Problemas conocidos

Las tecnologías de seguridad perimetral han estado en constante evolución desde 1991, fecha en que se produce el primer firewall. Posteriormente se evolucionó a la creación de sistemas detectores de intrusos (Intrution Detection Systems) que ofrecían un análisis más sofisticado en base a inspección de paquetes a nivel de capa 4 (transporte en el modelo OSI) y capa 5 (aplicación en el modelo OSI).

Las desventajas de los sistemas anteriores eran que uno ofrecía protección limitada por el análisis limitado que hacía (firewall), el otro no proporcionaba defensa en tiempo real al momento de un ataque (IDS), sino más bien ofrecía herramientas para determinar el origen y naturaleza de un ataque sin detenerlo.

En el año 2000 se introduce el primer sistema de prevención contra intrusos (Intrution Prevention System) el cual ofrecía la misma funcionalidad del IDS con la diferencia que el IPS sí detiene a los ataques en tiempo real.

Actualmente, la tendencia es solucionar diversos tópicos de seguridad construyendo soluciones integrales bajo el concepto UTM (Unified Threat Management, Administración Unificada de Amenazas). Este concepto permite englobar en una solución a un conjunto de soluciones específicas dirigidas a atender un problema particular.

Naturaleza de los ataques

Existe una gran diversidad de ataques cuyo fin es ganar acceso privilegiado a información específica al interior de las organizaciones o empresas. Adicionalmente existen ataques que pueden provocar negaciones de servicio o ataques que explotan vulnerabilidades del protocolo TCP.

De este modo, se cuentan más de 1200 firmas de ataques que explotan algún hueco de seguridad abierto por algunas aplicaciones que involucran comunicaciones a través de la red. Adicionalmente existen ataques que pueden saturar la capacidad de procesamiento de un equipo degradando su velocidad de respuesta y, en consecuencia, el servicio que proporciona.

Por lo anterior es necesario contar con una herramienta que además de detectar este tipo de ataques, sea capaz de detenerlos en tiempo real sin afectar el desempeño o los servicios que proporciona un equipo.



 

Reflex Security

Reflex Security es un proveedor líder en Sistemas de Prevención de Intrusos (IPS). El producto emblema de la compañía es Reflex IPS el cual combina tecnologías de prevención de instrusos junto con tecnologías de administración unificada de amenazas (Unified Threat Management, UTM).

El centro de la funcionalidad de Reflex IPS es la modularización del núcleo del software. Esto significa que el IPS analiza el tráfico de red usando una combinación de algoritmos basados en detección de anomalías o por semejanza a firmas de ataques. Este sistema puede adaptarse y responder automáticamente a nuevas amenazas de seguridad. Las actualizaciones se hacen vía Internet utilizando comunicaciones protegidas por SSL oSSH.

Este sistema es almacenado en un subsistema innovador llamado “disk-on-chip”. A diferencia de las soluciones basadas la utilización de discos duros, esta solución consiste en almacenar al software IPS y una versión reforzada del sistema operativo Debian Lunix dentro de una tarjeta con memoria flash. Dicha tarjeta es parte de la arquitectura de hardware de un servidor con procesador x86.

Este dispositivo puede ser aplicado en varias partes de la red, desde el perímetro de la red, hasta el núcleo de la misma. Entre las capacidades de respuesta a cada amenaza se encuentran la intercepción de las intromisiones o la simple generación de reportes y alertas. Para proveer esta funcionalidad, el sistema de Reflex IPS está dividido en los siguientes módulos:

