O IDS(Intrusion Detection System) e o IPS (Intrusion Prevention System), traduzindo, significam Sistema de Detecção de Intrusão e Sistema de Prevenção de Intrusão. São recursos que tem por intuito examinar o tráfego na rede, a fim de detectar e prevenir os acessos não autorizados na mesma, protegendo a mesma da exploração das vulnerabilidades.

O IDS/IPS são tecnologias que fazem parte da segurança da informação, que foram desenvolvidos para agregar a frente da proteção de dados. Como nós estamos sempre mostrando a você, a segurança da informação visa proteger os dados da sua empresa e mitigar os riscos de ataques.

As notícias dos últimos tempos mostram que os ataques estão ocorrendo com muita força e em grandes proporções. Um artigo de agosto deste ano, na Forbes, apontou que o Brasil sofreu 15 bilhões de ataques cibernéticos só no 2º trimestre.

Já pensou que loucura? Em seis meses, bilhões de empresas e usuários tiveram suas informações roubadas, expostas, vazadas.

Esses dados só reforçam aquilo que estamos sempre tratando por aqui: A segurança da informação é uma peça fundamental no ambiente empresarial. Estamos vivendo uma era em que o cuidado com dados e informações será, cada vez mais, de enorme importância, e exigida por clientes e também pela legislação, como a LGPD.

Compreendendo essa urgência, e sempre com o objetivo de ajudar você e sua empresa, estamos lançando uma série de artigos sobre as ferramentas da segurança da informação, onde explicamos o que são, como funcionam e como podem ajudar a cuidar da sua empresa.

E hoje vamos apresentar pra você o IDS/IPS, explicando o que é, como funciona, os tipos existentes, a sua importância para sua empresa.

Está preparado para descobrir todas essas informações?

Então vamos lá!

Conceito

Já vimos o conceito básico do que significa IDS/IPS, mas existem mais questões que precisam ser compreendidas. Basicamente, ambos são partes da infraestrutura de rede e comparam pacotes de rede em um banco de dados de ameaças cibernéticas, contendo assinaturas conhecidas e sinaliza todos os pacotes correspondentes.

A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle de intrusão. O IDS não altera os pacotes de rede de nenhuma maneira, já o IPS impede que o pacote seja entregue com base em seu conteúdo, da mesma forma como um firewall impede o tráfego por endereço IP.

Como funciona

No caso do IDS, o gerenciador de análise é o cérebro do sistema, ele consulta através de regras preestabelecidas o gerenciador de pacotes para efetuar uma eventual análise. Se houver um pacote a ser analisado, o gerenciador de análise compara o pacote com as assinaturas requeridas ao gerenciador de assinaturas.

Caso haja confirmação das características do pacote serem descritas por alguma assinatura, o gerenciador de análise aciona o gerenciador de medidas de defesa para que seja combatida a ameaça detectada.

Um exemplo bem simples, para que fique claro o conceito de IDS/IPS imagine a seguinte situação: uma casa com uma câmera para garantir a segurança dessa residência. A câmera registra todos os que entram e saem da residência.

Caso alguma coisa aconteça, será possível examinar o vídeo e descobrir o que houve e, mais importante, quem foi o responsável.  Apesar de muito útil para solucionar crimes, a câmera por si só não os evita.

É assim que funcionam os sistemas de IDS (Intrusion Detection System). Eles analisam os registros de acesso à internet, procurando falhas que possam indicar uma invasão à rede, e sinalizam isso para que o administrador da rede possa agir ou entender o que está acontecendo.

O IPS é um complemento do IDS, ele acrescenta à detecção de ataques a possibilidade de prevenção. Ambos IDS e IPS necessitam de uma base de dados de assinaturas conhecidas para realizar a comparação com possíveis ataques.

No entanto, o IDS se restringe a detectar tentativas de intrusão, registrá-las e enviá-las ao administrador da rede. O IPS opera “inline”na rede, adotando medidas adicionais para bloquear as intrusões em tempo real.

Agora, imagine, dentro do mesmo contexto, uma vigilância 24h e uma patrulha. Com a vigilância não é necessário esperar que algo aconteça para que a câmera seja útil.

Os problemas podem ser evitados, pois com a vigilância, se alguém estiver rondando a porta, a patrulha será acionada e questionará o invasor em potencial antes que o problema aconteça.

Essa é função do IPS. Com respaldo na análise feita pelo IDS, ele reprograma o firewall automaticamente e bloqueia o endereço IP do invasor, enquanto ele ainda estiver preparando o ataque, ou seja, antes que ele ocorra.

Tipos de IDS/IPS

Agora que você já entendeu como funciona o IDS/IPS, é importante que você conheça alguns tipos e suas diferenças:

Tipos de IDS

Sistemas de Detecção de Intrusão Baseado em Host (HIDS)

No caso desse sistema, o IDS encontra-se instalado em cada máquina monitorada, para analisar os eventos gravados nos arquivos de log, ou pelos agentes de auditoria. Funciona como última linha de defesa, no caso do ataque ter sido bem sucedido e ter conseguido atravessar o firewall e o NIDS.

Com o  HIDS é possível detectar as seguintes situações: Uso não correto e exagerado da memória;Processos cujo comportamento é suspeito Conexões suspeitas na rede;Utilização da CPUUtilização de System Calls;Uso detalhado do disco.

Sistemas de Detecção de Intrusão Baseado em Rede (NIDS)

Ao invés de monitorar um único computador, o NIDS monitora a rede como um todo. Ele monitora o tráfego do segmento de rede no qual está inserido, com sua interface de rede atuando em modo indecoroso.

