Intrusion Prevention Systems

Os sistemas de prevenção de intrusões na rede (IPS, Intrusion-Prevention Systems) são equipamentos de segurança inline que desempenham inspecção de pacotes para identificar e bloquear tráfego malicioso. IPS, que podem ser hardware ou software, são considerados melhorias relativamente aos sistemas de detecção de intrusões (IDS, Intrusion-Detection Systems) que são equipamentos passivos que simplesmente identificam um ataque mas não adoptam nenhuma acção de bloqueio do ataque. Os sistemas de prevenção de intrusões foram desenvolvidos com o objective de responder a ataques em tempo real através de deixar cair os pacotes considerados maliciosos. Os equipamentos procuram as assinaturas de vírus e worms conhecidos e bloqueiam o tráfego. A maioria inclui uma funcionalidade de taxa limite que possibilita ao administrador de redes definir a quantidade de tráfego que pode passar num determinado momento. Esta técnica impede ataques de negação distribuída do serviço (DDoS) nos quais o atacante inunda a rede de comunicações com tráfego considerado legítimo. Os equipamentos IPS utilizam a análise de comportamento para construir a base da actividade normal da rede e para lançar alertas quando ocorre um comportamento anormal.

Uma evolução dos sistemas IDS
Questões acerca do desempenho, latência e disponibilidade continuam por resolver.

A evolução dos produtos de segurança evoluiu deste modo: em primeiro lugar, veio o firewall, a que se seguiu a protecção antivírus e os sistemas de detecção de intrusões que geraram alguma excitação até 2003 quando um analista da Gartner declarou que estes sistemas estariam mortos num espaço de dois anos.
O problema com estes sistemas estava relacionado com o facto de que detectavam com sucesso o comportamento malicioso mas tinham duas falhas. Em primeiro lugar, não paravam o ataque, apenas informavam da sua ocorrência; em segundo lugar, eram submersos com falsos positivos o que comprometia seriamente a sua utilidade.
Em seguida apareceram os sistemas de protecção de intrusões na rede que endereçaram ambos os problemas. Os sistemas IPS foram desenvolvidos para identificar os ataques e, em simultâneo, bloqueá-los através de deixar cair pacotes que eram considerados suspeitos. E foram desenvolvidos com o objectivo de serem mais efectivos no discernimento entre os verdadeiros ataques e os alarmes falsos.
A primeira geração de IPS baseou-se na detecção de assinaturas. Os fabricantes utilizam ‘honeypots’ para recolher código malicioso. Analisavam e criavam assinaturas para cada vírus, worm ou outro tipo de malware. Os fabricantes enviavam actualizações para os equipamentos IPS para reflectirem as novas assinaturas.
A detecção através de assinatura funciona adequadamente se o ataque à rede de comunicações já foi identificado e existe uma assinatura disponível e se o sistema IPS já foi actualizado. No entanto, estes sistemas não impedem os ataques distribuídos de negação de serviço (DDoS), no qual o atacante inunda os servidores Web com tráfego legítimo causando a sua interrupção.
A resposta dos fabricantes a este problema foi a inclusão da funcionalidade de taxa limite aos seus equipamentos. Com esta funcionalidade incluída nos sistemas IPS, os clientes podem definir os limites de tráfego que a rede de comunicações pode aceitar. Na eventualidade de um ataque distribuído de negação de serviço, o sistema simplesmente devolve o tráfego e impede o ataque.
