Empresa FIREWALLS

IDS x IPS
Matriz: Bauru/SP Filial 1: Florianopolis/SC

http://www.firewalls.com.br http://www.

O que a Firewalls?

Empresa Especializada em Segurana; Profissionais Certificados; Atenta a Padres Internacionais; Parceira das maiores empresas de Segurana do Mundo; - Viso de Negcios e tica Empresarial; - Solues Personalizadas para a Realidade das Empresas; - Independente de Fornecedores e Tecnologias proporcionando a melhor soluo para o cliente especfico.

http://www.firewalls.com.br http://www.

O que a Firewalls tem?

- Treinamentos em Segurana; - Implementao de Infra-Estrutura de Redes; - Implementao de Anlises de Risco e Vulnerabilidades; - Implementao de Detectores de Intruso e Politicas de Segurana; - Consultoria em E-commerce e Desenvolvimento; - Diviso de Alta Disponibilidade e Disponibilidade Continua; - Homologao de Firewall.

http://www.firewalls.com.br http://www.

Parcerias

http://www.firewalls.com.br http://www.

Objetivos

- Explicar o que Deteco de Intrusos; - Explicar o que Preveno de Intruso; - Justificar o relatrio do Gartner a respeito do fim da Deteco de Intrusos, atravs da resposta da Enterasys.

http://www.firewalls.com.br http://www.

O que Segurana?
CIDAL = Confidencialidade Integridade Disponibilidade Autenticidade Legalidade LEMBRAR-SE SEMPRE DISTO NO DECORRER DA PALESTRA!

http://www.firewalls.com.br http://www.

Ambiente em Questo

Trabalhamos em um mundo real de sistemas mal configurados:

* * * * * Bugs de Software Empregados Insatisfeitos Administradores de Sistemas Sobrecarregados Acomodao de necessidades empresariais Falta de Educao em Segurana

* B2B,B2C,B2E,C2C,X2X?

http://www.firewalls.com.br http://www.

Defense In-Depth

- Um Firewall apenas aumenta o nvel de segurana; - O conceito de segurana em camadas garante que as falhas existentes em um Firewall sejam supridas por outros tipos de defesa e segurana; - Atravs de diversas camadas cria-se um modelo de segurana robusto e capaz de suportar falhas.

Quando pensar em Segurana pense em uma CEBOLA.

http://www.firewalls.com.br http://www.

Gartner
- Responsvel pelas afirmaes (foram traduzidas) GaryGolomb Engenheiro Senior de Pesquisas Dragon Intrusion Detection Group Enterasys Networks - Gartner, Inc. Recentemente lanou um documento de autoria do Sr. Richard Stiennon entitulado "Intrusion Detection Is Dead - Long Live Intrusion Prevention". - Gartner se descreve como "Por 20 anos, o Gartner Research & Adivisory services tem sido reconhecido como fonte definitiva pelos lderes de tecnologia"

http://www.firewalls.com.br http://www.

Comentrios
- Todos cometem erros e infortunadamente este no o primeiro erro do Gartner. Um outro artigo j de algum tempo do prprio Gartner menciona: " Preveno de Intruso ir substituir a Deteco de Intruso. Empresas investiram muito dinheiro em sistemas para detectar intrusos estes falharam em prover segurana adicional enquanto os sistemas de preveno de intruso emergem para prover uma forte defesa contra cyber-ataques" - No, est no a primeira vez que o Gartner mostrou uma grotesca falta de entendimento entre deteco e preveno quanto a tarefas reais, porm este sem dvidas foi o mais horrivel.

http://www.firewalls.com.br http://www.

Comentrios
- Ento, como todas estas afirmaes so srias, vamos primeiro definir COMO as pessoas utilizam tecnologias de Deteco de Intrusos. - Sistemas de Deteco de Intrusos so utilizados por uma nica razo. So a ltima chance de ser notificados a respeito de uma falha em sistemas. Enquanto as organizaes investem muito tempo e dinheiro em sistemas protecionistas (...) os IDS tem o propsito de avisar caso estes falhem. Apesar de todos os investimentos em tecnologias para proteo, os invasores conseguem passlos (automaticmamente ou no). Isso devido a falhas no design da rede, vulnerabilidades em aplicaes ou dispositivos mal-configurados. Por isso os detectores de intrusos foram inventados.

http://www.firewalls.com.br http://www.

Comentrios

A maior diferena entre sistemas de IDS e outros dispositivos de segurana o fato deste ser out-of-band, ou passivos por natureza. Ele passivamente verifica o trfego que passa procurando por assinaturas de ataques, comprometimentos ou outros usos incorretos. O benefcio chave deste gerenciamento out-of-band que voc tem a habilidade de marcar os trfegos que so suspeitos. Se seu IDS lhe d muitos trfegos suspeitos, ento, configure-o! O que suspeito em um ambiente pode no ser em outro. Os fabricantes tentam compensar o melhor possivel, mas somente voc sabe o que melhor para seu ambiente! (...)

http://www.firewalls.com.br http://www.

Comentrios
- Vejamos agora algumas razes que o Gartner definiu para sua afirmativa insensata: --- Razao #1 " Contrariamente a filosofia, impossivel proteger as redes contra todos os ataques que elas venham a sofrer." --Ok, esta a razo mais cmica de todas. Comeando falando que a inteno de um IDS a de proteger a rede de todos os ataques contra estas, tenho que rir. Isto demonstra o posicionamento do resto do documento.

http://www.firewalls.com.br http://www.

