Veja como bloquear e impedir ataques de rede internos e externos

Duas siglas, seis letras e inúmeras possibilidades de proteção. Estamos falando do IDS e IPS, dois sinônimos de proteção contra tentativas de ataque que podem ser um grande trunfo para sua empresa se você souber de verdade o que são e como eles funcionam. É bem simples na verdade, olha só!

Imagem

Você tomou todas as medidas de prevenção, cuidou da sua política de segurança da informação e todos na empresa estão atuando para manter as ameaças o mais longe possível. Mas aí... um novo ataque sofisticado consegue encontrar uma falha. Sabe quem entra em ação? A dupla de serviços de segurança: IDS (Instrusion Detection System) e o IPS (Intrusion Prevention System). Sim, eles são os serviços que irão proteger sua rede.

Os termos são parecidos e frequentemente confundidos, mas em linhas gerais, o IDS e o IPS são dispositivos de segurança. Hardware ou software que existem para detectar e fazer parar os ataques que chegam à rede da empresa. O IDS é responsável por identificar e dar o alerta, fornecendo dados sobre as atividades na rede ou em um dispositivo. Enquanto o IPS tem a missão de parar os ataques que foram detectados, analisar as movimentações e bloquear atividades suspeitas.

Juntos, IDS e IPS são aliados do firewall na detecção de invasão (IDS) e na prevenção contra intrusões (IPS). Além disso, outro papel importante desses dispositivos é identificar problemas com políticas de segurança e impedir que indivíduos violem as normas.

Identifique os ataques

Existe um tipo de ataque que provoca uma sobrecarga no servidor ou computador comum para que os recursos do sistema fiquem indisponíveis para seus usuários. É o ataque DoS (Denial Of Service), também conhecido como “ataque de negação de serviço”. Os alvos mais comuns desse tipo de ameaça são os servidores web e envolvem apenas um único computador fazendo os pedidos de pacotes para o alvo.

Mas existe também o ataque distribuído de negação de serviço, é o DDoS (Distributed Denial of Service), onde um computador mestre pode gerenciar milhões de computadores fazendo com que elas acessem um determinado recurso no servidor, todos ao mesmo tempo e de maneira ininterrupta. O aumento do tráfego incapacita o servidor de atender qualquer pedido, mas antes que isso aconteça, deve se defender e proteger os recursos contra ataques DoS e DDoS.

Bloqueie os ataques

O Juniper SRX (já falamos dele, leia aqui) atua como um super-herói e seu cinto de utilidades. Esse firewall oferece um amplo conjunto de opções para bloquear e impedir ataques de rede internos e externos.

O primeiro recurso para impedir ataques é o Screen Options. Essa funcionalidade pode proteger de diferentes ataques de natureza externa ou interna. Os ataques são classificados em duas categorias: baseados em assinatura ou baseados em estatísticas/anomalia.

Os ataques baseados em estatísticas ou anomalia ocorrem na maioria das ocasiões como um DoS/DDoS. Por exemplo, um atacante pode enviar centenas de pacotes requisitando conexão a um servidor (flag SYN do protocolo TCP) com o objetivo de ocupar os serviços do servidor e torná-lo indisponível. Uma Screen Option pode bloquear este tipo de ataque e outros como ICMP flood, UDP flood. Da mesma forma, analisando a quantidade de pacotes destinados ou originados por um IP, é possível identificar uma varredura de portas abertas ou IPs ativos, a Screen Option também pode proteger contra isso.

Ataques baseados em assinatura são fáceis de serem detectados observando determinadas características do tráfego. Por exemplo, um pacote TCP sem nenhuma flag habilitada não tem uso nenhum em uma rede, portanto pode ser descartado. As Screen Options baseadas em assinaturas servem para proteger contra estes tipos de ataques e outros, como TCP SYN Fragment, TCP Winnuke, ICMP Ping of Death, etc.

Além de Screen Options, o firewall ainda com as funções do Sistema Detector de Intrusão e o Sistema Preventor de Intrusão. Na Juniper o sistema todo é conhecido apenas por uma sigla: IDP (Intrusion Detection and Prevention).

O IDP está constantemente monitorando o tráfego que passa pelo firewall a procura de ataques mais sofisticados que não conseguem ser detectados apenas com o uso de Screen Options. Os ataques detectados pelo IDP são direcionados mais a protocolos de camada de aplicação e aplicações específicas, por exemplo um servidor web. Ataques como SQL Injection impactam diretamente a aplicação web desenvolvida, ou ainda um ataque direcionado a um servidor web pode explorar uma vulnerabilidade da aplicação hospedeira, impactando diretamente o serviço hospedado por essa aplicação.

O IDP funciona com três metodologias que são tipicamente utilizadas para detectar ataques:
1) Detecção baseada em assinatura: uma detecção mais simples, observa o tráfego que está transitando pelo firewall e compara com alguma atividade maliciosa já conhecida, uma assinatura;
2) Detecção baseada em anomalia: compara o padrão de um acesso entendido como normal e tenta identificar padrões de variação que podem levar a uma atividade anômala;
3) Detecção baseada em análise de protocolo: toda aplicação tem uma forma determinada de operar, isso é chamado protocolo. O envio de uma mensagem deve ser sucedido por outra com determinada característica, qualquer desvio desse procedimento padrão pode ser entendido como um ataque.

Com as mãos na massa

Entendido como funciona o mecanismo de detecção, é necessário implementar a contramedida, bloquear de forma efetiva estas ameaças. No firewall SRX você pode selecionar qual tipo de tráfego será analisado, definido através de uma política de segurança do firewall. Selecionar o tráfego a ser analisado é muito importante para não sobrecarregar todo o sistema, analisando tráfego presumidamente assumido como confiável.

Digamos que um servidor web será protegido por uma política de IDP. Existem diversos tipos de servidores web, cada um com suas particularidades e vulnerabilidades distintas. Um ataque que é bem sucedido em um servidor, não será em outro. Por esse motivo a Juniper Networks categoriza os grupos de assinaturas de ataques do IDP de acordo com o protocolo ou aplicação, evitando análises desnecessárias.

Diversas políticas de IDP podem ser criadas no SRX, cada uma contendo as assinaturas a serem observadas de acordo com o tráfego pertinente. Isso faz com que o SRX faça a análise de forma mais rápida e eficaz.

Você não precisa esperar os ataques baterem à sua porta. Saiba mais sobre os benefícios de detecção de ataques e intrusão do SRX e conte com a experiência e segurança de quem sabe, como ninguém, combater as ameaças virtuais.