SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
Siga Nossas Redes Sociais
  • HOME
  • CONTATO
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Security
  • Conceitos sobre IPS/IDS (Parte 1)
20/05/2022

Conceitos sobre IPS/IDS (Parte 1)

Conceitos sobre IPS/IDS (Parte 1)

by André Ortega / quinta-feira, 07 maio 2009 / Published in Security

Atendendo a grande procura que tivemos para o tópico sobre a configuração inicial de um IPS, resolvi postar um resumo que fiz na época que estava estudando para a prova de IPS. Este conteúdo foi escrito com base no material de estudo que utilizei (para IPS appliance), mas em linhas gerais é a mesma coisa para os módulos IPS (para roteador e ASA) e para o IOS IPS.

Seguindo a linha do blog, este conteúdo é focado em dispositivos Cisco, mas parte da teoria pode servir para equipamentos de outros fabricantes.

IPS/IDS

Como sabemos o IDS – Intrusion Detection System é uma ferramenta de detecção de atividades suspeitas na rede. O IDS apenas monitora e loga as informações, permitindo que o administrador decida como parar o ataque. Trabalha em modo promíscuo, recebendo uma cópia do tráfego.

O IPS – Intrusion Prevention System é uma ferramenta para detecção e prevenção de atividades suspeitas na rede. É a evolução do IDS e pode ser configurado para que ao perceber a “invasão” uma ação seja tomada (gerar uma alerta, bloquear o atacante, dropar o pacote…). Deve ficar inline na rede.

Hoje normalmente o mesmo equipamento pode atuar como IPS ou IDS, dependendo apenas da configuração aplicada e como ele esta conectado a rede.  IPS-IDS

Observe na figura acima: O IPS (com o destaque verde) está “na linha” por onde o tráfego passa (tem duas interfaces conectadas). Já o IDS (destacado em vermelho) tem apenas uma interface conectada, e o tráfego deve ser espelhado para ele.

Sensor

No caso da Cisco, quando falamos IPS estamos nos referindo ao hardware, normalmente. Quem faz a verificação do tráfego, de fato, é o sensor.

Podemos imaginar o sensor como a parte do software que faz a análise dos pacotes, com base nas assinaturas. Ele é composto por uma instancia de assinaturas (sig), uma instancia de regras (rules) e uma instancia do Anomaly Detection (ad). Assim todos eles, bem como as interfaces, devem ser associados ao sensor.

Por padrão o IPS vem com o vs0 (virtual sensor 0), e este não pode ser deletado. A ele está associado o sig0 (instancia de assinatura 0), rules0 (instancia de regras 0) e ad0 (instancia 0 do Anomaly Detection).

O processamento do tráfego é virtualizado, de forma que você pode ter no mesmo IPS vários virtuais sensores. Podemos ter, por exemplo, o vs0 onde temos a interfaces G0/1 associada e o sensor trabalhando em modo promíscuo, e ter também o vs1, onde associamos as interfaces G0/2 e G0/3 para trabalhar em modo inline. Com isso teríamos um IPS monitorando duas partes da rede de forma independente, como se fossem dois IPSs.

Até 4 virtuais sensores podem ser criados em um IPS.

Assinaturas

As assinaturas são um grupo de regras que o sensor utiliza para identificar uma atividade invasiva. O sensor verifica os pacotes utilizando as assinaturas, e assim identifica os ataques conhecidos. Para cada novo ataque é criada uma nova assinatura.

Por padrão as assinaturas mais importantes (ou as que causam mais danos) vêm habilitadas, e o restante pode ser habilitado ou não, dependendo da necessidade.

As assinaturas que vêm configuradas no IPS são chamadas assinaturas default. Também temos as custom signatures, que são as assinaturas criadas pelo administrador e as Tuned Signatures, que são as assinaturas default editadas.

As assinaturas padrões (que são mais de 1500) não podem ser deletadas ou renomeadas e para criar uma Custom Signature é possível utilizar o wizard.

As assinaturas podem ser configuradas para tomarem as seguintes ações: dropar o pacote, produzir um alerta, logar o IP de quem está atacando, da vítima ou ambos, bloquear a conexão ou um host especificamente, fazer notificação via SNMP ou ainda terminar a sessão TCP entre o atacante e o atacado. No entanto, algumas dessas ações podem ser configuradas apenas quando o sensor está atuando em modo inline (IPS).

Signature Engine

Um Signature Engine é um grupo de assinaturas, feito de acordo com as características das assinaturas. Atomic, Flood, Meta, Normalizar, Service, State, String, Sweep, Traffic, Troajan e AIC são os Signature Engines existentes.

Tipos de interfaces

Temos dois tipos de interfaces em um IPS: Command and Control e Monitoring Interfaces.

Cada IPS tem apenas uma interface do tipo Command and Control. Esta interface deve ser endereçada e é utilizada para gerenciar o equipamento. Vem habilitada por padrão e é dedicada para gerencia.

As Monitoring Interface são as interfaces utilizadas para analisar o tráfego. Vêm desabilitadas por padrão e podem ser configuradas para trabalhar em quatro modos: Promíscuos, Inline Interface, Inline VLAN Pair e VLAN Group. Estas interfaces devem ser associadas a um Virtual Sensor.

Tipos de contas

Existem 4 tipos de contas no IPS. Quando um usuário é criado ele deve ser associado a um destes tipos de conta.

Administrator: Nível máximo de privilégio. Um usuário deste tipo tem acesso total a todas as áreas de configuração e monitoração. Pode visualizar e alterar as configurações.

Operator: Nível intermediário de privilégio. Pode fazer o tunning das assinaturas, gerenciar dispositivos bloqueados e mudar sua própria senha. Pode também visualizar as configurações e eventos.

Viewer: Conta com o menor nível de privilégio. Pode ver a configuração e eventos gerados, mas não tem direito a alterar nada.

Service: Conta especial, que permite acessar o sistema operacional (Linux) do IPS. É o acesso root. Não devem ser feitas alterações no IPS através dessa conta sem a supervisão do TAC. Apenas um usuário service pode existir por vez, e é normalmente utilizado para troubleshooting.

 

Em breve postarei a parte 2.

Até a próxima.

Relacionado

  • Tweet
Tagged under: Conceitos, IDS, Intrusion Detection System, Intrusion Prevention System, IPS

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Quinze anos de experiência na área.

What you can read next

Vídeo Tutorial: IOS Firewall
Instalando licença no Cisco Firesight
Combatendo o Phishing

3 Comments to “ Conceitos sobre IPS/IDS (Parte 1)”

  1. Mateus says :
    26/07/2012 at 13:04

    Onde está a parte 2 amigo? Não encontrei pela busca.

  2. André Ortega says :
    26/07/2012 at 14:22

    Pode acessar no link abaixo.
    http://brainwork.com.br/blog/2009/05/11/outras-features-do-ips-cisco-parte-2/

  3. Lu Wo says :
    17/06/2015 at 10:02

    Bacana teu artigo. Consegui melhorar meu entendimento sobre o assunto.

POSTS RECENTES

  • Participação no RotaDefaultVideos
    Participação no RotaDefaultVideos
    18/05/2022
  • Cisco Secure Email Domain Assignments (LDAP Profiles)
    Cisco Secure Email Domain Assignments (LDAP Profiles)
    06/05/2022
  • Consulta LDAPS no Cisco Secure Email (ESA/CES)
    Consulta LDAPS no Cisco Secure Email (ESA/CES)
    28/04/2022
  • Cisco ISE–ACL Redirect nos switches e WLAN Controllers
    Cisco ISE–ACL Redirect nos switches e WLAN Controllers
    04/04/2022
  • Inscrição para Cisco Champion 2022
    Inscrição para Cisco Champion 2022
    28/01/2022

Tags

ACL CCIE PIX certificação IPS WLC VMware senha Configuração DHCP QoS CiscoChampion switch Switches Roteador ASA VoIP VPN WIFI Firewall Brainwork FirePower CCNA FTD LAB Cisco aniversário Meraki Upgrade Acesso ISE Vulnerabilidade Wireless Catalyst IOS Segurança EEM Backup SDWAN WLAN Controller Access-list licença policy-map IPv6 FMC

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Participação no RotaDefaultVideos brainwork.com.br/2022/05/18/p… #blog #Brainwork #Carreira

Blog: Cisco Secure Email Domain Assignments (LDAP Profiles) brainwork.com.br/2022/05/06/c… #CES #CiscoChampion #ESA

Blog: Consulta LDAPS no Cisco Secure Email (ESA/CES) brainwork.com.br/2022/04/28/c… #CES #CiscoChampion #Email

Esse é o nível de pânico que um ataque ransomware causa. pic.twitter.com/4Kp67yyaei

Não é fácil hahahaha pic.twitter.com/H6TKyPaL2g

Seguir @brainworkblog
  1. Cisco Champions 2020 – Brainwork em Cisco Champion 2019
  2. Zerar switch para LAN Automation – Brainwork em DNAC LAN Automation – Novo switch na Fabric SDA
  3. André Ortega em Reset Cisco FTD (zerar FTD sem reinstalar)
  4. Acacio em Reset Cisco FTD (zerar FTD sem reinstalar)
  5. André Ortega em Pergunte ao Especialista–Cisco FMC
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Participação no RotaDefaultVideos brainwork.com.br/2022/05/18/par… #blog #Brainwork #Carreira
    about 2 dias ago
    Reply Retweet Favorite
  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP