BAQUIA

IDS: la seguridad perimetral más allá del firewall

Por Eduardo de Miguel Cuevas, Departamento de Seguridad TIC de Audea

En la actualidad la herramienta por excelencia de protección contra intrusiones en el perímetro de la red de nuestra empresa está basada en la utilización de firewalls o cortafuegos.

Sin embargo, aunque es una medida necesaria, no podemos afirmar que la seguridad de nuestra información está verdaderamente protegida simplemente con la instalación de un firewall. Sería (salvando las distancias) casi como asegurar que nuestra casa está protegida por tener puertas. ¿Por qué?

Los cortafuegos proporcionan una primera barrera de defensa frente a amenazas externas. Sin embargo, bien una mala configuración del firewall (por ejemplo, reglas de filtrado mal parametrizadas), bien un error en su software o harware, pueden volver completamente inútil su eficacia. Por ello, se vuelve necesaria la utilización de un IDS (Intrusion Detection System) o Sistema de Detección de Intrusos, que vigila la red en busca de comportamientos sospechosos.

Asimilándolo al ejemplo anterior referente a la protección de nuestra casa, si un ladrón consigue atravesar la puerta (firewall) por no ser suficientemente “robusta” (mala configuración), por estar estropeada (error de software o hardware), o porque ha sido forzada, tendríamos a un vigilante dentro que detectaría al intruso.

Ids

Ahora bien, ¿qué actividades anómalas considera un IDS como intrusión? En general, las siguientes actividades:

Reconocimiento. Los intrusos suelen hacer un reconocimiento previo de la red antes de intentar atacarla, utilizando técnicas francamente sencillas pero efectivas, como barridos ping, que permiten realizar una exploración de puertos (por ej: TCP o UDP), identificar el sistema operativo de una máquina, etc. Siguiendo con las diferencias antes comentadas, un firewall se limitaría a bloquear esos “sondeos”, el IDS haría saltar la alarma.

Exploración y ataque. Una vez los intrusos realizan el reconocimiento de la red, ya saben qué objetivo atacar, intentando utilizar brechas del sistema, y pudiendo dejar sin servicio una determinada máquina, haciendo por ejemplo un ataque de denegación de servicio. Una vez más, estos ataques pasarían completamente desapercibidos por el firewall, pero el IDS haría saltar la alarma.

Pongamos un ejemplo. Un firewall bien configurado bloquearía el acceso por puertos y protocolos de comunicaciones, excepto aquellos en los que se desea ofrecer ciertos servicios. Imaginemos que tenemos una empresa y vende sus productos a través de la Web, para lo que necesitamos nuestro servidor web. Para dar el servicio, sería necesario que el puerto TCP 80 estuviera abierto.

¿Primera limitación del firewall? Un hacker tendría la posibilidad de atacar nuestro servidor web a través de este puerto permitido. ¿Segunda limitación del Firewall? Normalmente las reglas, si no se han configurado por personal experto en seguridad, bloquean el tráfico de entrada, no de salida.

Como siempre, en Audea pensamos que la mejor defensa es la prevención!


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios