Sistema de prevención contra intrusiones

IPS en Kirio Control

Kerio Control, una solución de gestión unificada de amenazas, incorpora una arquitectura de análisis de paquetes basada en firmas conocida como detección y prevención de intrusiones (IPS), que supervisa de forma transparente las comunicaciones de red entrantes y salientes para identificar actividades sospechosas. Dependiendo de la gravedad de la actividad, Kerio Control puede registrar y bloquear la comunicación. Regularmente se agregan nuevas firmas a la base de datos de reglas para defenderse de las amenazas emergentes.

El sistema está diseñado para proteger los servidores detrás del firewall de conexiones no autorizadas, generalmente originadas por un bot de Internet o un pirata informático que intenta explotar un servicio disponible. El IPS también está diseñado para proteger a los usuarios de la red de la descarga inadvertida de contenido malicioso o malware, o para mitigar los efectos de un sistema comprometido.


Seguridad del servidor

En muchas implementaciones, los servidores se colocan detrás del firewall y solo los servicios alojados pueden recibir conexiones. Dependiendo del tipo de servicio alojado (por ejemplo, servidor SQL), es posible que el firewall no tenga la capacidad de inspeccionar la conversación real que tiene lugar entre un cliente y el servidor. El firewall es el principal responsable de garantizar que se establezca la conexión, sin permitir ningún otro tipo de acceso de puerta trasera a otros servicios disponibles en el servidor. Lo que este tipo de configuración no aborda es la amenaza potencial de una solicitud o comando que explota una vulnerabilidad en el software del servidor.

Quizás la incidencia más conocida de este tipo de ataque ocurrió en 2001, cuando se desarrolló un gusano para atacar los sistemas que ejecutan el software del servidor web, Microsoft Internet and Information Server. Con la etiqueta "Código rojo", el gusano se programó para enviar una serie de comandos a través del servicio HTTP que provocarían un desbordamiento del búfer en el espacio de memoria del software del servidor. Esto permitió al atacante inyectar y ejecutar código arbitrario en el servidor. Parte de este código incluía la capacidad de redistribuirse rápidamente al afectar a otros servidores que ejecutan el software Microsoft IIS. Este ataque específico resultó en una denegación de servicio al servidor afectado.

Agregar la capa IPS

Mantener actualizado el software del servidor es fundamental para proteger las aplicaciones del servidor de este tipo de amenaza. Los proveedores de aplicaciones actualizan periódicamente su software para corregir las vulnerabilidades de seguridad. Sin embargo, en algunos casos, es posible que no sea posible actualizar a la última versión del software o que el proveedor aún no tenga una solución para una amenaza emergente. Agregar un sistema de prevención de intrusiones proporciona una capa adicional de seguridad para proteger contra amenazas como el gusano Code Red.

El IPS mantiene una base de datos local de firmas, que utiliza para identificar tipos conocidos de ataques. Sin interpretar la comunicación entre un cliente y un servidor, un sistema IPS puede generar una firma de la conexión de red y buscar esta firma en su base de datos local. Este tipo de arquitectura es muy eficaz para combatir la amenaza de un gusano u otro ataque basado en servidor.

Otros tipos de ataques al servidor incluyen adivinación de contraseñas o fuerza bruta, denegación de servicio distribuida, escaneos de puertos o secuestro de sesiones. Estos tipos de ataques generalmente implican intentos de obtener información sobre el software del servidor, como la versión y el desarrollador. Con esta información, el atacante puede investigar las vulnerabilidades en el software del servidor e intentar obtener acceso no autorizado al sistema o realizar acciones maliciosas para evitar que el servidor funcione correctamente. En todos estos casos, el IPS notificará al administrador de esta actividad sospechosa y bloqueará cualquier comunicación si se sabe que causa daño a los servidores protegidos por el firewall.


Mitigación de los efectos de troyanos, gusanos, software espía y otro software malicioso

Aparte de la explotación de los servicios disponibles para las aplicaciones vulnerables, existen otras formas de explotar un sistema operativo. Uno de los enfoques más comunes utilizados por un atacante es llevar una aplicación a un software gratuito. El usuario es engañado para que instale malware mediante la instalación de otra aplicación o simplemente accediendo a un sitio web que ejecuta un script del lado del cliente para instalar el malware. Es posible que estos tipos de aplicaciones no sean evidentes para el usuario, pero pueden programarse para exponer información corporativa confidencial que se encuentre en la computadora infectada. También pueden degradar el rendimiento de una computadora o hacer que otras aplicaciones fallen. Dado que estos programas pueden parecer legítimamente instalados, es posible que el software antivirus no los identifique.

Un sistema de prevención de intrusiones es fundamental para identificar los sistemas que están infectados por este tipo de aplicaciones. El IPS puede identificar que el usuario está intentando inadvertidamente descargar una aplicación no deseada y puede cerrar la conexión, evitando que el archivo llegue con éxito a la computadora del usuario final. En caso de que una computadora previamente infectada ingrese a la red, el IPS también puede identificar y bloquear la actividad del malware instalado. El IPS en Kerio Control trabaja en conjunto con el firewall y las capacidades de filtrado de contenido para evitar la propagación de malware en la red.


Arquitectura

Asegure el rendimiento del software Kerio Control con el dispositivo de hardware Kerio Control Box. Esta caja de rendimiento optimizado le permite aprovechar todas las características del producto Kerio Control en un paquete estable de estado sólido, preconfigurado con Kerio Control y un sistema operativo reforzado. Todos los dispositivos de hardware de Kerio Control Box incluyen la protección y el control adicionales proporcionados por Kerio Antivirus y Kerio Control Web Filter.

(1) Ubicación. Normalmente, un sistema de detección de intrusos reside en la ubicación de la red que recibe una transmisión de toda la actividad de la red. El IPS debe residir en un enrutador de puerta de enlace o firewall, que es responsable del transporte del tráfico IP entre los diferentes segmentos de la red e Internet. Como firewall basado en el perímetro, Kerio Control implementa la prevención de intrusiones "basada en la red". En otras palabras, cualquier tráfico enrutado a través del firewall, entre las redes protegidas e Internet, estará protegido por el IPS de Kerio Control.

(2) Análisis de paquetes. En el núcleo de su tecnología de escaneo, Kerio Control integra un analizador de paquetes basado en Snort . Snort es un sistema IDS / IPS de código abierto que escanea de forma transparente toda la comunicación de la red y proporciona un marco para incorporar reglas personalizadas. Más información está disponible en www.snort.org.

(3) Base de datos. Kerio Control implementa un conjunto de reglas mantenidas por un proyecto patrocinado por la comunidad llamado E merging Threats . Cada regla está firmada digitalmente para garantizar la autenticidad de las actualizaciones, evitando cualquier tipo de manipulación. Las reglas se basan en contribuciones de muchos años de profesionales de la industria y se actualizan continuamente. Más información está disponible en www.emergingthreats.net.

El sistema de prevención de intrusiones de Kerio Control ofrece tres acciones diferentes, según la gravedad del posible ataque:

  • Intrusiones de baja gravedad: ninguna acción
  • Intrusiones de gravedad media: solo registro
  • Intrusiones de alta gravedad: registrar y eliminar

Estos son los ajustes predeterminados, sin embargo, la acción puede ajustarse según las necesidades de la organización. La gravedad se basa en las calificaciones integradas en la regla. Las reglas de gravedad alta tienen la mayor probabilidad de ser un ataque real a la red. Un ejemplo sería la detección de actividad de red de una aplicación troyana. Los eventos de categoría media se definen como sospechosos y potencialmente dañinos, pero tienen la posibilidad de ser una actividad legítima, por ejemplo, una conexión a través de un puerto estándar, utilizando un protocolo no estándar. Una amenaza de baja gravedad puede considerarse una actividad sospechosa que no representa ningún daño inmediato, por ejemplo, un escaneo de puertos de red.


Lista negra de direcciones IP

Además de una base de datos de reglas compuesta por firmas de comportamiento de red, Kerio Control mantiene una base de datos de direcciones IP, a las que se les niega explícitamente cualquier tipo de acceso a través del firewall. Se sabe que las direcciones IP incluidas en esta base de datos son el origen de algún tipo de ataque. En muchos casos, estas direcciones IP se asignaron a empresas legítimas, pero se han reutilizado para actividades ilegítimas, como la distribución de spam. Esta base de datos de direcciones IP se extrae de varias fuentes de Internet y es administrada por organizaciones como Dshield y Spamhaus. Estas listas se almacenan localmente y se actualizan automáticamente.


Falsos positivos y excepciones

La tecnología de detección de intrusiones no es infalible. Al igual que con las soluciones anti-spam, es normal encontrar un pequeño porcentaje de falsos positivos. En otras palabras, las comunicaciones de red legítimas que coinciden con las firmas de actividades sospechosas pueden identificarse erróneamente. Por lo tanto, es necesario proporcionar un método simple para hacer excepciones a la base de datos de firmas.

Cómo ajustar el IPS

  • Revise el registro de seguridad. Cualquier comunicación bloqueada por el motor IPS se informa en el registro de "Seguridad". Los detalles de cada evento, incluido el "ID de la regla", se proporcionan en el registro. Si un usuario informa un problema de conexión en una aplicación específica que utiliza un protocolo permitido, vale la pena revisar el registro de seguridad para detectar la intrusión potencialmente identificada erróneamente.
  • Verifique que la aplicación no esté comprometida. Si el IPS bloquea la comunicación de una aplicación, la aplicación debe ser examinada para asegurarse de que no se haya visto comprometida y que, de hecho, se esté comportando legítimamente.
  • Cree excepciones. Si se debe hacer una excepción a la base de datos de firmas, la ID de la regla tomada del evento de registro se puede agregar al cuadro de diálogo "Firmas ignoradas" en la configuración avanzada de la interfaz de administración de IPS.

Gestión de actualizaciones

Al igual que los virus, cada día se identifican nuevas amenazas. Por tanto, es necesario garantizar que la base de datos de firmas se actualice periódicamente. El motor IPS de Kerio Control busca actualizaciones una vez al día, pero también se puede configurar para verificar cada hora.

La comunidad que rodea a Emergingthreats.net aporta reglas o firmas recientemente agregadas. Kerio contribuye al mantenimiento continuo de estas firmas, al mismo tiempo que anima a los administradores que utilizan el IPS en Kerio Control a participar en el esfuerzo de la comunidad para identificar nuevos ataques y ayudar en el desarrollo de nuevas reglas. Puede encontrar más información en www.emergingthreats.net.


Reglas IPS inherentes

La inspección profunda de paquetes incorporada de Kerio Control actúa como una capa adicional de defensa al monitorear de manera transparente protocolos específicos para garantizar que la comunicación no viole la especificación. También filtra el contenido malintencionado que puede no ser reconocido por la base de datos de firmas. Además de las listas negras y las bases de datos de firmas, Kerio Control combina una serie de funciones automáticas para fortalecer sus capacidades de prevención de intrusiones:

  • Bloqueador de igual a igual. Cuando está habilitado, el firewall monitoreará las conexiones a través de ciertos puertos para identificar y bloquear la actividad de aplicaciones P2P conocidas, que contribuyen en gran medida a la propagación del malware.
  • Bloquear datos binarios ilegales en HTTP. Como parte de su inspección de paquetes, el firewall evitará el uso ilegal de datos binarios en conexiones HTTP.
  • Filtro de vulnerabilidad GDI + JPEG. Un archivo de imagen JPEG diseñado específicamente puede provocar un desbordamiento del búfer en sistemas operativos Windows sin parche, lo que permite la ejecución de código arbitrario (MS04-028). Kerio Control identifica y bloquea la transferencia de este archivo específico a través de protocolos de correo electrónico y web.
  • Pruebas de certificación de ICSA Labs en curso. Como parte de la certificación ICSA (International Computer Security Association) Labs, Kerio Control debe pasar continuamente una serie de auditorías de seguridad, como inundación de sincronización de TCP, rebote de FTP, ataques de intermediario y otras amenazas en evolución.

Resumen

La prevención de intrusiones es una tecnología altamente sofisticada, basada en un gran conjunto de reglas variables. Cada red es única y una supuesta "intrusión" puede estar sujeta a interpretación. El IPS integrado en Kerio Control está diseñado para identificar y bloquear ataques con la mayor precisión posible, mientras mantiene un nivel óptimo de rendimiento de la red.

Funciones del sistema de prevención de intrusiones

  • Analizador de paquetes basado en Snort
  • Base de datos de reglas de amenazas emergentes
  • Base de datos de la lista negra de IP
  • Múltiples niveles de seguridad
  • Manejo de excepciones de falsos positivos

Característica anterior  | Siguiente característica