Introducción
Un IDS (Intrusion detection system) es un software que automatiza el proceso de detección de intrusos.
Un IPS (Intrusion prevention system) es el software que tiene las capacidades de IDS y además puede intentar detener los posibles incidentes.
IDPS (Intrusion detection and prevention systems) se enfoca en identificar los posibles incidentes, logear información de ellos, intentar detenerlos y reportarlos a los administradores de la seguridad. La información que registra son eventos importantes observados para luego producir los reportes.
Hay técnicas para responder ante la detección de un intruso, que pueden ser el cambio de las medidas de seguridad (Por ej.: reconfiguración del firewall) o cambiar el contenido de lo que están atacando.
La tecnología de los IDPS dependerá del tipo de evento que están monitoreando y la forma en la que se desenvuelven.
Existen muchos tipos de tecnologías IDPS, que se diferencian principalmente por el tipo de eventos que son capaces de identificar y las metodologías utilizadas para identificar incidentes. Sin embargo, todos los tipos de tecnología IDPS típicamente realizan las siguientes funciones:
- Grabar información relacionada con los eventos observados: la información es usualmente guardada localmente o puede ser enviada a sistemas separados como servidores de logeo.
- Notificar a los administradores del sistema acerca de eventos importantes observados: estas notificaciones, comúnmente conocidas como alertas, pueden realizarse a través de diferentes métodos como puede ser emails o mensajes syslog.
- Generar reportes: resúmenes de los eventos monitoreados.
Metodologías comunes de detección
- Detección Basada en la Firma (Signature-Based Detection): una firma es un patrón que se corresponde con una amenaza conocida, por ejemplo: un intento de telnet con usuario root. Este método es muy efectivo en detectar amenazas conocidas pero no es útil para detectar amenazas desconocidas. Tampoco es efectivo ante amenazas que emplean técnicas de evasión. Este método es el más simple porque solamente compara la actividad actual con una lista de firmas utilizando operaciones de comparación de strings.
- Detección basada en anomalía (Anomaly-Based Detection): consiste en comparar definiciones de que actividad es considerada normal contra los eventos observados con el propósito de identificar desviaciones importantes. Un sistema que utiliza este método, tiene definidos perfiles que representan el comportamiento normal para diferentes cosas como usuarios, conexiones de red o aplicaciones. Los perfiles se crean monitoreando las características durante un determinado periodo de tiempo de la actividad normal. Por ejemplo, el perfil de una red puede mostrar que el ancho de banda utilizado por tráfico de emails en horario laboral es del 13%. El IDPS utiliza métodos estadísticos para comparar las características de la actividad actual con valores umbrales asociados con el perfil y alertar al administrador cuando se detectan desviaciones significativas, por ejemplo mucho más uso de ancho de banda del típicamente esperado.
El mayor beneficio que presenta este método es que puede ser muy efectivo para detectar amenazas desconocidas. Uno de los problemas más comunes que presenta este método es que durante el periodo de entrenamiento del sistema, es decir el periodo de observación que se utiliza para generar el perfil, puede incluir actividad maliciosa y ser incorporada al perfil como actividad normal. Este método produce un alto número de falsos positivos, producto de actividad legitima que se aparta significativamente de los perfiles.
- Análisis de estados de protocolos (Stateful Protocol Analysis): es el proceso por el cual se comparan perfiles de definiciones generalmente aceptadas como actividad legitima para cada protocolo contra los eventos observados para identificar desviaciones. A diferencia de la detección basada en anomalías, este método utiliza perfiles universales, definidos por terceros, que especifican como deben utilizarse y como no deben utilizarse los distintos protocolos. Una de las principales desventajas de este método es que, dada la complejidad del análisis, es un método que hace un uso intensivo de los recursos. Otra gran desventaja reside en la imposibilidad de detectar ataques que no violan las características de un comportamiento generalmente aceptable para un protocolo, como por ejemplo realizar muchas acciones permitidas en un periodo breve de tiempo provocando una negación de servicio.
Clasificación de los IDPS:
- Basados en la red (Network-Based): Monitorean el tráfico de la red, algunos segmentos o equipos en particular y analizan la actividad para poder identificar actividad sospechosa.
- Inalámbricos (Wireless): Monitorean redes inalámbricas para identificar actividad sospechosa que involucre los protocolos de la red wireless.
- Análisis del comportamiento de la red (NBA): Examina el tráfico de la red para identificar intrusos que generen un tráfico inusual, como por ejemplo la distribución de denegación de servicio(DDoS), algunas formas de malware, y violación de políticas de seguridad.
- Basados en el host (Host-Based): Monitorean las características de un solo host y los eventos que ocurren en él en busca de actividad sospechosa.
Descripción de sistemas basados en la red
Componentes del sistema: este tipo de solución, se compone típicamente de sensores, uno o más servidores de administración y opcionalmente, uno o más servidores de base de datos (cuando el sistema utilizado soporta su uso). Los sensores, monitorea y analiza la actividad de red en uno o más segmentos de la red. Las placas de red que realizarán el monitoreo deben configurarse en modo “promiscuo” (promiscuous mode), es decir que aceptaran todos los paquetes que vean, independientemente del destino. Hay dos tipos de sensores disponibles:
- Appliance (HW): estos sensores están compuestos por hardware y software especializado.
- Software: el sensor consiste en un software que el administrador del sistema instala en host de la red con determinadas especificaciones.
Arquitectura de red: las organizaciones deberían considerar utilizar redes de administración para sus sistemas IDPS basados en red. Si el sistema no se utiliza con una red separada de administración, debería considerarse si se necesita una VLAN para proteger las comunicaciones del IDPS.
Ubicación de los sensores: el administrador debe decidir dónde colocar los sensores. Los mismos pueden ser distribuidos de dos modos.
- Inline: se coloca el sensor de manera que todo el tráfico de la red que está monitoreando pase a través del mismo, similar al flujo de tráfico asociado a un firewall. El beneficio de colocar los sensores de este modo es permitirles detener ataques bloqueando el tráfico de la red. Típicamente, se colocan en las divisiones entre redes, tales como conexiones con redes externas y bordes entre distintas redes internas separadas.
- Pasivo: se coloca de modo que monitorea una copia del tráfico de la red, no hay tráfico realmente atravesando el sensor. Se utilizan generalmente para monitorear ubicaciones claves de la red, como puede ser la división entre dos redes o la actividad en un segmento DMZ. Utilizan distintos métodos para monitorear la red, incluyendo:
○ Spanning Port: muchos switches presentan este tipo de puerto, el mismo puede ver todo el tráfico de la red que atraviesa el switch. Conectando un sensor a este tipo de puerto permite monitorear el tráfico de la red. La desventaja de este método, es que si el switch no se configura correctamente, podría ocultarse del sensor gran parte del tráfico de la red; otro problema que se presenta es que el uso del spanning port es intenso en cuanto a recursos, haciendo que cuando el switch se encuentra con grandes cargas de trabajo, el spanning port podría no ver todo el tráfico, o incluso, podría quedar temporalmente deshabilitado.
○ Network Tap: consiste en una conexión directa entre el sensor y el medio físico de transmisión, por ejemplo la fibra óptica. Esta conexión le permite al sensor acceder a una copia de todo el tráfico transportado por el medio. Como desventaja, la instalación de estas conexiones, requiere una interrupción de servicio en la red; y algún problema con esta conexión podría generar interrupciones de servicio.
○ IDS Load Balancer: un balanceador de carga dirige el tráfico de red a los sistemas de monitoreo. El balanceador puede recibir copias del tráfico de un spanning port o más, para luego distribuirlas a uno o más sensores IDPS, basándose en una serie de reglas definidas por el administrador. Algunas de las reglas más comunes incluyen:
■ Enviar todo el tráfico a múltiples sensores: esto puede hacerse para tener alta disponibilidad o tener distintos tipos de sensores analizando tráfico de manera concurrente
■ Dividir dinámicamente el tráfico entre múltiples sensores en base al volumen: esto se hace para evitar la saturación de un sensor, se balancea la carga
■ Dividir el tráfico entre múltiples sensores en base a las direcciones IP, protocolos u otras características: también se utiliza para balancear la carga, por ejemplo teniendo un sensor analizando la actividad web y otro analizando el resto de la actividad.
Las desventajas de dividir el tráfico son que puede reducirse la precisión de la detección si eventos relacionados son analizados por sensores distintos.
Capacidades de seguridad: IDPS basado en red, provee una gran variedad de capacidades de seguridad. Las mismas se dividen en cuatro categorías que se detallan a continuación.
- Recolección de información
○ Identificación de hosts: un sensor IDPS podría generar una lista de hosts de la red ordenada por direcciones IP o MAC. Esta lista puede usarse como un perfil para identificar nuevos hosts en la red.
○ Identificación de sistemas operativos: un sensor IDPS podría identificar el sistema operativo usado por los hosts de la organización. Conocer las versiones de sistema operativo, puede ser útil para identificar hosts potencialmente vulnerables.
○ Identificación de aplicaciones: para algunas aplicaciones, un sensor IDPS, puede identificar la versión de aplicación observando que puerto utiliza y monitoreando ciertas características de las comunicaciones de la aplicación. Esta información puede ayudar a identificar aplicaciones potencialmente vulnerables así como también, identificar el uso no autorizado de algunas aplicaciones.
○ Identificar características de la red: algunos sensores recolectan información general acerca del tráfico de red, relacionada a la configuración de los dispositivos de la red. Esta información puede utilizarse para detectar cambios en la configuración de la red.
- Logging: normalmente en IDPS basado en la red, se realiza un extenso logeo de información relacionada con los eventos detectados. Esta información puede utilizarse para verificar la validez de una alarma e investigar incidentes entre otras cosas. Los datos típicamente presentes en un log incluyen:
○ Timestamp (generalmente fecha y hora)
○ ID de sesión
○ Tipo de evento o alerta
○ Rating (prioridad, severidad, impacto, etc.)
○ Protocolos de capas de red, transporte y aplicación
○ Direcciones IP de origen y destino
○ Puertos TCP o UDP de origen
○ Número de bytes transmitidos en la conexión
○ Información de estado
- Detección: los IDPS basados en red generalmente utilizan una combinación de las técnicas de detección mencionadas con anterioridad, es decir, combina la detección basada en firmas, basada en detección de anomalías y análisis de estados de protocolo.
○ Tipos de eventos detectados
■ Ataques en la capa de aplicación: algunos de los protocolos típicamente analizados incluyen: DHCP, DNS, FTP, HTTP, POP, SIP y Telnet entre otros.
■ Ataques en la capa de transporte: generalmente analizando los protocolos TCP y UDP.
■ Ataques en la capa de red: los protocolos típicamente analizados son: IPv4, ICMP y IGMP.
■ Servicios de aplicación inesperados: se detectan generalmente mediante análisis de estados o análisis de anomalías.
■ Violaciones de políticas: mediante el análisis del tráfico de red, pueden detectarse actividades que no deberían estar permitidas.
○ Precisión de la detección: históricamente, esta tecnología fue asociada con una alta tasa de falsos positivos y falsos negativos. Otro problema común que afecta a la precisión es que esta tecnología requiere un alto grado de ajuste y customización en función del ambiente a monitorear. Una forma de reducir la cantidad de falsos positivos y falsos negativos seria bajando la complejidad de las actividades a monitorear por los sensores.
○ Customización y ajuste: como ya se mencionó anteriormente, esta tecnología requiere de un alto grado de Customización en función del ambiente a monitorear, para reducir las falsas detecciones y mejorar la precisión.
○ Limitaciones: tres de las más importantes limitaciones que presenta esta tecnología son: analizar tráfico encriptado, manejar altos volúmenes de tráfico y soportar ataques contra el IDPS mismo. Los IDPS basados en red no pueden detectar ataques en tráfico encriptado, puede realizar cierto análisis sobre la configuración de la conexión segura, que puede permitir identificar si hay vulnerabilidades producto de errores en la configuración.
Los sensores IDPS pasivos, en condiciones de alto tráfico, pueden perder paquetes haciendo que algunos incidentes pasen inadvertidos, especialmente cuando se hace análisis de estados. Estos sensores también son susceptibles a diversos ataques, como por ejemplo los que realiza un atacante que genera un alto volumen de tráfico para producir la saturación del sensor.
Capacidades de Prevención:
- Solo para sensores pasivos
○ Terminar la sesión TCP: un sensor pasivo puede intentar enviar un paquete de TCP reset a ambos extremos, para hacerle creer a ambos que el otro quiere terminar la sesión y de este manera uno de los extremos cierre la conexión antes de que el ataque sea exitoso. Este método es poco eficiente ya que en muchas oportunidades el paquete de reset no llega a tiempo
- Solo para sensores Inline
○ Firewall: muchos sensores inline ofrecen capacidades de firewall para rechazar actividades sospechosas.