Comentrios
--- Afirmativa #2 "As zonas desmilitarizadas (DMZ) demonstram diversas excees em polticas de segurana. Esta possui as tarefas de servios de misso crtica --Enquanto as DMZs (aparentemente) possui tarefas de misso crtica, Richard prope (o que dvido) uma nova nomenclatura, uma arquitetura para substituir as DMZ. O novo nome seria The Transition Zone (TTZ?). A idia seria colocar um Firewall entre a internet e seus servidores pblicos e um outro entre seus servidores pblicos e sua intranet. Interessantemente, isto realmente o que o resto do mundo chama de DMZ. No se foi demonstrado diferenas entre TTZ e o que as organizaes vem como sua DMZ.

http://www.firewalls.com.br http://www.

Comentrios

--- Afirmativa #3 A respeito de outros problemas com hosts na DMZ: "Devido a constante exposio desses ao mundo, eles precisam ser protegidos e exigem investimentos em dispositivos de segurana, como hosts de sacrifcio." --Tenho perguntado a muitas empresas Fortune 50 e alguns consumidores pequenos, sobre a existncia, em suas DMZ, de hosts para sacrificio. Eles dizem NO.

http://www.firewalls.com.br http://www.

Comentrios
--- Afirmativa #4 "Em 2005, 90% dos 200 gateways globais vo estar com 100% de inspeo de pacotes, habilitando o bloqueio de ataques de aplicao." --Voltaremos a esta afirmao em um minuto. 'belt-anderros.

---Afirmativa #5 "IDS prope o suspenders' a defesa do permetro" --Nesta curta afirmao

modelo dois

existem

UM- IDS no impe "belt-and-suspenders" a defesa de permetro (...) apesar do contraste, ele no "suporta" proteo, ele "detecta" quando outros mecanismos falham. Ele ajuda na auditoria, fazendo parte do ltimo ciclo da segurana - "reao".

http://www.firewalls.com.br http://www.

Comentrios
DOIS IDS no foram desenvolvidos apenas para o permetro. Muitas organizaes os tem em outras partes da rede, grupos de servidores, grupos com grandes caches de IP ou outros dados, e tambm em locaes de parceiros (...). --- Afirmativa #6 "As tecnologias de estado iro exigir dos agentes de rede escalarem at velocidades multigigabit." --Esta afirmao demonstra o bvio e grosso desentendimento da implementao e design do desenvolvimento de IDS. Uma robusta implementao de estado leva em considerao overhead devido a um bom reconhecimento de string, decodificao de protocolo ou deteco de anomalias. Os firewalls so prova disto.

http://www.firewalls.com.br http://www.

Comentrios
Detectores de intrusos precisam encontrar um balano entre estas metodologias, sem retirar a performance do sensor. No existe uma simples soluo (como checagem de estado) que seja boa para ser utilizada como nico mtodo de deteco, ou para o estado suportar velocidades multigigabit. --- Afirmativa #7 IPS precisa fazer isto: "Ele requer uma deteco eficiente de ataques maliciosos. Agentes de rede utilizam combinaes de assinaturas, deteco de anomalias em protocolos e anlises de trfego para minimizar os falsos positivos. Tecnologia de estados permitir os agentes de rede escalarem at velocidades multigigabit se necessrio. Isto permitir que eles decidam transparentemente se devem permitir ou bloquear sees." ---

http://www.firewalls.com.br http://www.

Comentrios
Esta afirmao aparentemente demonstra como o Gartner sucumbiu ao marketing. Voc pensa que eles basearam o seu paper em anlises de novas vulnerabilidades, ou mantendo um time de desenvolvimento de exploits todo o tempo, ou verificando o desenvolvimento geopoltico e os impactos sociais dos ataques e do hacking, certo? Baseado no dito, requerimentos de design, isso soa como um documento escrito para ser um glossrio de marketing para um IPS. (Omitimos alguns exemplos de afirmaes de outros revendedores de IPS por questes de PROFISSIONALISMO).

http://www.firewalls.com.br http://www.

Resumo da Firewalls
Diversos itens como colocar um IPS transparentemente garantindo inspeo em tempo real para aplicaes multigigabit demonstram total falta de profundidade demonstrada pelo artigo do Gartner, j que as profundas inspees realizadas por sensores IDS no poderiam ser desenvolvidas conjuntamente com o roteamento/bloqueio de trfego exigido por um IPS. Outros itens como falsos positivos, que gerariam bloqueios instantneos e falsos negativos que no seriam vistos por ningum, geram mais questes a serem levadas em considerao. Esperamos com isto termos definido de uma vez que o artigo insensato e portanto no pode ser tomado por base para uma real medida e escolha de uma soluo de segurana. Utilizamos as afirmativas demonstradas por pessoas do Dragon, para demonstrarmos que este no apenas o posicionamento da Firewalls, representante exclusiva da NFR no Brasil, como tambm de todos os grandes players do mercado.

http://www.firewalls.com.br http://www.

FIM! Ser mesmo?

DVIDAS?!? Rodrigo Rubira Branco rodrigo@firewalls.com.br

http://www.firewalls.com.br http://www.