Vídeo: IDS e IPS (Conceitos e diferenças) 2025
Os administradores de rede devem implementar sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS) para fornecer uma estratégia de segurança em toda a rede. IDS e IPS oferecem um conjunto de opções semelhante. Na verdade, você pode pensar no IPS como uma extensão do IDS porque um sistema IPS desconecta ativamente dispositivos ou conexões que são considerados como sendo usados para uma intrusão.
Os dispositivos IDS podem ser dispositivos baseados em rede, funcionando como aparelhos ou servidores separados que executam software, que está executando a função IDS, mas também podem ser instalados em computadores de cliente ou rede. O mais tarde é muitas vezes referido como sistema de detecção de intrusão baseado em host (HIDS).
Estes dispositivos podem residir dentro da sua rede, atrás do seu firewall, detectando anormalidades lá e / ou podem ser colocados fora do seu firewall. Quando eles estão fora do seu firewall, eles geralmente são alvo dos mesmos ataques que correm contra o firewall, alertando-o para que os ataques sejam executados contra seu firewall.
A Cisco oferece várias opções para sistemas IDS e IPS e oferece estes como sistemas independentes ou como complementos para seus produtos de segurança existentes. As seguintes são duas dessas opções:
-
Módulo de Serviços de Segurança e Inspeção Avançada Cisco ASA
-
Módulo do Sistema de Detecção de Intrusão da Série Cisco Catalyst 6500 (IDSM-2)
IDS e IPS possuem vários métodos para trabalhar com detecção. Semelhante aos vírus em sua rede, intrusões e ataques possuem recursos que são registrados como assinatura ou comportamento. Então, quando o sistema IPS vê esse tipo de dados ou comportamento, o sistema IPS pode entrar em ação.
O comportamento suspeito também pode desencadear esses sistemas. Esse comportamento pode incluir um sistema remoto tentando fazer ping em todos os endereços da sua sub-rede em ordem seqüencial e outra atividade que seja considerada anormal. Quando o sistema IPS vê esta atividade, o IPS pode ser configurado para lista negra ou bloquear o dispositivo fonte, indefinidamente ou por um período de tempo.
A outra maneira, esses sistemas podem identificar o tráfego suspeito em sua rede é fazê-los funcionar em um modo de aprendizagem por um período de tempo. Ao longo de semanas, eles podem classificar os padrões de tráfego regulares em sua rede e, em seguida, limitar o tráfego para esses padrões estabelecidos.
Se você apresentar um novo software à sua rede, talvez seja necessário adicionar manualmente regras apropriadas ou executar um período de aprendizado e, em seguida, colocar o sistema de volta no modo de prevenção.Essa necessidade é mesmo verdadeira dos sistemas baseados no host porque eles atualizam suas regras a partir do servidor de gerenciamento ou de políticas que está sendo executado na rede.
Estes sistemas ajudam a prevenir a propagação de ataques de dia zero, que são novos vírus ou ataques de rede diferentes de todas as intrusões de rede anteriores. Como esses ataques do dia zero são novos, você não possui assinatura específica para o ataque; mas o ataque ainda precisa realizar os mesmos comportamentos suspeitos, que podem ser detectados e bloqueados.
