¿Para cuándo un IPS para pymes?

Negocios

Alfonso Martínez, consultor de seguridad de Audema, explica las ventajas competitivas de un sistema de prevención de intrusiones frente a otras soluciones más genéricas.

Las pymes muestran cada vez un mayor interés por los filtrados IPS, aunque a día de hoy este tipo de tecnología les resulta aún bastante cara y tienden a apoyarse en otro tipo de productos de gama más baja y menos segura. En este contexto, la tendencia de los fabricantes con productos centrados en gran cuenta es diversificar hacia el mercado SMB introduciendo productos disponibles para los presupuestos de las pymes.

Cubrir este nicho dentro del área de seguridad perimetral es una tarea de obligado cumplimiento para los integradores que se dediquen a la seguridad. Y conociendo la capacidad que pueden llegan a tener este tipo de tecnologías, las oportunidades de negocio en todo tipo de mercados no tiene límites. Además, actualmente los proyectos que se abarcan con IPS son de gran valor y envergadura.

Dos de los principales criterios a la hora de elegir una plataforma de IPS son el ancho de banda que puede soportar y la latencia que este dispositivo genere en la red. Los sistemas IPS, al realizar un análisis de todos los puertos, no sólo pueden proteger ante el uso de aplicaciones, sino también frente a cualquier tipo de patrón de datos. Por ejemplo, estos sistemas incluyen un módulo de fingerprinting que evita que un posible atacante conozca qué sistemas operativos y qué tipo de servidores se utilizan, con lo que protege la infraestructura de ataques DOS, malformaciones de protocolo, escaneados de red, avalanchas de tráfico, y ataques SYN, además de contar con firmas de ataques conocidos y desconocidos.

Actualmente, hay tal cantidad de amenazas y existen tantos dispositivos que se conectan a la red que es prácticamente imposible encontrar redes “limpias”, así que implementar un filtrado de tráfico como el que realiza un IPS es fundamental. Es importante además distinguir las zonas de nuestra red con el fin de aplicar distintas políticas para diferentes zonas, ya que es frecuente encontrarse con organizaciones que sólo implementan este tipo de soluciones en la DMZ de la red, olvidando así la protección en segmentos internos para analizar el tráfico de sus usuarios.

También nos podemos encontrar con casos en los que un responsable de TI argumente que no le hace falta un IPS porque ya tienen un firewall, un antivirus o incluso un IDS. Vayamos por partes:

Un firewall es la forma más básica de asegurar la red mediante bloqueos, pero su problema es que no es más que una caja muda. Los firewall sólo saben bloquear este puerto o este protocolo gracias a unas reglas que de forma previa ha creado el departamento de seguridad de la empresa en cuestión. El problema sobreviene cuando tenemos que permitir el tráfico para un determinado puerto o protocolo (pongamos como ejemplo el puerto 80, usado comúnmente para el tráfico http). Tener esto abierto significa abrir el paso a hackers o gusanos. Un firewall inspecciona el tráfico entrante en esos puertos abiertos, pero esta inspección no pasa de la capa 2 ó 3 (se limita a direcciones IP y puertos) y tampoco busca anomalías en el tráfico.

– Un antivirus, cuando está totalmente actualizado e instalado en todos los PC y servidores, teóricamente protege contra algunos ataques. Pero el antivirus sólo protege el propio sistema de virus conocidos a partir del reconocimiento de firmas y, a pesar de los esfuerzos de los fabricantes, muchas veces pasa demasiado tiempo entre la identificación de un nuevo virus o su mutación y la nueva firma para el remedio. Esto sin hablar de los nuevos gusanos que son capaces de mutar en unas pocas horas desde la primera infección, haciendo imposible ser reconocidos por ningún patrón. Por otra parte, la protección de un antivirus es limitada, ya que difícilmente blindará contra un ataque DoS.

– Un IDS (Intrusión Detection System) analiza los paquetes de datos que entran en nuestra red, pero lo hace en modo off-line, esto es, que si detecta un ataque lo único que puede hacer es informar al administrador y a lo sumo resetear esa conexión o cambiar las reglas en los firewalls, creando un escenario reactivo en lugar de proactivo.

Así las cosas, aunque la tecnología IPS es, de momento, un nicho de mercado reducido, este tipo de tecnología aporta gran valor al mercado de la seguridad, ya que la protección ofrecida por soluciones genéricas no es suficiente. Igual que avanza con gran rapidez la forma de atacar nuestras plataformas informáticas, tenemos que avanzar de igual modo en la forma de protegernos.