○ Regulación del uso del ancho de banda: si algún protocolo es utilizado inapropiadamente, algunos sensores pueden limitar el porcentaje de uso del ancho de banda disponible para prevenir ataques del tipo DoS.
○ Alteración de contenido malicioso: algunos sensores pueden reemplazar parte de los paquetes con contenido malicioso por contenido benigno.
- Ambos tipos de sensores
○ Reconfigurar dispositivos de seguridad en la red: muchos sensores pueden indicarle a otros dispositivos de seguridad como firewalls, routers y switches que cambien su configuración para bloquear algunos tipos de actividades o modificar el ruteo de las mismas.
○ Ejecutar programas de terceros: algunos sensores pueden ejecutar algunos programas determinados por el administrador cuando se detecta un ataque.
Administración de los sistemas basados en red
- Implementación: para la implementación el administrador debe seguir los siguientes pasos:
○ Diseño de arquitectura: debe determinar donde se ubicaran los sensores en la red, lo que significa también que se debe decidir la cantidad de sensores a utilizar así como también el tipo de sensores a utilizar.
○ Testeo de componentes e instalación: implementar un sistema basado en red puede requerir periodos de interrupción de servicio para realizar la instalación.
○ Proteger los componentes del IDPS: los administradores deben asegurarse, para ambos tipos de sensores, que sus direcciones IP no sean asignadas a las interfaces de red utilizadas para monitorear el tráfico. Operar de este modo, sin asignar las direcciones IP a las interfaces de monitoreo, se conoce como modo sigiloso (stealth mode). Este modo mejora la seguridad de los sensores porque evita que otros hosts inicien conexiones con ellos.
Descripción de sistemas Wireless
Introducción a redes Inalámbricas
La gran mayoría de las redes inalámbricas actuales utiliza la familia de estándares IEEE 802.11. Dentro de esta familia podemos encontrar el estándar 802.11a, 802.11b, 802.11g, 802.11n y el más reciente 802.11ac. 802.11b está casi en desuso actualmente por obsolescencia, ya que permitía una tasa de transmisión física máxima teórica de 11Mbps en la banda de 2,4GHz. Los más utilizados son 802.11g -que funciona en la banda de 2,4GHz- y 802.11n -que funciona en las bandas de 2,4GHz y 5GHz. 802.11ac está ganando mercado a medida que se va masificando la producción de chipsets para esta tecnología.
Independientemente del estándar utilizado para las redes de área local inalámbricas (WLAN, por sus siglas en inglés), todas comparten la misma arquitectura. Básicamente hay dos componentes de red:
- Stations (STA): Son los dispositivos finales que se conectan a la red inalámbrica (computadoras portátiles, teléfonos inteligentes, tablets, etc.).
- Access Points (AP): El AP da conexión a las STA a la infraestructura de red o sistema de distribución (referido como DS por sus siglas en inglés de Distribution System). El DS generalmente es una LAN cableada tipo Ethernet.
En cuanto a la topología de conexión, existen dos modos:
- Modo Ad-Hoc: Es la conexión directa entre dos STA sin utilizar un AP.
- Modo Infraestructura: Se utiliza un AP para conectar las STA al DS. En la gran mayoría de aplicaciones se utiliza el modo infraestructura.
Amenazas en WLANs
A diferencia de una red cableada, donde el atacante debe ganar acceso a la red física (ya sea en forma local o en forma remota, vulnerando una terminal), en las redes inalámbricas el atacante debe estar dentro del área de cobertura de la WLAN para poder interceptar el tráfico o generar mensajes.
Para resguardar la privacidad, los diferentes estándares de WLANs implementan cierto tipo de seguridad básica. 802.11a y 802.11b implementaban un mecanismo de encripción denominado WEP. Este mecanismo tiene varias vulnerabilidades bien documentadas. A partir de 802.11g se ha incluido otro mecanismo con seguridad mejorada llamado WPA.
En una WLAN en modo infraestructura los APs publican el nombre de la red para la cual brindan conectividad. Este nombre de red, llamado SSID (por sus siglas en inglés de Service Set IDentifier), es transmitido en texto plano, independientemente de la utilización de WEP o WPA. Basta con que cualquier dispositivo dentro de la cobertura de red haga un escaneo de redes para conocer todos los SSID dentro del alcance.
Componentes de un sistema WIDPS. Sensores.
Los componentes de un WIDPS son básicamente los mismos que en un sistema basado en red IDPS. La principal diferencia radica en los sensores. En las redes inalámbricas, el espectro definido para cada banda está dividido en canales. Los APs indican a las STAs el canal que deben utilizar para comunicarse. La alocación de estos canales puede ser dinámica para minimizar los efectos de Interferencia. Si un sensor tiene capacidad para monitorear un canal a la vez, al momento de cambiar de canal de acuerdo a las indicaciones del AP puede perderse parte del tráfico. Por lo tanto, los sensores, deben tener la capacidad de escuchar en todos los canales o ir tomando varias muestras por segundo de cada canal.
Hay varios tipos de sensores. Entre ellos podemos encontrar sensores pasivos y sensores integrados al AP. Los primeros tienen la ventaja de tener todos los recursos de procesamiento dedicados al monitoreo del tráfico, mientras que el último debe dividirse entre el monitoreo y la conmutación del tráfico.
Los sensores generalmente están conectados a la red física y así tienen conectividad con los servidores de gestión y base de datos. La ubicación de los sensores es un desafío diferente a los sistemas de red física o cableada. Los sensores deben diagramarse de manera que tengan cobertura de RF para monitorear la cobertura de la red inalámbrica.
Funcionalidades de detección de un WIDPS
Además de las funcionalidades básicas de un IDPS, un WIDPS debe proveer las siguientes funcionalidades:
- Identificar los dispositivos inalámbricos (STA y APs) detallando SSID y dirección MAC. Detección de dispositivos no autorizados.
- Inventario de SSIDs. Detección de SSIDs no autorizados.
- Detección de ataques, errores de configuración y violaciones a nivel del protocolo WLAN utilizado. Los WIDPS no examinan capas superiores.
- Detección de dispositivos con mecanismos de seguridad inadecuados (como por ejemplo dispositivos usando WEP).
- Detección de patrones de uso inusuales, como por ejemplo más estaciones de las usuales a una determinada hora, cantidad de intentos fallidos de conexión a la red, etc.
- Detección de uso de scanners de redes inalámbricas.
- Detección de ataques de DDoS como por ejemplo MAC flooding (generar conexiones desde muchas direcciones MAC falsas para llenar las tablas de los equipos) o jamming (generar interferencia inutilizando el espectro).
- Ataques tipo man-in-the-middle que hagan spoofing de dispositivos para lograr impersonar a algún usuario.
- Detección de la ubicación del ataque, triangulando las señales en cada sensor.
Funcionalidades de prevención de un WIDPS
Los sensores de WIDPS pueden proveer dos tipos de mecanismos de prevención:
- Inalámbricos: Al detectar un AP no autorizado los WIDPS pueden desactivarlo enviando mensajes a las estaciones indicando que no lo utilicen.
- Infraestructura: Algunos sensores pueden configurar los switches de infraestructura para bloquear ciertas estaciones no autorizadas.
Descripción de sistemas basados en el comportamiento de la red (NBA)
Componentes del NBA: Las soluciones usualmente tienen sensores y consolas y algunos servidores llamados analyzers. Los sensores monitorean el tráfico de uno o más segmentos de la red.
Arquitecturas de redes: Tal como con el IDPS network-based, una red separada o la red estándar de una empresa, puede ser usada para la comunicación de los componentes del NBA. Si se usan los sensores que recolectan datos de los otros dispositivos, toda la solución completa NBA se puede separar lógicamente de la red estándar. La siguiente figura muestra la arquitectura de una red con IDPS Network-based.
Ubicación de los sensores: A parte de tener que elegir la correcta arquitectura de la red, los administradores tendrán que decidir también donde ubicar los sensores. La mayoría de los sensores NBA pueden ser utilizamos en modo pasivo únicamente como en los IDPS network-based. Los sensores pasivos que van a estar haciendo un monitoreo directo sobre la red estarán ubicados en puntos estratégicos, tales como subredes DMZ (DeMilitarized Zone). Los sensores en línea son usados para el perímetro de la red, para que queden instalados cerca del perímetro del firewall. A veces se instalan entre el firewall y el router de internet para limitar ataques entrantes que podrían saturar el firewall.
Capacidades de seguridad: Los productos NBA proveen de gran variedad de capacidades de seguridad. Hay 4 categorías: Recolección de información, registro, detección y prevención.
- Capacidad de recolección de información: La tecnología NBA ofrece gran capacidad de recolección de información, ya que se requiere el conocimiento de cada estación de la red de la organización que se está monitoreando. Los sensores NBA crean y mantienen automáticamente un listado de las comunicaciones entre hosts de las redes monitoreadas. La información típica que recolectan de cada host incluye, dirección IP y el puerto, sistema operativo, que servicios están entregando, los otros hosts con los que se está comunicando, etc. Constantemente monitorean que esta información no cambie, y de hacerlo crearán un registro.
- Capacidad de registro: La tecnología NBA generalmente registra una gran cantidad de información referente a los eventos detectados. Está información puede ser usada para validar las alertas, para investigar incidentes, y para comparar entre los registros del sistema NBA y los de otro sistema. Los registros incluyen generalmente lo siguiente:
○ Timestamp (Día y hora)
○ Tipo de evento o alerta
○ Calificación en base a la prioridad, gravedad, impacto, confidencialidad, etc.
○ Red, transporte y capa de aplicación del protocolo, dirección IP de origen y destino.
○ Puertos UDP, TCP, ICMP del remitente y destinatario.
○ Campos adicionales del Headers de paquetes.
○ Número de paquetes enviados desde el origen al host para la conexión.
○ Acción de prevención realizada, si es que se realizó alguna.
- Capacidad de detección: La tecnología NBA tiene la capacidad de detectar una gran cantidad de actividad maliciosa. En muchos productos usan lo que se denomina detección basada en anomalías, analizando el tráfico de la red a través de un protocolo establecido. Algunas tecnologías NBA permiten al administrador customizar filtros, que son esencialmente firmas para detectar y detener intrusos. Las características de las capacidades de detección son:
○ Tipos de eventos detectados: Los eventos más comunes detectados por los sensores NBA son:
■ Denegación de servicio (DDOS): Estos ataques implican, por lo general, un gran aumento del ancho de banda, de los paquetes enviados o recibidos y la cantidad de conexiones desde un host inusual.
■ Scanning: Se puede detectar por patrones de tráfico en la capa de aplicación, la capa de transporte y la capa de red.
■ Gusanos: Los gusanos se esparcen rápidamente por todo el host. Se detectan porque generan un gran aumento del ancho de banda y de las conexiones por puertos que normalmente no se usan. Algunos gusanos hacen scanning.
■ Servicios de aplicación inesperados: Estos pueden ser, vpns, puertas traseras, uso de protocolos de aplicación prohibidos, etc. Son detectados a través de un protocolo de análisis, que determina si la actividad de la conexión es consistente con la esperada.
■ Violación de políticas: La mayoría de los sensores NBA permiten a los administradores establecer políticas detalladas, tales como, que host o grupo de host puede o no contactar, durante qué horas, días, etc. A parte de estas políticas establecidas por el administrador, los sensores pueden detectar de forma automática violaciones como, nuevos hosts o nuevos servicios corriendo en un host, los cuales pueden no estar autorizados.
○ Precisión de la detección: Dado que los sensores NBA funcionan detectando desviaciones del comportamiento nominal, serán más precisos detectando ataques que generen un gran incremento del ancho de actividad en la red en un periodo corto de tiempo. Serán mucho menos precisos detectando ataques de pequeña escala, particularmente si accionan lento y no violan las políticas del administrador
○ Ajustes y personalización al sistema: La tecnología NBA hace un relevamiento del tráfico y genera una base del tráfico esperado y un inventario de las características del host. Con cada cambio actualizará estos datos. Como resultado de todo esto no hay mucha customización por hacer aparte de actualizar las reglas del firewall. El administrador deberá ir actualizando los valores de alarma, como por ejemplo, a qué incremento de ancho de banda en un determinado tiempo, se deberá lanzar una alerta. La mayoría de los productos NBA ofrecen también la posibilidad de generar listas negras para hosts y servicios
○ Limitaciones de la tecnología: La tecnología NBA ofrece grandes capacidades de detección, pero también tiene ciertas limitaciones. Una importante es la demora en detectar un ataque. Un cierto delay es inherente al proceso de detección ya que para que se detecte un evento primero debe salirse de lo nominal. Pero en la tecnología NBA esta demora es mayor, consecuencia de su almacenamiento de información, en especial cuando depende del tráfico de routers u otros dispositivos de la red. La información se transfiere al NBA por partes, dependiendo de las capacidades del sistema, de la red y de las preferencias del administrador. Los tiempos pueden llegar a ser hasta de 30 minutos, tiempo para el cual una infección por malware o un ataque DOS ya dañó el sistema. Este delay se podría evitar poniendo sensores que capturen una porción de tráfico y la analicen individualmente en vez de esperar a otros dispositivos. Sin embargo este procedimiento podría consumir muchos recursos del sistema.
- Capacidad de prevención: Los sensores NBA ofrecen gran capacidad de prevención, entre las que se destacan(ordenados por tipo de sensor):
○ Solo pasivo:
■ Finalizando la sesión TCP, un sensor pasivo puede cortar una sesión TCP, mandando paquetes de reset TCP a los dos extremos.
○ Solo en línea:
■ Firewall en línea, la mayoría de los sensores NBA en línea ofrecen la capacidad de firewall que puede ser usado para rechazar o eliminar actividad sospechosa en la red.
○ Ambos, pasivo y en línea:
■ Reconfiguración de otros dispositivos, los sensores pueden reconfigurar otros dispositivos de seguridad de la red, tales como firewalls, routers, etc. La reconfiguración puede implicar bloquear una determinada actividad o rutearla a algún otro lugar, como a una VLAN de cuarentena.
○ Tercera parte, ejecución de un script o un programa: La mayoría de los sensores NBA pueden ejecutar un script o programa indicado por el administrador, al detectar algún tipo de amenaza.
Administración de los productos NBA
La mayoría de los productos NBA ofrecen las mismas capacidades de administración. A continuación vamos a mencionar alguna de estas capacidades:
- Implementación: Una vez seleccionado el producto se deberá diseñar la arquitectura de la red, llevar a cabo un testeo de los componentes, asegurarlos y luego ponerlos en funcionamiento. Una vez funcionando la red, los sensores deben instalarse conjuntamente, para que todos puedan almacenar el mismo punto de partida al mismo tiempo. La capacidad de detección de los sensores durante los primeros momentos de funcionamiento se ven disminuidas en gran medida, ya que estos no tienen información completa de cómo opera el ambiente en forma nominal.
- Operación y mantenimiento: Los productos NBA fueron diseñados para ser operados y mantenidos a través de consola, tal como las IDPS basados en la red. La diferencia principal, radica en que la consola NBA ofrece herramientas de visualización en donde se puede visualizar el tráfico de la red y los ataques.
El mantenimiento de los productos NBA también es muy similar al de los IDPSS basados en la red. La diferencia principal es la aplicación de actualizaciones. Como la mayoría de los productos de la NBA no utilizan firmas, los administradores sólo tienen que probar su identidad y aplicar los cambios al software.
Descripción de sistemas basados en el Host
Un sistema IDPS basado en terminales (hosts) monitorea las la actividad y eventos de ese host en particular, tanto para el tráfico alámbrico como inalámbrico, contra comportamientos sospechosos. El sistema generalmente está compuesto por un agente de software que se ejecuta en el host. Este agente envía información a los servidores de gestión y además, realiza las tareas de prevención.
Existen algunos IDPS basados en hosts que utilizan appliances de red. Aunque se podría pensar que estas soluciones son IDPS basado en red, podemos decir que son basados en hosts porque las tareas que realiza el appliance son casi las mismas que las que realizaría el agente de software instalado en cada terminal.
En cuanto a los agentes, los hay diseñados para servidores, clientes y aplicaciones. Los agentes para servidores monitorean el sistema operativo y algunas aplicaciones comunes. Los agentes para clientes monitorean el sistema operativo del dispositivo y aplicaciones comunes como web browser o email. Los agentes para aplicaciones solo monitorean una aplicación en particular. Este último se lo suele conocer también como IDPS basado en aplicaciones.
Arquitectura de red de un IDPS
La arquitectura de red es muy simple. La mayoría de los agentes se comunican con los servidores de gestión a través de la infraestructura de red encriptando la comunicación.
Los agentes están instalados en casi todos los terminales y en los servidores públicos, generalmente.
Arquitectura del host
Algunos agentes de IDPS modifican la arquitectura de software del host. Instalan una capa de software intermedia entre las diferentes piezas de código (por ejemplo entre el sistema operativo y las aplicaciones) de modo que pueden monitorear, permitir o denegar cualquier información que pasa de una aplicación a otra. Generalmente pasa a través de esta capa el acceso a red, la escritura en el sistema de archivos, la modificación de la registry de Windows y los system calls.
Otros agentes de IDPS no modifican la arquitectura de software del host. Solo se limitan a monitorear los patrones de uso a través de los sistemas de log del host, monitoreo de tráfico, etc. Este tipo de agentes penaliza menos la performance pero tienen menos funcionalidad, sobre todo en lo que hace a la prevención.
La principal limitación de los agentes que modifican la arquitectura de software es que están integrados a muy bajo nivel con el sistema operativo y generalmente, se soporta un número específico de sistemas operativos. Otra desventaja es la penalización de performance.
Si bien desde un punto de vista de arquitectura, la mejor solución sería un IDPS basado en host con un agente que intervenga las comunicaciones internas del host, podemos encontrarnos con casos donde los sistemas operativos no estén soportados por estos agentes o con que la penalización de performance debe ser evitada. En estos casos se puede usar una solución basada en appliances.
Funcionalidades de seguridad
Los IDPS basado en host generalmente brindan las siguientes funcionalidades, además de las descritas para los sistemas IDPS en general:
- Análisis de código para la prevención de malware o ejecución de código no autorizada. Las técnicas de análisis de código pueden ser análisis del comportamiento del código, detección de buffer overflow, monitoreo de system calls y listado de aplicaciones y DLLs.
- Análisis del tráfico de red (similar al que hace un NBA).
- Filtrado de tráfico de red. Funciona como un firewall basado en host.
- Monitoreo del sistema de archivos a través del chequeo de integridad del mismo, chequeo de los atributos y de los intentos de acceso a cada archivo, análisis de los logs del sistema operativo y de las aplicaciones y el control de la configuración de red.
Las funcionalidades anteriores, de acuerdo a la arquitectura del agente que se ejecuta en el host, pueden ser solo de detección o también de prevención. Los agentes que instalan capas de software intermedio, además de la detección y alerta de comportamientos anómalos, pueden disparar mecanismos de prevención ya que están en medio de todos los traspasos de información del sistema.
Otras funcionalidades
Además de las funcionalidades anteriores, los IDPS basados en host pueden también dar las siguientes funciones:
- Restricción de uso de medios removibles (USB por ejemplo).
- Monitoreo de los periféricos multimedia (cámara, micrófono, etc.).
- Monitoreo de procesos en curso (reiniciar procesos que se detuvieron en forma anómala).
- Sanitización del tráfico de red, ocultando información en encabezados y firmas de protocolo que podrían servir para hacer ingeniería inversa de la arquitectura de red.
Limitaciones
- Demoras en la generación de alertas: las técnicas utilizadas para identificar algunos eventos ya ocurridos, se aplican cada cierto número de horas provocando una gran demora en identificar algunos eventos.
- Demoras en la centralización de reportes: generalmente los sistemas están diseñados para enviar sus alertas a los servidores de administración cada cierto tiempo, no en tiempo real, para evitar la saturación de la red. Esto puede generar demoras en iniciar acciones correctivas.
- Utilización de los recursos del host: esta tecnología requiere correr software en los hosts que están siendo monitoreados. Estos agentes pueden requerir una intensa utilización de los recursos del host.
- Conflictos con controles de seguridad existentes: instalar un agente en un host, puede deshabilitar automáticamente controles de seguridad previamente existentes, porque son percibidos como duplicados de la funcionalidad provista por el agente.
- Reinicio de hosts: actualizaciones en el software de agentes y algunos cambios de configuración pueden requerir el reinicio de los hosts siendo monitoreados.
Conclusión
IDPS es una tecnología versátil que prevé mecanismos de prevención y detección para un gran número de escenarios diferentes. Sin embargo, cualquier organización que quiera implementar una solución de este tipo, tendrá que realizar un gran esfuerzo de planificación y personalización para adaptar correctamente la solución a su red.
Este esfuerzo es clave en una implementación de este tipo, ya que como se ha visto, los errores en la configuración de los distintos elementos del sistema constituyen las principales vulnerabilidades de seguridad.
Como ocurre con otras tecnologías de seguridad, también es de vital importancia entender las características y dimensiones de lo que se quiere proteger para seleccionar una solución adecuada; ya que una mala decisión en este sentido puede resultar perjudicial para la seguridad de la red.