Firewall, IDS, IPS

Firewall, IDS, IPS

Por Ariel Nigri

Hoje vamos falar de uma novidade importante do Winconnection 7 – o IPS, que significa Intrusion Prevention System ou Sistema de Prevenção de Intrusão.  Neste artigo vamos explicar como funciona este sistema e porque ele é importante mesmo quando já utilizamos um firewall para manter intrusos fora da nossa rede.

Fechadura, câmera, vigilância

Imagine um cenário bem comum em nossa vida. Na nossa porta temos uma fechadura. Ela é utilizada para deixar entrar somente aqueles que nós conhecemos e autorizamos.  Sem ela, qualquer um poderia entrar na nossa casa, até mesmo por engano.  Na segurança da internet, o papel da fechadura é desempenhado pelo Firewall. Este é configurado de modo a permitir que apenas os programas autorizados possam acessar ou serem acessados pelos outros computadores da internet. Mas a decisão é nossa: se optarmos por deixar um ladrão entrar, o Firewall nada fará para impedir que ele entre e sinta-se bem-vindo!

Agora vamos instalar a câmera: a função desta câmera é registrar em vídeo todos que entram e saem da residência. Caso alguma coisa aconteça, será possível examinar o vídeo e descobrir o que houve e, mais importante, quem foi o responsável.  Apesar de muito útil para solucionar crimes, a câmera por si só não os evita. É assim que funcionam os sistemas de IDS (Intrusion Detection System). Tais sistemas trabalham analisando os registros de acesso à internet e procurando anomalias que possam indicar uma invasão à rede e sinalizam isso para que o administrador da rede possa agir ou entender o que está acontecendo.

Por último vamos contratar a vigilância 24h e uma patrulha. Agora, não precisamos esperar que algo aconteça para que a câmera seja útil. Podemos evitar os problemas! Com a vigilância, se alguém ficar rondando a nossa porta, a patrulha será acionada e questionará o potencial invasor antes que o problema ocorra. É isso que faz o IPS. Baseado na análise feita pelo IDS, ele reprograma o firewall automaticamente e bloqueia o endereço IP do invasor enquanto ele ainda estiver preparando o ataque, ou seja, antes que ele ocorra.

Mas se o firewall está funcionando corretamente e o ataque será bloqueado, para que serve o IPS?

Ocorre que assim como a nossa fechadura permite que entre qualquer um enquanto aberta, o Firewall irá deixar passar todas as conexões para serviços autorizados. Mas nem todas as conexões são “do bem”. Algumas delas vem de hackers que tentam se infiltrar enganando os serviços da rede, como EMAIL e WEB.

O IPS no Winconnection 7

O IPS do Winconnection 7 oferece 3 tipos de proteção. Estes tipos foram selecionados por proporcionarem um grande aumento da segurança, mantendo um número bem baixo de falsos positivos. Em resumo, é eficaz sem incomodar o administrador da rede com informações sobre possíveis invasões, que na verdade são acessos comuns feitos por usuários legítimos.  Os tipos de proteção do IPS são:

1-      Detecção de “varredura de portas”: um procedimento bastante comum entre hackers é fazer uma varredura para descobrir quais serviços estão disponíveis para serem atacados no computador “alvo”. Esta técnica, chamada de “port scan”, é detectada e o potencial hacker é bloqueado automaticamente antes que possa descobrir ou atacar os serviços.

2-      Detecção de ataques por “força bruta”: ataques de força bruta são invasões feitas através de tentativa e erro até encontrar uma conta de usuário que tenha senha fraca, ou de fácil descoberta. Estes ataques normalmente utilizam dicionários de nomes de usuários e senhas comuns e tentam literalmente milhares de combinações até achar uma que funcione no computador a ser atacado. Este ataque é o mais comum em contas de e-mail e FTP e causa danos porque o hacker assume o e-mail ou a identidade de um usuário da rede local e com isso ganha acesso indevido. No Winconnection 7, se um número grande de tentativas de conexão for detectado, o endereço IP será bloqueado para todo e qualquer acesso, mesmo em outros serviços/portas por um determinado tempo (configurável).

3-      Detecção de “injeção de código malicioso”: códigos maliciosos são sequencias de dados enviadas para um serviço internet (por exemplo, IMAP ou SMTP) como se fossem credenciais de acesso, mas que na verdade são trechos de programas maliciosos que serão executados no computador remoto devido a falhas de segurança dos sistemas. Mesmo que tal ataque não seja bem sucedido, o fato de alguém tentar injetar sequencias de programação em uma conexão é motivo suficiente para bloquear a rede antes que o hacker encontre uma outra forma de invadir o sistema. Assim, quando a tentativa de injeção de código malicioso ocorre, o potencial intruso é imediatamente bloqueado.

Com estas proteções ativas sua rede fica bem mais protegida, sem gerar informações difíceis de avaliar e que necessitam de uma resposta do administrador da rede. Mas ainda assim, o administrador pode, caso tenha interesse, receber alertas via e-mail ou SMS.

Por hoje é só.  Nas próximas semanas traremos outras novidades do Winconnection e do mundo da segurança.  Envie suas dúvidas e sugestões para o endereço nigri@winco.com.br.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *