Ir para o conteúdo

Capítulo 45 – Intrusion Prevention

Introdução

Em um cenário de ameaças cibernéticas cada vez mais complexas, apenas bloquear portas e segmentar redes já não é suficiente. É nesse ponto que entram os sistemas de detecção e prevenção de intrusão — ferramentas que oferecem uma camada adicional de visibilidade e defesa, permitindo identificar padrões suspeitos de comportamento antes que causem impacto.

O Intrusion Detection System (IDS) do OPNsense atua como um analista incansável: ele inspeciona profundamente cada pacote que transita pela rede e compara seu conteúdo com assinaturas conhecidas de ataques — como exploits, malware, tentativas de escaneamento e comunicações com botnets.
Quando encontra algo suspeito, gera um alerta detalhado, registrando a origem, destino, tipo de ameaça e a regra que disparou a detecção.

O Intrusion Prevention System (IPS) vai além. Ele adiciona a capacidade de intervir proativamente, bloqueando pacotes em tempo real ou encerrando conexões maliciosas. Dessa forma, o IPS não apenas observa, mas reage automaticamente. No OPNsense, ambos os modos — IDS e IPS — são oferecidos pelo poderoso Suricata, um motor open source amplamente reconhecido e utilizado em soluções de segurança corporativas.

Tráfego criptografado

Uma limitação importante é que o Suricata não consegue inspecionar o conteúdo de conexões criptografadas, como HTTPS, SSH e QUIC, já que o payload desses protocolos é cifrado.
Ainda assim, o sistema é capaz de detectar anomalias com base em:

  • Metadados (ex.: domínio acessado via SNI, portas utilizadas, volume e frequência de conexões);
  • Listas de reputação (blocklists) com IPs e domínios associados a spam, malware e comando e controle (C2);
  • Políticas de bloqueio (drop policies) aplicadas a categorias de tráfego potencialmente perigosas.

Assim, mesmo sem enxergar o conteúdo exato, o OPNsense ainda consegue prevenir conexões suspeitas com base em comportamento e reputação, o que já representa uma defesa significativa contra ameaças comuns.

Forças e Limitações

Forças

O módulo IDS/IPS do OPNsense se destaca por várias razões:

  • Inspeção profunda (camada 7) do tráfego, analisando não apenas cabeçalhos, mas também o conteúdo das comunicações.
  • Uso de assinaturas amplamente atualizadas por comunidades e fornecedores como a Emerging Threats, garantindo uma base de conhecimento constantemente evolutiva.

  • Flexibilidade para operar em dois modos distintos:

    • IDS (modo alerta): apenas monitora e registra atividades suspeitas;
    • IPS (modo prevenção): intercepta e bloqueia pacotes maliciosos em tempo real.

  • Atualizações automáticas de regras e alta granularidade — é possível habilitar, desabilitar ou modificar regras específicas conforme o ambiente.

  • Pode atuar em modo bridge, tornando-se transparente entre segmentos de rede, o que facilita sua inserção sem alterar a topologia existente.

Limitações

Apesar da robustez, é importante compreender suas limitações para evitar expectativas irreais:

  • Nenhum IDS ou IPS é capaz de garantir 100% de detecção. Ataques novos ou ofuscados podem passar despercebidos até que novas assinaturas sejam lançadas.
  • O modo IPS pode gerar falsos positivos, bloqueando conexões legítimas — o que exige monitoramento e ajuste contínuo.
  • A necessidade de ajuste fino (fine-tuning) é constante, especialmente em ambientes dinâmicos ou de alto tráfego.
  • A criptografia moderna reduz a visibilidade do conteúdo inspecionado, obrigando o sistema a depender cada vez mais de metadados e inteligência de ameaças (Threat Intelligence).

Em resumo, o IDS/IPS é uma ferramenta poderosa, mas deve ser tratada como parte de uma estratégia de segurança mais ampla — e não como uma solução isolada.

Preparação e Pré-requisitos

Antes de ativar o IDS/IPS, é fundamental preparar o ambiente para garantir desempenho e confiabilidade.
Siga estas boas práticas:

  1. Mantenha o OPNsense atualizado — tanto o firmware quanto os plugins. Novas versões corrigem falhas, otimizam a Detecção e atualizam o suporte às assinaturas.
  2. Desative os offloads de hardware, que podem interferir na análise de pacotes.
    Acesse:
    Interfaces → Settings
    Marque as seguintes opções:
    • Disable hardware checksum offload
    • Disable hardware TCP segmentation offload (TSO)
    • Disable hardware large receive offload (LRO)
  3. Planeje as redes e zonas que serão monitoradas. Avalie se o IDS será aplicado apenas na borda (WAN) ou também em segmentos internos (LAN, DMZ).
  4. Avalie o impacto de desempenho. A inspeção profunda é intensiva em CPU e memória; use hardware compatível com a carga esperada.
  5. Garanta espaço em disco para logs. O IDS gera relatórios detalhados, especialmente em modo de alerta.

Configuração do IDS (modo de detecção)

O primeiro passo é ativar o IDS em modo de monitoramento, para observar o comportamento da rede antes de aplicar bloqueios.

  1. Acesse Services → Intrusion Detection.
  2. Na guia Download, selecione as categorias de regras que deseja habilitar. Essas categorias determinam o tipo de tráfego que será analisado.

  3. Para uma configuração inicial equilibrada (boa cobertura com baixo ruído), habilite as seguintes regras:

    • ET open/compromised
    • ET open/drop
    • ET open/emerging-attack_response
    • ET open/emerging-current_events
    • ET open/emerging-dns
    • ET open/emerging-exploit
    • ET open/emerging-exploit_kit
    • ET open/emerging-hunting
    • ET open/emerging-malware
    • ET open/emerging-mobile_malware
    • ET open/emerging-p2p
    • ET open/emerging-phishing
    • ET open/emerging-policy
    • ET open/emerging-scan
    • ET open/emerging-shellcode
    • ET open/emerging-user_agents
    • ET open/emerging-web_client
    • ET open/emerging-worm
    • ET open/threatview_CS_c2
    • OPNsense-App-detect/file-transfer

  4. Clique em Enable selected para ativar as categorias escolhidas.

  5. Em seguida, clique em Download & Update Rules para baixar as assinaturas mais recentes.
  6. Vá para a guia Settings:
  7. Marque Enabled para ativar o serviço.
  8. Marque Advanced mode no topo da tela.
  9. Em Home networks, apague os IPs padrão e insira apenas os endereços do próprio firewall e as redes internas (LANs). Isso evita ruídos provenientes de IPs externos não relacionados ao seu ambiente.
  10. Clique em Apply.

Neste momento, o OPNsense estará monitorando o tráfego e registrando alertas, sem ainda interferir nas conexões — ideal para a fase inicial de análise.

Geração de um Alerta de Teste (IDS)

Para confirmar que o IDS está operando corretamente:

  1. Vá em Interfaces → Diagnostics → DNS Lookup.
  2. No campo Hostname, insira: www.torgateway.org
  3. Clique em Apply.
  4. A consulta não deve resolver, pois o domínio está listado em assinaturas de tráfego suspeito.
  5. Acesse Services → Intrusion Detection → Administration → Alerts e verifique se o alerta foi gerado.

Se nenhum alerta for exibido, revise se as regras foram habilitadas corretamente e se o campo Home networks inclui a sua rede interna.

Habilitando o IPS (bloqueio ativo)

Após validar o funcionamento do IDS, você pode ativar o modo IPS para bloquear automaticamente comunicações suspeitas.

  1. Confirme que o offloading de hardware está desativado (ver seção anterior).
  2. Vá em Services → Intrusion Detection → Administration e marque IPS mode.

  3. Por padrão, as assinaturas estão configuradas como “Alertar”. Para alterar em massa para “Descartar” (Drop):

    • Acesse Services → Intrusion Detection → Policy → + Add
    • Em Action, selecione “Alert”
    • Em New action, escolha “Drop”
    • Descrição: Força ação de drop nas regras ativas
    • Clique em Apply.

  4. Repita o teste de DNS (seção anterior).

  5. Agora, na guia Alerts, a coluna Action deve exibir blocked, confirmando que o tráfego foi bloqueado com sucesso.

Ajuste Fino: Exceções (Whitelist)

Com o modo IPS habilitado, pode ocorrer de regras genéricas bloquearem tráfego legítimo.
Em vez de desabilitar toda a categoria de regras (o que reduz a segurança), crie exceções específicas.

Exemplo: manter o bloqueio para torgateway.org, mas liberar consultas DNS quando o destino for o servidor 8.8.8.8.

  1. Vá em Services → Intrusion Detection → Administration → User Defined.

  2. Preencha os campos:

    • Source IP: IP da máquina cliente (ou do próprio firewall).
    • Destination IP: 8.8.8.8
    • Action: Pass
    • Bypass: marcar.
    • Description: Whitelist torgateway para → 8.8.8.8.

  3. Clique em SaveApply.

  4. Refaça o teste:

    • Consulta via 8.8.8.8 → deve passar.
    • Consulta via 1.1.1.1 → deve bloquear.

Importante

Evite exceções amplas demais, pois podem criar “pontos cegos” que permitam a passagem de ameaças não detectadas.
Priorize exceções específicas e documentadas.

Desabilitando uma Regra Específica

Se mesmo após o ajuste fino uma regra continuar gerando falsos positivos, ela pode ser desativada completamente.

  1. Remova o bypass anterior, se existir.
  2. Acesse Services → Intrusion Detection → Administration → Rules.
  3. Pesquise o SID da regra (ex.: 2019983).
  4. Clique no ícone de check para desativar a regra.
  5. Clique em Apply e repita o teste.

Automação: Atualização de Regras via Cron

As assinaturas precisam ser constantemente atualizadas, já que novas ameaças surgem diariamente.

  1. Vá em System → Settings → Cron.
  2. Clique em + Add para criar um agendamento.

  3. Configure:

    • Hours: 5 (executar diariamente às 05h00).
    • Command: Update and reload intrusion detection rules.
    • Description: Atualiza IDS diariamente.

  4. Clique em SaveApply.

Assim, o OPNsense garantirá que o IDS opere sempre com as regras mais recentes.

Boas Práticas

  • Comece em modo IDS: monitore por uma ou duas semanas antes de ativar o IPS.
  • Habilite apenas regras relevantes: quanto mais categorias, mais alertas e falsos positivos.

  • Ajuste o perfil de desempenho em hardwares modestos:

    • Pattern matcher: “Aho-Corasick (reduced memory implementation)”;
    • Detect profile: “Medium” ou “Low”.

  • Integre o IDS ao seu SIEM, como Wazuh, Elastic ou Graylog, para correlação e visualização centralizada.

  • Documente cada mudança: registre regras desativadas, exceções e motivos.
  • Monitore o desempenho: acompanhe CPU, throughput e taxa de alertas.
  • Faça revisões periódicas: o que era falso positivo hoje pode ser uma ameaça amanhã.

Sugestão de Categorias de Regras (Ponto de Partida)

Para um ambiente equilibrado entre visibilidade e estabilidade, habilite as seguintes regras:

  • Higiene e visibilidade de rede:

    • emerging-policy.rules
    • emerging-scan.rules
    • emerging-attack_response.rules

  • Malware e C2:

    • emerging-malware.rules
    • emerging-trojan.rules
    • threatview_CS_c2

  • Superfícies de ataque comuns:

    • emerging-dns.rules
    • emerging-web_client.rules
    • emerging-user_agents.rules

  • Protocolos específicos usados no seu ambiente:
    Habilite apenas se realmente utiliza (IMAP, VoIP, IoT, etc.)

Anexos

Conclusão

Lidar com alertas exige paciência e discernimento.
Assim como na fábula do “menino e o lobo”, ignorar alertas reais por causa dos falsos positivos pode ser fatal.
O segredo do sucesso com IDS/IPS está em manter um ajuste fino constante, validando, revisando e aprendendo com o comportamento da rede.

O IDS/IPS não é apenas uma ferramenta técnica — é um instrumento de vigilância contínua, que quando bem configurado e mantido, se torna uma das defesas mais inteligentes e adaptativas do OPNsense.