domingo, diciembre 03, 2006

Host Intrusion Prevention System

Este artículo explica muy someramente que es un "Host Intrusion Prevention System", elemento de vital importancia en el modelo de seguridad en capas (o en profundidad).

Motivación

Si un ataque logra atravesar las defensas basadas en red (Firewalls, IPS, IDS, NAC, DDoS Defenses, etc.), el último campo de batalla es el propio sistema operativo de la PC o Servidor del objetivo del ataque, por tanto estos deben estar preparados. Otro elemento que hace importante los HIPS, es el hecho de que el tráfico cifrado no puede ser evaluado por las protecciones basadas en red. Las defensas basadas en Host más avanzadas son los "Host Intrusion Prevention System" y son la última barrera entre el atacante y su objetivo.

¿Qué es y qué hace un Host-IPS?

Los HIPS buscan anomalías (o comportamientos anómalos) a nivel del sistema operativo, comprueban los módulos cargados por el núcleo, monitorean la actividad del sistema de achivos, buscan RootKits en el sistema, etc.
Una intrusión exitosa suele ser acompañada por un conjunto de actividades que los HIPS intentar descubrir. Normalmente los intrusos buscan adueñarse o utilizar para algún fin el sistema que atacaron, para esto suelen instalar software que les permita el futuro acceso, que borre sus huellas, keyloggers, software de spamming, virus de tipo botnet, spyware, etc.
En la actualidad los HIPS incluyen funcionalidades como Firewall y Anti-maleware (anti-virus, anti-spyware, etc.).
Los Host IPS son implementados como agentes instalados directamente en el sistema que protegen. Estos monitorean de cerca al núcleo y los servicios, incluso interceptando llamadas al sistema o APIs.

Consideraciones

No todos los HIPS son iguales y debido a que trabajan a muy bajo nivel (interceptando llamadas al sistema y APIs) hay que tener ciertos recaudos a la ahora de elegir:
* Debe ser estable (confiable), sino las aplicaciones pueden no correr correctamente.
* No debe impactar negativamente en el rendimiento del sistema.
* No debe bloquear actividades o tráfico legítimo (sin "falsos positivos").
Si un IPS no cumple con estos requisitos es preferible no tenerlo.
Al igual que con los NIPS o NIDS, es muy importante que tenga un buen motor de detección de anomalías. Si sólo se basa en firmas "signatures" nunca va a detectar "exploits zero-days" (exploits muy recientes para los cuales todavía el vendedor no ha producido parches y no se han hecho firmas que lo detecten).
Antes de hacer una implantación masiva es importante chequear que el producto elegido sea compatible con todas las aplicaciones que se utilizan en los sistemas que se instalen. Hay que tener especial atención en las aplicaciones hechas a medida o pedido (home-grow, custom, etc.).
Es importante que se puedan crear reglas propias y que éstas sean sencillas de construir. Esto es importante porque el vendedor crea las reglas de manera genérica y puede no tener en cuenta problemas de nuestro entorno.
Si en el ambiente hay muchos Host (Desktops o Servers) es importante que provea mecanismos de Administración centralizada así como de reporte. Algunos son administrables vía LDAP e incluso los hay integrables con sistemas de administración de seguridad. Es importante que se puedan instalar las reglas personalizadas en todos los sistemas desde un lugar centralizado, lo mismo es recomendable para la generación de reportes.
Si bien los HIPS son de las mejores herramientas de seguridad, no son infalibles, por lo tanto no reemplazan a los NIPS, Firewalls, VPNs, etc. Y sobre todo: tener HIPS instalados en los sistemas no significa que no siga siendo importante mantener actualizados los sistemas, aplicar todos los parches de seguridad y hacer periódicos análisis de vulnerabilidades.

Finalmente algunos productos comerciales:

Saludos cordiales.-

Referencias:
  • http://www.nss.co.uk/WhitePapers/intrusion_prevention_systems.htm
  • http://www.sans.org/whatworks/wall.php?id=2
  • http://netsecurity.about.com/cs/firewallbooks/a/aa050804.htm