Llegamos a ustedes gracias a:



Reportajes y análisis

Ok y Ko de los sistemas IDP

[01/10/2009] Los sistemas inalámbricos de prevención y detección de intrusiones (IDP, por sus siglas en inglés) monitorean las ondas corporativas con una red de monitores inalámbricos conectados a un servidor central. Estos capturan información del espectro radial y la analizan para detectar puntos de acceso (AP, por sus siglas en inglés) peligrosos, dispositivos y asociaciones no autorizadas, adecuación a las políticas, especificaciones de seguridad incorrectamente configuradas, conductas inusuales y ataques inalámbricos tales como spoofing de MAC y negación de ataques de servicio.

Enseguida, emiten reportes y alertas que se pueden remitir a sistemas de workflow o de seguimiento de fallas o a consolas de administración de red. También se pueden enviar por e-mail o beeper a los administradores. Los sistemas inalámbricos IDP también son capaces de prevenir automáticamente los ataques detectando y clasificando las amenazas.
Este artículo examina los puntos clave para la adopción, criterios importantes de comparación y elección de sistemas IDP inalámbricos, además de consejos para la implementación. 
Tendencias del mercado de IDP inalámbricos
Según Gartner, el mercado de prevención inalámbrica de intrusiones es relativamente estable. Los ingresos globales crecieron 18% entre el 2007 y el 2008, de 119 millones de dólares a 140 millones de dólares, según John Pescatore, analista de Gartner, que proyecta un crecimiento de entre 14 y 15% para el 2009.
Sin embargo, advierte que en este lapso las tendencias de mercado han cambiado. Hace dos o tres años, las compañías compraban IDP inalámbricos para detectar y anular elementos inalámbricos o para protegerse de ataques contra las pocas áreas de la empresa en que estos estaban permitidos. No obstante, dada la cada vez mayor aceptación de los puntos inalámbricos, ahora muchas compañías invierten en estas herramientas para evaluar su vulnerabilidad frente, por ejemplo, a AP incorrectamente configurados, AP peligrosos, PC extrañas que tratan de conectarse a los AP de la compañía, o asociaciones accidentales de las PC corporativas con AP extraños.
"En cualquier entorno denso, uno puede conectarse a la red de la compañía vecina o la del piso de arriba", explica Pescatore. "De manera que lo que hacemos básicamente es desplegar sensores de escucha en el edificio para detectar estas situaciones".
Las herramientas inalámbricas IDP también son consideradas como una mejor práctica en el PCI Data Security Standard, señala John Kindervag, analista senior de Forrester Research. "Las consideramos como un área en crecimiento porque el PCI está fomentando su uso para escaneo inalámbrico", agrega Kindervag.
Principales puntos de comparación y evaluación
Integrado versus superpuesto. Los proveedores de infraestructura de red inalámbrica, como Aruba y Cisco, brindan capacidades integradas de IDP, mientras que otros proveedores ofrecen sistemas superpuestos que se despliegan y administran separadamente desde el sistema inalámbrico operacional. Las herramientas de los proveedores de infraestructura están fuertemente acopladas con los AP del proveedor, los cuales ejecutan la doble función de proveer acceso y escaneo para información relacionada a la seguridad. No obstante, no pueden ejecutar ambas funciones al mismo tiempo, lo cual implica ciertos vacíos de cobertura, advierte Pescatore. Asimismo, indica, generalmente solo monitorean las frecuencias en las que trabaja el propio AP. Por su parte, los sistemas superpuestos proveen sensores en modo de recepción al 100% y monitoreo de seguridad full-time en todas las frecuencias.
Mayormente, afirma Pescatore, las compañías que desean prevenir el uso de redes inalámbricas -así como aquellas que usan tecnologías inalámbricas más antiguas- deben considerar los productos superpuestos. Aquellas que no disponen del presupuesto para este tipo de sistemas de seguridad, o que tienen una reducida exposición de red inalámbrica o pocas demandas de seguridad, pueden cubrir sus necesidades con un enfoque integrado, recomienda.
Paul DeBeasi, analista de Burton Group, coincide en que con un sensor compartido es suficiente para la gran mayoría de empresas. "Solo quienes realmente desean evitar todo riesgo y cuentan con el presupuesto para hacerlo deberían optar por un sensor dedicado," opina.
