En la actualidad la herramienta por excelencia de protección contra intrusiones en el perímetro de la red de nuestra empresa, está basada en la utilización de Firewall o cortafuegos.
Sin embargo, aunque es una medida necesaria, no podemos afirmar que la seguridad de la nuestra información está verdaderamente protegida, simplemente con la instalación de un Firewall. Sería (salvando las distancias) casi como asegurar que nuestra casa está protegida por tener puertas. ¿Por qué?
Los cortafuegos proporcionan una primera barrera de defensa frente a amenazas externas. Sin embargo, bien una mala configuración del Firewall, (por ejemplo reglas de filtrado mal parametrizadas), bien un error en su software o harware, puede volver completamente inútil su eficacia. Por ello, se vuelve necesaria la utilización de un IDS o sistema de detección de intrusos, que vigila la red en busca de comportamientos sospechosos. Asimilándolo al ejemplo anterior referente a la protección de nuestra casa, si un ladrón consigue atravesar la puerta (FireWall), por no ser suficientemente “robusta” (mala configuración), por estar estropeada (error de sw o hw), o porque ha sido forzada, tendríamos a un vigilante dentro que lo detectaría.
Ahora bien, ¿qué actividades anómalas considera un IDS como intrusión? En general, las siguientes actividades:
– Reconocimiento: Los intrusos suelen hacer un reconocimiento previo de la red antes de intentar atacarla, utilizando técnicas francamente sencillas pero efectivas, como barridos ping, que permite realizar una exploración de puertos (por ej: TCP o UDP), identificar sistema operativo de una máquina, etc. Siguiendo con las diferencias antes comentadas, un Firewall se limitaría a bloquear esos “sondeos”, el IDS hace saltar la alarma!
– Exploración y ataque: Una vez los intrusos realizan el reconocimiento de la red, ya saben qué objetivo atacar, intentando utilizar brechas del sistema, y pudiendo dejar sin servicio una determinada máquina, haciendo por ejemplo un ataque de denegación de servicio. Una vez más, estos ataques pasarían completamente desapercibidos por el Firewall, el IDS haría saltas la alarma!
Pongamos un ejemplo. Un Firewall bien configurado bloquearía el acceso por puertos y protocolos de comunicaciones, excepto aquellos en los que se desea ofrecer ciertos servicios. Imaginemos que tenemos una empresa y vende sus productos a través de la Web, para lo que necesitamos nuestro servidor Web. Para dar el servicio, sería necesario que el puerto TCP 80 estuviera abierto.
¿Primera limitación del Firewall? Un hacker tendría la posibilidad de atacar nuestro servidor Web a través de éste puerto permitido. ¿Segunda limitación del Firewall? Normalmente las reglas, si no se ha configurado por personal experto en seguridad, bloquea el tráfico de entrada, no de salida.
Como siempre en Audea pensamos que la mejor defensa es la prevención, y aprovechamos para recomendar nuestra solución Firewall UTM Netasq indispensable para restringir el acceso a nuestra red, y protegerla de las amenazas internas, y la dilatada experiencia de nuestros expertos técnicos que ajustan la herramienta a las necesidades de tráfico y seguridad su empresa!
Audea Seguridad de la Información
Eduardo de Miguel Cuevas
Departamento de Seguridad TIC.