IDS/IPS, o que é isso afinal?

Um IDS e IPS, acrônimos para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as) administradores(as) de redes na manutenção da segurança dos ambientes por eles(as) controlados.

Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções, ou através da instalação de softwares com esta função em hardwares já existentes na rede, como uma switch, um roteador, ou mesmo em um ou vários servidores ou desktops. Dependendo de suas localizações na rede, eles possuem designações diferentes, assim como métodos ou arquiteturas de verificação e proteção diferentes, sendo considerados de tipos diferentes.

Por exemplo, um conjunto IDS/IPS instalado em um computador ou servidor é considerado do tipo HIDS/HIPS, ou seja, Host Intrusion Detection System/Host Intrusion Prevention System, que significam Sistema de Detecção de Intrusão baseado em Host/Sistema de Prevenção de Intrusão baseado em Host, assim chamados por atuarem na detecção e prevenção de intrusões com base no comportamento e no histórico do tráfego de dados do computador no qual está instalado. Neste tipo de instalação, podemos encontrar uma sub-categoria conhecida por Honeypot, que é aquela em que o computador no qual este sistema está instalado tem a finalidade de permitir o acesso do(o) invasor(a) a um ambiente controlado, para que assim o(a) administrador(a) da rede possa estudar a forma como o atacante agiu, além de observar seu comportamento e intenções após a suposta obtenção deste acesso à rede.

Já um conjunto IDS/IPS instalado em uma switch, ou roteador por exemplo, é considerado do tipo NIDS/NIPS, ou seja Network Intrusion Detection System/Network Intrusion Prevention System, que querem dizer Sistema de Detecção de Intrusão baseado em Rede/ Sistema de Prevenção de Intrusão baseado em Rede, sendo assim chamados por ter foco no monitoramento e atuação na rede em que estão acoplados, baseando-se no histórico de comportamento e tráfego de dados desta. Esses tipos podem ser combinados em soluções mistas, mesclando o monitoramento de rede(s) com hosts e servidores.

7 opiniões sobre “IDS/IPS, o que é isso afinal?

  1. Pingback: WEB e WEB 2.0: A segurança vem evoluindo junto com o mercado. | Coruja de TI

    • Olá! Para que pudesse lhe indicar, com segurança, o IDS mais poderoso atualmente, seria necessária uma pesquisa baseada em vários quesitos como: usabilidade, qual sistema operacional utilizado, se é para uso em servidor ou desktop, entre outros, algo que não fiz e no momento não teria tempo hábil para realizar.

      Recomendo que verifique os critérios que se adequem ao seu caso e procure por resenhas de produtos já em utilização por outros administradores. A princípio, se o seu sistema operacional for baseado em sistema operacional GNU/Linux, posso recomendar o SNORT ( http://www.snort.org/ ) ou o Tripwire ( http://www.tripwire.org/ ), ambos são open source e pode encontrar tutoriais sobre como instalá-los e configurá-los, mas mesmo assim terá de verificar o produto que mais se encaixa na configuração que necessita. Abraços!

    • Olá Wesley!

      Como disse no início do post, um IPS é um Intrusion Prevention System ou Sistema de Prevenção de Intrusão, que tem a função de prevenir intrusões nos sistemas aos quais estejam instalados.

      Deferente de um IDS, que é um Intrusion Detection System ou Sistema de Detecção de Intrusão, que emite um alerta quando uma intrusão já ocorreu, possibilitando apenas a identificação dos vetores que a permitiram, um IPS trata os pacotes que tentam acessar a rede que protegem e descartam os que considerarem suspeitos, ou que realmente contiverem instruções de tentativa de controle destas redes, prevenindo efetivamente a intrusão.

      Por isso geralmente são aplicadas ambas as soluções para garantir uma maior eficácia.

      Espero ter ajudado.

      Abraços!

  2. Como é implantado esses sistemas?, primeiro deve-se decidir aonde instalar o IDS por exemplo, em um servidor ou desktop.

    E após isso, quem geralmente tem a permissão de controle desses sistemas em uma organização?, o chefe de segurança de TI, exemplo?

    Abraço

    • Olá Rodrigo! Desculpe a demora em responder. Sim, primeiro é necessário definir qual será a estratégia a ser usada na organização, se o monitoramento será feito para a rede, para os hosts, ou para ambos. Para o monitoramento de servidores ou desktops, a opção é a instalação nos hosts selecionados, optando-se por apenas detecção ou detecção e prevenção, no caso usando um HIDS ou HIPS, respectivamente.

      Um exemplo de HIDS livre seria o Ossec, que pode ser encontrado acessando o seguinte link: http://ossec.github.io/

      Espero ter ajudado.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s