Múltiplas camadas de defesa: A complementaridade do Firewall e do IPS

Não há muita discussão no que diz respeito à possibilidade de um Sistema de Prevenção de Intrusão (IPS) complementar o trabalho realizado por um firewall stateful. No entanto, é bem comum que se presenciem discussões de cunho quase filosófico sobre o posicionamento relativo de tais elementos em uma topologia de rede. O propósito do presente artigo é discutir as duas opções clássicas e caracterizar porque uma delas se mostra a mais natural. (Não que você precise concordar comigo… :-))

As duas disposições tradicionais são representadas na Figura 1, na qual os conceitos de “antes” e “depois” estão relacionados com o sentido de criação da conexão de uma máquina cliente para um servidor que se deseja proteger.

  • No primeiro arranjo, apenas o tráfego permitido pelo firewall é passado ao IPS, o qual, por sua vez, tem função de promover uma inspeção mais detalhada. Imagine, por exemplo, que se tente fazer um telnet, a partir de uma máquina externa, a um servidor web localizado na DMZ. O firewall poderia bloquear tal acesso sem necessidade de uso de qualquer funcionalidade mais elaborada do IPS.
  • Já no segundo modelo, todos os pacotes passariam inicialmente pelo IPS antes de chegarem à interface outside do firewall. Em algumas situações cheguei a ouvir que a razão de se ter o IPS na rede outside era permitir que ele “protegesse” o firewall ou que limitasse as novas conexões para tal dispositivo…

Figura 1: Posicionamento Relativo de Firewall e IPS

Refletindo por um instante sobre a atuação dos equipamentos de rede no contexto do modelo de camadas TCP/IP, podemos perceber que a complexidade de operação ( e conseqüente impacto em recursos tais como CPU) aumenta na seguinte ordem: Switch LAN (L2) < Roteador < Firewall < IPS.

Os sistemas IPS concentram seus recursos de análise nas camadas de rede, transporte e aplicação. Além disso mantém informação de estado (stateful pattern matching), realizam detecção de anomalias e, após tais tarefas, ainda precisam encaminhar os pacotes permitidos (na camada de enlace). Tantas atribuições acabam significando que a mais alta performance atingida por um IPS (num dado momento) é aproximadamente 4 ordens de grandeza menor que a do maior switch ou roteador da época e cerca de 1/10 da performance do maior firewall disponível. A última comparação é ainda mais favorável ao firewall se as métricas de conexões por segundo (CPS) e pacotes por segundo (pps) forem levadas em conta, conforme já discutido no artigo “Considerações sobre desempenho de Firewalls” (http://wp.me/p1loe7-15).

Uma outra forma de avaliar o cenário é pensar que se fosse possível construir um IPS com a mesma performance do maior roteador disponível, o custo por Gbps protegido pelo IPS seria certamente muito maior do que o custo por Gbps encaminhado pelo roteador. (Não há mágica aqui… Toda a capacidade de análise de padrões e contexto de um IPS exige módulos de hardware e software complexos, o que naturalmente acarreta custos extras).

Mas de onde vem a (eventual) percepção de que um IPS teria maior desempenho que o Firewall ? (- Seria natural ter o IPS antes do Firewall ?) Enxergo duas possíveis explicações:

  • Em um grande número de empresas a solução de IPS foi comprada (ou implementada) bem depois que o firewall já estava em uso. Essa diferença de fase entre os projetos de Firewall e IPS pode ter contribuído para que o IPS fosse selecionado entre as ofertas mais modernas do mercado ao passo que o firewall era um pouco antigo (no que diz respeito a desempenho).
  • Os parâmetros utilizados para análise provavelmente foram restritos a throughput (Gbps), de modo que foi negligenciado o fato de que um IPS tem natureza stateful. ( Conforme já mencionado, CPS é um atributo chave na avaliação de qualquer elemento stateful).

Uma opção que pode ser interessante para prover visibilidade adicional é representada na Figura 2. O IPS está localizado depois do firewall e um IDS (Intrusion Detection System) foi acrescentado à rede externa (em modo passivo, sem bloqueio de conexões). Desta forma pode-se obter informação sobre tentativas de ataque (inclusive direcionados a alvos entre o roteador e o firewall). O desafio é justamente ter uma equipe (tipicamente um Grupo de Resposta a Incidentes) que possa tirar proveito dos dados coletados.

Figura 2: Combinando Firewall, IPS e IDS

Se você ainda não está convencido sobre qual seria a opção mais natural, imagine a alegoria proposta na Figura 3. Considerando que o controle de passaporte (ou mesmo o check-in) corresponde ao firewall e que o sistema de raio-X represente o IPS, apenas quem teve acesso concedido ao portão de embarque será submetido à inspeção avançada. Lembre-se de sua experiência em aeroportos e considere a inversão dos processos: todos que chegam ao terminal passam inicialmente pelo raio-X, independentemente de terem viagem marcada…

Figura 3: Ilustrando a relação entre Firewall e IPS

O modelo que emprega o Sistema de Prevenção de Intrusão após o firewall é adequado tanto em projetos em que os equipamentos são distintos quanto naqueles em que o IPS consiste em um módulo do firewall. Na segunda opção é ainda comum que o firewall selecione os tipos de tráfego que serão direcionados ao IPS (em vez de se fazer o espelhamento completo), ação esta que também contribui para um melhor uso dos recursos de IPS.

** Artigos Relacionados:

** Recursos Adicionais:

About these ads

1 Comment

Filed under Português, Segurança

One response to “Múltiplas camadas de defesa: A complementaridade do Firewall e do IPS

  1. Rodrigo

    Bom dia, Alexandre.

    Parabéns pelo trabalho.
    Seu artigo ficou ótimo!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s