Serviços de Segurança > Intrusion Prevention Service

O Dell SonicWALL Intrusion Prevention Service (Dell SonicWALL IPS) oferece o mecanismo Deep Packet Inspection de alto desempenho para a proteção estendida dos principais serviços de rede, como Web, e-mail, transferência de arquivos, serviços do Windows e DNS. O Dell SonicWALL IPS é projetado para proteger os usuários contra vulnerabilidades de aplicativos, bem como worms, cavalos de Troia e exploits de ponto a ponto, spyware e backdoor. O idioma da assinatura extensível utilizado no mecanismo Deep Packet Inspection da Dell SonicWALL também oferece defesa proativa contra recém-descobertas de vulnerabilidades de aplicativos e protocolos. O Dell SonicWALL IPS elimina o processo caro e demorado de manter e atualizar assinaturas para novos ataques de hackers por meio da Arquitetura de Imposição Distribuída (DEA) líder no mercado da Dell SonicWALL. A granularidade de assinatura permite que o Dell SonicWALL IPS detecte e impeça ataques de modo global, por grupo de ataque ou por assinatura para proporcionar máxima flexibilidade e controlar o número de falsos positivos.

Dell SonicWALL Deep Packet Inspection

A Deep Packet Inspection analisa a parte de dados do pacote. A tecnologia Deep Packet Inspection inclui a detecção e prevenção contra invasões. A detecção de invasões localiza anomalias no tráfego e alerta o administrador. A prevenção contra invasões localiza as anomalias no tráfego e reage a elas, impedindo a passagem do tráfego.

A Deep Packet Inspection é uma tecnologia que permite que um dispositivo de segurança Dell SonicWALL classifique o tráfego de passagem com base em regras. Essas regras incluem informações sobre o conteúdo das camadas 3 e 4 do pacote, bem como as informações que descrevem o conteúdo da carga do pacote, incluindo os dados do aplicativo (por exemplo, uma sessão de FTP, uma sessão do navegador da web de HTTP ou até mesmo uma conexão do banco de dados de middleware). Essa tecnologia permite ao administrador detectar e registrar invasões que passam pelo dispositivo de segurança Dell SonicWALL, bem como preveni-las (ou seja, cancelando o pacote ou redefinindo a conexão TCP). A tecnologia Deep Packet Inspection da Dell SonicWALL também lida de forma correta com a inspeção de fluxo de bytes fragmentados de TCP como se não tivesse ocorrido nenhuma fragmentação de TCP.

Como funciona a Deep Packet Inspection da Dell SonicWALL

A tecnologia Deep Packet Inspection permite que o firewall realize uma investigação aprofundada no protocolo para examinar as informações na camada do aplicativo e se defender contra ataques direcionados às vulnerabilidades de aplicativos. Esta é a tecnologia por trás do Dell SonicWALL Intrusion Prevention Service. A tecnologia Deep Packet Inspection da Dell SonicWALL permite atualizações dinâmicas de assinatura enviadas da Arquitetura de Imposição Distribuída da Dell SonicWALL.

As etapas a seguir descrevem o funcionamento da Arquitetura da Deep Packet Inspection da Dell SonicWALL:

1. O Pattern Definition Language Interpreter utiliza assinaturas que podem ser registradas para a detecção e prevenção contra exploits, aplicativos e protocolos conhecidos e desconhecidos.

2. Os pacotes TCP que chegam fora de ordem são reagrupados pela estrutura da Deep Packet Inspection.

3. O pré-processamento do mecanismo Deep Packet Inspection envolve a normalização da carga do pacote. Por exemplo, uma solicitação de HTTP pode ser codificada pela URL e, portanto, a solicitação é decodificada pela URL, a fim de realizar a correspondência correta de padrões na carga.

4. Os pós-processadores do mecanismo Deep Packet Inspection realizam ações que podem simplesmente transmitir o pacote sem modificação, cancelar um pacote ou até mesmo redefinir uma conexão TCP.

5. A estrutura da Deep Packet Inspection da Dell SonicWALL oferece suporte à correspondência completa de assinaturas entre os fragmentos do TCP sem realizar nenhum reagrupamento (exceto se os pacotes estiverem fora de ordem). Isso resulta no uso mais eficiente do processador e da memória para obter um melhor desempenho.

ips_architecture.jpg

 

Terminologia do Dell SonicWALL IPS

Inspeção de pacotes com monitoramento de estado – observa o cabeçalho do pacote para controlar o acesso com base na porta, protocolo e endereço IP.

Inspeção profunda de pacotes – observa a parte de dados do pacote. Ela permite que o firewall realize uma investigação aprofundada no protocolo para examinar as informações na camada do aplicativo e se defender contra ataques direcionados às vulnerabilidades de aplicativos.

Detecção de invasões – um processo de identificação e sinalização de atividades maliciosas direcionadas à tecnologia da informação.

Falso positivo – um padrão do tráfego de um ataque identificado incorretamente.

Prevenção contra invasões – localização de anomalias e atividades maliciosas no tráfego e reação a elas.

Assinatura – código escrito para detectar e prevenir invasões, worms, exploits de aplicativos e tráfego de Ponto a Ponto e de Mensagens Instantâneas.

Ativação do Gateway Anti-Virus, Anti-Spyware e IPS Dell SonicWALL

Se você não possuir o Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service instalados em seu dispositivo de segurança Dell SonicWALL, a página Serviços de Segurança > Anti-Spyware indica que uma atualização é necessária e inclui um link para ativá-la a partir da interface de gerenciamento de seu dispositivo de segurança Dell SonicWALL.

Como o Dell SonicWALL Intrusion Prevention Service faz parte do Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service, você terá uma única Chave de Licença para ativar os três serviços em seu dispositivo de segurança Dell SonicWALL.

Você deverá ativar a licença do Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service na página Serviços de Segurança > Intrusion Prevention primeiro. Após a ativação do Intrusion Prevention Service, você poderá ativar, em seguida, o Dell SonicWALL Gateway Anti-Virus e o Dell SonicWALL Anti-Spyware.

Para ativar um Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service em seu dispositivo de segurança Dell SonicWALL, os itens a seguir são necessários:

uma licença do Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service. Você precisa adquirir uma licença do Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service de um revendedor Dell SonicWALL ou na sua conta mySonicWALL.com (limitado a clientes dos EUA e Canadá).

conta no mySonicWALL.com. Criar uma conta no mySonicWALL.com é rápido, fácil e GRÁTIS. Simplesmente preencha um formulário de registro on-line na interface de gerenciamento do dispositivo de segurança Dell SonicWALL. Também é possível acessar sua conta no mySonicWALL.com em https://www.mySonicWALL.com a partir de qualquer conexão com a Internet com um navegador da Web.

Dispositivo de segurança Dell SonicWALL registrado com conexão de Internet ativa. Registrar seu dispositivo de segurança Dell SonicWALL é um procedimento simples realizado diretamente na interface de gerenciamento.

SonicOS Enhanced 3.1 ou mais recente. O dispositivo de segurança Dell SonicWALL deve estar executando o SonicOS Enhanced 3.1 ou uma versão mais recente para o Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service.

Tip Se seu dispositivo de segurança Dell SonicWALL estiver conectado à Internet e registrado no mySonicWALL.com, você poderá ativar uma AVALIAÇÃO GRATUITA de 30 dias do Dell SonicWALL Gateway Anti-Virus, Dell SonicWALL Anti-Spyware e Dell SonicWALL Intrusion Prevention Service separadamente nas páginas Serviços de segurança > Gateway Anti-Virus, Serviços de segurança > Anti-Spyware e Serviços de segurança > Intrusion Prevention na interface de gerenciamento.

Note Os Guias de Administrador para o Dell SonicWALL Gateway Anti-Virus,Dell SonicWALL Anti-Spyware e Dell SonicWALL Intrusion Prevention Service estão disponíveis no site de documentação do Dell SonicWALL: http://www.SonicWALL.com/us/Support.html

Criando uma conta no mySonicWALL.com

Criar uma conta no mySonicWALL.com é rápido, fácil e GRÁTIS. Simplesmente preencha um formulário de registro on-line na interface de gerenciamento do dispositivo de segurança Dell SonicWALL.

Note Se você já possuir uma conta mySonicWALL.com, acesse Registrando o dispositivo de segurança da Dell SonicWALL.

1. Efetue login na interface de gerenciamento de dispositivo de segurança Dell SonicWALL.

2. Se a página Sistema > Status não for exibida na interface de gerenciamento, clique em Sistema no menu de navegação à esquerda e, em seguida, clique em Status.

3. Na página Sistema > Status, na seção Serviços de segurança, clique no link Registrar em O Dell SonicWALL não está registrado. Clique aqui para registrar seu Dell SonicWALL.

Na página de Login mySonicWALL.com, clique no link aqui em Caso não tenha uma conta mySonicWALL, clique aqui para criar uma.

