no está familiarizado con el término IDS/IPS y desea conocer un poco más sobre las clasificaciones y divisiones, se recomienda mucho el post IDS: historia, concepto y terminología; la lectura no tarda más de 7 minutos.

Diferencia entre IDS e IPS

Un aspecto importante a entender es la diferencia entre un sistema de detección de intrusión contra un sistema de prevención. La nomenclatura es bastante clara, ayudándonos a entender su posicionamiento en una arquitectura de seguridad.

Un sistema de detección de intrusos tiene como objetivo monitorear el tráfico de red y señalar aquello que eventualmente no sea legítimo. Un filtro de paquetes tradicional no tiene esa capacidad, pues su objetivo de análisis está limitado a la evaluación de los encabezados de los protocolos de red.

De esta manera, un IDS puede analizar el paquete como un todo y buscar anomalías, alertando la infraestructura de seguridad para la toma de decisiones, ya sea enviando desconexiones para origen y destino en un formato unidireccional, o sólo alimentando una base de datos de alertas.

La diferencia básica, que incluso es evidenciada en la nomenclatura, sugiere que uno de los dispositivos detecta, y el otro previene. Se realiza la prevención de un IPS porque el mismo está posicionado de manera que el tráfico, obligatoriamente, tiene que pasar por el dispositivo para alcanzar otras redes, y por lo tanto, ante alguna anormalidad, acciones pueden ser tomadas en todos los sentidos de la conexión.

Esto puede ser muy interesante al punto de decir que los IPS son superiores a los IDS. Esto no es una verdad, ambos son complementarios, y la complejidad y el riesgo del IPS en una arquitectura de red, a menudo les impide ser utilizados en determinadas situaciones.

Un IDS cuando presenta algún tipo de problema deja de ejecutar su función pero las comunicaciones continúan fluyendo normalmente, a pesar del riesgo. Un IPS, por otro lado, tiene el potencial de dejar las redes no disponibles, pudiendo causar impactos negativos al negocio.

Se trata de una cuestión estratégica de seguridad y del tamaño del presupuesto disponible, pero los sensores de IDS se pueden dispersar en diferentes puntos de la red, mientras que un IPS puede utilizarse en un estrangulamiento de mayor riesgo, en el que la indisponibilidad es mejor que un daño a la información.

Falsos positivos y negativos

Antes de entrar en las arquitecturas es interesante entender que son los falsos positivos y negativos, ya que en el universo de IDS/IPS estos términos son corrientes. Un falso positivo se trata de un evento legítimo de red que fue alertado por la solución como un posible problema.

De manera contraria, un falso negativo es un evento malicioso que ocurrió, pero no fue detectado por la arquitectura de seguridad. Los falsos positivos deben ser muy bien parametrizados en el momento de una implantación, evitando exceso de basura para análisis, colocando en descrédito la propia solución.

Arquitecturas de IDS/IPS

Hay muchas formas de conectar estos softwares o dispositivos en una red, la regla básica es que el mismo tiene que tener permiso para capturar y supervisar el tráfico de red. En este sentido, hay básicamente 03 modelos:

  1. Switch spanning port: el puerto de un switch donde el tráfico puede ser reflejado/visualizado, permitiendo al sensor recoger el tráfico de red y hacer desconexiones unidireccionales;
  2. Network tap: un dispositivo físico externo, o un puerto, que recoge el tráfico en el punto de estrangulamiento/uplink de redes internas o externas;
  3. Inline: dispositivo físico colocado en medio de dos segmentos, donde físicamente los cables se interconectan y pasan por el procesamiento del mismo antes de ir a otros equipos de la red (como switches o enrutadores).

Se ha mencionado anteriormente que un IPS no anula la función de un IDS, sin embargo, esto debe ser mejor entendido. En esencia un IDS no tiene control sobre el tráfico de red, sólo los monitorea, y puede inyectar una desconexión de forma unilateral. Un IPS centraliza el tráfico y, por lo tanto, no puede encaminar la conexión a continuación si detecta alguna anomalía.

En una red distribuida, se pueden colocar varios sensores de IDS en puntos de estrangulamiento entre redes, recogiendo todos los eventos y enviándolos a una base centralizada de procesamiento. Se tiene, en este modelo, un monitoreo de las actividades internas de las redes, pudiéndose entender actividades maliciosas dentro del propio negocio.

Un IPS, por contrapartida, puede ser colocado en el perímetro de Internet, un hardware de alta calidad y capacidad para procesar volúmenes enormes de paquetes y garantizar mayor seguridad en cuanto a las amenazas que vienen de Internet.

Para una empresa que está iniciando su estrategia con sistemas de detección, que no tiene gran capacidad de inversión, es siempre mejor trabajar con un IDS, ya sea activo (generando desconexiones para amenazas) o incluso pasivo (sólo para tenerse visibilidad de los eventos y justificar la evolución de las inversiones).

Por lo tanto, no hay una mejor arquitectura o posicionamiento, todo ello va a depender de la necesidad del ambiente, de la madurez del negocio y del presupuesto disponible para implantar ese tipo de solución, centralizada, o descentralizada.

Software versus hardware

Algunas soluciones de IDS/IPS se integran con productos de Firewall UTM o NGFW. Esto es muy bueno para buena parte de los negocios, por caracterizar una capa más de seguridad dentro de una arquitectura que, por esencia y concepto, ya es multicapa.

En general estos dispositivos, software o hardware, se colocan entre Internet y las redes internas, entonces muchos incidentes de seguridad ya se tratan en esta capa, sin que éstos lleguen a la red interna, demandando la acción de soluciones endpoint, etc.

Sin embargo, pensar en estas soluciones para cada interconexión de red interna puede ser un tanto caro, y eso no está especializado. De la misma manera, en grandes empresas y proveedores con un volumen muy grande de tráfico, ese tipo de arquitectura no es sostenible.

En estos casos se utilizan hardwares robustos, que poseen capacidad de procesamiento de paquetes elevada, así como dispositivos menores, distribuidos en capas más internas de las redes. Sin embargo, esto es una excepción para la mayoría del mercado, ya que requiere inversiones de sustancias para la estructura de estos formatos de arquitectura.

La concepción de una estructura ideal, en lo que se refiere a IDS/IPS, depende de la realidad y madurez de cada negocio, no existiendo una receta lista para ser seguida. Lo más relevante, para empresas que pretenden dar el primer paso en este sentido, es viabilizar la implantación de una solución, mínimamente viable, pues que eso posibilitará la creación de visibilidad sobre el ambiente, además de proporcionar un incremento de seguridad a la estructura corporativa, facilitando la identificación de ataques oportunistas, o dirigidos.

Si aún tiene dudas de cómo implementar un IDS/IPS en su empresa, o está buscando una solución de seguridad que posea este recurso, quédese a gusto de conversar con uno de nuestros expertos.

This post is also available in: Español Português English