O que é um Sistema de Detecção de Intrusos
Intrusion Prevention System - IPS (Sistema de Prevenção de Intrusos) é uma solução tecnológica que atua na precaução e no combate de ameaças em ambientes de redes, de forma mais consistente que seus antecessor: o Intrusion Detection System - IDS (Sistema de detecção de intrusos. Enquanto o IDS é considerada uma solução passiva, o IPS é uma solução ativa.
INTRUSOS
São denominados de intrusos os invasores de um ambiente de redes / sistemas. Existem três classificações básicas de intrusos:
- Mascarado (invasor de fora da rede ou sistema): alguém que não é autorizado a entrar
- Infrator (invasor de dentro da rede): é um usuário legítimo que não está autorizado a usar determinados recursos, mas os utiliza, ou então, que está autorizado, mas não os utiliza de forma lícita;
- Usuário clandestino (invasor de dentro ou de fora da rede): invasor que toma posse de privilégios de administrador de um sistema para que se esquive de auditorias e controles para acesso ou até mesmo para ludibriar provas auditórias contra este.
TIPOS DE INTRUSÕES
Intrusões Conhecidas
São tipos de intrusões que um comportamento já devidamente conhecido e catalogado.
Intrusões Generalizáveis
São tipos de intrusões semelhantes à categoria anterior (conhecidas), mas que manifestam algumas modificações em seu funcionamento. São chamadas generalizáveis pelo simples motivo de que o sistema de detecção tira conclusões sobre a ameaça - mesmo que não totalmente conhecida - a partir dos comportamentos semelhantes a outras já conhecidas, e portanto "generalizam".
Intrusões Desconhecidas
São intrusões para quais não podem ser adotadas regras rígidas de detecção pois apresentam comportamentos não muito conhecidos pelos sistemas de detecção.
COMO FUNCIONA UM IPS
Ferramentas de prevenção de intrusos utilizam recursos que reduzem as ameaças a vulnerabilidades conhecidas e desconhecidas em redes. Alguns mecanismos podem incluir:
- Monitoramento do tráfego de rede
- Identificação de atividades maliciosas
- Bloqueio de ações susupeitas
- A análise de protocolo baseada em decodificador
- A proteção de protocolo baseada em anomalias
- A correspondência de padrões com manutenção do status
- Monitoramento passivo de DNS