Como posicionar um IDS em sua arquitetura de rede

Como posicionar melhor o IDS em uma arquitetura de rede?

Post disponível em / disponible en / available in: Português Español English

Tempo de leitura: 7 minutos

Um sistema de detecção e prevenção de intrusão é um ativo importantíssimo em uma arquitetura de segurança da informação. São sensores que podem ser colocados em diversas posições em uma topologia de rede para aumentar a segurança do ambiente.

A principal finalidade de um IDS/IPS é detectar assinaturas de ataques conhecidos, ou comportamentos anômalos de pacotes ou fluxos de dados que ocorrem nas redes de computadores. Isso permite as empresas conhecerem o que ocorre nas redes, especialmente nas interfaces de comunicação com a internet.

O posicionamento faz parte de uma estratégia que precisa ser muito bem pensada, por que há naturalmente formatos comerciais diferentes para cada modelo que pode ser aplicado. Os modelos não são excludentes, mas precisam ser bem entendidos para validar a eficiência desejada no ambiente.

Se você não estiver familiarizado com o termo de IDS/IPS e quiser conhecer um pouco mais sobre as classificações e divisões, o post IDS: história, conceito e terminologia é muito recomendado, a leitura não leva mais do que 7 minutos.

Diferença entre IDS e IPS

Um aspecto importante a ser entendido é a diferença entre um sistema de detecção de intrusão contra um sistema de prevenção. A nomenclatura é bastante clara, nos auxiliando a entender o posicionamento dos mesmos em uma arquitetura de segurança.

Um sistema de detecção de intrusão tem como finalidade monitorar o tráfego de rede e apontar aquilo que eventualmente não for legítimo. Um filtro de pacotes tradicional não tem essa capacidade, pois seu objetivo de análise está limitado a avaliação dos cabeçalhos dos protocolos de rede.

Dessa maneira, um IDS consegue analisar o pacote como um todo e buscar anomalias, alertando a infraestrutura de segurança para a tomada de decisão, seja enviando desconexões para origem e destino em um formato unidirecional, ou somente alimentando uma base de dados de alertas.

A diferença básica, que inclusive é evidenciada na nomenclatura, sugere que um dos dispositivos detecta, e o outro previne. A prevenção de um IPS é realizada por que o mesmo é posicionado de maneira que o tráfego, obrigatoriamente, tem que passar pelo dispositivo para atingir outras redes, e portanto, diante de alguma anormalidade, ações podem ser tomadas em todos os sentidos da conexão.

Isso pode ser muito interessante ao ponto de dizer que IPS são superiores aos IDS. Isso não é uma verdade, ambos são complementares, e a complexidade e risco do IPS em uma arquitetura de rede, muitas vezes os impede de serem utilizados em determinadas situações.

Um IDS quando apresenta algum tipo de problema deixa de executar sua função mas as comunicações continuam fluindo normalmente, apesar do risco. Um IPS, por outro lado, tem o potencial de deixar as redes indisponíveis, podendo causar impactos negativos ao negócio.

Trata-se de uma questão estratégica de segurança e do tamanho do orçamento disponível, mas sensores de IDS podem ser espalhados em pontos diferentes da rede, enquanto que um IPS pode ser utilizado em um afunilamento de maior risco, onde a indisponibilidade é melhor do que um dano à informação.

Falsos positivos e negativos

Antes de entrar nas arquiteturas é interessante entender o que são falsos positivos e negativos, por que no universo de IDS/IPS esses termos são corriqueiros. Um falso positivo trata-se de um evento legítimo de rede que foi alertado pela solução como um potencial problema.

De maneira contrária, um falso negativo é um evento malicioso que ocorreu, mas não foi detectado pela arquitetura de segurança. Os falsos positivos devem ser muito bem parametrizados no momento de uma implantação, evitando excesso de lixo para análise, colocando em descrédito a própria solução.