Ainda permanece o problema do que fazer acerca dos ataques ‘zero-day’ ou o problema dos ataques que ainda não tem assinatura. A resposta para estas questões é a identificação de comportamento suspeito na rede de comunicações.
Estes equipamentos baseados em comportamento são desenvolvidos para criar um mapa da rede e dos equipamentos ligados à rede e, em seguida, utilizar conjuntos de regras para de um modo dinâmico bloquear os ataques. A vantagem destes sistemas IPS é a de que podem reagir mais depressa a ataques desconhecidos. A maior parte dos fabricantes disponibilizam estes três tipos de prevenção.
O modo como o sistema IPS funciona baseia-se na instalação inline e inspecciona os pacotes e analisa em tempo real, bloqueando o tráfego mau e deixando o tráfego bom passar.
Apesar dos sistemas IPS estarem constantemente a melhorar, ainda estão bastante distantes da perfeição.
À semelhança de qualquer tipo de equipamento que analisa pacotes, existem sempre preocupações de desempenho, latência e disponibilidade. Apesar de tudo, estamos a falar de equipamentos que abrem cada pacote e conduzem uma profunda inspecção antes de tomar a decisão de deixar cair o pacote ou de o deixar entrar.
Os fabricantes podem afirmar que os equipamentos podem inspeccionar e movimentar o tráfego em tempo real, mas os clientes são aconselhados a testar estas afirmações.
A latência é outra das questões, em particular para VoIP ou tráfego de vídeo.
Existe uma enorme variedade de opções de implementação destes sistemas. Tipicamente os sistemas IPS são implementados em modo inline, que possui a vantagem de não ter um endereço IP, o que significa que não são visíveis ao exterior. Um IPS pode ser implementado como um gateway inline, Quase como um router Layer 3 com um endereço IP atribuído a cada porta. Tal disponibiliza aos gestores de rede maior controlo sobre o modo como o tráfego é redireccionado.
No que diz respeito aos sistemas IPS corporativos, existem algumas questões de usabilidade que tem que ser endereçadas. Em primeiro lugar, a configuração destes sistemas não é fácil. Em segundo, existem diferentes opções de alerta a ter em consideração. Existem ainda funcionalidades de monitorização, forenses e de relatórios que tem que ser analisadas.
Existem duas opções de alta disponibilidade – modo activo/activo, que possibilita auferir da capacidade de processamento de dois IPS; ou activo/standby, no qual um sistema IPS analisa todo o tráfego, e o segundo está em standby no caso do primeiro sistema falhar.
Mas,do mesmomodo que os sistemas IDS foram ultrapassados pelos sistemas IPS, actualmente os especialistas prevêem que os sistemas IPS isolados irão ser incorporados num novo equipamento de segurança.  Este novo equipamento, que alguns designam como a próxima geração de firewalls e outros apelidam de gestão unificada de ameaças (UTM, Unified Threat Management)), irá combinar firewall, VPN, antivírus, IPS e filtros de conteúdos num único equipamento. No entanto, estes equipamentos UTM são mais comuns nas pequenas e médias empresas, nas quais a competência técnica para gerir múltiplos equipamentos de segurança é limitada. Nas grandes empresas, sistemas IPS dedicados continuam a ser a opção.