Chris Roberts, gerente de red y operaciones de seguridad del proveedor de subastas Adesa, escogió el enfoque superpuesto de AirTight Networks porque quería separar las funciones de transporte de datos de las de seguridad. "Me gusta saber que mi producto de seguridad no es también mi producto de transporte de data", explica. "Al final del día, todos los dispositivos pueden fallar, y si bien mantenerlos aislados es más caro, también resulta más puro y obtengo un valor mucho más alto".
Sensor inteligente (o smart) versus delgado (o thin). Dependiendo del método aplicado, el trabajo conjunto de los sensores IDP inalámbricos y los dispositivos puede afectar la gestión de la administración remota y la carga de ancho de banda de la red, subraya el Burton Group. Por ejemplo, con los sensores inteligentes (o smart) una parte del análisis de data se ejecuta en el sensor, reduciendo así la cantidad de data que se envía al dispositivo de análisis. Una desventaja potencial de esta arquitectura es el hecho de que el software de los sensores puede requerir actualizaciones para mantenerse vigente. Con los sensores delgados (o thin), agrega el Burton Group, la data se reenvía al servidor para ser analizada. Aunque algunos proveedores brindan administración de ancho de banda, esta arquitectura genera más tráfico a través de la red y aumenta la carga de procesamiento del servidor, indica el Burton Group.
Ok y Ko de la detección inalámbrica de intrusiones 
OK - Dedicar tiempo suficiente para implantar la herramienta. Ryan Holland, CIO de infraestructura de The Ohio State University, considera que una de las claves de su éxito con el sistema inalámbrico IDP de Aruba fue usar las reglas de customización de la herramienta para definir lo que es un AP peligroso. Como la universidad está ubicada cerca de varias tiendas, inmuebles y departamentos que cuentan con redes inalámbricas, él define explícitamente los AP peligrosos como aquellos que usan identificadores de red de la universidad, pero no aparecen en la lista de AP administrados por su organización. "Podemos ver AP de McDonald's y Panera Bread pero no queremos tomar acciones contra ellos porque son nuestros vecinos conocidos", dice.
En opinión de Holland, desde que Aruba adquirió AirWave -que provee un módulo de detección dentro de su suite de administración inalámbrica- las posibilidades de customización son aún más precisas. Por ejemplo, puede definir puntos peligrosos basándose en características como la intensidad del nivel de una señal que el AP esté conectado tanto a la red inalámbrica como a la normal. Holland también aprecia el hecho de que una vez definidas sus políticas y alertas, el sistema provee inmediatamente un desagregado, clasificando los tipos de AP de la red. Esto ayudó a reducir los miles de AP que el sistema reportaba a poco más de 30. "Pudimos eliminar todo aquello que no valía la pena y reportar solo lo que nos interesaba", afirma. Ya estábamos a una escala humana".
Jon Covington, ingeniero de red senior de la UCLA Medical, señala que la universidad dedica recursos full-time a capitalizar la herramienta AirDefense de Motorola. "Queremos descubrir que hace tal botón, para qué sirve esta alarma", indica. "Además mis superiores necesitan saber si el ROI y el TCO son adecuados, estar seguros de que no solo se trata de un aparato más". Según sus propias palabras, valió la pena. "Hemos logrado esbozar una política de seguridad reforzada para cumplir con los estándares HIPAA (Health Insurance Portability and Accountability Act)", señala.
Covington también reconoce que toma tiempo comprender los volúmenes de data recogidos con este sistema. "Graba todo lo que ve, pero el espacio del disco es limitado", comenta. "Hay que tener claro lo que uno quiere".
En este sentido, indica, las IDP inalámbricas no son aconsejables para personas que se desaniman fácilmente. Covington calcula que en un lapso de dos años, su grupo ha logrado avanzar hasta usar un 65% de los atributos de la herramienta. "No es cuestión de instalarla y dejar que trabaje sola", advierte. "Para obtener buenos resultados hay que involucrarse".
OK - Considerar la integración con una herramienta de administración. Pescatore recomienda que los grupos de seguridad y operaciones traten de trabajar juntos para elegir un sistema que cubra tanto el monitoreo inalámbrico como la seguridad. Esto se debe a que apenas la compañía decide brindar soporte completo al enfoque inalámbrico, la gente de help desk comienza a recibir llamadas de usuarios que no pueden acceder a la red, y el área de operaciones tiene que determinar a qué se debe el problema -el punto de acceso, interferencias o el cliente PC-. Air Magnet es un proveedor que comienza por los aspectos de performance y capacidad, para luego agregar atributos de seguridad, destaca.
