Segurança em Redes de Comunicação

Um sistema de prevenção de intrusão, ou IPS, é uma ferramenta de segurança de rede que monitoriza continuamente uma rede em busca de actividade maliciosa e toma medidas para a prevenir, incluindo a notificação de bloqueio, ou a sua eliminação, quando ocorre. O seu nome pode ser semelhante ao tópico anteriormente descrito (sistemas de detecção de intrusão), contudo, o mecanismo anterior centra-se apenas na identificação, não aplicando qualquer acção e, consequentemente, não impedindo a ocorrência de um ataque.

Além disso, um IPS é um sistema mais avançado do que o IDS e é muitas vezes incluído como parte de uma firewall de próxima geração ou de uma solução unificada de gestão de ameaças. É também comum vê-lo a trabalhar em conjunto com um servidor IDS, como as soluções anteriores (SNORT e Suricata).

Tal como outros sistemas de segurança, um IPS também pode ser encontrado tanto em formas de software como de hardware, onde o software pode ser instalado em qualquer computador e colocado na rede para protecção, tendo sempre em consideração os requisitos de hardware da máquina. Também, como muitas outras tecnologias de segurança de rede, um IPS deve ser suficientemente poderoso para poder lidar com uma grande quantidade de dados de tráfego de rede, sem abrandar o desempenho da rede.

Um sistema de prevenção de intrusão é frequentemente colocado em linha, no fluxo do tráfego da rede, entre a fonte e o destino. Tal como os IDSs, o IPS é normalmente encontrado entre a rede privada e a pública, pelo que pode analisar e monitorizar todas as transacções de comunicação entre as duas redes e prevenir correctamente a rede privada de ataques e outras intrusões de segurança. Resistente é colocado entre as duas redes, está normalmente situado por detrás da firewall.

Por si só, o servidor IPS não é capaz de proteger totalmente a rede, estando muitas vezes a trabalhar em grupo com outros instrumentos e soluções de segurança, identificando ameaças que essas soluções não conseguem identificar.

Além disso, como um servidor IPS filtra o tráfego malicioso antes de atingir outros dispositivos e controlos de segurança, reduz a carga de trabalho para esses controlos e permite-lhes um desempenho mais eficiente. Uma vez que é amplamente automatizado, o IPS requer menos investimento de tempo por parte das equipas de TI, cumprindo muitos dos requisitos de conformidade estabelecidos pelo PCI DSS, HIPAA, e outros. Além disso, um IPS também fornece dados de auditoria valiosos que podem ser utilizados para uma análise mais aprofundada e uma pista de uma intrusão ou ataque. Tais dados são importantes na medida em que podem dar uma visão completa do incidente e ajudar na identificação da fonte da intrusão e na forma de evitar que esta se repita.

Tal como a maioria dos outros sistemas e ferramentas de segurança, também os IPS podem ser personalizados e incluir políticas personalizadas, para responder às necessidades específicas da organização e da rede que está a proteger.

Evitando não só intrusões, as soluções IPS são também muito eficazes na detecção e prevenção de explorações de vulnerabilidade. Quando uma vulnerabilidade é descoberta, há tipicamente um período de tempo em que os actores da ameaça têm a oportunidade de a explorar, antes que um patch de segurança esteja disponível para a sua correcção. Um sistema de prevenção de intrusão é aqui utilizado para bloquear rapidamente estes tipos de ataques e proteger a rede enquanto o remendo não estiver disponível.

Os aparelhos IPS foram originalmente construídos e lançados como dispositivos autónomos, em meados dos anos 2000. Esta funcionalidade, contudo, foi integrada em ferramentas unificadas de gestão de ameaças, juntamente com outras ferramentas e serviços de segurança, para pequenas e médias empresas, bem como para a próxima geração de firewalls a nível empresarial, hoje em dia.

As novas soluções IPS estão, actualmente, a ser ligadas à computação baseada na nuvem e a serviços de rede que lhes permitem fornecer uma abordagem mais sofisticada de protecção contra ameaças cada vez maiores de ciber-segurança que as organizações locais e globais enfrentam em todo o mundo.

Ao contrário dos sistemas IDS que funcionam de forma passiva, apenas detectando e alertando possíveis intrusões e ameaças, o IPS é colocado em linha, verificando todo o tráfego de entrada e saída da rede, entre redes privadas e públicas, sentado mesmo atrás da firewall ou fazendo parte dela. Esta solução IPS está a analisar activamente e a tomar acções automatizadas sobre todos os fluxos de tráfego que entram na rede:

 

·      Envio de um alarme ao administrador (tal como nos sistemas IDS).

·      Deixar cair os pacotes maliciosos.

·      Bloqueio do tráfego a partir do endereço de origem.

·      Reiniciar a ligação.

·      Configuração de firewalls para prevenir futuros ataques.

 

Como ferramenta de segurança em linha, o IPS deve funcionar eficientemente para evitar degradar o desempenho e a eficiência da rede, onde deve ser suficientemente potente para garantir a segurança adequada da rede, mantendo ao mesmo tempo as suas funções normais. Deve também funcionar num modo rápido porque as explorações podem acontecer em tempo quase real e ser capaz de detectar e responder com precisão, eliminando ameaças e reduzindo falsos alarmes positivos. Para tal, há várias técnicas e abordagens utilizadas para encontrar explorações e proteger a rede contra o acesso não autorizado.