Na página de Contas do mySonicWALL insira suas informações nos campos Informações de conta, Informações pessoais e Preferências. Todos os campos marcados com um asterisco (*) são obrigatórios.

Note Lembre-se do seu nome de usuário e senha para acessar sua conta mySonicWALL.com.

6. Clique em Enviar depois de concluir o formulário Conta mySonicWALL.

7. Quando o servidor mySonicWALL.com terminar de processar a sua conta, você verá uma página informando que sua conta foi criada. Clique em Continuar. Parabéns. Sua conta mySonicWALL.com está ativada. Agora, você precisa fazer logon em mySonicWALL.com para registrar seu dispositivo de segurança de Dell SonicWALL.

Note Informações de registro de mySonicWALL.com não são vendidas ou compartilhadas com qualquer outra empresa.

Registrando o dispositivo de segurança da Dell SonicWALL

Para registrar o dispositivo de segurança Dell SonicWALL, realize as seguintes etapas:

1. Efetue login na interface de gerenciamento de dispositivo de segurança Dell SonicWALL.

2. Se a página Sistema > Status não for exibida na interface de gerenciamento, clique em Sistema no menu de navegação à esquerda e, em seguida, clique em Status.

3. Na página Sistema > Status, na seção Serviços de segurança, clique no link Registrar. A página Login no mySonicWALL.com será exibida.

4. Insira seu nome de usuário e senha no mySonicWALL.com nos campos Nome de usuário e Senha e clique em Enviar.

5. As próximas páginas informam você sobre as versões de avaliação gratuitas disponíveis para os Serviços de segurança do Dell SonicWALL:

Gateway Anti-Virus - Fornece proteção contra vírus em tempo real para toda a sua rede.

Client Anti-Virus - Fornece proteção antivírus de áreas de trabalho e servidores com o software em execução em cada computador.

Premium Content Filtering Service - Aumenta a produtividade ao limitar o acesso ao conteúdo da Web questionável.

Intrusion Prevention Service - Protege sua rede contra worms, cavalos de Troia e ataques à camada de aplicativo.

Anti-Spyware - Protege sua rede contra spywares maliciosos ao bloquear a instalação de spyware no gateway e interrompendo-os.

Clique em Continuar em cada página.

Note Clicar no botão Continuar não ativa as versões de avaliação GRATUITAS dos Serviços de segurança Dell SonicWALL.

6. Na parte superior da página Pesquisa do produto, insira um “Nome amigável" para seu dispositivo de segurança Dell SonicWALL no campo Nome amigável. O nome amigável permite que você identifique facilmente seu dispositivo de segurança Dell SonicWALL em sua conta mySonicWALL.com.

7. Preencha a Pesquisa do produto. O Dell SonicWALL usa essas informações para ajustar ainda mais os serviços de acordo com seu necessidades.

8. Clique em Enviar.

9. Quando o servidor do mySonicWALL.com terminar de processar seu registro, uma página é exibida informando que o dispositivo de segurança Dell SonicWALL está registrado. Clique em Continuar e a página Sistema > Licenças é exibida, mostrando os serviços disponíveis. Você pode ativar o serviço a partir desta página ou a página de serviço específico no menu de navegação à esquerda Serviços de segurança na interface de gerenciamento.

Ativando AVALIAÇÕES GRATUITAS

Você pode experimentar versões de AVALIAÇÃO GRATUITA do Dell SonicWALL Gateway Anti-Virus, Dell SonicWALL Anti-Spyware e Dell SonicWALL Intrusion Prevention Service. É necessário ativar cada serviço separadamente da tabela Gerenciar serviços on-line na página Sistema > Licenças ou clicando no link de AVALIAÇÃO GRATUITA na respectiva página de Serviços de Segurança (ou seja, Serviços de Segurança > Gateway Anti-Virus).

Para experimentar uma AVALIAÇÃO GRATUITA do Dell SonicWALL Gateway Anti-Virus, Dell SonicWALL Anti-Spyware ou Dell SonicWALL Intrusion Prevention Service, efetue as seguintes etapas:

1. Clique no link AVALIAÇÃO GRATUITA na página Serviços de Segurança > Gateway Anti-Virus, Serviço de segurança > Anti-Spyware ou na página Serviços de segurança > Intrusion Prevention. A página Login no mySonicWALL.com será exibida.

2. Insira seu nome de usuário e senha no mySonicWALL.com nos campos Nome de usuário e Senha e clique em Enviar. Se o seu dispositivo de segurança Dell SonicWALL já estiver conectado à sua conta mySonicWALL.com, a página sistema > Licenças aparece após clicar no link AVALIAÇÃO GRATUITA.

3. Clique em Experimentar na coluna AVALIAÇÃO GRATUITA da tabela Gerenciar serviços on-line. O serviço está habilitado em seu dispositivo de segurança.

Ativando a licença do Gateway Anti-Virus, Anti-Spyware e IPS

Porque o Dell SonicWALL Intrusion Prevention Service faz parte do Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service. A Chave de ativação que você receber é para todos os três serviços no seu dispositivo de segurança Dell SonicWALL.

Se você não possuir uma licença do Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service ativada em seu dispositivo de segurança Dell SonicWALL, será necessário adquiri-la de um revendedor SonicWALL ou por meio de sua conta no mySonicWALL.com (limitada aos clientes dos EUA e Canadá).

Se você possuir uma Chave de Ativação para o Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service, siga estas etapas para ativar os serviços combinados:

1. Na página Serviços de Segurança > Intrusion Prevention, clique no link Assinatura do Dell SonicWALL Intrusion Prevention Service. A página Login no mySonicWALL.com será exibida.

2. Insira seu nome de usuário e senha no mySonicWALL.com nos campos Nome de usuário e Senha e clique em Enviar. Se o seu dispositivo de segurança Dell SonicWALL já estiver registrado à sua conta mySonicWALL.com, a página Sistema > Licenças é exibida.

3. Clique em Ativar ou Renovar na coluna Gerenciar serviço na tabela Gerenciar serviços
on-line.

4. Digite a Chave de ativação no campo Nova chave de licença e clique em Enviar. O Dell SonicWALL Intrusion Prevention Service é ativado. A página Sistema > Licenças é exibida com os links do Anti-Spyware e Gateway Anti-Virus mostrados na parte inferior da tabela Gerenciar serviços on-line com as Chaves de Ativação filhas.

Clique no link do Gateway Anti-Virus. A Chave de Ativação filha é inserida automaticamente no campo Nova chave de licença. A Chave de Ativação filha é uma chave diferente da chave pai para o Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service.

6. Clique em Enviar. Se você tiver ativado uma versão de AVALIAÇÃO GRATUITA ou uma licença de renovação, é exibida a tela de renovação que mostra a data de expiração da licença atual e a data de expiração da licença atualizada. Clique em Renovar.

7. Clique no link do Dell SonicWALL Gateway Anti-Virus. A Chave de Ativação filha é inserida automaticamente no campo Nova chave de licença. A Chave de Ativação filha é uma chave diferente da chave pai para o Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service.

8. Clique em Enviar. Se você tiver ativado uma versão de AVALIAÇÃO GRATUITA ou uma licença de renovação, é exibida a tela de renovação que mostra a data de expiração da licença atual e a data de expiração da licença atualizada. Clique em Renovar.

Parabéns! Você tiver ativado o Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service.

Se você ativar a assinatura do Dell SonicWALL Gateway Anti-Virus, Anti-Spyware e Intrusion Prevention Service em mySonicWALL.com, a ativação é habilitada automaticamente no dispositivo de segurança Dell SonicWALL dentro de 24 horas, ou você pode clicar no botão Sincronizar na página Serviços de segurança > Resumo para atualizar imediatamente o seu dispositivo de segurança Dell SonicWALL.

Configurando a Proteção do Dell SonicWALL Intrusion Prevention Service

Ativar a licença do Dell SonicWALL Intrusion Prevention Service em seu dispositivo de segurança Dell SonicWALL não habilita a proteção automaticamente. Para configurar o Dell SonicWALL Intrusion Prevention Service para dar início à proteção de sua rede, é necessário realizar as etapas a seguir:

1. Habilite o Dell SonicWALL Intrusion Prevention Service.

2. Especifique a Prioridade dos Grupos de ataque.

3. Aplique a proteção do Dell SonicWALL Intrusion Prevention Service às zonas.

Note Para obter instruções completas sobre como configurar o Dell SonicWALL Intrusion Prevention Service, consulte o Manual do Administrador do Dell SonicWALL Intrusion Prevention Service, disponível no site da Web da documentação Dell SonicWALL em
http://www.SonicWALL.com/us/Support.html.

Ao selecionar Serviços de Segurança > Intrusion Prevention, são exibidas as definições da configuração do SonicWALL IPS no dispositivo de segurança Dell SonicWALL.

A página do Intrusion Prevention Service é dividida em três seções:

Status do IPS – exibe informações de status sobre o estado do banco de dados da assinatura, sua licença do Dell SonicWALL IPS e outras informações.

Configurações globais do IPS – fornece as principais configurações para ativar o Dell SonicWALL IPS em seu dispositivo de segurança Dell SonicWALL, especificando a proteção geral do Dell SonicWALL IPS com base em três classes de ataques e outras opções de configuração.

Políticas do IPS – permite a exibição das assinaturas do Dell SonicWALL IPS e a configuração do tratamento de assinaturas por grupos de categorias ou por assinatura. As categorias são assinaturas agrupadas com base no tipo de ataque.

Depois de ativar a licença do Intrusion Prevention Service, é necessário habilitar e configurar o Dell SonicWALL IPS na interface de gerenciamento do SonicOS antes que as políticas de prevenção contra invasões sejam aplicadas ao tráfego da rede.

Habilitando o Dell SonicWALL IPS

O Dell SonicWALL IPS deve estar habilitado globalmente no dispositivo de segurança Dell SonicWALL marcando a caixa de seleção Habilitar IPS na seção Configurações globais do IPS. Uma marca de seleção na caixa Habilitar IPS ativa o serviço no dispositivo de segurança Dell SonicWALL.

Note Marcar a caixa de seleção Habilitar IPS não inicia automaticamente a proteção do Dell SonicWALL IPS. É necessário também acessar a seção Configurações globais do IPS e especificar uma ação Impedir tudo na tabela Grupos de assinatura para ativar a prevenção contra invasões no dispositivo de segurança Dell SonicWALL e especificar a interface ou as zonas que deseja proteger.

Especificando a proteção no nível de ataque global

O Dell SonicWALL IPS permite gerenciar globalmente a proteção de rede contra ataques simplesmente selecionando a classe de ataques: Ataques de prioridade alta, Ataques de prioridade média e Ataques de prioridade baixa. Marcar as caixas de seleção Impedir tudo e Detectar todos para Ataques de alta prioridade e Ataques de prioridade média na tabela Grupos de assinatura e, em seguida, clicar em Aplicar protege a rede contra a maioria dos ataques perigosos e que causam interrupções. Para obter mais informações sobre como configurar os grupos de assinatura global, consulte “Configurando grupos de assinatura global” no Manual do Administrador do Dell SonicWALL Intrusion Prevention Service , disponível em www.SonicWALL.com/support/documentation.html

Note Deixar os grupos de assinatura Ataques de alta prioridade, Ataques de prioridade média e Ataques de prioridade baixa sem nenhuma ação Impedir tudo marcada significa que nenhuma prevenção contra invasões está ocorrendo no dispositivo de segurança Dell SonicWALL.

Aplicando a proteção Dell SonicWALL IPS em zonas

É possível aplicar o Dell SonicWALL IPS às zonas na página Rede > Zonas para impor o Dell SonicWALL IPS não só entre cada zona de rede e a WAN, mas também entre zonas internas. Por exemplo, habilitar o Dell SonicWALL IPS na zona da LAN impõe o Dell SonicWALL IPS a todo o tráfego de entrada e saída da LAN.

Na seção Status do IPS da página Serviços de Segurança > Intrusion Prevention Service, clique no link Rede > Zonas para acessar a página Rede > Zonas. É possível aplicar o Dell SonicWALL IPS a uma zona listada na página Rede > Zonas.

Para habilitar o Dell SonicWALL em uma zona, siga estas etapas:

1. Na interface de gerenciamento do dispositivo de segurança Dell SonicWALL, selecione Rede > Zonas ou, na seção Status do IPS, na página Serviços de segurança > Intrusion Prevention, clique no link Rede > Zonas. A página Rede > Zonas é exibida.

2. Na coluna Configurar na tabela Configurações de zona, clique no ícone de edição icon_edit.jpg para a zona à qual deseja aplicar o Dell SonicWALL IPS. A janela Editar zona é exibida.

3. Clique na caixa de seleção Habilitar IPS. É exibida uma marca de seleção. Para desativar o Dell SonicWALL IPS, desmarque a caixa.

4. Clique em OK.

Também é possível habilitar a proteção do Dell SonicWALL IPS para as novas zonas criadas na página Rede > Zonas. Clicar no botão Adicionar exibe a janela Adicionar zona, que inclui as mesmas configurações que a janela Editar zona.