July 19, 2005 – 1:01 pm
Mais um post em lista que eu achei legal colocar aqui também, sobre IDS x IPS:
Se IPS é melhor que IDS? Da forma como os IDSes vinham sendo implementados, acho que até nada é melhor. Vamos parar p/ pensar no tipo de informação que um IDS fornece:
IP X.Y.W.Z - 12:00 - 31/02/99 - Ataque UNICODE IIS contra IP Q.W.E.R
Poxa! Que legal! Alguns produtos evoluiram com base na correlação com resultados de scanners, como o Fusion da ISS. Logo, você poderia ignorar o ataque acima contra um Apache, por exemplo. Já é alguma coisa, um grama de inteligência em uma tonelada de informação.
Colocar IDS no perímetro só vai gerar um monte de informações óbvias. Talvez seja útil quando há gestores que não acreditam que estão sendo atacados e precisem ver números como “23423423 ataques de alta criticidade (!) no mês”. Será que alguém tem um IDS de perímetro que traz alguma informação que não seja óbvia?
Nesse mundo de perímetro, acho que o IPS é uma ótima alternativa, mas mais como um “upgrade” do firewall do que algo relacionado ao IDS. É uma “subida de camadas” no bloqueio de tráfego, só isso.
Eu particularmente reduziria as assinaturas de meus IDSes apenas para aquelas que podem indicar ataques com sucesso. Ataques que pararam no firewall ou contra vulnerabilidades que já foram corrigidas não me interessam. P/ mim o IDS útil é aquele que se detectar alguma coisa, é importante.
Por outro lado, ainda são poucos os IDSes instalados nos ambientes internos. E se forem, IDSes que procuram assinaturas de exploits não vão ser lá muito úteis. Mas e os comportamentos suspeitos? Uma estação interna fazendo portscanning? Não é muito mais crítico do que um portscanning vindo da Internet? E várias tentativas de logon em uma estação de dentro da rede? Tentativa de logon com root, administrator, etc. Uso de compartilhamentos entre estações. São várias as situações que podem indicar problemas e desvios de segurança e que poderiam ser detectadas com um IDS.
Por que não faz parte do design de segurança de uma rede um estudo do que é utilizado, o que é permitido e quais os procedimentos autorizados para, com base nessas informações, construir uma base de assinaturas específica para aquela rede? Com um snort é possível fazer isso de maneira muito simples. E por que fazer isso com IDS ao invés de IPS?
Porque não causaríamos problemas com falsos positivos. A equipe de segurança teria um gerador de alertas referentes a comportamentos suspeitos na rede interna. Um filtro que alertasse se houvesse mais de 2 ou 3 alertas da mesma fonte, ou do mesmo usuário, poderia ajudar na redução do volume e apontar situações nas quais a investigação da equipe de segurança seria importante. Afina de contas, quantos de vocês não ouviram, depois de um incidente de segurança, alguém dizer “mas isso não é permitido, a quanto tempo vocês fazem isso?”.
Sugiro que os security officers parem para pensar nos últimos incidentes que tiveram. Um esquema desse não poderia ter indicado que algo estava errado?
