Como falamos no artigo anterior, a pandemia do COVID-19 (coronavírus) fez com que várias empresas começassem de forma imediata e, muitas vezes, não organizada, a prover o trabalho remoto. Esse novo modelo de trabalho agora é uma realidade, mas as empresas estão preparadas, no que tange a segurança computacional, para esse novo momento?
O IDS – Sistema de Detecção de Intrusão e o IPS Sistema de Prevenção de Intrusão são mecanismos de proteção de rede que tem por objetivo principal sinalizar (no caso do IDS) e sinalizar/bloquear (no caso do IPS) ataques direcionados as estruturas de TI das empresas.
Como alinhamento inicial a diferença entre as duas soluções é que as ferramentas de IDS somente sinalizam as anomalias de trafego já as ferramentas de IPS além de sinalizar podem gerar bloqueios.
Ações maliciosas com foco no ataque as estruturas de TI das empresas ocorrem das mais diversas formas, sendo que as ferramentas de IDS/IPS têm por objetivo protege-las. Para um melhor entendimento iremos detalhar alguns ataques realizados:
Varredura
Este tipo de ataque tem por objetivo “varrer” as estruturas de TI das empresas tentando coletar informações sobre portas abertas ou fechadas, tráfegos permitidos, servidores ativos e versões de software em execução.
Como pode ser observado, na varredura apresentada foi possível identificar a porta 443 exposta na INTERNET sendo o serviço exposto o VMWARE na versão 5.5 build 3248547.
De posse destas informações o invasor pode utilizar de técnicas de exploração de vulnerabilidades conhecidas dos sistemas. Informações sobre vulnerabilidades bem como técnicas de exploração das mesmas são encontradas na internet (https://www.cvedetails.com/).
Roteamento assimétrico
Roteamento assimétrico ocorre quando os pacotes trafegam pela rede por uma rota até seu destino, mas utilizam uma rota distinta para seu retorno. Este comportamento não traz problemas na comunicação da rede, mas pode permitir ataques de inundação de SYN.
O flag do pacote TCP SYN representa o inicio de uma comunicação, onde o dispositivo de origem envia um pacote do tipo SYN para o destino com objetivo de iniciar a comunicação. O destino, por sua vez, envia um retorno do tipo SYN ACK para origem, claro, quando esta comunicação é autorizada.
Imagem 01 – Exemplo estabelecimento de sessão TCP/IP
Quando temos roteamento assimétrico, os pacotes SYN e SYN ACK não passam pelas mesmas rotas e consequentemente pelos mesmos equipamentos prejudicando assim o controle de tráfego.
Ataques a protocolos específicos
1.Protocolo ICMP – Internet Control Message Protocol
Este protocolo provê, por exemplo, o echo replay e o echo request que nada mais é PING utilizado para testes de conectividade.
Um dos ataques utilizados é o DoS (Denial of Service – Negação de Serviço) que utiliza técnicas de flood (inundação) para sobrecarregar os equipamentos dificultando/impedindo que respondam acessos legítimos.
2.Protocolo TCP – Transmission Control Protocol
Um dos ataques utilizados é o DoS (Denial of Service – Negação de Serviço) que utiliza técnicas de flood (inundação). Conforme vimos na imagem 01 a origem inicia uma comunicação com um pacote SYN e aguarda o destino responder com um SYN ACK. O destino novamente aguarda a origem responde com o ACK, ou seja, o estabelecimento da comunicação ocorre em 3 passos.
Nos ataques TCP SYN flood a origem não responde ao terceiro passo do processo de estabelecimento de comunicação. O resultado é que várias sessões são mantidas abertas o que podem gerar lentidões e travamentos do sistema.
3.ARP – Address Resolution Protocol
A tabela ARP mantém o vinculo do endereço IP (camada 3) como o endereço MAC (camada 2) – em caso de dúvida vide artigo sobre Firewall que fala sobre modelo OSI.
Imagem 02 – Exemplo tabela ARP
Um dos ataques utilizados é o DoS (Denial of Service – Negação de Serviço) que utiliza técnicas de flood (inundação) objetivando o estouro da tabela ARP.
Outro ataque é o envenenamento ARP quando o invasor envia mensagens ARP falsas vinculando o MAC do invasor a um IP legitimo. Como resultado todo o trafego destinado a este endereço IP válido seria interceptado pelo invasor.
Malware
Existem diferentes tipos de malware, incluindo worms, trojans, vírus e bots. Malware é um software projetado para danificar ou interromper o funcionamento de um sistema.
Worms e vírus têm por característica replicação dentro do ambiente computacional da empresa. O vírus se anexa a outros arquivos e worms são softwares independentes.
O Trojan tem por característica se “disfarçar” de um programa normal, mas não possui replicação. Bots tem por característica a infecção do dispositivo para que possa ser controlado por um servidor central. Desta forma este dispositivo pode ser utilizado para realizar outros ataques.
COMO ATUA UM SISTEMA DE IDS/IPS
Acima reportamos algumas ações maliciosas sendo que o IDS/IPS têm por função identificar e bloquear estas ações antes que comprometam as estruturas de TI das empresas.
Os IDS/IPS utilizam-se de duas principais abordagens para identificação/bloqueio destes ataques sendo eles Assinaturas e Anomalias.
Assinaturas
Utiliza-se de padrões de trafego para identificação de possíveis ataques (dentro dos tipos de ataque acima apontados os Malware se enquadram nesta categoria). Atualizações regulares são necessárias para garantir que o banco de dados de ações maliciosas esteja atualizado.
Anomalias
Utiliza-se do padrão do comportamento de trafego para identificar possíveis ataques (dentro dos tipos de ataque acima apontados o Varredura, Roteamento Assimétrico e Ataques a protocolos específicos se enquadram nesta categoria).
CONCLUSÃO
O IDS/IPS é uma ferramenta de proteção indispensável e complementar aos Firewalls nas empresas, mas para que a segurança seja eficiente se faz necessário combinar outras ferramentas e métodos de proteção. Desta forma é possível oferecer um ambiente seguro para o trabalho remoto evitando ataques a estrutura computacional da empresa.
Não existe uma “receita de bolo” sendo necessário analisar as particularidades da empresa para que o trabalho remoto funcione atendendo as necessidades do negócio de forma segura.
No próximo artigo falaremos detalhadamente sobre VPN.
Para conhecer detalhadamente nossos serviços, acesse nosso site e vamos estudar sua estrutura de TI e apresentar a melhor solução para seu negócio.
Victor Loss Bosa
Engenheiro/Consultor de Redes, Telecomunicações, Segurança e Infraestrutura de TI e CEO da ZCO Infraestrutura de TI
Engenheiro/Consultor de Redes e Telecomunicações e Gestor de Projetos da SYSUNI Soluções em TI
Projetos em execução e executados em clientes como BANESTES, GAZETA, FIORE, BIOPETRO, SEI Inteligência, LBRX, ESFA, GREENHOUSE, dentro outros….
