8 de enero de 2009

Intrusiones y demás amistades.

En los últimos coletazos de 2008, primeros de 2009 tuve la oportunidad de participar en varias sesiones comerciales de los distintos distribuidores de IPS / IDS que hay en el mercado, en concreto estuve en charlas de Juniper, Tipping-point y Checkpoint. Independientemente de las bondades que cada uno de los productos podía ofrecer y de cual podía ser mejor según que red o que compañía pude encontrar frases de bombo y platillo como “mi producto no ofrece falsos positivos”, algo que a mi particularmente me impactó, no obstante tenía razón el comercial, el IPS solo detectaba los ataques que coincidían con firmas o patrones de ataque conocidos, lo que ocurre es que en ciertos entornos, por ejemplo desarrollo, es necesario hacer ciertas consultas que quizás no sean un ataque (al menos en ese entorno específico en esas circunstancias).


IPS Tipping Point
Familia IPS Juniper

IPS de Checkpoint, no veais el ruido que hacen los cacharros xD

Falsos positivos aparte, lo que me quedó bastante claro es que el despliegue de los IDS/IPS suponían una capa de seguridad adicional que formaba parte de la arquitectura de seguridad que estábamos aplicando. Por ejemplo nunca podrá suplir ni detener la propagación de un virus (archivo .exe normalmente) ya que suelen trabajar a nivel 3 de la pila de protocolos TCP/IP.

Otras preguntas que nos planteabamos eran, ¿Dónde lo ubicaremos?, ¿delante de nuestro router de salida a Internet?, ¿delante del firewall que protege al router?, ¿en tal DMZ?, Una forma de saber la respuesta a esta pregunta es hacernos otra, ¿qué queremos proteger?, ¿los Proxy, router, switch, granja de servidores?, ¿puestos de trabajo?, Es fundamental saber la grunularidad que vamos a dar, no es lo mismo saber que este ataque provino de la VLAN 118 que saber que el PC 191.168.10.99 de fulanito está haciendo SYN FLOOD a nuestro switch y tiene a todos los compañeros tomando café y roscón de reyes. Por que no lo olvidemos, ataques desde dentro o ataques desde fuera, siguen siendo ataques al fin y al cabo.

Cambiemos de tercio, ya tenemos el flamante detector de intrusiones (que también previene) en producción, ¿qué políticas aplicamos?, hay que recordar que lo más importante es proteger los servicios, ¿seguro que queremos cortar cierto tipo de tráfico con origen o destino nuestras granjas de servidores?. Es fundamental que un equipo de trabajo analice / estudie la ingente cantidad de información que va a generar nuestro aparato, la filtre, separe el trigo de la paja y “tunee” las políticas, constantemente. Primero cada semana (modo monitor, fail-open activado, lo que necesitemos), cada 15 días, cada meses (existen flujos que solo se dan una vez al mes, o al año), así hasta que todo quede perfectamente engrasado, los flujos que se corten deben ser bien conocidos, inteligentes, la información de las alarmas debe ser util, las estadísticas también, etc.

Solo entonces comenzaremos a tener esa capa adicional de seguridad, solo entonces nos sentaremos un poquito más cómodos, pero sin relajarnos mucho ;-)

Salu2.

0 comentarios: