Sistemas de proteção em redes Firewall, IDS, IPS, conceito de Aplliances

Prévia do material em texto

29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 1/10
Sistemas de proteção em redes
(Firewall, IDS, IPS), conceito de
Aplliances
DESCREVER OS CONCEITOS DAS FERRAMENTAS DE SEGURANÇA EM REDES: FIREWALL, IDS, IPS E
APLLIANCES
AUTOR(A): PROF. JOAO DAVID DAMINELLI CABRAL
Introdução
Antigamente quando pensávamos, principalmente em sistemas de antivírus e firewalls, hoje temos uma
preocupação maior e sistemas específicos com finalidades muito bem definidas. Vejamos agora alguns
conceitos importantes.
O que é um Appliance
Um appliance é uma combinação de hardware e software, ou seja, você adquire tudo junto com um objetivo
específico, dentre as principais vantagens podemos citar:
Ter um sistema operacional totalmente customizado para o hardware e o software.
Ter uma função específica não permitindo com que sejam agregadas funções e sistemas extras.
Ter uma estabilidade maior, uma vez que tudo foi customizado e a empresa sabe qual o hardware e sistema
operacional.
Basicamente podemos ter qualquer serviço em um appliance, principalmente recursos de segurança como
alguns que veremos a seguir.
Firewall
A palavra firewall (parede de fogo) é bastante comum no nosso dia a dias, ainda mais em tempos onde a
segurança da informação está a cada dia mais em alta, trata-se de uma barreira de proteção, contemplando
um conjunto de regras permissivas (que só permitem o que é estritamente permitido) que ajuda a bloquear
o acesso de conteúdo malicioso, mas sem impedir que os dados que precisam transitar continuem fluindo.
Em inglês, “firewall” é o nome daquelas portas anti-chamas usadas nas passagens para as escadarias em
prédios. 
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 2/10
Legenda: ILUSTRAçãO DE FIREWALL
O firewall geralmente contempla um software e um hardware ou um appliance e é fundamental para a
segurança das redes, uma vez que nele são definidas as regras do que é permitido (se não houver uma regra
está automaticamente bloqueado).
Com base nisso, um firewall pode ter, por exemplo, uma regra que permita todo o tráfego da rede local que
utilize a porta UDP 123, assim como ter uma política que bloqueia qualquer acesso da rede local por meio
da porta TCP 25.
Legenda: REGRAS DO FIREWALL
IDS – Intrusion Detection System  (Sistema de Detecção de Intrusão)
 
Os IDS são usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a
segurança de um sistema. Eles incluem ataques pela rede contra serviços vulneráveis, como elevação de
privilégios, acessos não autorizados e itens maliciosos. 
Um IDS é composto de diversos componentes: sensores, que geram eventos de segurança; console para
monitorar eventos e alertas e controlar os sensores; e um mecanismo central que grava os eventos
registrados pelo sensor na base de dados e usa um sistema de regras para gerar alertas a partir dos eventos
de segurança recebidos. Uma vez que é detectado alguma intrusão, alertas são enviados, e podem haver dois
tipos de resposta, ativa ou passiva. Na ativa, respostas aos incidentes são geradas pelo próprio sistema,
enquanto que na passiva, são gerados apenas relatórios para que o administrador venha a tomar as medidas
que julgar necessárias.
 
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 3/10
Os IDS são divididos em alguns métodos de detecção, como: baseados em assinatura e detecção de
anomalias. Intrusos tem assinaturas, como vírus de computadores, que podem ser detectados usando-se
software. Tenta-se achar pacotes de dados que contenham quaisquer assinaturas conhecidas relacionadas a
intrusos ou anomalias relacionadas a protocolos de Internet. Baseado em um conjunto de assinaturas e
regras, o sistema de detecção pode achar atividades suspeitas e gerar alertas. Detecção de intrusos baseadas
em anomalias geralmente dependem de anomalias nos pacotes presentes nos cabeçalhos dos pacotes. Em
alguns casos esses métodos podem produzir resultados melhores comparados aos IDS baseados em
assinaturas. Geralmente, IDS capturam dados da rede e aplicam suas regras a esses dados ou detectam
anomalias neles.
 
Os IDS geralmente são apenas passivos, somente observando o sistema e gerando alertas para os
responsáveis por este sistema. Porém, em alguns casos, o sistema pode reagir em caso de uma intrusão ser
detectada, como por exemplo fechar a conexão, bloquear a partir do firewall ou até mesmo desabilitar uma
conta. 
Legenda: IDS - INTRUSION DETECTION SYSTEM
Tipos de IDS
Existem 3 tipos de IDS:
Baseados na estação
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 4/10
Os sistemas baseados em estação foram os primeiros tipos de IDS a serem desenvolvidos e implementados.
Eles começaram no início dos anos 80. Os IDS de estação podem ser instalados em diferentes tipos de
maquinas, como servidores, estações de trabalho e notebook. Esses sistemas coletam e analisam dados
originados nos computadores que hospedam um serviço, como servidor de web. Uma vez que o dado é
agregado em um dado computador, ele pode ser analisado localmente ou enviado para uma máquina central
de análise. Um exemplo de sistema baseado em estação são programas que operam em um sistema e
recebem aplicações ou logs do sistema operacional. Esses programas são altamente efetivos para detectar
abusos de dentro. Residindo em sistemas confiáveis, eles estão perto dos usuários autênticos da rede. Se um
desses usuários tentar realizar alguma atividade desautorizada, o IDS de estação geralmente detecta e
coleta a maioria das informações possíveis, da maneira mais rápida. Esse tipo de sistema também é efetivo
em detectar modificações em arquivos não autorizadas. 
 
Vantagens dos IDS baseados em estação:
Como podem monitorar eventos localmente, os IDS de estação conseguem detectar ataques que não
conseguem ser detectados por IDS de rede;
Trabalham em ambientes onde o trafego seja criptografado, desde que os dados sejam encriptados na
estação antes do envio ou decriptados nos host após o recebimento;
Não são afetados por switches;
Desvantagens dos IDS baseados em estação:
São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS;
Podem ser desativados por DoS;
Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho;
O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na
estação monitorada;
           Alguns IDS de estação comercializados: RealSecure, ITA, Squire, e Entercept.
Baseados na rede
A maioria dos IDS comerciais é baseada em rede. Os IDS baseados em rede analisam pacotes de dados que
trafegam pela rede. Esses pacotes são examinados e algumas vezes comparados com dados empíricos para
verificar a sua natureza: maliciosa ou benigna. Pelo fato de serem responsáveis pelo monitoramento da
rede, ao invés de uma simples estação, os IDS de rede têm a tendência de serem mais distribuídos do que os
IDS baseados em estação. Softwares, ou em alguns casos aparelhos de hardware, residem em um ou mais
sistemas conectados numa rede, e são usados para analisar dados, como pacotes de rede. Ao invés de
analisar informação que reside e é originada em um computador, IDS de rede usa técnicas como ?packet-
sniffing?, para pegar dados do TCP/IP ou pacotes de outros protocolos passando sozinhos pela rede. Essa
vigilância das conexões entre computadores faz com que IDS de rede sejam ótimos em detectar tentativas
de acesso por fora da rede confiável. Os IDS baseados em rede normalmente consistem em um conjunto de
sensores implantado em diversas partes da rede, monitorando o trafego, realizando analises e relatando
ataques a uma central. Em geral, IDS de rede são melhores em detectar as seguintes atividades:
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 5/10
Acesso desautorizadode fora: quando um usuário desautorizado loga com sucesso, ou tenta logar, são
melhores monitorados por IDS de estação. Entretanto, detectar usuários desautorizados antes da tentativa
de log is melhor realizado por IDS de rede;
Denial of Service ( Negação de Serviço ): os pacotes que iniciam esses ataques podem melhor ser
percebidos com o uso de IDS de rede;
· 
Vantagens do IDS baseado em rede:
Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande;
Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem
no funcionamento da rede;
Difíceis de serem percebidos por atacantes e com grande segurança contra-ataques;
 