Roberts opina que las capacidades de administración de AirTight fueron una gran razón para justificar la inversión en una solución superpuesta, especialmente en su entorno exterior, donde la instalación de IDP inalámbricos y puntos de acceso fue particularmente costosa, llegando a requerir el uso de de un montacargas de tijera y personal especializado.
"Cuando tomamos la decisión de usar un sistema autónomo, sabíamos que íbamos a absorber costos extra para culminar el trabajo", recuerda. Sin embargo, como el sistema de AirTight también ejecuta tareas de administración, Roberts señala que ahorraron 40 mil dólares en analizadores inalámbricos, que cuestan alrededor de mil dólares cada uno.
"Los sensores de AirTight proveen acceso directo a la data, de manera que uno puede extraer paquetes sobre la marcha y remitirlos directamente al analizador de software de la PC. Hasta ahora la industria no había podido combinar estos dos atributos". Los ingenieros de red de Adesa también destacan la capacidad de resolver problemas en tiempo real con los clientes, finaliza.
En el estado de Ohio, los sensores de Aruba envían data al controlador AirWave, que provee monitoreo, reporte, configuración, visualización y detección de riesgos. Aunque por el momento Holland no ha puesto a prueba todos los atributos, ve mucho potencial de futuro en el entorno descentralizado de la universidad. Por ejemplo, si otro departamento que usa una infraestructura inalámbrica diferente, como Cisco, quiere ser administrada por el grupo de servicios centralizados de Holland, no habría inconveniente porque AirWave trabaja con distintos proveedores. "Podríamos administrarlo desde un solo lugar", señala.
KO - Subestimar el impacto en el ancho de banda. Holland insiste en la importancia de buscar un balance entre granularidad de data y ancho de banda. Si bien el sistema Aruba no es muy exigente en cuanto al ancho de banda, indica, sí incrementa la carga en términos de administración y procesamiento a nivel de los controladores, "hay que evaluar si la red puede soportar este incremento", advierte.
Esto tiene especial validez para las organizaciones que trabajan con oficinas remotas. "Si tienes una filial conectada a la sede con un enlace a 180-kilobit y el sensor comienza a utilizar toda la capacidad, no puedes aguantar mucho tiempo", asegura Pescatore. Para redes con poco ancho de banda es preferible optar por proveedores que brindan mayor procesamiento en el punto de acceso y reducen la data que ingresa a la red.
KO - Esperar precisión de los servicios de ubicación. Diversas herramientas IDP inalámbricas ofrecen servicios de ubicación que, según InfoTech, se basan en una tecnología de triangulación para calcular la posición física de determinado dispositivo inalámbrico, asegurando precisión en un perímetro de tres metros si tres puntos de acceso pueden detectar la señal.
Algunos también añaden autenticación de posiciones basada en zonas, la cual permite que los clientes accedan a la data desde AP específicos de la red o creen zonas de autenticación basándose en la ubicación del cliente. Fuentes de InfoTech aseguran que hay una gran demanda de esta tecnología.
Sin embargo, Holland precisa que las capacidades de ubicación de cualquier producto dependen completamente del diseño de sonido. Por ejemplo, indica, en la universidad los AP están colocados de manera tal que son incapaces de determinar una ubicación maliciosa a través de la triangulación.
En realidad, aunque los proveedores aseguran que pueden brindar la ubicación precisa de un AP peligroso a mal configurado, explica Pescatore, por lo general se limitan a analizar un par de cubículos o un rincón del edificio. Esto se debe a que en cualquier edificio hay demasiadas cosas, como metal, que pueden bloquear las señales de AP, y en la mayoría de casos la ubicación tiene más que ver con los puntos en que hay potencia o conexiones Ethernet que una triangulación de calidad. Así lo resume Pescatore, "no se dejen seducir por las capacidades de ubicación".
Holland utilizó los servicios de ubicación de Aruba y los sellos de tiempo para colaborar con una investigación sobre un estudiante que enviaba spam, a las cuentas de la universidad. "Gracias a estos atributos los detectives pudieron confrontar al acusado diciéndole que sabían dónde había estado en determinado momento. Con información de ese tipo, el sospechoso difícilmente puede negar los hechos".
Roberts declara haberse sentido muy impresionado con los servicios de ubicación que, sin mediar mayor trámite, AirTight fue capaz de desplegar durante la demo de un producto. La herramienta detectó un AP malicioso ubicado a tres oficinas de donde se encontraban y que, según supo luego, su equipo había instalado el mes anterior para otra evaluación. "Estaba a solo algunos metros de nuestra posición", recuerda.
OK - Usar la prevención automática con moderación. Holland no usa nunca las capacidades de prevención automática de Aruba. En lugar de eso, revisa semanalmente los reportes sobre AP peligrosos detectados en la red.
En cada caso, verifica cuándo fue descubierto, por qué AP, con qué fuerza de señal y durante qué intervalo en la red. Solo cuando lo ha confirmado, su equipo va al lugar donde la amenaza fue detectada para una investigación física. "La experiencia nos ha demostrado que en la mayoría de situaciones se trata de alguien que configuró mal su laptop mientras trataba de conectarse", señala.
Holland también puede contener a distancia los AP que cumplen ciertos criterios, evitando así que los usuarios caigan en ese AP mientras la gente de Holland realiza la constatación.
OK - Tenga en cuenta la facilidad de uso, ownership y operación. Roberts señala que la administración automatizada de AirTight y sus atributos de setup fueron algunas de las principales razones por las que escogió ese producto, teniendo en cuenta la necesidad de ingresar dispositivos conocidos y puntos de acceso. Con 800 puntos de acceso, el login, la revisión de la data de login y la detección de vulnerabilidades hubieran podido tomar hasta 15 minutos por dispositivo, sin mencionar las auditorías de seguridad. En cambio, con AirTight, la administración de dispositivos ni siquiera requiere una posición permanente. "Eso es parte del trabajo de la persona inalámbrica, le toma alrededor de 20% de su tiempo", calcula. "La automatización de AirTight ha alcanzado el rango del 90%".
"Ahora que el enfoque inalámbrico tiene mayor aceptación, la gente comienza a darse cuenta de que no siempre necesitan el mejor sistema en términos de seguridad; sino un sistema que esté a su alcance", señala Pescatore. Hay que examinar las herramientas disponibles en base a sus capacidades de reporte, su interfase de usuario y la información adicional que provee, para ayudar a distinguir situaciones como un ataque de negación de servicio de la interferencia producida por un microondas averiado, agrega.
Para Covington es especialmente valioso el hecho de las capacidades de reporte del AirDefense de Motorola sean amigables para el usuario. Mientras otras herramientas requieren que uno mismo exporte la data en un reporte separado, éste permite construir los gráficos favoritos del ejecutivo, customizar reportes y enviarlos con toda facilidad a la gente que necesita estar al tanto de ellos. En cuanto a los atributos menos intuitivos, dice que su equipo trabaja directamente con Motorola para determinar dónde puede incrementarse la facilidad de uso. "Sin ese feedback, ellos no podrían saberlo", indica.
KO - Pasar por alto los costos que no tienen que ver con el software. Cuando se trata de costos de IDP inalámbricos, el hardware es solo uno de los elementos, comenta Roberts.
Es fácil subestimar los costos de cableado, paneles solares y paquetes de baterías para los sensores, especialmente cuando se trata de implementaciones externas. "Lo que debe preocuparnos no son los costos de hardware, sino los costos eléctricos que implica suministrar potencia y conectividad a la red".
OK - Evaluar la cobertura de nuevas tecnologías inalámbricas. Conforme aparezcan nuevas tecnologías como 802.11n, WiMAX  y servicios de celdas de data 3G, cada vez habrá más usuarios que lleven AP peligrosos a su centro de trabajo, como ocurrió inicialmente con los inalámbricos, señala Pescatore.
"Hay formas más rápidas de sistemas inalámbricos que irán aún más lejos que 802.11 y WiFi", asegura. Las tarjetas Air son otro de los elementos que los empleados o los visitantes pueden introducir a través de sus laptops, ya sea por descuido -dejándolas correr- o a propósito para burlar un bloqueo de UTL. Algunas herramientas inalámbricas IDP detectan estas tecnologías recientes, pero no todas lo hacen, advierte Pescatore.
Mary Brandel, CSO (US)