Existen nuevas formas de interceptar el tráfico malicioso en la red. Mientras mejores métodos use su Sistema de Prevención de Intrusos (IPS) para detectar las corrientes malignas, mejores oportunidades tendrá de mantener su red productiva. IntruShield 2.1 de McAfee combina numerosas formas de detección para frustrar amenazas conocidas y desconocidas, la explotación sigilosa de vulnerabilidades, y peligros como epidemias de “gusanos” y ataques de negación de servicio (DoS). IntruShield usa firmas basadas en vulnerabilidades, estrategia que debería prevenir que nuevas cepas de conocidos ataques burlen sus sensores. Incluye una interfaz y un sólido manual para usuarios avanzados. Después de algunas horas de estudiarlo, pudimos crear una firma sencilla que buscaba la petición de una página Web llamada «test.cgi», una indicación de que alguien podría haber estado hackeando nuestro sitio Web. Nos hubiera gustado que el trabajo fuera más fácil, pero los resultados finales fueron satisfactorios. El análisis gramatical de protocolo le permite aplicar al tráfico en cualquier puerto firmas para protocolos específicos, lo que le ayuda no sólo ubicar las violaciones a las políticas, sino también a identificar aplicaciones ejecutando un servicio de red específico para aplicar diferentes reglas al tráfico de Apache y al de IIS, por ejemplo. IntruShield mantiene los perfiles de tráfico en las computadoras de la red, de modo que si alguna comienza a usar cantidades anormales de ancho de banda o a mandar demasiados paquetes, el IPS puede contener su uso para prevenir un ataque DoS. Al combinar protección contra derramamiento del buffer, detección de anomalías de protocolo, firmas basadas en vulnerabilidades, y limitación de tasas de transferencia para proteger contra ataques de DoS, McAfee está seguro de haber creado un dispositivo que protegerá contra ataques “día cero”. Para una buena medición, IntruShield busca por código de intérprete de órdenes para un sistema operativo donde no debería haber uno, una técnica patentada que permite al dispositivo prevenir que los atacantes ejecuten comandos maliciosos aunque logren penetrar la red. IntruShield también incluye un motor de perfiles de estadísticas de anomalías que busca picos inusuales en el tráfico de la red. Estas técnicas descubrirán muchos nuevos tipos de ataques, incluyendo epidemias de gusanos. En nuestras pruebas, IntruShield bloqueó exitosamente todos nuestros intentos de ataque y mostró que puede diferenciar tráfico maligno del bueno incluso cuando se originan en la misma dirección IP. También puede tomar medidas, como cambiar las listas de control de acceso en los dispositivos de la red y enviar ICMP (Internet Control Message Protocol) inalcanzables para engañar a los atacantes haciéndoles creer que los recursos de red no existen. Otras funciones bienvenidas incluyen protección contra spyware y VoIP y la capacidad de inspeccionar el tráfico encriptado. IntruShield aplica una estrategia interesante para configurar las políticas de protección. Agrupa los activos en interfases virtuales en rangos IP o etiquetas de VLAN y aparece como adaptadores de red independientes. Aunque las interfases virtuales introducen complejidad, permiten aplicar diferentes políticas a distintos segmentos de la red o a máquinas específicas, todo en un solo sensor. McAfee ha facilitado la creación de políticas al incluir perfiles preconfigurados. Para extender la visibilidad de IntruShield en la empresa, el sistema envía los eventos de Entercept a IntruShield, lo cual permite la correlación de eventos a través de múltiples sensores y múltiples segmentos de la red. IntruShield brinda algún nivel de protección contra nuevas clases de ataques. Su habilidad para detectar desviaciones en el comportamiento normal de la red es la mejor protección contra ataques “día cero” que hemos visto hasta ahora.