  • ScanEval Module: Éste módulo detecta “escaneos” de puertos incluyendo aquéllos que tienen un intervalo de reconocimiento grande. Detecta al mismo tiempo, los “escaneos” generados por equipos infectados dentro de la misma red.
  • SynEval Module: Provee detección de ataques mediante el análisis de flujo anómalo de datos SYN.
  • FloodEval Module: Realiza un análisis de patrones de tráfico anormales con el fin de detectar ataques como negación de servicio o inundación del ancho de banda. Al mismo tiempo, realiza detección de negación de servicio distribuido (DdoS). Las acciones proactivas que realiza son el filtrado de los paquetes maliciosos y el aislamiento de equipos infectados con el fin de evitar su propagación.
  • PermEval Module: Este módulo refuerza la aplicación de permisos basados en el acceso por usuario. Esto ayuda al administrador a asignar los recursos de la red dependiendo del usuario en cuestión. Estas restricciones pueden hacerse a nivel de usuario o grupos de usuarios. Adicionalmente, los permisos a otorgar pueden hacerse a nivel de puerto. Se basa en la definición de listas de control de acceso que determinan qué equipos pueden acceder a otros equipos o redes. Inclusive, se puede forzar a que un usario específico acceda a la red desde una dirección MAC determinada, con eso se previene el hurto de identidades.
  • DataEval Module: Detecta ataques conocidos en base a una Librería de Firmas de Amenazas (Threat Signature Library) la cual es actualizada constantemente. DataEval inspecciona los encabezados de los paquetes así como a los datos contenidos en él. El rango de protocolos inspeccionados van de la capa tres del modelo OSI, hasta la capa siete. La librería compara cada paquete con las firmas de ataques conocidos como virus, gusanos, uso de vulnerabilidades backdoor, desbordamiento de buffers y demás. Este módulo identifica a tres tipos primarios de firmas:
  1. Basadas en vulnerabilidades: Detecta ataques en protocolos, servicios o aplicaciones vulnerables.
  2. Basadas en “exploits”: Este conjunto de firmas identifica a todos los ataques comúnes basados en “scripts” como BackOrifice.
  3. Basadas en políticas: Detectan el uso de aplicaciones comprometedoras como el mensajero instantáneo de AOL.



Para garantizar la máxima protección, la librería de firmas de Reflex IPS es compatible con el estándar de código abierto Snort. Esta combinación provee una máquina de detección de firmas altamente efectiva y confiable.

  • VirusEval Module: Este módulo se encarga de proteger el correo electrónico aplicando los tres métodos primarios de detección de virus:
  1. Búsqueda de firmas de virus: Se hace una comparación byte a byte entre el código recibido y las muestras almacenadas en la base de datos anti-virus.
  2. Método heurístico: Detecta virus desconocidos analizando una cadena de instrucciones similar a los que se encuentran en un tipo definido previamente.
  3. Emulación: Crea un ambiente de simulación en el cual se ejecuta el código del virus para conocer qué acciones llevaría a cabo en caso de ejecutarse en un ambiente normal. Dependiendo de los resultados, dicho contenido es clasificado con un nivel de peligrosidad.


Para asegurar la efectividad del sistema, éste se actualiza con las últimas firmas de virus y con nuevas mtodologías de detección de virus. Entre los formatos de correo a analizar están MIME, MS Internet Mail, MS Mail, MS Outlook 5, etc.

Actualmente, la versión 5.2 incluye módulos extra que abarcan diversas funcionalidades como:

  • Bloqueo de spyware/malware
  • Reconocimiento del entorno de red
  • Gusanos
  • Troyanos y virus
  • Violaciones de acceso
  • Contenido malicioso

Network Discovery es una herramienta que analiza en tiempo real todos los nodos existentes en la red permitiendo al administrador de red descubrir los dispositivos que existen en la misma.

Además, dicho descubrimiento da un contexto a amenazas potenciales al correlacionar eventos en tiempo real.

Network Defender es un módulo que permite poner en cuarentena a nodos que originen una amenaza en la red al aislar su conexión al resto de la red vía bloqueo del puerto del switch al cual esté conectado el dispositivo infectado.

Para mas información acerca de este producto por favor póngase en contacto con nosotros o visite nuestra pagina web.

RealNet, S.A. de C.V.
"Administración y Seguridad de Redes"
Tel: +52 (55) 5219 8656
Fax: +52 (55) 5208 8201

www.realnet.com.mx
courses: Master Scienze umane