La arquitectura de motor IPS y su importancia para la seguridad en la red

Por Mundo Contact | 14 enero 2010 | Tecnología

Algunas organizaciones tienen una relación de amor y odio con la tecnología de Sistema de Prevención de Intrusiones (IPS, por sus siglas en inglés), y su primo mayor, el Sistema de Detección de Intrusiones. Por un lado, IPS es vital para proteger contra múltiples ataques de explotaciones en distintas capas de aplicaciones. Estos ataques evaden a menudo defensas usuales de puerto/protocolo establecidas por un firewall, de forma que se necesita para la detección una inspección profunda de los paquetes con IPS. Pero cuando una organización usa una instalación de IPS con bloqueo en línea, muy a menudo los requisitos de procesamiento previenen el uso simultáneo de otras funciones de seguridad.La primer tarea del IPS es bloquear los ataques que llegan a su red. Algunos son herramientas y técnicas conocidas, algunos son desconocidos. El IPS debería poder prevenir ataques en el día 0, para que pueda tener certeza de que sus bienes están seguros.

Es importante que las organizaciones estén conscientes de las aplicaciones, pues refuerzan la política para aplicaciones como P2P e IM. Algunas aplicaciones peer to peer usan ancho de banda de la red valioso y crean senderos no autorizados para la transferencia de datos confidenciales de la compañía. Las soluciones IPS pueden jugar un papel clave en reforzar la política de la compañía para todas las aplicaciones, particularmente IM y P2P.

Check Point ha desarrollado tecnologías IPS que proveen un nuevo nivel de rendimiento para IPS integrados como ClusterXL, SecureXL, y CoreXL. SecureXL es un paquete de software con un API para la aceleración de operaciones de seguridad múltiples e intensivas, que se llevan a cabo por un firewall Stateful Inspection de Check Point. CoreXL es la primera tecnología de seguridad que impulsa completamente procesadores multi-core de propósito general. Presenta un balance de carga avanzado para aumentar el desempeño total de la red para la inspección profunda requerida con el fin de lograr IPS integrado en el firewall. Cuando la tecnología CoreXL se activa, asigna inmediatamente uno o más cores que desempeñan la aceleración SecureXL para actuar también como directores de tráfico. Los otros cores están designados para correr instancias de IPS y firewall en cada core.

Los paquetes pueden llegar en desorden o pueden ser retransmisiones legítimas de paquetes que todavía no han recibido un reconocimiento. En algunos casos la retransmisión puede ser también un intento deliberado de evadir la detección IPS al enviar el payload malicioso en la retransmisión. La capa Passive Streaming Library (PSL) sirve como intermediaria entre las diversas aplicaciones de seguridad y los paquetes de la red. Esta capa le provee a las aplicaciones una corriente de datos coherente con la cual trabajar, libre de varios problemas o ataques a la red. La infraestructura PSL esta empacada con APIs bien definidos llamados los APIs Unified Streaming los cuales son utilizados por las aplicaciones para registrar y accesar a datos transmitidos.

Las funciones principales de los Protocol Parsers son asegurar el cumplimiento de los estándares de protocolo bien definidos, detectar anomalías si existe alguna, y ensamblar los datos para una mayor inspección de otros componentes del motor IPS. Estos incluyen HTTP, SMTP, DNS, IMAP, Citrix y muchos otros. De alguna forma, los protocol parsers son el corazón del sistema IPS. Ellos se registran con el motor streaming (Generalmente PSL), obtienen los datos transmitidos y dividen el protocolo. Cuando los protocol parsers descubren cierto contexto, por ejemplo el HTTP URL, ellos usarán la capa Interface de Administración de Contexto (CMI por sus siglas en inglés) para activar todas las protecciones relevantes para ese contexto específico.

El CMI es responsable por la acción final que se lleva a cabo en el paquete, dadas varias consideraciones, en las que se incluyen: 

•    Estatus de activación de la protección (Prevenir, detectar, inactivo)
•    Excepciones en tráfico o en protección
•    Estatus del modo bypass (La capacidad abierta del software falla)
•    Localiza fallas de estatus de modo
•    Estamos protegiendo solamente la red interna o todo el tráfico

La técnica para encontrar varias signatures en diversos lugares se utiliza para identificar ataques complejos o aplicaciones P2P, y para incrementar la confianza de protecciones simples al buscar mayor evidencia condenatoria. En algunos casos también se utiliza CSI para buscar patrones en varios paquetes y conexiones sin ningún protocolo que analice simultáneamente. Un ejemplo de uso de CSI es la protección CAPICOM que busca uno o tres signatures. Si encuentra un signature, entonces busca otra para validar el hallazgo. Solamente cuando coinciden todos los patrones se activan las protecciones y se ejecuta la acción adecuada.

Un IPS integrado ayudará a su organización a proteger su red de amenazas de capas de aplicación en evolución, sin sacrificar rendimiento o conectividad.