Segurança em Redes de Comunicação

Existem diferentes tipos de sistemas de protecção contra intrusão, com características e características diferentes, tal como foi possível compreender com os sistemas de detecção de intrusão. Tal como os IDS, os IPS também podem ser classificados como baseados em assinaturas, baseados em anomalias e baseados em políticas. Aqui, os sistemas de protecção contra intrusão baseados em assinaturas utilizam uma abordagem baseada na vulnerabilidade conhecida e em assinaturas de ataque, em que o método é fazer corresponder a actividade a essas assinaturas e levantar ou não um alarme e acção, se necessário. Uma desvantagem deste método é que ele só é capaz de parar ataques previamente identificados e não será capaz de reconhecer novos ataques. Este tipo de IPS não leva em consideração quaisquer vulnerabilidades desconhecidas e não colocará qualquer acção na rede se ocorrer um novo ataque.

Este tipo de IPS utiliza um dicionário de padrões, ou assinaturas, unicamente identificáveis no código de cada exploração. À medida que uma exploração é descoberta, as suas assinaturas são registadas e armazenadas num dicionário de assinaturas em contínuo crescimento. A detecção de assinaturas para IPS decompõe-se em dois subtipos:

·      Assinaturas de exploração - identificar explorações individuais, desencadeando sobre os padrões únicos de uma determinada tentativa de exploração. O IPS pode identificar explorações específicas ao encontrar uma correspondência com uma assinatura virada para a exploração no fluxo de tráfego.

·      Assinaturas de vulnerabilidade - utilizando assinaturas mais amplas que visam a vulnerabilidade subjacente no sistema que está a ser alvo. Estas assinaturas permitem que as redes sejam protegidas de variantes de uma exploração que pode não ter sido directamente observada no meio selvagem, mas que também aumenta o risco de falsos positivos.

Em contraste com a anterior, a implementação do IPS baseado na anomalia centra-se na monitorização de comportamentos anormais, comparando amostras aleatórias de tráfego e actividade de rede com uma norma de base. Não centra a análise nas assinaturas, mas concentra-se no comportamento de toda a rede, identificando padrões anormais e sequências de tráfego anormais para levantar alarmes e aplicar as acções correspondentes. Quando comparado com o anterior, este tipo é mais robusto na medida em que não se concentra apenas em vulnerabilidades bem conhecidas, mas também em possíveis novas vulnerabilidades. Embora seja mais robusto, pode também produzir uma taxa mais elevada de falsos positivos se não for devidamente configurado e ajustado à política de segurança. Alguns sistemas de protecção contra intrusão mais recentes e mais avançados utilizam tecnologias de inteligência artificial e de aprendizagem de máquinas para apoiar a monitorização baseada em anomalias, no entanto, é necessário utilizar os conjuntos de dados de comportamento normal considerados para treinar adequadamente a máquina, o que no caso específico de sistemas críticos nem sempre é uma tarefa fácil.

Os IPSs baseados em anomalias recolhem amostras de tráfego de rede aleatórias e comparam-nas com um nível de desempenho de base pré-calculado. Quando a amostra de actividade de tráfego da rede está fora dos parâmetros ou limiares escolhidos de desempenho de base, o IPS toma medidas para lidar com a situação.

O terceiro tipo, sistema de protecção contra intrusões baseado em políticas, é o menos comum entre os três e emprega políticas de segurança definidas pela empresa, bloqueando as actividades que violam essas políticas. Este tipo de IPS requer uma configuração total das políticas de segurança e, consequentemente, um forte planeamento e concepção, bem como uma actualização e administração frequentes.

Alguns estudiosos, tal como acontece com os IDS, também classificam o sistema IPS em mais quatro tipos, de acordo com a sua natureza: sistema de prevenção de intrusão em rede (NIPS); sistema de prevenção de intrusão no hospedeiro (HIPS); análise de comportamento de rede (NBA) e sistema de prevenção de intrusão sem fios (WIPS).

Os dois primeiros tipos são mais uma vez semelhantes aos sistemas de detecção de intrusão, onde são instalados a nível de rede ou de anfitrião. Os NIPS são instalados ao nível da rede e apenas em pontos estratégicos para monitorizar toda a rede, ou sub-redes. Monitoriza proactivamente o tráfego da rede e efectua scans de ameaças. O HIPS é instalado ao nível do ponto final, como um computador ou servidor, e concentra-se na análise do tráfego de entrada e saída dessa máquina específica. Aqui é necessário ter em consideração que quanto maior for o número de HIPS na rede, maior será o tráfego IPS criado, e, consequentemente, maior será a carga na rede. O HIPS funciona melhor em combinação com um NIPS, uma vez que serve como última linha de defesa para ameaças que ultrapassaram o NIPS.

Relativamente à análise do comportamento da rede, ou NBA, trabalha na análise do tráfego da rede para detectar fluxos de tráfego pouco usuais, como por exemplo, um ataque DDoS (Distributed Denial of Service).

O último tipo de IPS, WIPS, é concebido especificamente para redes sem fios, digitalizando-as para acessos não autorizados e expulsando dispositivos não autorizados da rede.