Adicionar um sistema de prevenção de intrusões (IPS) a uma firewall é uma opção in­te­res­sante. Este sistema combina as ca­pa­ci­da­des de mo­ni­to­ri­za­ção e análise de um sistema de deteção de intrusões (IDS) e, além disso, combate e neu­tra­liza as ameaças de forma proativa.

O que significa IPS?

Para a maioria dos uti­li­za­do­res, a firewall é um método com­pro­va­da­mente eficaz para proteger o próprio sistema ou rede contra ataques externos. Um sistema de prevenção de intrusões (IPS) eficaz é um com­ple­mento re­co­men­dá­vel para este mecanismo de proteção. O sistema funciona em duas etapas. Em primeiro lugar, de­sem­pe­nha as funções de um sistema de deteção de intrusões (IDS) e mo­ni­to­riza o anfitrião, a rede ou ambos para iden­ti­fi­car ra­pi­da­mente ati­vi­da­des não au­to­ri­za­das, criando padrões e com­pa­rando-os com o tráfego em tempo real. Quando o sistema de prevenção de intrusões iden­ti­fica uma ameaça, passa-se à segunda etapa, tomando as medidas adequadas para a neu­tra­li­zar.

O sistema de deteção de intrusões e o sistema de prevenção de intrusões diferem no facto de o sistema de prevenção de intrusões se limitar a enviar um aviso ao ad­mi­nis­tra­dor. O sistema de deteção de intrusões, por outro lado, intervém ati­va­mente, blo­que­ando pacotes de dados ou in­ter­rom­pendo ligações vul­ne­rá­veis. Em primeiro lugar, é im­por­tante que o sistema de deteção de intrusões esteja de­vi­da­mente con­fi­gu­rado para que todas as ameaças sejam evitadas sem pre­ju­di­car o fluxo de trabalho. Além disso, a estreita co­la­bo­ra­ção entre o IPS e o firewall é crucial para obter uma proteção ideal. Nor­mal­mente, o sistema de deteção de intrusões é colocado di­re­ta­mente atrás do firewall, uti­li­zando sensores para avaliar exaus­ti­va­mente os dados do sistema e os pacotes de rede.

Que tipos de sistemas de prevenção de intrusões existem?

Existem vários tipos de sistemas de prevenção de intrusões, que se dis­tin­guem prin­ci­pal­mente pelo local onde são ins­ta­la­dos.

  • Sistemas de prevenção de intrusões baseados no host: os IPS baseados no host (HIPS) são ins­ta­la­dos di­re­ta­mente em dis­po­si­ti­vos finais in­di­vi­du­ais, onde mo­ni­to­ri­zam ex­clu­si­va­mente os dados de entrada e saída. Con­se­quen­te­mente, as suas ca­pa­ci­da­des de defesa ativa limitam-se ao dis­po­si­tivo es­pe­cí­fico em que estão ins­ta­la­dos. Os HIPS são fre­quen­te­mente uti­li­za­dos em conjunto com métodos de segurança mais abran­gen­tes, e o sistema de prevenção de intrusões baseado no host atua como última linha de defesa.
  • Sistemas de prevenção de intrusões baseados na rede: os IPS baseados na rede (NIPS) são colocados es­tra­te­gi­ca­mente em vários locais dentro de uma rede para examinar grandes volumes de pacotes de dados que circulam por ela. Podem ser im­ple­men­ta­dos através de dis­po­si­ti­vos dedicados ou dentro dos firewalls. Esta con­fi­gu­ra­ção permite uma ve­ri­fi­ca­ção e proteção exaus­ti­vas de todos os sistemas ligados à rede.
  • Sistemas sem fios de prevenção de intrusões: os WIPS (Wireless Intrusion Pre­ven­tion System) são es­pe­ci­al­mente con­ce­bi­dos para funcionar numa rede WLAN. Em caso de acesso não au­to­ri­zado, o IPS localiza o dis­po­si­tivo em questão e expulsa-o do ambiente.
  • Sistemas de prevenção de intrusões baseados no com­por­ta­mento: para combater os ataques DDoS, recomenda-se a Análise de Com­por­ta­mento de Rede (NBA). Este sistema verifica todo o tráfego de dados, per­mi­tindo assim detetar e prevenir os ataques an­te­ci­pa­da­mente.

Como funciona um sistema de prevenção de intrusões?

A função de um sistema de prevenção de intrusões abrange dois aspetos prin­ci­pais. Em primeiro lugar, deve detetar, pré-filtrar, analisar e comunicar po­ten­ci­ais ameaças, ba­si­ca­mente como um sistema de deteção de intrusões. Além disso, o sistema de prevenção de intrusões toma medidas proativas em resposta a uma ameaça, ativando as suas próprias medidas de prevenção. Em ambos os casos, o IPS dispõe de vários métodos à sua dis­po­si­ção.

Métodos de análise do IPS

  • Detecção de anomalias: a detecção de anomalias consiste em comparar o com­por­ta­mento da rede ou do dis­po­si­tivo final com um padrão pre­de­fi­nido. Desvios sig­ni­fi­ca­ti­vos desta norma levam o sistema de prevenção de intrusões a tomar as con­tra­me­di­das adequadas. No entanto, de­pen­dendo da con­fi­gu­ra­ção, este método também pode dar origem a inúmeros falsos alarmes. Também por esta razão, os sistemas modernos recorrem cada vez mais à IA para reduzir sig­ni­fi­ca­ti­va­mente as taxas de erro.
  • Detecção de abusos: neste método, os pacotes de dados são ana­li­sa­dos à procura de formas co­nhe­ci­das de ataques. Este tipo de sistema de prevenção de intrusões apresenta elevadas taxas de deteção de ameaças co­nhe­ci­das, iden­ti­fi­cando-as com um elevado grau de certeza. No entanto, é menos eficaz contra ataques ino­va­do­res, não iden­ti­fi­ca­dos an­te­ri­or­mente.
  • IPS baseado em pro­to­co­los: este método de prevenção de intrusões baseado em políticas é utilizado com menos frequên­cia do que os dois an­te­ri­o­res. Para aplicar esta abordagem, devem primeiro ser con­fi­gu­ra­dos pro­to­co­los de segurança únicos e es­pe­cí­fi­cos. Estas di­re­tri­zes servem de base para mo­ni­to­ri­zar o sistema em questão.

Me­ca­nis­mos de defesa do IPS

O sistema de prevenção de intrusões funciona em tempo real sem in­ter­fe­rir no fluxo de dados. Quando é detetada uma ameaça através dos métodos de mo­ni­to­ri­za­ção descritos an­te­ri­or­mente, o IPS oferece várias opções de resposta. Em situações menos críticas, à se­me­lhança de um IDS, envia uma no­ti­fi­ca­ção ao ad­mi­nis­tra­dor para que este tome medidas. No entanto, em casos mais graves, o sistema de prevenção de intrusões atua de forma autónoma. Pode in­ter­rom­per e reiniciar as rotas de trans­mis­são, bloquear fontes ou destinos, ou mesmo rejeitar com­ple­ta­mente pacotes de dados.

Quais são as vantagens de um sistema de prevenção de intrusões?

A im­ple­men­ta­ção es­tra­té­gica de um sistema de prevenção de intrusões oferece inúmeras vantagens aos uti­li­za­do­res. A mais notável é que melhora a segurança geral ao detetar riscos que poderiam passar des­per­ce­bi­dos por outras fer­ra­men­tas. Através da pré-filtragem, o sistema de prevenção de intrusões também alivia a carga de outros me­ca­nis­mos de segurança, sal­va­guar­dando toda a in­fra­es­tru­tura. As opções de con­fi­gu­ra­ção permitem per­so­na­li­zar com precisão o IPS para cumprir re­qui­si­tos es­pe­cí­fi­cos. Uma vez con­fi­gu­rado cor­re­ta­mente, o sistema funciona de forma autónoma, o que re­pre­senta uma im­por­tante poupança de tempo.

Quais são as des­van­ta­gens de um sistema de prevenção de intrusões?

Quando utilizado cor­re­ta­mente, um sistema de prevenção de intrusões melhora subs­tan­ci­al­mente a segurança da rede. No entanto, existem também algumas des­van­ta­gens po­ten­ci­ais as­so­ci­a­das a esta abordagem. Para além das li­mi­ta­ções já men­ci­o­na­das no que diz respeito à deteção de anomalias e uti­li­za­ções indevidas, existe uma pre­o­cu­pa­ção sig­ni­fi­ca­tiva em relação aos re­qui­si­tos de hardware. Os sistemas de prevenção de intrusões exigem fre­quen­te­mente recursos con­si­de­rá­veis, que aumentam pro­por­ci­o­nal­mente ao tamanho da rede. Por con­se­guinte, o seu valor real é obtido quando as suas ca­pa­ci­da­des estão alinhadas com as exi­gên­cias da rede. Além disso, a con­fi­gu­ra­ção pode ser um desafio, es­pe­ci­al­mente para pessoas sem co­nhe­ci­men­tos es­pe­ci­a­li­za­dos. Con­fi­gu­ra­ções ine­fi­ca­zes podem causar problemas na rede.

DenyHosts: o melhor IPS contra ataques de força bruta

Na luta contra os ataques de força bruta, o DenyHosts é uma opção que vale a pena ter em conta. Este sistema de prevenção de intrusões foi escrito em Python e é de código aberto. Mo­ni­to­riza as ten­ta­ti­vas de início de sessão SSH e bloqueia os endereços em questão caso registem de­ma­si­a­das ten­ta­ti­vas falhadas. Este é o re­po­si­tó­rio oficial do DenyHosts no GitHub.

Ir para o menu principal