Segurança e proteção de rede é sempre tema importante e deve ser investido recursos na sua empresa para prevenir ataques diversos.
Os dados de redes são protegidos por roteadores, firewalls e ou switches, que reduzem riscos e acessos indevidos. Por meio desta brecha que surge o IDS – Sistema de Detecção de Intrusão e o IPS – Sistema de Prevenção de Intrusão.
IDS e IPS são hardwares ou softwares que protegem contra ataques e tentativas, e identificam ou param qualquer ataque a rede, por isso é importante investir em recursos que auxiliem na segurança da informação e prevenir com boas práticas a fim de manter ameaças longe de sua empresa.
Qual a diferença entre IDS eIPS?
Semelhantes com função de segurança, as diferenças então na apresentação dos serviços, onde o IDS é um sistema passivo e o IPS é um sistema ativo, ou seja, no momento que vai agir, o IDS automatiza o procedimento e detecta o intruso, já o IPS previne e impede ciberataques.
O IDS é chamado de detector e o IPS de preventor. O IPS fornece regras e políticas de tráfego de rede e ajuda o IDS com IPs que enviam alerta de tráfegos suspeitos.
Os termos são difíceis de serem separados e muitos fabricantes vendem soluções híbridas, que ontem os dois.
Quais os tipos de IDS e IPS existentes?
Temos duas formas de trabalhar com os IDS e IPS, são elas:
- Network based: ofertados em appliances, instalados transparentes entre roteador e firewall.
- Host based: instalados em servidor ou computador, realiza o monitoramento das atividades do host, e também pode ser usado como Honeypot, atraindo o invasor para o host IPS/IDS, em que o administrador monitorará e registrará ações.
Formas de detecção com IPS/IDS
Sempre acontecendo de forma inovadora, os ataques precisam de sistemas de proteção e técnicas variadas de detecção. Entenda algumas delas
- Detecção por assinatura: ataques com padrão de assinatura, o sistema procura por assinaturas com atividades maliciosas. Como desvantagem, somente ataques já conhecidos serão detectados, tendo que atualizar o sistema de detecção de ameaças sempre, a fim de garantir sua eficácia.
- Detecção por anomalias: é montado um padrão correspondente a atividades normais dos usuários, via host ou rede, ou seja, qualquer forma de atividade fora do padrão será considera então anomalias e possível tentativa de ataque. Como desvantagem, podem ocorrer diversos alarmes falsos.
- Análise de protocolos: esse sistema compara atividades de protocolo que são consideradas benignas, com objetivo de identificar desvios, ou seja, é baseado em perfis universais desenvolvidos que especificam protocolos que devem ou não ser usados.
Existem outras formas e técnicas de detecção, comuns de ataques, que fazem farredura de portas, buscando identificar serviços que possam ser alvo dos ataques. O IPS pode ser configurado para que bloqueie automaticamente essas atividades.
Conforme vimos, é de extrema importância investir em proteção contar ataques e tentativas diversas, muito atuais e sempre em constante evolução, e com os IPS e IDS em constante monitoramento, as ações passam a ser de proteção e não de resolução de problema.
