<img height="1" width="1" src="https://www.facebook.com/tr?id=1902477713099717&amp;ev=PageView &amp;noscript=1">
Tempo de leitura 2min
22 fev 2018

IDS e IPS: proteções contra intrusão

IPS e IDS.jpg

IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) são tecnologias com objetivo de detectar e prevenir acessos não autorizados às redes ou hosts, sendo ferramentas indispensáveis para a área de segurança da informação. Enquanto o IDS cuida do processo de detecção de intrusão (modo passivo), o IPS faz a prevenção de intrusão com o objetivo de impedir possíveis ataques.

Instalados em um host/servidor, são categorizados como HIDS (Host Intrusion Detection System) ou HIPS (Host Intrusion Prevention System), uma solução de detecção/prevenção de intrusão que realiza uma análise do tráfego de rede do ativo no qual está instalado.

Já um conjunto IDS e IPS instalado em um segmento de rede através de um appliance ou servidor é considerado do tipo NIDS (Network Intrusion Detection System) ou NIPS (Network Intrusion Prevention System), tendo seu foco no monitoramento e com atuação na rede/segmento. Tal tecnologia pode ser implementada de duas formas: através de hardwares dedicados à estas funcionalidades (appliances) ou instalada em hardwares ou servidores já existentes no ambiente. A implementação da solução de prevenção de intrusão pode ser combinada em soluções mistas, mesclando o monitoramento de rede ou segmento (proteção de perímetro) x hosts ou servidores (proteção baseada em host).

 

Reconhecimento x Comportamento

Uma solução de prevenção de intrusão baseada em reconhecimento detecta e identifica tentativas de intrusão de rede, fazendo consultas a uma base de dados de perfis e de vulnerabilidades já conhecidas. É de extrema importância que a solução tenha uma política de atualização frequente de base de dados (assinaturas) para garantir uma completa segurança do ambiente.

Outra abordagem é a solução se basear em comportamento, que realiza uma análise do tráfego suspeito de rede, com base em atividades fora do comum. A feature de detecção por comportamento, nesse caso, tomará as ações necessárias como bloqueio temporário do IP de origem da conexão e geração de alertas para a equipe de monitoramento de segurança analisar se de fato o tráfego suspeito deve ser permitido ou não.

 

Ativo x Passivo

Uma solução de prevenção de intrusão se torna ativa (IPS) quando a assinatura configurada for definida para bloquear automaticamente ataques ou atividades suspeitas que podem ser consideradas uma ameaça ao ambiente. Apesar de ser um modelo interessante, é importante uma parametrização e um tunning customizado do ambiente, obtendo assim uma melhor performance e minimizando alarmes falsos que podem causar bloqueios de conexões (de sistemas e aplicações corporativas).

Já o modo passivo (IDS) monitora o tráfego de rede para identificar ameaças potenciais, tentativas de intrusão ou conexão anormais, mas sem fazer qualquer bloqueio. O objetivo é gerar alertas para o time de monitoramento de segurança, sendo um modelo utilizado para criar um parâmetro de como deve ser configurada a aplicação quando alterada para o modo ativo de bloqueio.

Avalie suas atuais configurações e utilize as tecnologias em sua máxima capacidade para proteger o ambiente de sua empresa.

 

Nova call-to-action

Inscreva-se e receba mais conteúdos como este!