Sistema de Prevención de Intrusión

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 16 de marzo de 2013; las comprobaciones requieren 35 ediciones .

El sistema de prevención de intrusiones ( IPS ) es un sistema de seguridad informática o de red de software o hardware que detecta intrusiones o brechas de seguridad y protege automáticamente contra ellas.

Los sistemas IPS pueden verse como una extensión de los sistemas de detección de intrusos (IDS) porque la tarea de rastrear ataques sigue siendo la misma. Sin embargo, difieren en que el IPS debe monitorear la actividad en tiempo real y tomar medidas rápidamente para prevenir ataques.

Clasificación

Network IPS ( Prevención de intrusiones basada en la red, NIPS ): controle el tráfico en una red informática y bloquee los flujos de datos sospechosos.
IPS para redes inalámbricas ( Wireless Intrusion Prevention Systems, WIPS ): verifica la actividad en las redes inalámbricas. En particular, detecta puntos de acceso inalámbricos mal configurados , ataques de intermediarios y falsificación de direcciones MAC .
Análisis de comportamiento de red (NBA ) : analiza el tráfico de red, identifica flujos atípicos, como ataques DoS y DDoS .
IPS para equipos individuales ( Host-based Intrusion Prevention, HIPS ): programas residentes que detectan actividad sospechosa en un equipo.

Historial de desarrollo

La historia del desarrollo de IPS modernos incluye la historia del desarrollo de varias soluciones independientes, métodos de protección proactiva que se desarrollaron en diferentes momentos para varios tipos de amenazas. Los métodos de protección proactiva que ofrece el mercado hoy en día incluyen los siguientes:

Process Behavior Analyzer para analizar el comportamiento de los procesos que se ejecutan en el sistema y detectar actividades sospechosas, es decir, malware desconocido.
Eliminando la posibilidad de infección en la computadora, bloqueando los puertos que ya son utilizados por virus conocidos, y los que puedan ser utilizados por sus nuevas modificaciones.
Prevención de desbordamiento de búfer para los programas y servicios más comunes, que los atacantes utilizan con mayor frecuencia para llevar a cabo un ataque.
Minimizar el daño causado por la infección, impidiendo su posterior reproducción, restringiendo el acceso a archivos y directorios; detección y bloqueo de la fuente de infección en la red.

Análisis de paquetes de red

El gusano Morris , que infectó las computadoras Unix en red en noviembre de 1988, suele citarse como la primera amenaza para invadir contramedidas .

Según otra teoría, las acciones de un grupo de piratas informáticos junto con los servicios secretos de la URSS y la RDA se convirtieron en el incentivo para la creación de una nueva fortificación. Entre 1986 y 1989, el grupo, cuyo líder ideológico era Markus Hess, pasó a sus agencias nacionales de inteligencia información obtenida por ellos mediante la intrusión en las computadoras. Todo comenzó con una cuenta desconocida de apenas 75 centavos en el Laboratorio Nacional. E. Lawrence en Berkeley. [1] Un análisis de sus orígenes finalmente llevó a Hess, que trabajaba como programador para una pequeña empresa de Alemania Occidental y también pertenecía al grupo extremista Chaos Computer Club, con sede en Hamburgo. La invasión organizada por él comenzó con una llamada desde su casa a través de un simple módem, brindándole una conexión con la red europea Datex-P y luego penetrando en la computadora de la biblioteca de la Universidad de Bremen, donde el hacker recibió los privilegios necesarios y ya con ellos se dirigió al Laboratorio Nacional. E. Lawrence en Berkeley. [1] El primer registro se registró el 27 de julio de 1987, y de las 400 computadoras disponibles, pudo ingresar a unas 30 y luego obstruir silenciosamente la red cerrada de Milnet , usando, en particular, una trampa en forma de un archivo llamado Proyecto de Red de Iniciativa de Defensa Estratégica (estaba interesado en todo lo relacionado con la Iniciativa de Defensa Estratégica del presidente Reagan ) [1] . Una respuesta inmediata a la aparición de amenazas externas a la red fue la creación de firewalls , como los primeros sistemas de detección y filtrado de amenazas.

Análisis de programas y archivos

Analizadores heurísticos Bloqueador de comportamiento

Con la llegada de nuevos tipos de amenazas, se recordaron los bloqueadores de comportamiento.

La primera generación de bloqueadores de comportamiento apareció a mediados de la década de 1990. El principio de su trabajo: cuando se detectaba una acción potencialmente peligrosa, se le preguntaba al usuario si permitía o denegaba la acción. Teóricamente, el bloqueador puede prevenir la propagación de cualquier virus , tanto conocido como desconocido . El principal inconveniente de los primeros bloqueadores de comportamiento era un número excesivo de solicitudes al usuario. La razón de esto es la incapacidad de un bloqueador de comportamiento para juzgar la nocividad de una acción. Sin embargo, en programas escritos en VBA , es posible distinguir entre acciones maliciosas y beneficiosas con una probabilidad muy alta.

La segunda generación de bloqueadores de comportamiento es diferente en que no analizan acciones individuales, sino una secuencia de acciones y, en base a esto, llegan a una conclusión sobre la nocividad de un software en particular.

Pruebas de Análisis actual

En 2003, Current Analysis, dirigido por Mike Fratto, invitó a los siguientes proveedores a probar productos HIP: Argus Systems Group, Armored Server, Computer Associates (CA), Entercept Security Technologies, Harris, Network-1, Okena, Tiny Software, Tivoli ( parte de IBM ) y WatchGuard. Como resultado, solo se probaron los siguientes productos en el RealWorld Lab de la Universidad de Syracuse : PitBull LX y PitBull Protector de Argus, eTrust Access Control de CA, Web Server Edition de Entercept, STAT Neutralizer de Harris, StormWatch y StormFront de Okena, ServerLock y AppLock de Okena /Guardia de vigilancia web.

Se formularon los siguientes requisitos para los participantes:

El producto debe permitir la gestión centralizada de la política de seguridad del host, que limita el acceso de las aplicaciones solo a aquellos recursos del sistema que necesitan para funcionar.
El producto debe poder crear una política de acceso para cualquier aplicación de servidor.
El producto debe controlar el acceso al sistema de archivos, los puertos de red, los puertos de E/S y otros medios de comunicación del sistema operativo con recursos externos. Además, una capa adicional de protección debe proporcionar la capacidad de bloquear los desbordamientos de búfer de pila y montón .
El producto debe establecer la dependencia del acceso a los recursos del nombre del usuario (aplicación) o su pertenencia a un grupo en particular.

Después de un mes y medio de pruebas, ganó el producto StormWatch de Okena (posteriormente adquirido por Cisco Systems , el producto se denominó Cisco Security Agent). [2]

Mayor desarrollo

En 2003 se publicó un informe de Gartner que demostraba la ineficiencia de la generación de IDS de la época y predecía su inevitable equipamiento con IPS. Después de eso, los desarrolladores de IDS comenzaron a combinar a menudo sus productos con IPS.

Métodos para responder a los ataques

Después del ataque

Los métodos se implementan después de que se haya detectado un ataque de información. Esto significa que incluso si se evita con éxito un ataque, el sistema protegido puede resultar dañado.

Bloqueo de conexión

Si se utiliza una conexión TCP para el ataque , se cierra enviando a cada uno o a uno de los participantes un paquete TCP con el indicador RST establecido. Como resultado, el atacante no puede continuar el ataque utilizando esta conexión de red. Este método se implementa con mayor frecuencia utilizando sensores de red existentes.

El método tiene dos desventajas principales:

No admite protocolos que no sean TCP que no requieran una conexión preestablecida (como UDP e ICMP ).
El método solo se puede usar después de que el atacante ya haya obtenido una conexión no autorizada.

Bloqueo de registros de usuarios

Si varias cuentas de usuario se vieron comprometidas como resultado de un ataque o resultaron ser sus fuentes, los sensores del host del sistema las bloquean. Para bloquear los sensores se debe ejecutar bajo una cuenta con derechos de administrador.

Además, el bloqueo puede ocurrir durante un período específico, que está determinado por la configuración del Sistema de prevención de intrusiones.

Bloqueo de un host de red informática

Si se detectó un ataque desde uno de los hosts , entonces puede ser bloqueado por los sensores del host o las interfaces de red pueden bloquearse en él o en el enrutador o conmutador con el que el host está conectado a la red. El desbloqueo puede ocurrir después de un período de tiempo específico o al activar el administrador de seguridad. El bloqueo no se cancela debido a un reinicio o desconexión de la red del host. Además, para neutralizar el ataque, puede bloquear el objetivo, el host de la red informática.

Bloqueando un ataque con un firewall

IPS genera y envía nuevas configuraciones al firewall , por lo que la pantalla filtrará el tráfico del intruso. Dicha reconfiguración puede realizarse automáticamente utilizando los estándares OPSEC (p. ej ., SAMP , CPMI ). [3] [4]

Para los firewalls que no admiten los protocolos OPSEC, se puede usar un módulo adaptador para interactuar con el Sistema de prevención de intrusiones:

que recibirá comandos para cambiar la configuración de ME.
que editará la configuración del ME para modificar sus parámetros.

Cambiar la configuración de los equipos de comunicación

Para el protocolo SNMP , IPS analiza y modifica la configuración de la base de datos MIB (como tablas de enrutamiento , configuración de puerto ) mediante un agente de dispositivo para bloquear un ataque. También se pueden utilizar los protocolos TFTP , Telnet , etc.

Supresión de fuente activa

En teoría, el método se puede utilizar si otros métodos son inútiles. IPS detecta y bloquea los paquetes del intruso y ataca su nodo, siempre que su dirección esté determinada de manera única y, como resultado de tales acciones, no se dañen otros nodos legítimos.

Este método está implementado en varios software no comerciales:

NetBuster evita que un caballo de Troya se infiltre en su computadora . También se puede utilizar como un medio para "engañar al que intenta acceder a NetBus" ("engañar a quien intenta entrar en usted con un caballo de Troya"). En este caso, busca malware y determina quién lo lanzó computadora, y luego devuelve este programa al destinatario.
Tambu UDP Scrambler funciona con puertos UDP. El producto no solo actúa como un puerto UDP ficticio, sino que también puede usarse para paralizar el equipo de los piratas informáticos con un pequeño programa UDP flooder.

Dado que es imposible garantizar el cumplimiento de todas las condiciones, la amplia aplicación del método en la práctica aún no es posible.

Al comienzo del ataque

Los métodos implementan medidas que previenen los ataques detectados antes de que alcancen el objetivo.

Uso de sensores de red

Los sensores de red se instalan en el espacio del canal de comunicación para analizar todos los paquetes que pasan. Para ello, están equipados con dos adaptadores de red que funcionan en "modo mixto", para recibir y para transmitir, escribiendo todos los paquetes que pasan en la memoria intermedia, desde donde son leídos por el módulo de detección de ataques IPS. Si se detecta un ataque, estos paquetes pueden eliminarse. [5]

El análisis de paquetes se basa en métodos de firma o de comportamiento.

Uso de sensores host

Ataques remotos , implementados mediante el envío de una serie de paquetes desde un atacante. La protección se implementa utilizando el componente de red IPS, similar a los sensores de red, pero a diferencia de este último, el componente de red intercepta y analiza paquetes en varios niveles de interacción, lo que permite prevenir ataques en conexiones IPsec y SSL / TLS protegidas con criptografía. .
Ataques locales en caso de lanzamiento no autorizado por parte de un atacante de programas u otras acciones que violen la seguridad de la información . Al interceptar las llamadas del sistema de todas las aplicaciones y analizarlas, los sensores bloquean aquellas llamadas que son peligrosas. [5]

Véase también

Notas

↑ 1 2 3 Markus Hess // Wikipedia, la enciclopedia libre.
↑ Características de la prevención - No. 39, 2003 | Computerworld Rusia | Editorial "Sistemas abiertos" . www.osp.ru Consultado el 30 de noviembre de 2015. Archivado desde el original el 8 de diciembre de 2015. (indefinido)
↑ Publicación en Internet sobre altas tecnologías . www.cnews.ru Consultado el 23 de noviembre de 2015. Archivado desde el original el 24 de noviembre de 2015. (indefinido)
↑ Mejora del sistema de seguridad empresarial basado en los productos de CheckPoint Software Technologies . citforum.ru. Consultado el 23 de noviembre de 2015. Archivado desde el original el 24 de noviembre de 2015. (indefinido)
↑ 1 2 Sistemas de prevención de intrusiones: el siguiente paso en la evolución de los IDS | Conexión Symantec . www.symantec.com. Consultado el 30 de noviembre de 2015. Archivado desde el original el 25 de noviembre de 2015. (indefinido)

Enlaces

V. A. Serdyuk. Novedades en protección contra hacking de sistemas corporativos. - Moscú: Technosphere, 2007. - 360 p. - ISBN 978-5-94836-133-8 .
L. Chernyak . Análisis Semántico en Servicio, Sistemas Abiertos, No. 10, 2010
Mike Frato . Descripción general de las soluciones HIP, 2003
A. Prójorov . Protegiendo su presencia en Internet de virus, ComputerPress 6'2005
Débora Radcliff . Strike Back, Redes/mundo de las redes, No. 09, 2000