Deep Dive Técnico: Por que manter assinaturas IPS “Normal” e “Ver2” na Check Point?

O Intrusion Prevention System (IPS) da Check Point é um componente central de Threat Prevention, fornecendo proteção proativa contra uma ampla gama de ameaças de rede. Com o tempo, o motor de IPS e os formatos de assinatura evoluíram, resultando na coexistência de assinaturas “Normal” e “Version 2 (V2 / Ver 2)”. Este post explica os motivos técnicos para manter ambos os tipos, suas diferenças arquiteturais e boas práticas de implementação.

Visão geral da arquitetura do IPS

O IPS da Check Point utiliza um motor de detecção em múltiplas camadas:

• Passive Streaming Library (PSL): reconstrói fluxos de rede para inspeção.

• Protocol Parsers: identificam e separam protocolos (HTTP, FTP, DNS etc.) para análise com contexto.

• Context Management Infrastructure (CMI): determina quais proteções (assinaturas) se aplicam a cada contexto de protocolo.

• Pattern Matcher: mecanismo de detecção que utiliza assinaturas para identificar padrões maliciosos.

•  

Fluxo de inspeção do IPS

O tráfego é processado por múltiplas etapas de análise, com assinaturas aplicadas em diferentes camadas de protocolo.

(Imagem/diagrama: IPS Inspection Flow Diagram)

Assinaturas Normal vs. Ver2: Comparação técnica

• Assinaturas Normal: utilizam pattern matching tradicional, sendo adequadas para ambientes legados e consumo menor de recursos.

• Assinaturas V2: utilizam o motor avançado INSPECTv2, permitindo lógica mais complexa, maior consciência de contexto e melhor detecção de ameaças modernas.

Por que manter os dois tipos de assinatura?

• Backward Compatibility: alguns gateways antigos podem não suportar assinaturas V2. Manter ambos garante cobertura em todos os dispositivos.

• Redundância: se uma assinatura V2 causar impacto (ex.: falso positivo), a assinatura Normal pode servir como fallback.

• Migração gradual: permite validar assinaturas V2 em modo Detect antes de avançar para Prevent.

• Cobertura máxima: algumas ameaças podem ser melhor detectadas por um tipo específico; usar ambos amplia a cobertura total.

Considerações de performance

• Assinaturas V2 podem ser mais intensivas por causa da inspeção mais profunda e lógica avançada.

• IPS Tuning: é possível habilitar/desabilitar proteções específicas ou aplicar perfis diferentes para gateways de borda vs internos.

• Bypass Under Load: o IPS pode ser configurado para desviar inspeção sob carga elevada para evitar gargalos — mas isso deve ser usado com cautela, pois reduz enforcement em momentos críticos.

Boas práticas para gerenciar versões de assinaturas

• Teste em staging: valide novas assinaturas V2 fora de produção sempre que possível.

• Monitore updates: acompanhe notas de atualização do IPS e aplique proteções urgentes quando necessário.

• Perfis separados: use perfis distintos para diferentes papéis de gateway (ex.: perímetro vs datacenter).

• Monitore logs: acompanhe falsos positivos/negativos e ajuste proteções de forma controlada.

• Rollout gradual: aplique V2 primeiro em Detect e só depois migre para Prevent.

Resumo

• Assinaturas Normal preservam compatibilidade e estabilidade.

• Assinaturas Ver2 elevam detecção e “future-proofing” contra ameaças modernas.

• Manter ambas fornece uma postura de segurança segura, flexível e abrangente durante transições e upgrades.

Referências

• ATRG: IPS (sk95193)

• Threat Prevention Administration Guide (R81+)