El uso de dispositivos móviles fuera de la oficina se ha convertido en una puerta de entrada de ataques a las redes corporativas, que deben solventarse con sistemas de prevención de intrusiones (IPS) eficaces que monitoricen todo el tráfico, incluso el encriptado. (F&B 137, mayo-junio 2009)

Hace tiempo que la protección de las redes informáticas dejó de ser una cuestión menor para las empresas. Tanto por la cada vez mayor importancia y confidencialidad de la información que viaja por ellas como por los daños irreparables que un ataque puede causar, las redes corporativas se han convertido en algo tan crítico y crucial como la propia empresa en sí misma. 

Existen tantas necesidades en los sistemas informáticos como tipos de negocio nos podamos encontrar. No obstante, todos ellos han de cumplir una serie de características básicas para protegerse frente a las posibles amenazas. Destacan especialmente el uso de cortafuegos, los mecanismos de encriptación, las soluciones antivirus y antispam y otras herramientas marcadas por la proactividad. Precisamente, el cambio de mentalidad más reciente tiene que ver con tal preocupación por actuar antes de que el daño se produzca. Una política, en definitiva, mucho más inteligente que la de invertir en seguridad cuando nuestros sistemas ya han sido vulnerados. 

En este sentido, los servicios de protección deben hacer frente a estas nuevas preocupaciones, detectando el tráfico dañino y deteniéndolo de inmediato. El objetivo es evitar que el daño potencial causado por cualquier tipo de malware afecte al resto de equipos de nuestra red. De esta forma, se asegura la continuidad del negocio y se reducen notablemente las interrupciones no planificadas en el servicio, lo que acaba desembocando en un aumento de la productividad. El refranero es sabio: la mejor defensa es un buen ataque.

Sistemas de prevención de intrusiones: eficacia y protección global
Ante estos ataques informáticos modernos, que combinan distintas técnicas y llegan desde frentes simultáneos, los sistemas de prevención de intrusiones (IPS) se han revelado como una de las protecciones más eficaces y escalables. La industria del malware es cada vez más compleja, y explora continuamente nuevas formas y caminos para infectar sistemas y redes. 

Los ataques pueden ser tanto internos como externos, por lo que no basta con securizar el perímetro únicamente, y dada la tendencia imperante hacia la movilidad y lo inalámbrico, la protección interna se enfrenta a nuevos desafíos a los que conviene hacer frente con toda la intensidad necesaria. 

En este contexto, los IPS emergen para proteger las redes y los servidores de forma proactiva, mediante la monitorización y la gestión central. Vigilando permanentemente el tráfico y monitorizando el interior de las redes se puede detectar cualquier ataque en la fase más temprana, incluso antes de que llegue a provocar cualquier incidencia en nuestros sistemas. La clave reside en examinar las conexiones tanto del lado del cliente como del servidor, para poder tomar las decisiones oportunas sin incidir en las conexiones normales ni causar interrupciones no deseadas. En caso contrario, nosotros mismos nos estaríamos provocando una denegación de servicio, con la pérdida de productividad y el daño a la propia imagen que ello conlleva. Los negocios modernos no pueden detenerse ni un instante, y menos ante un contexto de crisis económica en la que toda oportunidad de negocio puede ser vital. 

En el caso de existir vulnerabilidades no parcheadas, su utilización resulta determinante para evitar quebraderos de cabeza, gracias a la creación automática de nuevas políticas de seguridad. Así, en el caso de repetirse un ataque similar, el IPS nos defenderá de inmediato. 

Al contrario que los cortafuegos tradicionales, que sólo cubren los niveles 3 y 4 de protección sin detectar los ataques basándose en la carga de los paquetes de datos, los IPS abarcan desde el nivel 2 (control de acceso al medio) hasta el 7 (aplicación), lo que equivale a una protección superior y más completa. 

Su mayor valor reside en detener únicamente el posible tráfico malicioso nada más hacer acto de presencia, mientras que el tráfico legítimo no sufre restricción alguna. De esta forma, la continuidad del negocio y la productividad de los sistemas queda salvaguardada, algo imprescindible para la empresa moderna. 

Seguridad interna y seguridad perimetral: igual importancia para ambas
Hasta hace bien poco, la seguridad perimetral ha sido la «niña mimada» a la hora de proteger las redes corporativas, pero ahora, con la masiva adopción de la movilidad, lo inalámbrico y nuevos dispositivos distintos al ordenador, las reglas del juego han cambiado. El adecuado control de accesos y la contención de posibles intrusiones no se puede llevar a cabo exclusivamente desde el perímetro. Por ello, la seguridad interna ha de gozar del mismo nivel de atención que la externa, ante la difuminación del perímetro provocada por las tecnologías y dispositivos modernos. 

Las redes WiFi, los smartphones e incluso los ordenadores portátiles con los que un trabajador se conecta desde fuera de la oficina son los responsables directos de estos cambios. Sin ir más lejos, si un portátil se infecta al conectarse a Internet en, por ejemplo, un hotel, al volver a la oficina habrá burlado con suma facilidad la barrera externa más férrea. Sólo se podrá evitar que el código malicioso se propague al resto de los equipos de la red mediante la inspección del tráfico externo e interno, ambos de forma simultánea. 

La capacidad, efectividad y nivel de protección de los IPS dan respuesta a estos nuevos desafíos, y por ello no es de extrañar que su uso siga creciendo año tras año en la informática corporativa.

Características modernas de los IPS
Al margen de todo lo expuesto, todo gestor inquieto se habrá hecho a estas alturas las siguientes preguntas: ¿qué tiene que tener un sistema de prevención de intrusiones moderno? ¿Cómo puedo estar seguro de hacer la mejor inversión? 

Junto a las características ya comentadas, como el análisis tanto del tráfico interno como externo, la gestión centralizada o la monitorización permanente, cabe añadir una función revolucionaria, de reciente introducción en el mercado: la inspección del tráfico encriptado. 



Tradicionalmente, se venía produciendo un punto ciego en la seguridad de red cuando del tráfico SSL se trataba. Como los datos estaban encriptados, en ellos podían llegar a camuflarse virus, troyanos, gusanos y demás malware sin hacer saltar alarma alguna. Por ello, los IPS modernos deben ser capaces de inspeccionar el tráfico web encriptado, abriendo tal encriptación nada más recibirla, examinándola detenidamente y, por último, devolviendo tales datos a su estado encriptado antes de entregarlos a su destino final. 

En el caso de que un sitio web sea de nuestra más absoluta confianza, o de que la legislación vigente así lo especifique, también se puede excluir cierto tráfico frente a la inspección de los datos encriptados —el ejemplo más claro sería el de los servicios de banca online—. 

De igual modo, un IPS eficaz ha de ser capaz de detectar y bloquear los ataques dirigidos contra los navegadores web del cliente, dentro de un túnel SSL, así como las amenazas que tengan como objetivo a los servidores. 

Con estas características, podemos estar seguros de que la inversión en un sistema de prevención de intrusiones valdrá la pena. Todo ello, en definitiva, ha de estar enmarcado en una política de seguridad global, que contemple desde la seguridad antivirus y de contenido hasta la totalidad del entorno de red; desde las entradas y los servidores hasta los ordenadores de sobremesa y los dispositivos móviles.