Identificação de IDS/IPS

Recolha de Informação

IDS e IPS são acrónimos de uma referencia Inglesa para Intrusion Detection System e Intrusion Prevention System que traduzidos para português tem o significado de Sistema de detecção de intrusos e de Sistema de prevenção de intrusos respectivamente.

 

Começando com o IDS , Sistema de detecção de intrusos, este  refere-se a meios técnicos de descobrir numa rede quando alguem consegue acessos não autorizados que podem indicar a acção de pessoas,movimentos , ou até mesmo funcionários,  mal intencionados.

Com o acentuado crescimento das tecnologias de infraestrutura tanto nos serviços quanto nos protocolos de rede torna-se cada vez mais difícil a implantação de sistema de detecção de intrusos. Esse facto está intimamente ligado não somente a velocidade com que as tecnologias avançam, mas principalmente com a complexidade dos meios que são utilizados para aumentar a segurança nas transmissões de dados.

Uma solução bastante discutida é a utilização de host-based IDS que analisam o tráfego de forma individual numa rede. No host-based o IDS é instalado em um servidor para alertar e identificar ataques e tentativas de acessos indevidos à própria máquina.

 

Os IPS, sistemas de prevenção de intrusões, , evoluíram no final dos anos 1990 para resolver as ambiguidades no monitoriamento da rede, ao colocar a detecção em linha. A princípio, o IPS era apenas um sistema de detecção de intrusos (IDS) que possibilitava alguma iteração com o firewall para controlar o acesso. Em pouco tempo foi necessário desenvolver algo mais robusto, pois apenas comandar o firewall já não bastava: ainda era possível que ao menos aquele pacote malicioso andasse na rede. A solução era implementar formas inteligentes de bloqueio dentro do IPS.

Visto como uma extensão do firewall, o IPS possibilita decisões de acesso baseadas no conteúdo da aplicação – e não apenas no endereço IP ou em portas, como os firewalls tradicionais trabalham. Entretanto, nada impede que, para optimizar a performance, muitos IPS utilizem regras baseadas em portas e endereço IP.

O IPS também pode servir secundariamente como um serviço de nível de host, prevenindo actividades potencialmente maliciosas. Existem vantagens e desvantagens, tanto no IPS baseado em host como no IPS baseado em rede. Em alguns casos, as tecnologias podem ser complementares. Porém, não se pode esquecer que grande parte da tecnologia de IPS de rede evoluiu e, hoje, pode tranquilamente exercer também as funções de host.

A vantagem de um sistema de prevenção de intrusos está em ser um excelente detector de tráfego malicioso com uma média de falso positivo e falso negativa baixa.

As ferramentas abaixo indicadas tentam descobrir se existe IDS e IPS, na rede/host do nosso alvo. Sabendo quais são, se estas existirem, torna-se mais fácil de as contornar.

 

IDS/IPS Identification

fragroute
fragrouter
ftest
lbd
wafw00f


Deixar uma resposta