15 questões acerca dos sistemas IPS
Desempenho e administração são aspectos diferenciadores.

Os sistemas IPS bloqueiam o tráfego através da utilização de três diferentes métodos – assinaturas, controlo de taxas e comportamento de tráfego. Determine qual destes métodos é relevante para a sua rede de Comunicações e, na dúvida, adquira um sistema IPS que possua os três métodos.
Algumas questões centrais:
1. O equipamento possui fonte de energia alternativa? Na medida em que os sistemas IPS são equipamentos inline, vai querer assegurar-se que se mantêm em funcionamento na eventualidade de uma interrupção de energia.
2. Quais são as opções de falha? Implementar um sistema IPS significa que está a criar uma situação em que passa a existir um único ponto de falha no seu perímetro de segurança.
3. Quantas sessões simultâneas o equipamento pode suportar? O sistema IPS tem que ser escalável para suportar picos na procura.
4. Quantas assinaturas são incluídas no sistema IPS? Obviamente, quantas mais melhor.
5. O sistema IPS é bidireccional? Quer que o sistema analise tráfego de entrada e de saída, particularmente para situações nas quais os hackers tentam tomar conta de um equipamento na sua rede de Comunicações e utilizam-no como zombie para, por exemplo, enviar largas quantidades de spam.
6. O equipamento IPS inspecciona os pacotes nos Layers 2 a 7? Alguns equipamentos IPS podem inspeccionar pacotes até ao Layer 4, outros podem analisar até ao Layer 7.
7. Qual a facilidade de configuração? A configuração é uma questão difícil nos equipamentos IPS. Necessita de afinar o equipamento para que, por um lado, não seja uma fonte de falsos positivos e, por outro, não deixe entrar tráfego malicioso.
8. O sistema IPS processa o em tempo real? Os fabricantes reivindicam velocidades de elevadas, mas a velocidade real é mais reduzida. Assegure-se de que testa a velocidade na sua rede de comunicações.
9. Qual é a latência? Em particular com o tráfego VoIP e de vídeo, necessita de ter a certeza que a latência não se torna um obstáculo.
10. Quais os tipos de alertas que o sistema IPS envia? Muitos clientes não confiam no equipamento para adoptar medidas e preferem receber um alerta antes de responder a um ataque. Os clientes necessitam de decidir como é que o equipamento irá responder aos diferentes tipos de ataques.
11. Quais as acções especificas que o sistema IPS adopta quando ocorre uma intrusão? Uma vez mais, pode querer que o sistema IPS bloqueie o ataque ou querer que bloqueie o ataque e avise imediatamente. Pode necessitar desempenhar algumas acções forenses e executar relatórios sobre o ataque.
12. Qual o tipo de sistema de gestão do IPS? Em particular se implementar múltiplos equipamentos, necessita de um sistema de gestão que permita actualizações, a finar as funcionalidades e aceder aos relatórios eficientemente.
13. Como é o painel de controlo? É intuitivo e fácil de utilizar?
14. Qual o tipo de actividades forenses o equipamento comporta? Necessita de um sistema IPS que possa analisar ataques e apontar as vulnerabilidades existentes nas defesas da sua rede de comunicações.
15. Qual o tipo de relatórios disponibilizados pelo equipamento IPS? Necessita de relatórios sucintos e que disponibilizem um elevado nível de inteligência em termos dos incidentes de segurança na sua rede de comunicações.

Boas práticas de implementação
Planeamento, educação e elevada disponibilidade podem contribuir para o sucesso.

Implementar sistemas de prevenção de intrusões na sua rede de comunicações é fácil, se adoptar um plano de seis passos.
1.) Coloque o sistema IPS no local adequado. Dois constrangimentos governam a localização do equipamento IPS. Em primeiro lugar, o desempenho: o sistema IPS tem que ter condições de analisar a carga com um nível aceitável de latência. Em segundo lugar, a cobertura: o sistema IPS necessita de visualizar o tráfego que deve proteger.
O sistema IPS será colocado na orla da rede de comunicações, como no interior de um firewall Internet, ou em frente do servidor. Instale o sistema IPS onde visualize o tráfego mínimo que necessita, com o objective de manter as questões de desempenho controladas.
2.) Ensine ao sistema IPS aquilo que sabe. Sabe mais da sua rede de comunicações do que o sistema IPS. Conhece os sistemas operativos dos servidores, os endereços IP e as subnets, protocolos de aplicação e portas. Quanto mais conhecimento colocar na configuração do sistema IPS, mais provável será que o sistema tenha condições para detector ataques (em particular a protocolos pouco comuns e portas) e menos provável será a existência de falsos positivos.
Os sistemas IPS possuem uma flexibilidade de configuração considerável. Comprehensive configuration makes the IPS better at what it does. Planeie para tirar vantagem do poder do seu sistema ensinando-lhe o mais possível sobre a sua rede de comunicações.
3) Pense em alta disponibilidade. Quando coloca um sistema IPS no caminho critico do tráfego, necessita de ter um plano para quando o software e o hardware deixarem de funcionar. Muitas implementações IPS utilizam interfaces abertas de falha que passam o tráfego de um modo transparente se o sistema IPS deixar de funcionar. São caros mas podem poupar-lhe paragens ainda mais caras. Os sistemas IPS são difíceis de monitorizar porque querem ser invisíveis. Contrariamente a um switch ou a um router, pode facilmente verificar se um sistema IPS está a funcionar correctamente através da visualização do tráfego que passa.
Antes de implementar o sistema IPS, assegure-se que as suas ferramentas de monitorização tem capacidade de identificar a paragem do sistema IPS e isolar esta falha dos restantes componentes. Por outro lado, escreva o plano para o que fazer em caso do IPS parar. Não quer ser surpreendido se existir um problema.
4.) Não bloqueie – em primeiro lugar. Quando implementar o sistema IPS, não o coloque em modo de bloqueio. Os sistemas IPS possuem um modo fácil de colocar o sistema em modo de bloqueio com um único clique — também designado como “o grande botão vermelho”. Quando colocar em funcionamento o sistema IPS inline, vai querer analisar aquilo que seria bloqueado até que esteja satisfeito que o sistema está a funcionar adequadamente e que não gera falsos positivos. Se possuir as ferramentas, poderá similar ataques e verificar se o sistema IPS os identifica.
Assegure-se que não obtêm falsos positivos. Passou os últimos anos sem sistemas IPS – umas semanas mais não irão causar-lhe mais problemas. Estes equipamentos requerem um período de testes mais longo e mais rigoroso do que outros equipamentos de infra-estrutura necessitam.
5.) Obtenha formação. Normalmente os sistemas IPS corporativos e as suas consolas de gestão são algo complicados. Algum tempo dedicado à formação ou a uma auto-aprendizagem intensiva irá permitir retirar o máximo do produto que escolheu. Na generalidade das implementações, os fabricantes ou os VAR irão auxiliá-lo na instalação do produto e disponibilizar a formação necessária.
6.) Planeie a afinação. Um sistema IPS requer menos cuidados do que um sistema IDS porque está focado em código malicioso conhecido, o que significa menos alertas. No entanto, qualquer IPS requer ajustamentos e afinação periódica para optimizar às condições dinâmicas da rede de comunicações. Poderá ter que instalar novas assinaturas e ‘patches’ dos fabricantes manualmente.
Poucos utilizadores de sistemas IPS avaliam e investigam a totalidade dos alertas. Assegure-se de consagrar alguns minutos a cada sessão para afinar as assinaturas, parâmetros de rede e informação da topologia de rede. Se considera o sistema IPS como um parceiro silencioso, continua a ter que agendar algum tempo em cada semana ou mês para executar os relatórios e assegurar-se que tem a protecção que quer, necessita e pela qual pagou.

Funcionamento dos sistemas IPS não é misterioso
Como funciona a intrusão nas redes de comunicação.

Os sistemas de prevenção de intrusões (IPS) na rede são equipamentos inline que se encarregam da inspecção do tráfego de saída e de entrada na rede de comunicações. Após a inspecção do pacote, o equipamento IPS toma a decisão de permitir a sua entrada, bloqueamento ou queda.
Estas decisões são baseadas num variado número de factores.
Os equipamentos IPS baseados em assinatura bloqueiam o tráfego se os pacotes forem identificados como maliciosos, baseado nas características de anteriores ataques de vírus e worms. Os fabricantes recolhem código malicioso, identificam o código e enviam essas assinaturas para os equipamentos IPS. Estes sistemas analisam a entrada de pacotes com o objective de identificar se são semelhantes ao das assinaturas. Em caso afirmativo, deixam os pacotes cair.
Os equipamentos IPS possuem ainda funcionalidades de taxa limite. Um administrador define um conjunto de variáveis para o tráfego e o sistema devolve o tráfego no caso de um ataque de negação de serviço, no qual o atacante tenta inundar a rede com pacotes. Neste caso, os administradores de redes tem que assegurar-se que o tráfego legítimo não é bloqueado. This would apply in the case of an unexpected, but legitimate, spike in traffic.
O terceiro modo como um sistema IPS bloqueia o tráfego é baseado no comportamento do tráfego. Neste cenário, o sistema IPS recolhe informação sobre os padrões de tráfego normais e emite alertas quando algo anormal ocorre. O exemplo mais citado é um servidor que começa a processar largas quantidades de pacotes às três da manhã quando ninguém está a trabalhar. Ou um equipamento hospedeiro que tenta estabelecer uma ligação não usual – por exemplo, um equipamento que, repentinamente, começa a utilizar FTP para enviar grandes quantidades de dados.




Deixe um comentário

O seu email não será publicado