La progresiva sofisticación de los ataques cibernéticos —con el ransomware a la cabeza— vuelve necesario el uso de herramientas para atajar los asaltos de los hackers. De ahí la conveniencia de usar soluciones de protección que incorporen un Sistema de Prevención de Intrusiones o IPS a las redes universitarias.
El IPS (por su nombre en inglés, Intrusion Prevention System) es una herramienta de protección complementaria del tradicional cortafuegos (firewall) y del Sistema de Detección de Intrusiones (IDS, Intrusion Detection System), del que deriva y de los cual incorpora características. Un IPS normalmente combina dispositivos físicos (hardware) con aplicaciones de software. Suele actuar inmediatamente después del cortafuegos y constituye una capa adicional de protección que escanea el tráfico de la red a la caza de contenidos peligrosos.
A diferencia del IDS, que es meramente reactivo y emite alertas al detectar actividades sospechosas, el IPS puede emprender acciones automatizadas sobre cualquier flujo de información en la red. Entre dichas acciones se cuentan:
●Enviar alertas al administrador de la red (como un IDS).
●Descartar paquetes de datos maliciosos.
●Bloquear el tráfico proveniente de la fuente de dichos paquetes.
Al estar colocado entre el punto de origen y el dispositivo destino del tráfico, cualquier archivo malicioso puede ser detenido antes de que llegue al usuario final. Por ejemplo, al revisar los encabezados de los correos electrónicos puede determinar si los mensajes son seguros o no, de acuerdo con su origen. Si se detecta un correo sospechoso, el IPS impide que se entregue a la bandeja de entrada del destinatario. Eso, por ejemplo, puede evitar un ataque por phishing.
Los IPS pueden proteger a una red completa o bien, dedicarse a un solo host. Cada tipo tiene especificaciones precisas y sólo deben instalarse según corresponda, para asegurar que el rendimiento es el adecuado.
Tecnologías de detección
Para integrar el mejor IPS a las redes universitarias se deben tomar en cuenta las necesidades específicas de cada institución. Existen cuatro tecnologías principales para monitorear los paquetes:
●Firmas: recurren a una base de datos de patrones conocidos de ataques a la seguridad de redes y dispositivos. A partir de las coincidencias halladas, establece si es posible que haya un ataque en curso.
●Anomalías: a partir de perfiles que definen las actuaciones regulares de dispositivos y redes, detectan comportamientos anómalos de dispositivos y redes. Para ello, emplea análisis estadísticos de los indicadores de tráfico.
●Políticas de seguridad: de manera similar al funcionamiento de un cortafuegos, controla el tráfico a partir de las políticas establecidas, que deben ser enunciadas de manera muy específica para cada perfil.
●Señuelos: controla un equipo configurado para aparecer como vulnerable a los ataques. Cuando alguno ocurre, lo analiza para determinar cuáles son las políticas de seguridad requeridas para frenarlo antes de que afecte a las redes y las aplicaciones a proteger.
Un IPS puede analizar el comportamiento de la red en su conjunto y cuando algún paquete dañino es detectado, lo desecha para evitar que se extienda por la red. Esta clase de IPS en las redes universitarias ayuda a proteger contra ataques de denegación de servicio (DoS) y aquellos basados en violaciones de privacidad.
Al elegir un IPS también hay que considerar el tipo de protección que se brindará. Hay IPS dedicadas para redes inalámbricas, que monitorean la actividad en las redes inalámbricas y suele recurrir a firmas para detectar los paquetes maliciosos. Esta es, por supuesto, una protección básica en estos días en los que las conexiones WiFi se han vuelto más comunes que las LAN.
Complicaciones de las IPS en redes universitarias
Por supuesto, las IPS no están exentas de potenciales complicaciones. La más grave puede ocurrir cuando detectan un falso positivo. Esto puede tener un gran impacto en las operaciones de la universidad: dada la naturaleza proactiva de la herramienta, puede bloquear automáticamente actividades legítimas, con la consecuente interrupción del trabajo de los usuarios. Una manera de evitarlo es implementar la herramienta de manera gradual y configurarla para que al principio sólo emita alertas. Ello permite analizar las reacciones del sistema y adecuarlas.
Escalar la capacidad del IPS acorde con el ancho de banda utilizado en las universidades puede ser todo un desafío, sobre todo en las condiciones actuales, cuando una gran parte de las actividades escolares y administrativas tienen lugar en línea. Si el tráfico en la red experimenta un pico, si los dispositivos IPS no tienen suficiente capacidad pueden convertirse en un cuello de botella. Por otra parte, aquellos capaces de manejar grandes volúmenes de tráfico suelen ser muy caros. Además, si la red es monitoreada por un solo dispositivo IPS, cualquier falla en él podría interrumpir el funcionamiento de la red. Ello podría forzar a las instituciones educativas a tener instalaciones redundantes, lo cual puede resultar excesivamente costoso.