Sunday, October 18, 2009

Tuning de IPS: Uma arte?

De nada adianta ter um sistema de detecção/prevenção de intrusos mal configurado, que gere centenas de milhares de eventos sem qualquer tipo de utilidade. É fundamental ajustar parâmetros e, principalmente, ajustar políticas/assinaturas para que o foco do equipamento seja todo direcionado para eventos reais.

Um exemplo clássico é a detecção de eventos relativos a uma versão de servidor WEB que não existe na infraestrutura da empresa. Por que habilitar assinaturas relativas ao Apache se a empresa, por exemplo, somente utiliza IIS (Internet Information Services) da Microsoft?

Qualquer ferramenta de scanning de vulnerabilidades de Web Server (por exemplo, Nessus ou Nikto) que seja apontada para um servidor Web localizado na empresa (certamente em uma DMZ), será responsável pela geração de centenas de eventos no IDS/IPS. E qual a utilizade? Só saber que alguém realizou um scan de vulnerabilidades do Apache (lembrando que no nosso exemplo, estamos utilizando o IIS), não vai acrescentar nada ao já corrido dia-a-dia dos centros de monitoramento de segurança (SOC).

Outro detalhe importante diz respeito a assinaturas específicas de auditoria de protocolos, como por exemplo, HTTP Get, HTTP Post, NetBIOS, entre outras. Se um determinado segmento de rede tem por característica a utilização de protocolos relativos ao tráfego WEB (http. https, etc), então não faz muito sentido em "saber" que este tipo de protocolo trafega no segmento. Agora, se neste mesmo segmento, houver a ocorrência de protocolos sabidamente inseguros/suspeitos (como o IRC, FTP, TFTP, entre outros), isso sim pode caracterizar uma atividade maliciosa dentro do segmento de rede. Sabe-se que estes protocolos sejam normalmente utilizados após uma invasão em um determinado sistema.

A partir deste post, pretendo passar dicas de ajuste fino em políticas, levando-se em conta principalmente características de protocolo, sem nenhuma associação a ferramentas específicas (Proventia IPS, snort, etc). A ideia é que o conceito seja aplicável a qualquer fabricante.