Desvantagens do IDS baseado em rede:
Podem falhar em reconhecer um ataque em um momento de trafego intenso;
Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam;
Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos
atacantes utilizam criptografia em suas invasões;
Grande parte não pode informar se o ataque foi ou não bem-sucedido, podendo apenas alertar quando o
ataque foi iniciado.
Baseados em pilhas
Essa é a tecnologia de IDS mais nova e varia bastante de vendedor para vendedor. Este tipo de IDS funciona
integrando próximo à pilha TCP/IP, permitindo que pacotes sejam vistos quando eles fazem seu caminho
através das camadas OSI. Vendo os pacotes desse jeito permite ao IDS puxar pacotes da pilha antes que o
sistema operacional ou a aplicação tenham a chance de processar os pacotes. Esse IDS deve olhar o trafego
entrando e saindo do sistema. Monitorando apenas pacotes de rede destinados apenas para uma simples
estação, o princípio é fazer com que o IDS tenha baixo overhead suficiente para que todos os sistemas na
rede possam rodar esse IDS.
 
 
IPS – Intrusion Prevention System  (Sistema de
Prevenção a Intrusão)
 
O IPS, tem a capacidade de identificar uma intrusão, mas além disso, analisar a relevância de cada evento
ocorrido e seu risco, e então bloqueá-los, aumentando assim a tradicional técnica de detecção de intrusos.
 
          O IPS é uma ferramenta com inteligência na maneira de trabalhar, pois reúne componentes que fazem
com que ele se torne um repositório de logs e técnicas avançadas de alertas e respostas, voltadas
exclusivamente a tornar o ambiente computacional cada vez mais seguro sem perder o grau de
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 6/10
disponibilidade que uma rede deve ter.
 
                O IPS usa a capacidade de detecção do IDS junto com a capacidade de bloqueio de um firewall,
notificando e bloqueando de forma eficaz qualquer tipo de ação suspeita ou indevida e é uma das
ferramentas de segurança de maior abrangência, uma vez que seu poder de alertar e bloquear age em
diversos pontos de uma arquitetura de rede.
 
Um IPS é instalado como mostrado de forma que o equipamento consegue enxergar todo o tráfego em
ambos os sentidos camada de registro para autenticação, comunicação e reportar condições de erro entre
elas. 
Legenda: IPS - INTRUSION PREVENT SYSTEM (SISTEMA DE PREVENçãO A INTRUSãO)
ATIVIDADE
Qual a definição de um IPS?
A. Intrusion Prevent System
B. Intrusion Portable System
C. Intrusion Detectio System
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 7/10
D. Intrision Primary System
ATIVIDADE
A definição "...  uma combinação de hardware e software, ou seja, você
adquire tudo junto com um objetivo específico." está abordando qual
sistema de segurança?
A. Firewall
B. IPS
C. IDS
D. Appliance
ATIVIDADE
Esse sistema geralmente contempla um software e um hardware ou um
appliance e é fundamental para a segurança das redes, uma vez que
nele são definidas as regras do que é permitido. Estamos falando de
A. IDS
B. Firewall
C. IPS
D. Appliance
REFERÊNCIA
ALVES, Gustavo Alberto. Segurança da informação: uma visão inovadora da gestão. Rio de Janeiro: Ciência
Moderna, 2006.
CARVALHO, Luciano Gonçalves. Segurança de Redes. Rio de Janeiro: Ciência Moderna Ltda., 2005.
GHEORGHE, Lucian. Designing and Implementing Linux Firewalls and Qos using netfilter, iproute2, NAT,
and L7-filter. Birmingham: Packt Publishing, 2006.
SITES
http://forsecurity.blogspot.com.br/2010/06/diferenca-entre-ids-e-ips.html 
http://www.gta.ufrj.br/grad/07_2/rodrigo_leobons/hids.html
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 8/10
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 9/10
29/03/2021 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 10/10