Guardian: IDS e IPS na detecção e bloqueio de ciberataques

by Mirian Fernandes

A segurança de redes é um braço da segurança da informação, composta por diversas estratégias e ferramentas que visam garantir a confidencialidade, integridade e disponibilidade das informações que circulam ou podem ser acessadas por meio de uma rede. Uma dessas ferramentas é (IDS) Sistemas de Detecção de Intrusão e (IPS) Sistemas de Prevenção de Intrusão, desenvolvidos para analisar o tráfego da rede e bloquear ameaças e ataques cibernéticos.

Diferente do firewall, que executa uma proteção perimetral, o IDS/IPS realiza uma defesa interna, sendo essencial contra ameaças já presentes na rede. Diante do aumento de 67% nos ataques cibernéticos no Brasil em 2024, segundo a TI Inside, ter uma ferramenta proativa e avançada deixou de ser opcional, tornou-se essencial para a continuidade dos negócios.

E como é impossível falarmos de ferramentas IDS/IPS e segurança proativa e não falar do Módulo Guardian, ao logo deste artigo você vai descobrir como ele funciona, seus diferenciais e como configurá-lo de maneira eficaz e analisar em tempo real.

Continue lendo e descubra.

Como o módulo Guardian funciona?

O Guardian é o módulo IDS/IPS do Edge Protect, projetado para atuar como um  sistema avançado de proteção em nível de rede, atuando principalmente como um antivírus de rede e um sistema de detecção e prevenção de intrusões (IDS/IPS). Aqui estão alguns dos principais aspectos do seu funcionamento:

  • Monitoramento de tráfego: o Guardian inspeciona o tráfego que passa pelas regras do firewall, analisando os pacotes de dados em tempo real para identificar atividades suspeitas ou maliciosas.
  • Detecção de ameaças: baseando-se em regras e padrões predefinidos, o Guardian detecta comportamentos anômalos, como tentativas repetidas de acesso não autorizado (ataques de força bruta) ou tráfego proveniente de IPs conhecidos por serem maliciosos.
  • Bloqueio automático: quando uma ameaça é detectada, o Guardian bloqueia automaticamente o IP associado a essa atividade suspeita. Por exemplo, após várias tentativas falhas de login administrativo, o IP ofensivo é bloqueado por um período definido nas configurações.
  • Root check (checagem ativa): o módulo também executa verificações na máquina que hospeda o Edge Protect, garantindo que não haja comprometimentos no sistema operacional ou na configuração do servidor.
  • Alertas e notificações: o Guardian pode ser configurado para enviar alertas via e-mail sempre que uma ação significativa ocorrer, como o bloqueio de um IP ou a detecção de uma ameaça.
  • Blacklist e whitelist: o módulo gerencia listas negras (blacklist) e listas brancas (whitelist) para controlar quais IPs devem ser bloqueados automaticamente e quais nunca devem ser bloqueados, mesmo que apresentem atividades suspeitas.
  • Relatórios e logs: o módulo gera logs/relatórios detalhados das atividades monitoradas, permitindo à equipe de TI revisar eventos passados e ajustar as configurações conforme necessário para melhorar a segurança da rede.

Clique aqui e conheça os diferenciais do módulo Guardian.

Configurando e operando o Guardian

Para aproveitar todo o potencial do Guardian, é essencial configurá-lo corretamente, garantindo uma proteção eficaz. Desde a instalação até a operação diária, cada etapa do processo foi projetada para oferecer segurança máxima sem comprometer o desempenho da rede.

1) Acesse o portal do StartiOne:

Para começar a configuração do módulo Guardian do Edge Protect, é necessário acessar a ferramenta e entrar no mesmo. Faça login no portal do StartiOne.

Página inicial Starti One

2) Navegue até o módulo Licensor

Dentro do menu, clique em "Licensor" e, em seguida, acesse a aba "Licenças".

3) Selecione a licença desejada:

Encontre e selecione a licença que você deseja configurar com o Guardian.

4) Habilite o Guardian:

Como a licença selecionada, clique no botão de habilitação para ativar o Guardian.

5) Ative o monitoramento de rede:

Após habilitar a licença, você já pode realizar as configurações do Guardian no Edge Protect. Acesse o painel do módulo Guardian, abaixo do botão de habilitação, localize e ative a opção “monitoramento de rede", o que permitirá que você monitore pacotes suspeitos.

6) Configure as regras de bloqueio:

Com monitoramento ativo, defina as regras que determinarão quando um IP deve ser bloqueado. Por exemplo, configure os tempos de bloqueio conforme abaixo:

  • Primeira tentativa falha: 5 minutos
  • Segunda tentativa falha: 10 minutos
  • Terceira tentativa falha: 1 hora
  • Quarta tentativa falha: 10 horas e inclusão automática na blacklist.

7) Habilite o root check (checagem ativa):

Habilite a checagem ativa para monitorar a máquina que hospeda o Edge Protect e configure uma frequência adequada (por exemplo, uma vez a cada 24 horas).

8) Ative os alertas por e-mail:

Configure o envio de alertas via email utilizando SendGrid ou SMTP, para notificar sobre tentativas de ataque ou bloqueios realizados pelo Guardian.

9) Teste as configurações:

Para realizar a verificação das configurações, realize testes simulando tentativas de acesso não autorizadas (como errar repetidamente a senha root) e observe se os bloqueios ocorrem conforme configurado

10) Monitore os alertas gerados:

Por fim, acesse regularmente o módulo do Guardian para verificar os alertas gerados e confirmar que os bloqueios estão sendo aplicados corretamente.
Utilizando o Guardian em um cenário de ataque

Vamos simular um cenário para demonstrar a eficácia do módulo Guardian na proteção de uma empresa contra ataques de força bruta. Imagina uma empresa chamada "Tech Solutions", que possui um servidor que hospeda suas aplicações críticas e permite acesso remoto para funcionários.

Preocupada com a segurança, a equipe de TI da empresa decide implementar o módulo Guardian para proteger o servidor contra os ataques cibernéticos, especialmente tentativas de força bruta.

Realizando a configuração do módulo Guardian

A equipe de TI inicia o processo de proteção configurando o módulo Guardian:

  • Ativação do módulo Guardian: o Guardian é habilitado no painel do Edge Protect.
  • Configuração de regras de bloqueio: eles definem que IPs serão bloqueados após 3 tentativas falhas de acesso em um intervalo de 5 minutos.
  • Alertas personalizados: Notificações por e-mail são configuradas para informar a equipe sempre que um bloqueio ocorrer.

O desenvolvimento do cenário

Pouco tempo depois, um atacante inicia um ataque de força bruta, tentando adivinhar a senha da conta administrativa. Após várias tentativas falhas, o módulo Guardian detectou que o mesmo IP fez 3 tentativas sem sucesso em menos de 5 minutos. O módulo automaticamente bloqueia esse IP por 10 horas, impedindo qualquer nova tentativa de acesso.

Resultado das estratégias de proteção

Assim que o bloqueio ocorre, a equipe de TI recebe uma notificação por e-mail informando sobre o bloqueio do IP suspeito. Eles analisam os logs gerados pelo Guardian e confirmam que houve várias tentativas não autorizadas provenientes desse IP.

Como resultado da ação rápida do módulo Guardian, a empresa evita uma violação de segurança e protege seus dados sensíveis.

Eleve a defesa dos seus clientes com o Edge Protect

Como apresentamos aqui, o módulo Guardian é uma ferramenta desenvolvida para elevar suas estratégias de segurança da rede, mas é apenas um dos recursos que você precisa para cuidar dos seus clientes. Por isso, o Edge Protect é a solução NGFW ideal, com outros recursos desde o firewall até o controle de acessos dos usuários na web, possibilitando um nível de segurança muito mais alto.

Com recursos exclusivos e eficazes, o Guardian se destaca no mercado em relação às outras soluções. Confira:

  • Integração com firewall: um módulo projetado para funcionar em conjunto com firewalls.
  • Bloqueio automático de IPs: identificando e bloqueando múltiplas tentativas falhas de acesso, sem a necessidade de intervenção manual - garantindo uma reação instantânea às ameaças.
  • Alertas personalizáveis: configure os alertas via e-mail para notificar administradores sobre atividades suspeitas ou bloqueios realizados.
  • Relatórios detalhados: tenha logs e relatórios detalhados das atividades monitoradas, facilitando a análise posterior e a tomada de decisões informadas sobre ajustes nas configurações de segurança.
  • Facilidade na operação: projetado para ser fácil de configurar e gerenciar, permitindo que equipes de TI implementem rapidamente medidas eficazes sem complicações excessivas.
  • Foco na prevenção de ataques específicos: altamente eficaz na detecção e prevenção contra ataques comuns, como força bruta e tentativas não autorizadas de acesso, oferecendo uma camada adicional de proteção focada nessas ameaças.

Descubra a oportunidade única que o Edge Protect oferece a você, para transformar a segurança em um diferencial competitivo e seu posicionamento no mercado de cibersegurança. Chegou a hora de dar o próximo passo!

Conheça agora mesmo Edge Protect e torne-se um líder em segurança cibernética. Preencha o formulário e assista o overview da ferramenta: