Detección y prevención de intrusos

IPS en Kerio Control

Kerio Control, es una Gestión Unificada de Amenazas (UTM), incorpora un análisis (basado en paquetes) de arquitectura de firma el cual se conoce como Detección y Prevención de Intrusos (IPS), el cual monitorea transparentemente la comunicación de red entrante y saliente, de esa forma identifica cualquier actividad sospechosa. Dependiendo de la gravedad de la actividad, Kerio Control bloquea la comunicación. Nuevas firmas del paquete son agregadas regularmente a la base de datos para reforzar la defensa contra nuevas amenazas.

El Sistema está designado para proteger, detrás del firewall, los servidores de conexiones no autorizadas, típicamente originada por un internet bot (robot de internet) o hacker que intente vulnerar un servicio disponible.

El IPS también está diseñado para proteger a los usuarios de la red de posibles descargas con contenido malicioso o malware, asi como mitigar el efecto de un sistema comprometido.


Seguridad del Servidor

En muchas implementaciones los servidores se colocan detrás del firewall, y solo los servicios hospedados pueden recibir conexión. Dependiendo del tipo de servicio hospedado (ej. SQL server) el firewall puede no tener la habilidad de inspeccionar una conversación que se lleve a cabo en tiempo real entre un cliente y el servidor. El firewall es el responsable primario de asegurarse que la se ha establecido la conexión, sin permitir ningún otro tipo de acceso al servicio disponible en el servidor. Lo que este tipo de configuración no direcciona es una amenaza potencial de una solicitud o comado que explote una vulnerabilidad en el servicio de software.

Además un incidente bien conocido es el tipo de ataque ocurrido en 2001, donde un gusano fué desarrollado para atacar el el software del sistema del servidor de red de Microsoft Internet and Information Center. Categorizado como código Rojo, el gusano estaba programado para enviar una serie de comandos a través del protocolo HTTP lo que pudo causar un desbordamiento del buffer (área de almacenamiento temporal) en el espacio de la memoria del software del servidor. Esto permitió al hacker inyectar y arbitrariamente ejecutar codigos en el servidor. Parte de este código incluía la habilidad para redistribuirse rápidamente así mismo infectando otros servidores que corrían el Microsoft IIS software. El resultado de este específico ataque fue la denegación del servicio del servidor afectado.

Agregando la capa IPS

Mantener actualizado el software del servidor es crítico para proteger las aplicaciones de este tipo de amenaza. Los desarrolladores de aplicaciones regularmente actualizan su software para proteger el software de vulnerabilidades de seguridad. Sin embargo en algunos casos (con algunos desarrolladores) puede no ser posible actualizar la última versión del software o el proveedor aún no cuenta con actualización de una amenaza emergente. Agregando un Sistema de Prevención de Intrusos (IPS), provee una capa extra de seguridad de protección contra amenazas como el gusano "Código Rojo".

El IPS mantiene una base local de datos de firmas, la cual se utiliza para identificar los tipos de ataques.

Sin interpretar la comunicación entre un cliente y el servidor, un Sistema IPS puede generar una firma en la conexión de red, y buscar la firma en su base de datos local. Este tipo de arquitectura es altamente efectivo ya que combate la amenaza de un gusano u otro tipo de ataque a servidor.

Otro tipo de ataques incluye adivinación de contraseñas o fuerza bruta, denegación de servicio, escaneo de puertos o secuestro de sesiones. Este tipo de ataque generalmente envuelve intentos de obtener información del software del servidor, como la versión y el desarrollador. Con esta información, los hackers pueden investigar las vulnerabilidades del software del servidor y así obtener lo necesario para ganar acceso al sistema o realizar acciones maliciosas para impedir que el servidor funcione correctamente. En todos estos casos, IPS notificará al administrador sobre actividades sospechosas y bloquear cualquier comunicación si se sabe que puede causar daño a los servidores protegidos por el firewall.


Mitigar los efectos de Troyanos, gusanos, Spyware y otros Malware.

Podemos hacer un lado la explotación de servicios disponibles a aplicaciones vulnerables, existen otros caminos para explotar un Sistema operativo. Un de los enfoques más comunes usado por un hacker es el de cargar aplicaciones en software libre. Se le engaña al usuario para que instale malware a través de la instalación de otra aplicación, o por simplemente acceder a un sitio que correrá el script para instalar el malware. Estos tipos de aplicaciones pueden no ser visibles para el usuario, pero puede estar programado para exponer información sensible de corporaciones que se encuentre en el equipo infectado. Puede afectar degradando el desempeño de la computadora, o causar falla de otra aplicación. Ya que este programa puede parecer ser instalado legítimamente, pueden so ser detectadas por software Antivirus.

Un IPS es instrumental en identificar sistemas que son infectados por esos tipos de aplicaciones. El IPS puede identificar que el usuario está intentando sin darse cuenta de hacer una descarga de aplicaciones no deseadas y puede decidir el cerrar la conexión, evitando que el archive tenga éxito en llegar al usuario final. En caso de que una computadora previamente infectada se coloque en la red, el IPS puede identificar y bloquear la actividad del malware instalado. El IPS de Kerio Control por tanto trabaja en tándem con el firewall y el filtrador de contenido para prevenir que el malware se extienda por la red.


Arquitectura

Asegura el desempeño del software de Kerio Control con el dispositivo hardware Kerio Control Box. Este hardware optimizado permite que se aproveche todas las funciones de Kerio Control en un estable y sólido paquete, está preconfigurado con Kerio Control y un Sistema Operativo fortalecido. Todos los dispositivos de hardware de Kerio Control incluyen protección agregada, control de Sophos Antivirus y filtrado web de Kerio Control.

  1. Ubicación. Típicamente, un Sistema de Detección de Intrusos reside en la localización de la red que recibe la transmisión de toda la actividad de la red. El IPS debe de residir en la entrada del router o firewall, lo cuales son responsables del transporte de tráfico IP entre diferentes segmentos de red en internet. Como un perímetro basado en firewall, Kerio Control está basado -en - red de Prevención de Intrusos. En otras palabras, cualquier tráfico a través del firewall, a través de redes protegidas y del internet, estarán protegidas por el IPS de Kerio Control.
  2. Análisis de paquetes. En base a su tecnología de exploración, Kerio Control integra un analizador de paquetes basado en Snort. Snort es un Sistema Open Source IDS/IPS que escanea transparentemente toda la comunicación de la red, y provee un marco de trabajo que incorpora reglas personalizadas. Para más información de Snort visita www.snort.org.
  3. Base de datos. Kerio Control cuenta con un conjunto de reglas que son mantenidas por un proyecto comunitario llamado Emerging Threats. Cada regla es firmada digitalmente para asegurar la autenticidad de las actualizaciones, previniendo cualquier tipo de manipulación. Las reglas se basan en muchos años de contribución de profesionales de la industria y continuamente son actualizadas. Para mas información visita www.emergingthreats.net.

El Sistema de Prevención de Intrusos de Kerio Control ofrece tres tipos de acciones distintas, dependiendo de la severidad del potencial del ataque.

  • Intrusiones de poca severidad: sin acción
  • Intrusiones de mediana severidad: solo con sesión
  • Intrusiones de alta severidad: con sesión y entrega

Estas son configuraciones preestablecidas, sin embargo esta acción puede ser ajustada de acuerdo a las necesidades de la organización. La severidad se basa en calificaciones incorporadas en la regla. Reglas de alta severidad tienen la mayor probabilidad de ser un ataque real en la red. Un ejemplo podría ser la detección de actividad en la red de una aplicación Troyana. Eventos de categoría media se definen como sospechosos y potencialmente peligrosos, pero tienen una posibilidad de estar legítimamente activos, por ejemplo, una conexión sobre un puerto estándar, usando un protocolo no estándar. Una amenaza de baja severidad podría considerarse actividad sospechosa que no plantea ningún daño inmediato, por ejemplo, una exploración del puerto de red.


Arquitectura

Además las reglas de base de datos conformadas por las firmas de comportamiento de red, Kerio Control mantiene una base de datos de direcciones IP, la cual explícitamente niegan cualquier tipo de acceso a través del firewall. Las direcciones IP incluidas en esta base de datos son conocidas por ser el origen de muchos ataques. En muchos casos, estas direcciones IP son asignadas para legitimar compañías, pero reutilizado para actividades ilegítimas, como la distribución Spam. Esta base de datos de direcciones IP es tomada de varias fuentes de internet, y manejada por organizaciones como Dshield y Spamhaus. Estas listas están almacenadas localmente y se actualizarán automáticamente.


Excepciones y falsos positivos

La tecnología de detección de intrusos no es infallible. Similar al Anti-Spam, es normal encontrar pequeños porcentajes de falsos positivos. En otras palabras, las comunicaciones de red legítimas que coincide con las firmas de actividad sospechosa puede ser mal interpretada. Es por lo tanto necesario el proveer un método simple de hacer excepciones a la base datos de la firma.

Cómo ajustar el IPS

  1. Revisar el registro de seguridad. Cualquier comunicación bloqueada por el motor del IPS es reportada al registro de "seguridad". Los detalles de cada evento, incluyendo el ID de regla son provistos en el registro. Si un usuario reporta un problema de conexión en una aplicación específica que use un protocolo permitido, vale la pena revisar el registro de seguridad de intrusiones potenciales mal interpretadas.
  2. Verificar que una aplicación no esté comprometida. Si una comunicación de una aplicación es bloqueada por el IPS, la aplicación puede ser examinada para asegurar que no ha sido comprometida y de hecho se comporta de forma ilegítima.
  3. Creando excepciones. Si debe hacerse una excepción a la base de datos de firma, el ID de la regla de evento de registro puede agregar al cuadro de dialogo de firmas ignoradas en los ajustes avanzados de la interfaz de gestión del IPS.

Administración de la actualización

Así como los virus, nuevas amenazas son identificadas diariamente. Es por eso necesario el asegurar que la base de datos de firma esté actualizada de forma regular. El motor IPS de Kerio Control revisa actualizaciones cada día, pero puede ser ajustado a hora por hora.

La comunidad de emergingthreats.net contribuye agregando nuevas reglas o firmas. Kerio contribuye con el mantenimiento en curso de las firmas, se alienta a los administradores a usar IPS en Kerio Control para participar en el esfuerzo de la comunidad para identificar nuevos ataques y asistir en el desarrollo de nuevas reglas.


Reglas Inherentes IPS

La inspección profunda de paquetes integrados de Kerio Control actual como una capa adicional de defensa al monitorear protocolos específicos para asegurar que la comunicación no viole la especificación. También filtra contenido malicioso que puede que no sea reconocido por la base de datos de firma. En suma a las listas negras y las bases de datos de firma, Kerio Control combina un número de características automáticas para fortalecer sus capacidades de prevención de intrusos:

  • Bloqueador peer-to-peer. Cuando está activado, el firewall vigilará las conexiones a través de ciertos puertos para identificar y bloquear actividad de aplicaciones P2P, la cual contribuye fuertemente a propagar el malware.
  • Bloqueo ilegal de datos binarios en HTTP. Como parte de su inspección de paquetes, el firewall prevendrá el uso ilegal de datos binarios en HTTP.
  • Filtro de vulnerabilidad GDI + JPEG. Una imagen jpeg diseñada específicamente puede causar un desbordamiento de buffer en el Sistema operativo Windows sin parches, permitiendo la ejecución del código (MS04-028). Kerio Control identifica y bloquea la transferencia de ese archivo específico a través protocolos de correo electrónico y web.
  • Pruebas de certificación de ICSA Labs continua. Como parte de la certificación de ICSA (International Computer Security Association) Labs, Kerio Control continuamente debe pasar un número de auditorías de seguridad.

Resumen

Prevención de Intrusos es una tecnología altamente sofisticada, basada en un gran conjunto de diferentes reglas. Cada red es única, un supuesto intruso puede ser sujeto de interpretación. El IPS de Kerio Control está diseñado para identificar y bloquear ataques con la mayor precisión posible, mientras mantiene un nivel óptimo de desempeño en la red.


Somos Distribuidores Autorizados para México

Un producto estable y la satisfacción del cliente son el resultado del trabajo conjunto de Kerio y su red de Distribuidores y partners autorizados, de la que PYME Apps orgullosamente forma parte.