funcionamiento-de-ids-ips-y-utm-que-es-cada-cosa

Funcionamiento de IDS, IPS y UTM ¿Qué es cada cosa?

Cuando hablamos de mecanismos de gestión de seguridad perimetral, es bastante frecuente encontrarse con dudas respecto a tecnologías diferentes pero a priori “similares” como un IDS y un IPS. Si mezclamos otros conceptos como los UTM la confusión está servida. hoy comentaré brevemente las diferencias entre IDS e IPS y como funciona cada tecnología.

También de te recomiendo consultar este artículo sobre los Principales IDS opensource (software)

IDS vs IPS

¿Qué es un IDS?

Un IDS o Intrusion Detection System es una herramienta que evidentemente detecta cosas pero, ¿cuáles? Podría ser una amplia variedad de eventos, aunque por fortuna los principales desarrolladores de estos sistemas incorporan un considerable número de “firmas” encargadas de definir que es lo que vamos a intentar detectar.

Para cada tipo de red la respuesta será ciertamente distinta, aunque la norma es detectar el tráfico inusual. ¿Inusual? Por describirlo de forma simple, es tráfico que no esperamos y que no queremos en nuestra red. Aquí encontramos diferentes tipos de eventos, desde incumplimiento de políticas de salida (mensajería instantánea, juegos, chats, etc) hasta tráfico ocasionado por un malware o spyware.

ids o Intrusion Detection System

Algo a tener muy en cuenta al implementar un IPS es la ubicación. Hablamos de la ubicación lógica (no del rack), es decir, el segmento de red que vamos a monitorizar con nuestros sensores. Llegados a este punto, cabe mencionar que al no tener recursos ilimitados (algo habitual) no vamos a poder monitorizarlo todo dentro de nuestra red corporativa, así que tendremos que meditar sabiamente sobre qué tráfico es más crítico para nosotros y por tanto deberá ser monitorizado por el IDS.

Si supervisamos el tráfico en un switch interno, como nuestra DMZ/LAN, veremos la actividad relativa a nuestros servidores clave, pero no estaremos viendo lo que ocurre en otras partes de la red.

Un IDS puede monitorizar de forma pasiva más de un segmento y hacerlo con tráfico que un IPS o UTM nunca sería capaz de ver, suponiendo que este se ocurre enteramente en nuestra DMZ/LAN. Por tanto, podría alertarnos si una máquina local comienza a atacar a otras dentro de la red local de la empresa, siendo esta su principal ventaja.

¿Qué es un IPS?

Cuando hablamos de IPS nos referimos a Intrusion Prevention System nos referimos a un sistema capaz de prevenir, por tanto un sistema de protección “activo” capaz de tomar acciones. En su parte principal es un IDS, pero ha tomado vitaminas y puede actuar ante eventos relacionados con el tráfico de la red.

intrusion-prevention-system-o-ips

Los IPS y UTM, por su naturaleza, deben estar en línea (en paralelo) y por tanto tienen la limitación de poder controlar únicamente el tráfico que entra y sale de la zona. Siempre está presente la preocupación de que estén mal configurados, ya que si es así pueden afectar al tráfico legítimo entre un negocio y sus clientes, ocasionando pérdidas.

Y es que un IPS puede tomar decisiones como ignorar (drop), restablecer, descartar o lanzar acciones basadas en scripts personalizados contra nuestro tráfico, algo que puede además cambiar tan pronto se actualicen las firmas del mismo. Sería un problema para el responsable de seguridad informática ocasionar pérdidas de dinero para el negocio, ¿no?.

Consideraciones

Por eso, conviene asegurarse de que no se convierta en un punto de bloqueo para la red, por ejemplo ante el hecho de que la aplicación o incluso la unidad física puedan fallar. Si esto ocurre, la unidad debería estar configurada para dejar pasar el tráfico.

También hay que tener en cuenta los problemas que puede, eventualmente, causar una firma incorrectamente enfocada. Por eso, es conveniente tomarse el tiempo necesario revisando las alarmas y salida de eventos, para cerciorarnos de que las firmas están actuando como se espera. A esto ayuda el tenerlas configuradas en base a rangos protegidos de forma específica.

¿Qué es Unifief Threat Management (UTM)?

Con esto llegamos a los dispositivos basados en software de tipo Unified Threat Management o UTMs. Es una concepción de gestión de ciberseguridad que permite a un administrador monitorizar y administrar una gran variedad de aplicaciones relativas a la seguridad y componentes de infraestructura, desde una consola centralizada.

unified-threat-management

Los UTM, que son normalmente adquiridos como servicios cloud o aplicativos de red, proporcionan un firewall, Intrusion Detection (IDS), antimalware, antispam o filtrado de contenido en un mismo paquete, que puede administrarse o actualizarse fácilmente. También suelen incorporar capacidades de VPN o Red Privada Virtual.

Los módulos UTM empresariales suelen incorporar además otras características más avanzadas, como control de accesos basado en identidad, load balancing (control de carga), Calidad del servicio o QoS, IPS, inspección de certificados SSL y SSH, etc.

La principal ventaja de un sistema de este tipo es la de reducir la complejidad. La principal desventaja, por otro lado, es que puede convertirse en un punto de fallo simple.

Normalmente, los UTM se sitúan entre nuestra LAN o DMZ, quizá en nuestra pasarela de Internet.

Fuentes:

 

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s