IDS e IPS – Entenda a diferença

IDS e IPS – Entenda a diferença

Hoje faremos uma introdução a duas técnologias importantissímas em termos de proteção de redes: IDS e IPS. Mas afinal o que isso quer dizer? O que eles fazem em uma rede? Qual a diferença entre um e outro?
É exatamente isso que iremos discutir neste post. So Let’s go !!!

A importância do IDS / IPS
Em uma arquitetura de rede segura existem muitas tecnologias e equipamentos, tais como, firewalls, switches ou roteadores que, de certa forma, aumentam a segurança da rede mas trabalham separadamente, cada qual executando tarefas específicas. Quando trabalham juntos, conseguem diminuir os riscos, através da geração de logs, utilização de políticas, regras, etc. Mas podem também deixar passar acessos indevidos, roubo de informações e outros ataques, uma vez que a configuração de tais equipamentos muitas vezes é complexa, exigindo alto conhecimento dos administradores de sistemas.
Podemos dizer que o IDS irá fornecer uma camada extra de proteção aos ativos computacionais da empresa, dando flexibilidade, segurança e disponibilidade necessária ao ambiente corporativo.

Definindo IDS e IPS

IDS – Intrusion Detection System:
Um IDS é uma ferramenta utilizada para monitorar o tráfego da rede, detectar e alertar sobre ataques e tentativas de acessos indevidos. Na grande maioria das vezes não bloqueia uma ação, mas verifica se esta ação é ou não uma ameaça para um segmento de rede.
A vantagem de se utilizar um IDS é que ele, não interfere no fluxo de tráfego da rede.
Um IDS é geralmente instalado em um modo que chamamos de “Promiscous-mode” ou simplesmente ” Modo Promiscuo”
Note no desenho acima, que o equipamento identificado como “Sensor” está conectado a uma porta do Switch L2 mostrado na figura, e todo o trafego que está passando por este switch está sendo analisado, consequetemente caso seja identificado algum tráfego malicioso, que vá de encontro a base de dados de assinaturas do software IDS um alerta imediato será enviado ao sistema de gerenciamento (System Management). Este alerta pode ser por exemplo: via e-mail ao administrador de segurança.

IPS – Intrusion Prevention System: Como complemento do IDS, temos o IPS, que tem a capacidade de identificar uma intrusão, analisar a relevância do evento/risco e bloquear determinados eventos, fortalecendo assim a tradicional técnica de detecção de intrusos.
O IPS é uma ferramenta com inteligência na maneira de trabalhar, pois reúne componentes que fazem com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de disponibilidade que uma rede deve ter.
O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall, notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em diversos pontos de uma arquitetura de rede.
Um IPS é instalado em modo In-Line dessa forma o equipamento consegue enxergar todo o tráfego em ambos os sentidos (In and out).

Como trabalha um IDS / IPS
Veremos a seguir as tecnologias de IDS e IPS em maiores detalhes, seus tipos de implementações, como trabalham e como podem estar dispostas em uma arquitetura de rede segura. É importante analisar antes qual das implementações existentes trará melhores resultados e menores níveis de manutenção.
Como já foi dito, a análise que um IDS faz do tráfego da rede tem o intuito de identificar atividades anômalas ou indevidas. Nestas análises são verificados padrões do sistema operacional e rede como, por exemplo: atividades de usuários, erros de logins, excesso de conexões, volume de dados trafegando no segmento de rede, ataques a serviços de rede, etc. Os dados colhidos formam uma base de informação do uso do sistema ou rede em vários momentos.

Tipos de IDS / IPS
Existem dois tipos de implementação de Intrusion Detection/ Prevention System:
Host-Based Intrusion Detection System (HIDS): Este tipo de IDS é instalado em um host que será alertado sobre ataques ocorridos contra a própria máquina. Este IDS irá avaliar a segurança deste host com base em arquivos de logs de Sistema Operacional, logs de acesso e logs de aplicação. Tem grande importância pois fornece segurança a tipos de ataques que o firewall e um IDS network-based não detectam, como aqueles baseados em protocolos de criptografia, como HTTPS.
O IDS host-based monitora as conexões de entrada no host e tenta determinar se alguma destas conexões pode ser uma ameaça. Monitora também arquivos, file systems, logs, ou outras partes do host em particular, que podem ter atividades suspeitas representando uma tentativa de intrusão ou até mesmo uma invasão bem sucedida.
Alguns IDS de host possuem a capacidade de interpretar a atividade da rede e detectar ataques em todas as camadas do protocolo, aumentando assim a sua capacidade de bloqueio a determinados ataques que não seriam notados pelo firewall ou pelo IDS de rede, tais como pacotes criptografados. Esta análise é restrita a pacotes direcionados ao host protegido pelo IDS.
Um exemplo de tentativa suspeita que é detectada pelo IDS host-based é o login sem sucesso em aplicações que utilizam autenticação de rede, desta forma o sistema IDS informará ao administrador de rede que existe um usuário tentando utilizar uma aplicação que ele não tem permissão.

Network-based Intrusion Detection System (NIDS): São instalados em servidores ou “appliances” que monitoram o tráfego do segmento de rede. Estes equipamentos são responsáveis por analisar possíveis ataques contra qualquer equipamento localizado neste segmento de rede. A análise pode ser de dois tipos: realizada através de assinaturas de ataques conhecidos, onde o conteúdo dos pacotes é comparado com uma base de dados, que deve ser constantemente atualizada, ou baseada na decodificação e verificação de protocolos de rede.
O NIDS, por estar conectado em um determinado segmento de rede e poder analisar todo o tráfego que passa por ele, possibilita a proteção de vários equipamentos ao mesmo tempo. O Network-based IDS utiliza o “packet-sniffing” para capturar os dados que estão trafegando por um segmento de rede. Alguns ataques que o NIDS detecta: acesso não autorizado de usuários externos, Denial of Services, port scans, entre outros. Arquitetura Ideal
Para se obter a mais segura arquitetura possível, deve-se combinar os dois tipos de implementação, HIDS e NIDS. Cada uma destas tecnologias possui características que, trabalhando em conjunto suprem algumas deficiências que são encontrada nas implementações separadas. Como pudemos observar, ambas soluções (HIDS/NIDS) sem complementam.

Analisando um ambiente real
Analisando o cenário abaixo, note que os IPS’s estão localizados em pontos estratégicos protegendo a entrada de cada rede. Um está localizado antes do firewall e a função deste IDS é evitar que determinado usuário externo venha obter alguma informação da topologia interna da rede.
Já o IDS na DMZ tem como objetivo detectar alguma atividade anormal que o firewall não tenha conseguido bloquear. O IDS na rede interna tem como objetivo detectar alguma atividade anormal vinda de um computador da rede interna, uma vez que sabemos ser esta a maior fonte de ataques (70%).
Os IDS de host estão localizados em servidores críticos, tais como o DNS, Webserver e servidor de e-mail, nestes casos, o que não for detectado pelo NIDS, serão detectados nos HIDS instalados nestes servidores. Terminologias IDS / IPS
False Alarms

False Positives: Ocorre quando o IDS / IPS alerta sobre uma ação, mas na verdade esta ação não indica uma ameaça ou um ataque.
False Negatives: Ocorre quando uma ação indevida acontece, mas o IDS / IPS não alerta sobre esta ação.
True Alarms

True Positives: Ocorre quando o IDS / IPS alerta sobre a detecção de um ataque eminente.
True Negatives: Ocorre quando um tráfego não ofensivo é detectado, ou seja é um tráfego normal que não causa alarme.
Desafios e considerações da arquitetura de rede

Na figura acima podemos ver 3 Sensores. Note que o IPS – 001 está localizado entre o Firewall e o Router de Internet, o que faz com que sejam gerados muitos alarmes do tipo “False Positives”, pois este irá ver todo o tráfego destinado a a rede Interna e não tem a capacidade de detectar ataques internos.
Os sensores localizados na rede Interna, apenas verão o tráfego previamente permitido pelo Firewall (IDS-001 e IDS-002).
Uma coisa a ser considerada também é que um IDS deve ser colocado em locais da rede onde não é possível colocar um device em modo “Inline” ou em locais onde não se planeja bloquear ações.
Instale sensores IPS em locais da rede onde se planeja utilizar ações de negação de acesso em caso de detecção de possíveis ataques.
IPS Cisco
No caso especifico de equipamentos IPS da Cisco o mesmo equipamento pode ser utilizado como IDS, bastando instala-lo em modo promiscuo nos pontos da rede em que você não deseja negar acesso. Desta forma o equipamento irá apenas fazer a monitoração e verificação do tráfego, disparando alarmes quando algum tipo de ação suspeita for detectada.
No caso de Host-Based, a solução utilizada seria o HIPS (Host Intrusion Prevention System) da Cisco que é um client do appliance IPS que receberá atualizações sempre que for feita uma atualização na base de dados de assinaturas do IPS, este client é igual ao HIDS (Host Intrusion Detection System) explicado anteriormente.

Considerações Finais
Hoje estamos expostos a diversos ataques ou ameaças, que ocorrem na forma mais variada possível, o que torna cada vez mais difícil garantir que uma estrutura computacional corporativa esteja completamente segura.
Com sistemas como IDS e IPS podemos ser alertados para estes ataques e conseqüentemente, tomarmos uma atitude certa de forma eficaz e precisa, diminuindo cada vez o tempo de indisponibilidade.
É de grande importância saber o que na verdade está ameaçando nossa segurança. Pois qualquer ferramenta será inútil caso esteja em local errado ou funcionando de maneira errada.
Em resumo, o IDS e IPS são tecnologias que fornecem uma camada extra de proteção para o ambiente corporativo.