Informe de IPS de Sans Institute

Esta última semana del mes de marzo, Rob VandenBrink del Sans Institute, a través del Internet Storm Center, se hacía eco de un interesante informe en el que había colaborado junto a otros integrantes del propio Sans Institute: "Beating the IPS" (Derrotando a los IPS). En este documento, se comprueba de qué forma se comportan los principales sistemas IPS existentes ante las técnicas de evasión más utilizadas. Las capacidades de productos como Check Point, Cisco, TippingPoint, Fortinet, Paloalto y Snort son analizadas de forma detallada en más de 63 páginas de informe. Es importante destacar que se echan de menos los productos de Stonesoft e Imperva ya analizados en hacktimes pero aún así, se trata de una lectura muy recomendable para entender mejor el funcionamiento de un sistema IPS (Intrusion Prevention System) y repasar las principales técnicas de evasión existentes.

El informe, en formato PDF, puede descargarse en la siguiente dirección: http://www.sans.org/reading_room/whitepapers/intrusion/rss/_34137.

Utilizando la antigua y ya conocida vulnerabilidad MS08-067 de la que se sirvió el gusano Conficker para ser tan devastador hace unos años, se revisa si los diferentes productos IPS son capaces de parar un ataque con una configuración estándar utilizando, además, diversas técnicas de evasión para intentar saltarse el sistema IPS en cuestión en el transcurso de dicho ataque. Entre estas técnicas de evasión destacan las de ofuscación, fragmentación y cifrado y tunelización de las comunicaciones.

Las conclusiones del informe son de lo más curiosas. Los sistemas IPS analizados se muestran eficaces contra ataques automatizados pero contra un atacante con tiempo y recursos, la cosa cambia. El IPS, básicamente, lo que hace es "comprar tiempo" para que la entidad atacada pueda detectar dicho ataque de forma precoz y pueda tomar las medidas oportunas para minimizar el impacto del mismo: añadir nuevas ACLs, bloquear direcciones IP (si el ataque proviene de una única dirección IP) o, incluso, implementar nuevas contramedidas adicionales.

Otro aspecto importante que se deduce del análisis realizado a los principales sistemas IPS, es que se necesita tiempo, dedicación y sobre todo un compromiso de mantenimiento y supervisión constante para que un IPS sea eficaz y una verdadera medida de protección contra posibles atacantes. En la mayoría de los casos, se precisa de un equipo de personas dedicado a supervisar y alimentar el sistema IPS con nuevas firmas y patrones personalizados y adaptados al funcionamiento de cada red donde se encuentre ubicado.

Ante una vulnerabilidad antigua y que debería ser conocida por las firmas de los diferentes productos IPS analizados, sólo Check Point fue capaz de bloquear y parar el ataque usando el perfil predeterminado proporcionado por el fabricante. El resto de sistemas se mostraron prácticamente inútiles ante un ataque de 2008 ampliamente conocido. Otra conclusión importante que se extrae de este punto es que es necesario adaptar y crear una política de seguridad personalizada para cada infraestructura, no se puede confiar ciegamente en los ajustes por defecto que recomiende cada fabricante.

Una última recomendación, aunque pueda parecer de sentido común, es que se debe prestar atención a las diferentes alertas que vaya generando el sistema IPS ya que, si bien es posible que no se detecte un ataque determinado de forma directa, sí que se pueden detectar síntomas e indicios de alguna actividad sospechosa que, seguramente, a la larga derive en algún ataque más concreto.

Fuente: Hacktimes

Suscríbete a nuestro Boletín