tipo de dispositivos podemos utilizar para prevenção de invasões uma rede Segurança de dados Segurança de informação Cisco ESA DLP

Que tipo de dispositivos podemos utilizar para a prevenção de invasões a uma rede?

O que é e como funciona um IDS?

Um Sistema de Detecção de Intrusão (em inglês, Intrusion Detection System - IDS) é um sistema que monitora uma rede em busca de eventos que possam violar as regras de segurança dessa rede. Dentre esses eventos, destacam-se programas realizando atividades que fogem ao seu comportamento comum, malwares, e invasões de nós.

O IDS funciona coletando os dados dos usuários e armazenando-os, analisando padrões comportamentais, fluxo de dados, horários, dentre outros. Com essas informações, aliado ao conhecimento prévio de padrões de ataque, é possível discernir se o evento em questão é um evento malicioso ou não.

A coleta dos dados dos usuários é feita de variadas formas, desde mecanismos de entrada e saída, como mouse e teclado, a arquivos salvos em seus computadores; tabelas de regras, etc. Também é possível analisar a camada de Rede do protocolo TCP/IP e analisar o tipo de fluxo, pacotes que entram e saem, conexões estabelecidas, dentre outros.

O IDS executa então, sobre os dados coletados dos usuários e do fluxo de rede, em tempo real, algoritmos buscando evidências que comprovem uma ação maliciosa. Uma vez detectada, o IDS executa então a ação que melhor corresponde àquela atividade maliciosa, estando dentro das possibilidades alertar ao administrador de rede, no caso de um IDS passivo, ou bloquear o fluxo de dados, no caso de um IDS ativo.

É de suma importância realçar que nem o sistema de detecção nem o sistema de prevenção de intrusões são um antivírus, ou seja, não reconhece ameaças locais como trojans e worms. Eles também não são utilizados como registro de rede e tampouco são ferramentas que avaliam e buscam as vulnerabilidades da rede. Em outras palavras, são ferramentas de monitoramento e não de diagnóstico de segurança.

Outra questão é sobre a importância da configuração de um IDS. O maior problema relacionado a isso é o número de falsos positivos e de falsos negativos que um IDS pode gerar, esses números quando muito elevados podem levar o sistema à se tornar menos eficaz. Em casos de muitos falsos positivos o sistema se torna inútil por achar ameaças com muita frequência, inclusive em casos de tráfego completamente normal, enquanto falsos negativos demais o sistema tem dificuldades em identificar ameaças. Logo, a boa configuração do IDS está diretamente relacionada com a eficácia do sistema.

Diferenças entre IDS e IPS

Um IDS passivo é projetado para detectar ameaças e informar ao administrador da rede sobre a atividade maliciosa detectada. O sistema de prevenção de intrusão (em inglês, Intrusion Prevention System - IPS), por outro lado, representa o comportamento de um IDS ativo, ou seja, é projetado com o objetivo de bloquear automaticamente a atividade maliciosa, seja por configuração de firewalls e comutadores ou outras técnicas, como encerramento de conexão via envio de pacotes reset.

Figura 2.1: Comparação entre o funcionamento do IDS e IPS.
Fonte: //upload.wikimedia.org/wikipedia/commons/1/13/Ips-vs-ids-short.png - (Sob Reutilização Não Comercial).

A Figura 2.1 representa a diferença entre ambos os sistemas durante uma atividade maliciosa. É possível reparar que o IPS bloqueia a conexão ao passo que o IDS apenas emite um alerta para o administrador da rede. É importante ressaltar que um IPS, quando mal parametrizado e configurado, pode bloquear conexões legítimas, causando prejuízo ao dono da rede.

Sistemas de detecção de intrusos e sistemas de prevenção de intrusos: princípios e aplicação de entropia

A importância do setor de segurança cresce proporcionalmente ao avanço das novas tecnologias. O uso cada vez maior da internet e suas vulnerabilidades, permitiu que as empresas percebessem que este setor é essencial para manter a tranquilidade dos colaboradores e a segurança dos dados.

A finalidade de um Sistema de Detecção de Intrusos é detectar uma invasão e a de um Sistema de Prevenção de Intrusos é de detectar e bloquear uma invasão. Para implementação de um sistema de detecção, é comum encontrarmos algumas dificuldades como os conflitos gerados com outros meios de segurança como criptografia e redes com Switches.

Existem hoje no mercado vários programas de detecção de intrusos, tais como o Snort, programa confiável e de fácil instalação, e equipamentos de prevenção de intrusos como os Appliances.

Um novo conceito está sendo estudado para implementações mais eficazes na detecção de intrusos: a introdução de Entropia em sistemas capazes de detectar intrusos, em que a Entropia é calculada para medir os níveis de distribuição de tráfego e, assim, analisar se há alguma anomalia no tráfego de rede.

Neste artigo, serão abordados os seguintes assuntos:

  • Segurança do perímetro da rede e infraestrutura;
  • Questões relacionadas a IPS (Sistema de Prevenção de Intrusão — que gera análises generalistas) e IDS (Sistema de Detecção de Intruso — que gera análises minuciosas), e suas funções na prevenção de ataques à mera detecção de intrusão;
  • Análise da relevância do evento e bloqueio de determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos.

Um IPS poderia agir localmente sobre uma tentativa de intrusão impedindo que ela atinja seus objetivos e minimizando os possíveis danos. O IPS possui os mesmos mecanismos de detecção de um IDS, porém, pode interromper em tempo real e automaticamente uma atividade maliciosa com ou sem a ajuda de outros dispositivos.

Análise de dados: riscos com o mundo exterior

Nos dias de hoje, é um grande risco focar a confiabilidade da informação junto aos riscos associados. Muitas das grandes empresas têm como objetivo preservar o tipo de informação que possuem, quer seja a respeito de um projeto de produtos, ou até mesmo registros financeiros.

De outra maneira, pode-se separar os computadores nos quais existem informações muito importantes dos que vão se conectar à internet.

Definições

IDS

Um IDS é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na grande maioria das vezes, não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede. A vantagem de se utilizar um IDS é que ele, não interfere no fluxo de tráfego da rede. Um IDS é geralmente instalado em um modo que chamamos de “Promiscous-mode”.

Definição de IDS

Note no desenho acima que o equipamento identificado como “Sensor” está conectado a uma porta do Switch L2 mostrado na figura, e todo o tráfego que está passando por este switch está sendo analisado. Consequentemente, caso seja identificado algum tráfego malicioso, que vá de encontro à base de dados de assinaturas do software IDS, um alerta imediato será enviado ao sistema de gerenciamento (System Management). Este alerta pode ser, por exemplo, via e-mail ao administrador de segurança ou SMS.

Implementação de Entropia para Segurança

IPS — Intrusion Prevention System

Como complemento do IDS, temos o IPS, que tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos.

O IPS é uma ferramenta com inteligência na maneira de trabalhar, pois reúne componentes que fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de disponibilidade que uma rede deve ter.

O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede.

Um IPS é instalado em modo In-Line como mostrado no desenho abaixo, dessa forma o equipamento consegue enxergar todo o tráfego em ambos os sentidos (In and out).

Modo de visibilidade do IPS / IDS

Como trabalhar um IDS / IPS

Veremos a seguir as tecnologias de IDS e IPS em maiores detalhes, seus tipos de implementações, como trabalham e como podem estar dispostas em uma arquitetura de rede segura.

É importante analisar antes qual das implementações existentes trará melhores resultados e menores níveis de manutenção. Como já foi dito, a análise que um IDS faz do tráfego da rede tem o intuito de identificar atividades anômalas ou indevidas.

Nestas análises são verificados padrões do sistema operacional e rede como, por exemplo: atividades de usuários, erros de logins, excesso de conexões, volume de dados trafegando no segmento de rede, ataques a serviços de rede, etc. Os dados coletados formam uma base de informação do uso do sistema ou rede em vários momentos.

Tipos de IDS / IPS

Existem dois tipos de implementação de Intrusion Detection/ Prevention System:

  • host-based
  • network-based

Host-Based Intrusion Detection System (HIDS)

Este tipo de IDS é instalado em um host que será alertado sobre ataques ocorridos contra a própria máquina. Este IDS irá avaliar a segurança deste host com base em arquivos de logs de Sistema Operacional, logs de acesso e logs de aplicação. Tem grande importância pois fornece segurança a tipos de ataques que o firewall e um IDS network-based não detectam, como aqueles baseados em protocolos de criptografia, como HTTPS.

O IDS host-based monitora as conexões de entrada no host e tenta determinar se alguma destas conexões pode ser uma ameaça. Monitora também arquivos, file systems, logs, ou outras partes do host em particular, que podem ter atividades suspeitas representando uma tentativa de intrusão ou até mesmo uma invasão bem sucedida.

Alguns IDS de host possuem a capacidade de interpretar a atividade da rede e detectar ataques em todas as camadas do protocolo, aumentando assim a sua capacidade de bloqueio a determinados ataques que não seriam notados pelo firewall ou pelo IDS de rede, tais como pacotes criptografados. Esta análise é restrita a pacotes direcionados ao host protegido pelo IDS.

Um exemplo de tentativa suspeita que é detectada pelo IDS host-based, é o login sem sucesso em aplicações que utilizam autenticação de rede, desta forma o sistema IDS informará ao administrador de rede que existe um usuário tentando utilizar uma aplicação que ele não tem permissão.

Network-based Intrusion Detection System (NIDS)

São instalados em servidores ou “appliances” que monitoram o tráfego do segmento de rede. Estes equipamentos são responsáveis por analisar possíveis ataques contra qualquer equipamento localizado neste segmento de rede.

A análise pode ser de dois tipos: realizada através de assinaturas de ataques conhecidos, em que o conteúdo dos pacotes é comparado com uma base de dados, que deve ser constantemente atualizada, ou baseada na decodificação e verificação de protocolos de rede.

O NIDS, por estar conectado em um determinado segmento de rede e poder analisar todo o tráfego que passa por ele, possibilita a proteção de vários equipamentos ao mesmo tempo. O Network-based IDS utiliza o “packet-sniffing” para capturar os dados que estão trafegando por um segmento de rede. Alguns ataques que o NIDS detecta: acesso não autorizado de usuários externos, Denial of Services, port scans, entre outros.

Melhores práticas de implementação baseadas nas duas tecnologias

Para se obter a mais segura arquitetura possível, deve-se combinar os dois tipos de implementação, HIDS e NIDS. Cada uma destas tecnologias possui características que, trabalhando em conjunto suprem algumas deficiências que são encontradas nas implementações separadas. Como pudemos observar, ambas soluções (HIDS/NIDS) sem complementam.

Analisando um ambiente real

Analisando o cenário abaixo, note que os IPS’s estão localizados em pontos estratégicos protegendo a entrada de cada rede. Um está localizado antes do firewall e a função deste IDS é evitar que determinado usuário externo venha obter alguma informação da topologia interna da rede. Já o IDS na DMZ tem como objetivo detectar alguma atividade anormal que o firewall não tenha conseguido bloquear.

O IDS na rede interna tem como objetivo detectar alguma atividade anormal vinda de um computador da rede interna, uma vez que sabemos ser esta a maior fonte de ataques (70%). Os IDS de host estão localizados em servidores críticos, tais como o DNS, Webserver e servidor de email, nestes casos, o que não for detectado pelo NIDS, serão detectados nos HIDS instalados nestes servidores.

Modo de operação IPS / IDS

Terminologias IDS / IPS

False Alarms

False Positives

Ocorre quando o IDS / IPS alerta sobre uma ação, mas na verdade esta ação não indica uma ameaça ou um ataque.

False Negatives

Ocorre quando uma ação indevida acontece, mas o IDS / IPS não alerta sobre esta ação. True Alarms.

True Positives

Ocorre quando o IDS / IPS alerta sobre a detecção de um ataque iminente.

True Negatives

Ocorre quando um tráfego não ofensivo é detectado, ou seja é um tráfego normal que não causa alarme.

Desafios e considerações da arquitetura de rede

Na figura acima podemos ver 3 Sensores. Note que o IPS — 001 está localizado entre o Firewall e o Router de Internet, o que faz com que sejam gerados muitos alarmes do tipo “False Positives”, pois este irá ver todo o tráfego destinado a rede interna e não tem a capacidade de detectar ataques internos. Os sensores localizados na rede Interna, apenas verão o tráfego previamente permitido pelo Firewall (IDS-001 e IDS-002).

Um ponto a ser considerado também é que um IDS deve ser inserido em locais da rede onde não é possível colocar um device em modo “Inline” ou em locais onde não se planeja bloquear ações. Instale sensores IPS em locais da rede onde se planeja utilizar ações de negação de acesso em caso de detecção de possíveis ataques.

Conclusão

Seja para monitorar ou analisar atividades maliciosas na rede, a auditoria na infraestrutura deverá ser de acordo com as vulnerabilidades existentes, um sistema de detecção de intrusão se faz fundamental para otimizar os controles de segurança da empresa e entender melhor as tentativas e vetores de ataques que vem surgindo ao longo do tempo.

É bom frisar que a utilização de um IDS não atende todas as necessidades de segurança de uma organização, sendo necessário utilizar outros mecanismos para auxiliar na proteção do perímetro da rede.

Eu sou Rafael Borges, especialista em segurança da informação na Mobicare e Akross. Com vasto conhecimento em Tecnologia da Informação e Infraestrutura, gosto de trabalhar com diferentes soluções tecnológicas.

A Mobicare e a Akross combinam os Melhores Talentos, Tecnologias de Ponta, Práticas Agile e DevOps com Capacidades Operacionais avançadas para ajudar Operadoras Telecom e grandes empresas a gerarem novas receitas e a melhorarem a experiência dos seus próprios clientes.

Se você gosta de inovar, trabalhar com tecnologia de ponta e está sempre buscando conhecimento, somos um match perfeito!

Faça parte do nosso time. 😉

Quais são os dispositivos de segurança de rede?

Isso inclui produtos de segurança como firewalls, antivírus e anti-malware. Também inclui dispositivos terminais normais, como servidores, estações de trabalho, laptops, câmeras, termostatos e geladeiras. Além disso, inclui dispositivos de rede, como roteadores e switches.

O que é necessário para proteger uma rede?

Como você pode proteger a rede da sua empresa?.
Monitoramento de acesso. ... .
Uso de antivírus e antimalwares. ... .
Impedimento de erros humanos. ... .
Criação de uma política de senhas. ... .
Adoção do SOC. ... .
Análise de vulnerabilidade de redes..

Quais tipos de proteção podem ser utilizados para obter a segurança ao utilizar a rede mundial Internet?

O que está muito em uso são os Firewall's, dispositivos que funcionam como uma barreira de proteção contra invasores. Existem tanto na forma de software como de hardware, ou na combinação de ambos.

Quais ferramentas podem ser utilizadas para garantir a segurança da informação?

6 ferramentas de segurança da informação que sua empresa precisa ter!.
Uso de firewall. ... .
Softwares de monitoramento. ... .
Treinamento de funcionários. ... .
Sistemas de controle de acesso. ... .
Protocolos de segurança e criptografia. ... .
Backup inteligente..

Postagens relacionadas

Quais os cuidados que devemos ter na hora da desmontagem montagem do PC?
Quais são os elementos que constituem a estrutura de uma carta de solicitação?
Qual o prazo para o consumidor exercer o direito de arrependimento?
Quanto tempo dura o sangramento de escape tomando anticoncepcional?
Quem guardou o diário de Anne Frank?
Para que serve colocar o nome da pessoa no limão?
O que é um parque tecnológico apresente os fatores locacionais mais importantes para explicar seu desenvolvimento em um determinado lugar do território de um país?
Quais são os fatores externos e internos para que uma semente germine ou tenha uma quebra de dormência?
O que é Sistema de Gestão Ambiental Quais os principais objetivos do SGA?
Os 18 pote de tempero com colher para comprar mais em 2022

Toplist

Última postagem

Tag