IPS vs. IDS: Mejor prevenir que curar

Entre los responsables de seguridad TIC empresariales se está produciendo un cambio de enfoque importante a la hora de buscar soluciones que les protejan de gusanos informáticos y ataques de hackers. En general, tienden a considerar que una actitud defensiva frente a este tipo de riesgos, basada en la monitorización pasiva de sus redes, ha dejado de ser suficiente, si es que alguna vez lo fue. En consecuencia, prefieren implementar soluciones que permitan el bloqueo activo y preventivo de las amenazas, aún a riesgo de que a veces, el tráfico legítimo pueda también quedar bloqueado.

La evolución de los sistemas IDS (Instrusion Detection Systems) convencionales basados en librerías de firmas hacia la nueva generación de IPS (Intrusion Prevention Systems) constituyen un ejemplo paradigmático del cambio de enfoque defensivo a una aproximación preventiva a la seguridad en red. Los IPS combinan múltiples funcionalidades, como firewall, IDS, inspección statefull y detección de anomalías de protocolo, antivirus, valoración de vulnerabilidades, filtrado de contenidos, etc. De esta forma, consiguen proteger automáticamente de los ataques antes de que hayan impactado en la red, poniendo el énfasis en la prevención y en la automatización.

En algunos casos, los sistemas IPS empiezan a ofrecer también capacidades antispyware y de “deep inspection” para una seguridad a nivel de aplicación, lo que les permite analizar el contenido de los paquetes, pudiendo actuar como un segundo filtro sobre el tráfico que los firewall periféricos han dejado pasar. Unas prestaciones que resultan especialmente interesantes para la protección de las vulnerabilidades DNS a nivel de dominio o de los ataques Web que explotan los agujeros de HTTP y FTP. Capacitados para analizar los protocolos de aplicación individuales -como HTTP para aplicaciones Web, SMTP para el correo electrónico o DNS para el hosting-, estos IPS aseguran que sólo los tipos de tráfico y las peticiones con los protocolos adecuados pasan a cada servidor. En general, todas estas capacidades cobran una especial importancia teniendo en cuenta que la más reciente generación de ataques DoS, así como las infecciones de spyware y malware están diseñados para burlar los cortafuegos y explotar las brechas de seguridad en el nivel de las aplicaciones. A estas ventajas se añade la capacidad para actuar de forma coordinada con mecanismos de autenticación basada en directorios sobre servidores de políticas y servidores LDAP (Leightweigh Directory Access Protocol).

Eligiendo el IPS corporativo
Los beneficios de los sistemas de prevención de intrusiones (IPS) son, pues, innegables. Se trata de soluciones de protección globales que, desplegadas correctamente y con las configuraciones adecuadas, ofrecen al gestor una potente herramienta; muchos usuarios aseguran haber registrado reducciones de hasta un 70% en las alertas por virus y gusanos en comparación con la utilización de IDS tradicionales.

No obstante, pese a las ventajas de los IPS para el administrador de red, presentan algunas peculiaridades que deben ser tenidas en cuenta a la hora de elegir un determinado producto. Al trabajar, a diferencia de los sistemas IDS, en modo in-line, analizando todo el tráfico que pasa por la red en tiempo real, su rendimiento debe ser lo más cercano posible a la velocidad de cable; de lo contrario se constituirían en enojosos cuellos de botella. En segundo lugar, para protegerse frente a los nuevos ataques informáticos resulta fundamental contar con sistemas de seguridad capaces de actuar en el nivel de aplicaciones, como los IPS con inspección de Nivel 2 (red) /7 (aplicación). No basta ya la instalación de firewalls cuyo funcionamiento se limita al análisis de los paquetes a Nivel de Red en la frontera de la infraestructura. Incluso si la empresa está haciendo bien las cosas, sus socios o clientes, dotados de acceso a los recursos, pueden no estarlo. Además, los trabajadores en movimiento, que se conectan con sus portátiles en hotspots u otras instalaciones, pueden después introducir sin saberlo, por ejemplo, un gusano en la red corporativa, provocando una infección masiva, saltándose así el sistema perimetral incluso de manera involuntaria.

Por otra parte, cualquier gestor de seguridad que apueste por la introducción de IPS en su organización deberá asumir el inconveniente de que en ocasiones puedan bloquear tráficos legítimos. Este handicap es en realidad una característica heredada de sus predecesores, los IDS; el problema es que, al realizarse el bloqueo de manera automática, los falsos positivos quedan de forma igualmente automática bloqueados. Para muchos, sin embargo, merece la pena asumir este riesgo. Según Chris Hoff, responsable de Seguridad de la Información en la compañía estadounidense Western Corporate Federal Credit Union (WesCorp), “se trata de un riesgo calculado”, y con total conocimiento del cual, la organización decidió hace seis meses migrar de plataformas IDS a IPS.

El problema de los falsos positivos
WesCorp, que cuenta con activos valorados en 25.000 millones de dólares y proporciona servicios de gestión de backoffice a unas 1.000 entidades financieras, desplegó appliances Internet Security Systems (ISS) Proventia G-100 IPS para automatizar el bloqueo de tráficos de ataque. Incluso una única incidencia provocada por el creciente número de gusanos y ataques de hackers podría resultar un precio demasiado caro de pagar para su negocio, según Hoff, por lo que se requería un potente sistema de protección. Sin embargo, Hoff reconoce que ocasionalmente, el tráfico legítimo es bloqueado junto con el maligno. “El tráfico legítimo puede ser bloqueado. Dedicamos mucho tiempo y esfuerzos a realizar el seguimiento de los falsos positivos y los falsos negativos”, asegura, subrayando que es necesario mejorar la tecnología de bloqueo de los IPS dotándola de mayor capacidad de precisión a la hora de discriminar el tráfico legítimo del maligno.

Pero Hoff asegura que, a pesar de experimental los problemas causados principalmente por los falsos positivos emitidos por los IPS, no se plantea la posibilidad de abandonar las tecnologías de prevención de intrusiones. De hecho, está llevando un paso más allá su enfoque activo de la seguridad potenciando la implementación de sistemas de análisis de vulnerabilidades; en concreto, está desplegando productos de Skybox Technologies y Qualys para determinar qué servidores y desktops requieren parches y actualizaciones. Además, Hoff está interesado también en la introducción de productos IPS basados en host, aunque, de momento, prefiere esperar a que los precios –actualmente de algunos cientos de dólares por el software para cada servidor que haya de ser protegido- bajen.