La posibilidad de detectar y controlar intrusiones y usos inadecuados de las redes ha sido una preocupacin constante de los responsables de gestin. Con redes ms ubicuas y abiertas, esa preocupacin se transforma en una apremiante necesidad. Para dar respuesta, surgen los Sistemas de Deteccin de Intrusos (IDS).
Al tratarse de un concepto relativamente nuevo, existe una cierta confusin en torno a su funcin. Al hablar con clientes y administradores, se oyen a veces algunas opiniones equivocadas.
En ocasiones, si es necesario implantar un sistema IDS o depende de tales ideas errneas, por lo que no est de ms clarificar los conceptos. A continuacin desarrollamos algunas de ellas
–Si tengo un cortafuegos, no necesito un sistema IDS
Los firewalls estn diseados para detener ciertos tipos de trfico y permitir que pasen otros. Es un dispositivo basado en una determinada norma o poltica. Si la empresa tiene un experto o un grupo en esos cortafuegos, es posible conseguir bastante seguridad utilizando mltiples capas o barreras, as como listas de control de accesos tanto de entrada como de salida.
Por ejemplo, una compaa que ofrece servicios hosting a otras empresas puede dejar libre el acceso en el puerto 80 a todos sus servidores web. Si existe un punto vulnerable en el puerto 80, la tecnologa firewall tradicional no impedir el ataque. Aadiendo un sistema IDS a una cortafuegos al nivel de host o de red, se ofrece a los administradores una forma adicional de detectar intrusos remotos.
–Las VPN son seguras
En muchas ocasiones, se confunden las ventajas de una red VPN con las amenazas que trae consigo. Las VPNs bsicamente toman trfico de una red, encriptan los datos y los envan a una segunda red, donde son desencriptados.
Los datos en movimiento son protegidos mediante la encriptacin. Lo cierto es que en muchos casos, el otro extremo del tnel VPN probablemente no est controlado por la empresa, existiendo el riesgo de abrir una ruta a travs de la red al sistema de la empresa, siendo vulnerable a caballos de Troya ActiveX al tener muchos equipos remotos probablemente plagados de virus.
As, no mejora la seguridad de una red, sino que simplemente extiende el alcance a ordenadores que no estn bajo el control de esa red. Aadir un cortafuegos y un sistema IDS al punto de terminacin de una red VPN es una estrategia inteligente.
–Los IDS no funcionan en entornos de conmutacin
Originalmente, los sistemas IDS fueron diseados para recibir trfico de red de un dispositivo que les enviara una copia de todos sus paquetes de datos. La primera ola IDS funcionaba para redes LAN a la velocidad de 20 Mbps.
Las redes modernas funcionan a 100 Mbps, y utilizan conmutadores para enviar paquetes de datos slo a las mquinas destinatarias. Instalando un sistema IDS en un host slo se detectaran los paquetes dirigidos a ese host, y no en la totalidad de la red. Sin embargo, todos los conmutadores modernos tienen la capacidad de enviar copias de paquetes de datos a uno o ms puertos para poder realizar diagnsticos.
–Resultan difciles de administrar y escalar
Muchos clientes han experimentado malos resultados con las versiones iniciales de las soluciones IDS de los aos 90, porque muchas no ofrecan administracin centralizada.
Tambin solan causar perturbaciones al sistema operativo y ralentizar los servidores. Los modernos IDS incluyen administracin basada en la red, generando informes centralizados, y algunos tambin funcionan junto con sistemas de gestin.
Aunque este impacto contina preocupando, la potencia de los procesadores y la mayora de los servidores tienen suficientes ciclos CPU de reserva para comprobar la seguridad.
– Son una violacin a la privacidad
Los IDS analizan el trfico de red en busca de palabras clave, esquemas o tendencias que puedan indicar la presencia de un hacker.
En malas manos, pueden programarse para capturar el correo electrnico de una persona, recoger informacin sobre los hbitos de navegacin o incluso detectar quin est bajando msica en la Red.
El enfrentamiento clsico entre privacidad de y el derecho de las empresas a monitorizar sus sistemas en busca de evidencia de fraude es una batalla continua; para que un IDS tenga xito deber formarse al personal de seguridad en el manejo de datos que podran contener evidencia de hackers o demostrar la implicacin de un empleado en espionaje corporativo.
Francisco Garca, director tcnico de Enterasys Networks.
