IPS: O que é intrusion prevention system?
Complementarmente à configuração de um firewall, adotar um intrusion prevention system (IPS) é uma decisão prudente. Esse sistema contra intrusos faz uso das funções de monitoramento e de análise do intrusion detection system (IDS), mas se destaca deste por sua capacidade de combater ativamente as ameaças encontradas.
O que significa IPS?
Na maioria dos casos, basta configurar um firewall para proteger um sistema ou rede de computadores contra ataques externos. Um intrusion prevention system (IPS) funciona, portanto, como um complemento a esse mecanismo de proteção, por agir em outras duas etapas. Num primeiro momento, ele desempenha as mesmas tarefas que um intrusion detection system (IDS), ao monitorar o host, a rede ou ambos, e identificar prontamente atividades não autorizadas — isso é possível graças à comparação entre padrões de tráfego em tempo real. A segunda etapa de ação de um intrusion prevention system toma medidas de segurança para tentar conter a ameaça identificada, o que consiste no seu grande diferencial.
Assim, a diferença entre intrusion detection system e intrusion prevention system encontra-se no seguinte fato: o intrusion detection system somente avisa o usuário sobre a possível ameaça. Já o intrusion prevention system também atua contra essa ameaça, bloqueando a transmissão de pacotes de dados ou interrompendo as conexões vulneráveis. Nesse cenário, a colaboração entre o IPS e o firewall é essencial para se obter o nível máximo de proteção: normalmente, o intrusion prevention system fica posicionado diretamente atrás do firewall, utilizando sensores para avaliar dados do sistema e pacotes de rede minuciosamente.
Tipos de intrusion prevention system
Existem variados tipos de intrusion prevention system no mercado. Eles se diferem, principalmente, pelos locais de implementação:
- Intrusion prevention system baseado em host: O IPS baseado em host (HIPS) é instalado diretamente no dispositivo final, para o monitoramento exclusivo dos dados de entrada e saída deste. Assim sendo, sua capacidade ativa de defesa é reservada somente ao dispositivo no qual ele foi instalado. Em muitos casos, sistemas de prevenção de intrusos baseados em host são usados em conjunto com métodos de segurança mais abrangentes, atuando na última linha de defesa.
- Intrusion prevention system baseado em rede: O IPS baseado em rede (NIPS) fica estrategicamente posicionado em múltiplos locais dentro de uma rede, para examinar o grande volume de pacotes de dados em circulação. O NIPS pode ser implementado por meio de dispositivos dedicados ou dentro de firewalls — esse tipo de configuração viabiliza varreduras e uma proteção abrangente de todos os sistemas conectados à rede.
- Intrusion prevention system sem fio: O IPS sem fio (WIPS) foi especialmente projetado para atuar em redes WLAN. Ao se deparar com acessos não autorizado, ele localiza o respectivo dispositivo e o remove do ambiente de rede.
- Intrusion prevention system comportamental: A Análise de Comportamento de Rede (Network Behavior Analysis, NBA) é recomendada para combater ataques DDoS. Ela verifica todo o tráfego de dados e, dessa forma, consegue detectar e prevenir ataques com antecedência.
Como o intrusion prevention system funciona
São dois os principais papeis de um intrusion prevention system: em primeiro lugar, ele detecta ameaças, filtrando, analisando e relatar potenciais ataques, tal qual um intrusion detection system. Além disso, um IDS é proativo: ele executa ações que respondem a uma ameaça, acionando medidas próprias de combate. Para cumprir ambos os papeis, o IPS faz uso de uma variedade de métodos.
Métodos de análise do IPS
- Detecção de anomalias: A detecção de anomalias compara comportamentos da rede ou do dispositivo final com padrões predefinidos — desvios significativos desses padrões levam o intrusion prevention system a tomar as medidas cabíveis. No entanto, a depender da configuração, esse método pode emitir alguns alarmes falsos. Por esse motivo, sistemas de prevenção modernos integram, cada vez mais, tecnologias de inteligência artificial (IA) que reduzem significativamente as taxas de erro.
- Detecção de uso indevido: Esse método examina pacotes de dados na tentativa de encontrar ataques já conhecidos. Especificamente, ele apresenta altas taxas de sucesso ao detectar de ameaças estabelecidas, identificando-as com precisão. No entanto, o método é menos eficaz contra ataques novos, ainda não conhecidos.
- IPS baseado em políticas: O intrusion prevention system baseado em políticas é menos usado em comparação aos dois outros métodos apresentados acima. Para a implementação deste, políticas de segurança únicas e específicas devem ser configuradas. Tais políticas servem de base para o monitoramento do sistema.
Mecanismos de defesa do IPS
O intrusion prevention system opera em tempo real e não impede o fluxo de dados. Quando uma ameaça é detectada por algum de seus métodos de monitoramento, o IPS pode deflagrar diferentes ações de resposta. Assim como um IDS, um IPS envia também notificações ao usuário atacado, para que este tome conhecimento da ocorrência e execute as medidas cabíveis, caso haja tempo. Em situações mais graves, contudo, o intrusion prevention system age por conta própria. Ele pode interromper e reiniciar caminhos de transmissão, bloquear origens ou destinos, ou descartar totalmente o(s) pacote(s) de dados afetado(s).
Vantagens do IPS
O uso estratégico de um intrusion prevention system pode beneficiar usuários de diversas formas, principalmente aumentando os níveis de segurança ao ser capaz de detectar riscos que passam despercebidos por outras ferramentas. Ao implementar filtros prévios, o IPS também alivia a carga dos outros mecanismos de segurança, protegendo toda a infraestrutura do sistema. Suas opções de configuração possibilitam ajustar o sistema de prevenção com precisão, para que ele atenda a requisitos específicos. Se for implementado da forma certa, o IPS torna-se capaz de operar de forma autônoma, oferecendo outra importante vantagem: uma significativa economia de tempo.
Desvantagens do IPS
Se usado corretamente, um intrusion prevention system melhora significativamente a segurança de uma rede. No entanto, também existem potenciais desvantagens associadas à sua utilização. Além das limitações já mencionadas, relativas à detecção de anomalias e de uso indevido, um IPS também pode apresentar desvantagens ligadas a requisitos de hardware. Um intrusion prevention system costuma exigir uma quantidade significativa de recursos, que aumentam conforme o tamanho da rede. Além disso, configurar esse tipo de sistema de prevenção de intrusão pode ser desafiador, especialmente para usuários não especialistas. Configurações que não correspondem ao que seria ideal podem acarretar problemas de rede.
Segurança virtual descomplicada. Proteja todos os dispositivos contra ransomware, vírus e perda de dados usando ferramentas de análise inteligentes e backups automáticos.
- Totalmente escalável
- Seguro
- Automatizado
O melhor IPS contra ataques de força bruta: DenyHosts
Entre as opções que combatem ataques de força bruta, o DenyHosts tem se mostrado de grande valor. Esse intrusion prevention system desenvolvido em Python e de código aberto monitora tentativas de login por SSH, bloqueando endereços com muitas investidas malsucedidas. Para saber mais sobre esse IPS, acesse o repositório oficial do DenyHosts no GitHub.