Prevención de intrusos y gestión de eventos para sistemas de control
Los IDS/IPS son herramientas diseñadas para monitorizar el tráfico en la red y generar alarmas en caso de que dicho tráfico no sea el esperado. A diferencia de los cortafuegos, permiten acotar mejor el tráfico ya que se basan principalmente en el contenido del mensaje y no sólo en las cabeceras; por lo que se utilizan habitualmente de forma conjunta, de manera que el cortafuegos hace un primer filtrado por origen, destino y puertos y posteriormente el IDS/IPS refina el filtrado según el contenido. Una comunicación puede ser aprobada por el cortafuegos y rechazada posteriormente por el IDS/IPS si no cumple determinados parámetros de la empresa.
La instalación de herramientas de gestión del tráfico de la red, al igual que la de cualquier herramienta de seguridad, requiere una supervisión de las alertas/avisos generados para ser efectiva y descartar tanto falsos positivos como negativos. Hacer esta supervisión de manera local y máquina a máquina puede ser una tarea compleja dependiendo del número de soluciones desplegadas. Para simplificarla, en algunas instalaciones se hace necesario utilizar un sistema de gestión de alertas centralizado, capaz de recoger eventos de varias fuentes y presentarlos de forma homogénea y amigable para un operador o administrador de redes.
Desde CERTSI hemos trabajado para crear una guía de instalación del IDS/IPS SNORT en modo Inline (permitiendo bloquear el tráfico si es necesario, dependiendo de las reglas elaboradas) junto al gestor de eventos SNORBY para la presentación de los datos. La recolección y envío de datos entre ambas herramientas se realiza a través de BARNYARD2. Todas ellas son herramientas libres a disposición de cualquiera que desee mejorar la seguridad de su red.
Es importante tener en cuenta que estas soluciones dependen en gran medida del hardware sobre el que van instaladas y sus capacidades. Las soluciones libres, instaladas sobre sistemas operativos comerciales o libres, no son un sustituto a herramientas específicamente dedicadas para el mismo propósito. Las herramientas específicas tienen en cuenta factores adicionales, como el ancho de banda que pueden analizar por segundo, el número de alertas que pueden gestionar, etc., que deben tomarse en consideración a la hora de seleccionar una herramienta de seguridad para un entorno de producción. Las herramientas seleccionadas también requieren de una parametrización para funcionar de manera segura, que en muchas ocasiones no es abordable y puede requerir la contratación de un servicio de soporte especializado.
El despliegue de las herramientas seleccionadas se realiza siguiendo una arquitectura que permite el acceso a la información almacenada en el gestor de eventos desde una red de gestión pero no se concede acceso al IDS, que solo podrá ser accedido en local para su configuración. Nuestra arquitectura de red tiene, por tanto, tres segmentos diferentes:
- Red de supervisión: Es la red desde la que se controlan los dispositivos de campo. En esta red se disponen equipos como HMI o la estación de ingeniería.
- Red de campo (no confiable): Integra la red de todos los dispositivos que controlan el proceso.
- Red de gestión: Agrupa los dispositivos que se utilizan para visualizar las alertas que se hayan generado en las herramientas de seguridad.
El IDS/IPS gestiona el tráfico entre las redes de campo y supervisión y envía las alertas hacia la red de gestión.
El documento siguiente muestra la arquitectura de despliegue y los pasos necesarios para poder llevarla a cabo y reproducir el montaje.
Cheatsheet Manual Despliegue IDS
- Esquema de despliegue de un IDS/IPS y gestor de alertas -
- Instrucciones de despliegue de un IDS/IPS y gestor de alertas -