Hace poco leía sobre si los IDS son realmente efectivos, o una necesidad impuesta por los genios del marketing de fines de los 90, y me puse a pensar que por lo menos hay 3 razones por la que un IDS no va terminar siendo totalmente efectivo.Un IDS no es igual a un Firewall
Muchos managers confunden la complejidad de un IDS al compararlo erróneamente con un Firewall.
Generalmente, una vez que un Firewall ya se encuentra instalado, solamente tendremos que definir la política, que puertos dejar abiertos o filtrados, y mas alla del mantenimiento básico, nos podemos llegar a olvidar del Firewall.
Con un IDS, es totalmente lo opuesto, una vez que esta instalado y en producción, si no estamos continuamente analizando las alertas generadas, el IDS no nos va a servir para nada.
¿ Cual es el propósito de que un IDS nos alerte de un ataque, si no vamos a revisar estas alertas ?
Un IPS tampoco puede dejarse sin atención
Existe también, el mito urbano de que un IPS como puede tomar acciones sobre un ataque, por ejemplo enviando un RST, DROPeando el paquete o filtrando la IP del atacante, no necesita demasiada atención de un analista que deba tomar una decisión ante una alerta recibida.
Esto por supuesto no es verdadero, los IDS/IPS suelen generar gran cantidad de falsos-positivos, y si tomáramos la decisión de configurar nuestro IPS para que tome una acción ante cada alerta de ataque, sin dudas que mas del 50% de los servicios de nuestra Red seria bloqueado erróneamente.
En la realidad, no son muchas las firmas de ataques a las que podemos configurarles una acción de bloqueo con la tranquilidad de que no afecte ningún servicio, para el resto tendremos que generar excepciones para que no bloqueen algún servicio en particular, o simplemente deberemos analizar las alertas sin ninguna acción como si fuera un IDS.
En cualquier caso, todo esto consume mucho tiempo, por lo que es inevitable que también haya un analista detrás de un IPS.
Un IDS/IPS va a ser tan bueno como la persona que lo administra
Si bien hay Firewall's con mayor y menor complejidad, y el administrador debe ser una persona con criterio, básicamente todo va a pasar por que trafico vamos a permitir o no dejar pasar.
Por otro lado, un buen administrador de IDS/IPS va a necesitar tener un profundo conocimiento de vulnerabilidades y ataques.
Si el analista es bueno, rápidamente se puede dar cuenta de que una combinación de alertas no corresponde a un ataque real sino son solo falsos-positivos, o podrá detectar que esa alerta efectivamente corresponde a un ataque que se esta realizando contra la Red.
Diariamente también, nos vamos a encontrar con una cantidad interesante de nuevas firmas de ataques, sobre las cuales el analista deberá tomar la decisión de incluirlas o no en la política, y decidir la acción que el IPS tomara como respuesta a estos ataques. Nuevamente, un error puede significar la perdida de conectividad en la Red, o la posibilidad de que un ataque se realice sin ser detectado.
Es fundamental para que una instalación de IDS/IPS sea exitosa, que el administrador o analista le dedique el 100% de su tiempo.
No hay comentarios.:
Publicar un comentario