Este artigo vai explicar a diferença de duas soluções: IPS e
IDS, muitos profissionais da área de SI costumam se complicar quando recebem a
seguinte pergunta: “Qual a diferença de um IPS para um IDS?”, esta pergunta é
típica de reunião gerencial ou entrevista técnica, sendo assim a nossa ideia é
explicar e conceituar cada solução e suas peculiaridades.
IDS – Intrusion Detection System
Este tipo de solução
trabalha com detecção de intrusos, ou seja, é uma ferramenta que lhe mostra o
que está acontecendo na sua rede ou em um host especifico, porém ele não possui
a habilidade de bloquear um ataque, ele é utilizado para visualização do
trafego e troubleshooting de redes. Como ele não é preventivo pode ser colocado
para receber o trafego de rede através de um port mirror ou para analisar um
host especifico, existem dois tipos de IDS:
Host IDS: IDS de estação, normalmente
alocado em um host para analise de trafego local.
Network IDS: IDS de rede,
normalmente alocado em um ponto da rede que receba o trafego de um ou todos
segmentos de rede para analise.
Técnicas de Detecções:
·
Baseado em
Anomalia Estatística: esta técnica determina o comportamento normal da sua
rede, como por exemplo: trafego de rede, protocolos utilizados e outros mais,
com esta base montada, quando ocorrer qualquer discrepância acima do normal o
IDS lhe informará.
·
Baseado em
Assinaturas: existe uma base de assinaturas que identifica os ataques
conhecidos, como por exemplo: um Sql Injection em uma aplicação, este ataque é
conhecido e pode ser identificado através da Assinatura.
IPS – Intrusion Prevention System
Com o aumento dos ataques e
vulnerabilidades, o IDS não cumpria todas as necessidades que este novo mundo
apresenta, com isso surgiu o IPS, esta solução tem basicamente as mesmas
funções de um IDS, porém ele é preventivo, ou seja, o mesmo pode interferir no
trafego tomando uma ação, por exemplo: bloquear um determinado tipo de ataque.
O IPS pode ser utilizado Inline, ou seja, analisando e tomando ação em todo
trafego ou como IDS apenas analisando o trafego.
Existem
3 tipos de IPS:
Host IPS: IPS de estação, tecnologia que
normalmente esta embarcada em Anti-Virus e protege diretamente a estação de
ataques.
Network IPS: IPS de rede, tipo
mais comum e utilizado no mercado, o mesmo é colocado em ponto central da rede
para que ele possa interferir no trafego e assim aumentar o nível de segurança
da rede.
Wireless IPS: IPS de rede sem
fio, este tipo é novo no mercado e vem ganhando espaço, pois existia de fato
uma lacuna muito grande com relação a ataques tendo como alvo redes wireless.
Técnicas de Detecões:
·
Baseado em
Assinaturas: existe uma base de assinaturas que identifica os ataques
conhecidos, como por exemplo: um Sql Injection em uma aplicação, este ataque é
conhecido e pode ser identificado através da Assinatura.
·
Baseado em
Anomalia Estatística: esta técnica determina o comportamento normal da sua
rede, como por exemplo: trafego de rede, protocolos utilizados e outros mais,
com esta base montada, quando ocorrer qualquer discrepância acima do normal o
IDS lhe informará.
·
Baseado em
Analise de Protocolo: este método trata os protocolos e suas
especificações, sendo assim ele trabalhará com anomalias em protocolos
conhecidos para tomar alguma ação.
Com relação ao IDS existem
diversos softwares gratuitos que cumprem bem esta função, já no caso de IPS a
situação é um pouco mais complexa, até existem soluções gratuitas, mas que não
possuem uma base de assinaturas muito grande ou com uma interface não tão
amigável, porém quando nós falamos de soluções top de mercado, temos que citar
soluções não gratuitas, como por exemplo: Sourcefire, Mcafee IPS e HP Tipping
Point que são lideres no Gartner.
Quando falamos de IDS e IPS não
podemos deixar de mencionar o famoso SNORT, que é o pai de muitos softwares que
existem neste segmento e que possui uma das maiores bases de assinaturas do
mundo e além de tudo é gratuito.
