Com­ple­men­tar­mente à con­fi­gu­ra­ção de um firewall, adotar um intrusion pre­ven­tion system (IPS) é uma decisão prudente. Esse sistema contra intrusos faz uso das funções de mo­ni­to­ra­mento e de análise do intrusion detection system (IDS), mas se destaca deste por sua ca­pa­ci­dade de combater ati­va­mente as ameaças en­con­tra­das.

O que significa IPS?

Na maioria dos casos, basta con­fi­gu­rar um firewall para proteger um sistema ou rede de com­pu­ta­do­res contra ataques externos. Um intrusion pre­ven­tion system (IPS) funciona, portanto, como um com­ple­mento a esse mecanismo de proteção, por agir em outras duas etapas. Num primeiro momento, ele de­sem­pe­nha as mesmas tarefas que um intrusion detection system (IDS), ao monitorar o host, a rede ou ambos, e iden­ti­fi­car pron­ta­mente ati­vi­da­des não au­to­ri­za­das — isso é possível graças à com­pa­ra­ção entre padrões de tráfego em tempo real. A segunda etapa de ação de um intrusion pre­ven­tion system toma medidas de segurança para tentar conter a ameaça iden­ti­fi­cada, o que consiste no seu grande di­fe­ren­cial.

Assim, a diferença entre intrusion detection system e intrusion pre­ven­tion system encontra-se no seguinte fato: o intrusion detection system somente avisa o usuário sobre a possível ameaça. Já o intrusion pre­ven­tion system também atua contra essa ameaça, blo­que­ando a trans­mis­são de pacotes de dados ou in­ter­rom­pendo as conexões vul­ne­rá­veis. Nesse cenário, a co­la­bo­ra­ção entre o IPS e o firewall é essencial para se obter o nível máximo de proteção: nor­mal­mente, o intrusion pre­ven­tion system fica po­si­ci­o­nado di­re­ta­mente atrás do firewall, uti­li­zando sensores para avaliar dados do sistema e pacotes de rede mi­nu­ci­o­sa­mente.

Tipos de intrusion pre­ven­tion system

Existem variados tipos de intrusion pre­ven­tion system no mercado. Eles se diferem, prin­ci­pal­mente, pelos locais de im­ple­men­ta­ção:

  • Intrusion pre­ven­tion system baseado em host: O IPS baseado em host (HIPS) é instalado di­re­ta­mente no dis­po­si­tivo final, para o mo­ni­to­ra­mento exclusivo dos dados de entrada e saída deste. Assim sendo, sua ca­pa­ci­dade ativa de defesa é reservada somente ao dis­po­si­tivo no qual ele foi instalado. Em muitos casos, sistemas de prevenção de intrusos baseados em host são usados em conjunto com métodos de segurança mais abran­gen­tes, atuando na última linha de defesa.
  • Intrusion pre­ven­tion system baseado em rede: O IPS baseado em rede (NIPS) fica es­tra­te­gi­ca­mente po­si­ci­o­nado em múltiplos locais dentro de uma rede, para examinar o grande volume de pacotes de dados em cir­cu­la­ção. O NIPS pode ser im­ple­men­tado por meio de dis­po­si­ti­vos dedicados ou dentro de firewalls — esse tipo de con­fi­gu­ra­ção viabiliza var­re­du­ras e uma proteção abran­gente de todos os sistemas co­nec­ta­dos à rede.
  • Intrusion pre­ven­tion system sem fio: O IPS sem fio (WIPS) foi es­pe­ci­al­mente projetado para atuar em redes WLAN. Ao se deparar com acessos não au­to­ri­zado, ele localiza o res­pec­tivo dis­po­si­tivo e o remove do ambiente de rede.
  • Intrusion pre­ven­tion system com­por­ta­men­tal: A Análise de Com­por­ta­mento de Rede (Network Behavior Analysis, NBA) é re­co­men­dada para combater ataques DDoS. Ela verifica todo o tráfego de dados e, dessa forma, consegue detectar e prevenir ataques com an­te­ce­dên­cia.

Como o intrusion pre­ven­tion system funciona

São dois os prin­ci­pais papeis de um intrusion pre­ven­tion system: em primeiro lugar, ele detecta ameaças, filtrando, ana­li­sando e relatar po­ten­ci­ais ataques, tal qual um intrusion detection system. Além disso, um IDS é proativo: ele executa ações que respondem a uma ameaça, acionando medidas próprias de combate. Para cumprir ambos os papeis, o IPS faz uso de uma variedade de métodos.

Métodos de análise do IPS

  • Detecção de anomalias: A detecção de anomalias compara com­por­ta­men­tos da rede ou do dis­po­si­tivo final com padrões pre­de­fi­ni­dos — desvios sig­ni­fi­ca­ti­vos desses padrões levam o intrusion pre­ven­tion system a tomar as medidas cabíveis. No entanto, a depender da con­fi­gu­ra­ção, esse método pode emitir alguns alarmes falsos. Por esse motivo, sistemas de prevenção modernos integram, cada vez mais, tec­no­lo­gias de in­te­li­gên­cia ar­ti­fi­cial (IA) que reduzem sig­ni­fi­ca­ti­va­mente as taxas de erro.
  • Detecção de uso indevido: Esse método examina pacotes de dados na tentativa de encontrar ataques já co­nhe­ci­dos. Es­pe­ci­fi­ca­mente, ele apresenta altas taxas de sucesso ao detectar de ameaças es­ta­be­le­ci­das, iden­ti­fi­cando-as com precisão. No entanto, o método é menos eficaz contra ataques novos, ainda não co­nhe­ci­dos.
  • IPS baseado em políticas: O intrusion pre­ven­tion system baseado em políticas é menos usado em com­pa­ra­ção aos dois outros métodos apre­sen­ta­dos acima. Para a im­ple­men­ta­ção deste, políticas de segurança únicas e es­pe­cí­fi­cas devem ser con­fi­gu­ra­das. Tais políticas servem de base para o mo­ni­to­ra­mento do sistema.

Me­ca­nis­mos de defesa do IPS

O intrusion pre­ven­tion system opera em tempo real e não impede o fluxo de dados. Quando uma ameaça é detectada por algum de seus métodos de mo­ni­to­ra­mento, o IPS pode deflagrar di­fe­ren­tes ações de resposta. Assim como um IDS, um IPS envia também no­ti­fi­ca­ções ao usuário atacado, para que este tome co­nhe­ci­mento da ocor­rên­cia e execute as medidas cabíveis, caso haja tempo. Em situações mais graves, contudo, o intrusion pre­ven­tion system age por conta própria. Ele pode in­ter­rom­per e reiniciar caminhos de trans­mis­são, bloquear origens ou destinos, ou descartar to­tal­mente o(s) pacote(s) de dados afetado(s).

Vantagens do IPS

O uso es­tra­té­gico de um intrusion pre­ven­tion system pode be­ne­fi­ciar usuários de diversas formas, prin­ci­pal­mente au­men­tando os níveis de segurança ao ser capaz de detectar riscos que passam des­per­ce­bi­dos por outras fer­ra­men­tas. Ao im­ple­men­tar filtros prévios, o IPS também alivia a carga dos outros me­ca­nis­mos de segurança, pro­te­gendo toda a in­fra­es­tru­tura do sistema. Suas opções de con­fi­gu­ra­ção pos­si­bi­li­tam ajustar o sistema de prevenção com precisão, para que ele atenda a re­qui­si­tos es­pe­cí­fi­cos. Se for im­ple­men­tado da forma certa, o IPS torna-se capaz de operar de forma autônoma, ofe­re­cendo outra im­por­tante vantagem: uma sig­ni­fi­ca­tiva economia de tempo.

Des­van­ta­gens do IPS

Se usado cor­re­ta­mente, um intrusion pre­ven­tion system melhora sig­ni­fi­ca­ti­va­mente a segurança de uma rede. No entanto, também existem po­ten­ci­ais des­van­ta­gens as­so­ci­a­das à sua uti­li­za­ção. Além das li­mi­ta­ções já men­ci­o­na­das, relativas à detecção de anomalias e de uso indevido, um IPS também pode apre­sen­tar des­van­ta­gens ligadas a re­qui­si­tos de hardware. Um intrusion pre­ven­tion system costuma exigir uma quan­ti­dade sig­ni­fi­ca­tiva de recursos, que aumentam conforme o tamanho da rede. Além disso, con­fi­gu­rar esse tipo de sistema de prevenção de intrusão pode ser de­sa­fi­a­dor, es­pe­ci­al­mente para usuários não es­pe­ci­a­lis­tas. Con­fi­gu­ra­ções que não cor­res­pon­dem ao que seria ideal podem acarretar problemas de rede.

My­De­fen­der
Segurança ci­ber­né­tica fácil
  • Es­ca­ne­a­mento regular de vírus e malware
  • Backup au­to­má­tico e re­cu­pe­ra­ção de arquivos simples

O melhor IPS contra ataques de força bruta: DenyHosts

Entre as opções que combatem ataques de força bruta, o DenyHosts tem se mostrado de grande valor. Esse intrusion pre­ven­tion system de­sen­vol­vido em Python e de código aberto monitora ten­ta­ti­vas de login por SSH, blo­que­ando endereços com muitas in­ves­ti­das mal­su­ce­di­das. Para saber mais sobre esse IPS, acesse o re­po­si­tó­rio oficial do DenyHosts no GitHub.

Ir para o menu principal