A detecção é feita através da captura e análise dos cabeçalhos e conteúdos dos pacotes, os quais são comparados com padrões ou assinaturas estabelecidas, sendo um mecanismo eficaz contra ataques como port scanning, IP spoofing, SYN flooding.

O uso de múltiplos NIDS em uma rede garante uma forma de defesa abrangente. O sistema de detecção baseado em rede é constituído por dois componentes principais, os sensores e a estação de gerenciamento.

Os sensores são os dispositivos colocados em determinados pontos da rede, que realizam o monitoramento propriamente dito Já a estação de gerenciamento é responsável pelo gerenciamento remoto de todos os sensores.

O NIDS operando com essas particularidades consegue ter uma abrangência maior na detecção de intrusos, comparado ao HIDS. Um grande ponto positivo é que o NIDS apresenta a propriedade de não ser visível ao atacante, fazendo com que o ataque seja efetuado sem cuidados.

Outras vantagens do NIDS são, segundo Carvalho (2005):  o desempenho da rede não é afetado; a detecção e identificação dos ataques é feita em tempo real, facilitando tomadas de decisões imediatas; eficácia na detecção de port scanning; não se restringe a somente detectar ataques, mas também às tentativas de ataque não concretizadas.

As desvantagens deste sistema são a dificuldade em monitorar dados cifrados, e, em redes saturadas, pode haver perdas de pacotes.

Tipos de IPS

Sistema de prevenção de intrusão baseado em host (HIPS)

Esse sistema funciona de modo semelhante ao HIDS. As verificações são em cima da máquina na qual se encontra instalado, porém, além de detectar o ataque, ele toma decisões a respeito das análises efetuadas.

Ele tem acesso direto ao sistema operacional da máquina e ao próprio kernel, podendo dessa forma controlar os acessos ao sistema de arquivos, configuração e registros do sistema.

Outro diferencial do HIPS é que ele identifica comportamentos suspeitos no sistema operacional, ao invés de comparar assinaturas.

Além disso, o HIPS traz a possibilidade de que o tráfego de rede criptografado seja identificado após o processo de descriptografia do pacote, possibilitando a detecção do ataque antes cifrado, fato que não ocorre no uso do NIPS e NIDS.

Sistema de prevenção de intrusão baseado em rede (NIPS)

Já esse tipo de sistema se baseia em um dispositivo inline, que pode ser um roteador ou um switch, pois eles repassam os pacotes entre as redes. Sempre que um ataque é identificado, são tomadas decisões baseadas nas regras pré-definidas, e são essas regras que irão bloquear o ataque suspeito.

O NIPS apresenta a propriedade de efetuar drop na conexão, impedindo, dessa forma, que os pacotes cheguem ao seu destino, tal como os firewalls atuam.

Existem vários outros tipos de sistemas IDS/IPS, aqui citamos os mais comuns e utilizados, mas você pode conferir mais a fundo os outros acessando esse material:

SISTEMAS IDS E IPS - ESTUDO E APLICAÇÃO.

IDS/IPS e AdmFirewall


Como estamos falando nessa série de ferramentas de segurança da informação, cuidar da proteção dos dados é uma ação que requer uma série de passos, e que agrega vários recursos juntos. Falamos do IDS/IPS como uma ferramenta essencial para a segurança das informações, mas reforçamos a você que, ela não deve operar sozinha.

Bom, basicamente, é necessário que outros recursos estejam presentes para garantir um ambiente empresarial mais seguro. Lembra do exemplo da casa? Então, seguindo este raciocínio, não basta simplesmente ter câmeras na porta da casa e uma patrulha 24h, se não existir um portão. Se você quer garantir a segurança da sua casa, esse é um dos primeiros itens externos que você pensa, não é mesmo?

É exatamente aí que entra o firewall. O firewall oferece recursos que limitam o acesso às portas e janelas do computador, e, assim, impede a entrada de invasores. Dessa forma, somente usuários autorizados terão permissão para algumas funcionalidades da rede de computadores.

Ele impede a entrada e saída de informações confidenciais, pois controla a transferência de dados do computador através da internet, prevenindo o envio de arquivos privados à rede.

Além desse controle e restrição, existem modelos de firewalls que possuem outros recursos de segurança da informação, que podem ser configurados dentro do mesmo, de maneira alinhada às políticas da empresa.

É o caso do Admfirewall, que tem o recursos de IDS/IPS ativo no seu sistema operacional, necessitando apenas de serem configurados, agregando, de maneira muito eficaz, as funções do firewall e do IDS/IPS, garantindo assim uma rede muito mais segura.

Quer conhecer outros recursos e benefícios que o Admfirewall possui? Então clique no banner abaixo e solicite um orçamento!

banner-admfw-orcamento

Conclusão

Diante de tantas informações, acredito que já ficou claro para você como o IDS/IPS são ferramentas de enorme importância para a segurança das informações de sua empresa, não é mesmo?

E nós, da Starti, acreditamos que, além de conhecer as ferramentas de proteção, é necessário que você conheça as vulnerabilidades, os tipos de ataques e ações necessárias para cuidar da segurança da informação.

Por essa razão, trabalhamos e reforçamos nosso compromisso na construção de uma consciência responsável sobre a proteção de dados, bem como a segurança da informação para as pequenas e médias empresa.

Visando essa missão, oferecemos muitos outros conteúdos que irão ajudar você nessa jornada, confira alguns abaixo e continue conosco!

VPN: cuidando do acesso remoto!

Web Filter: por que a filtragem de navegação é importante?

BRUTE FORCE: como estar fortemente protegido!

BANNER-BLOG-2