Arquiteturas de IDS/IPS

Há muitas formas de conectar estes softwares ou dispositivos em uma rede, a regra básica é que o mesmo tem que ter permissão para capturar e monitorar o tráfego de rede. Neste sentido, há basicamente 03 modelos:

  1. Switch spanning port: uma porta de um switch onde o tráfego pode ser espelhado/visualizado, permitindo ao sensor coletar o tráfego de rede e fazer desconexões unidirecionais;
  2. Network tap: um dispositivo físico externo, ou uma porta, que coleta o tráfego no ponto de estrangulamento/uplink de redes internas ou externas;
  1. Inline: dispositivo físico colocado no meio de dois segmentos, onde fisicamente os cabos são interconectados e passam pelo processamento do mesmo antes de ir para outros equipamentos da rede (como switches ou roteadores).

Anteriormente foi mencionado que um IPS não anula a função de um IDS, contudo isso precisa ser melhor entendido. Em essência um IDS não tem controle sobre o tráfego de rede, ele apenas os monitora, e pode injetar uma desconexão de forma unilateral. O IPS centraliza o tráfego e, portanto, pode não encaminhar a conexão adiante, caso detecte alguma anomalia.

Em uma rede distribuída, podem ser colocados diversos sensores de IDS em pontos de estrangulamento entre redes, coletando todos os eventos e enviando para uma base centralizada de processamento. Têm-se, neste modelo, um monitoramento das atividades internas das redes, podendo entender atividades maliciosas dentro do próprio negócio.

Um IPS, em contrapartida, pode ser posicionado no perímetro da internet, um hardware de alta qualidade e capacidade para processar volumes enormes de pacotes e garantir maior segurança quanto as ameaças que vêm da internet.

Para uma empresa que está iniciando sua estratégia com sistemas de detecção, que não tem grande capacidade de investimento, é sempre melhor trabalhar com um IDS, seja ativo (gerando desconexões para ameaças) ou até mesmo passivo (somente para ter visibilidade dos eventos e justificar a evolução dos investimentos).

Portanto, não há uma melhor arquitetura ou posicionamento, tudo isso vai depender da necessidade do ambiente, da maturidade do negócio e do orçamento disponível para implantar esse tipo de solução, centralizada, ou descentralizada.

Software versus hardware

Algumas soluções de IDS/IPS são integradas a produtos de Firewall UTM ou NGFW. Isso é muito bom para boa parte dos negócios, por caracterizar uma camada a mais de segurança dentro de uma arquitetura que, por essência e conceito, já é multicamada.

Geralmente estes dispositivos, software ou hardware, são posicionados entre a internet e as redes internas, então muitos incidentes de segurança já são tratados nessa camada, sem que estes cheguem até a rede interna, demandando a ação de soluções endpoint e etc.

No entanto, pensar nestas soluções para cada interconexão de rede interna pode ser um tanto caro, e isso não é especializado. Da mesma maneira, em grandes empresas e provedores, com um volume muito grande de tráfego, esse tipo de arquitetura não é sustentável.

Nestes casos são utilizados hardwares robustos, que possuem capacidade de processamento de pacotes elevada, e dispositivos menores, distribuídos em camadas mais internas das redes. No entanto, isso é uma exceção para a maioria do mercado, uma vez que exige investimentos substâncias para a estruturação destes formato de arquitetura.

A concepção de uma estrutura ideal, em se tratando de IDS/IPS, depende da realidade e maturidade de cada negócio, não existindo uma receita pronta a ser seguida. O mais relevante, para empresas que pretendem dar o primeiro passo neste sentido, é viabilizar a implantação de uma solução, minimamente viável, pois isso possibilitará criação de visibilidade sobre o ambiente, além de proporcionar um incremento de segurança à estrutura corporativa, facilitando identificação de ataques oportunistas, ou direcionados.

Caso ainda tenha dúvidas de como implementar um IDS/IPS em sua empresa, ou esteja buscando por uma solução de segurança que possua este recurso, fique à vontade de conversar com um de nossos especialistas.

Continue sua leitura

Cassio Brodbeck
conteudo@ostec.com.br
No Comments

Post A Comment

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.