IDS/IPS

Sistemas de Deteco de intruso (IDS) uma das maneiras capazes de efetuar analises profundas em pacotes suspeitos e tem como premissa permitir que este trafego siga seu destino, contudo, repassado um alerta aquele responsvel pela administrao da rede para que este possa efetuar aes pertinentes.Sistemas de Preveno de Intrusos (IPS) Ao contrrio do IDS, o IPS tem como premissa alm de analisar tais pacotes de formar profunda, tambm responsvel por bloquear pacotes maliciosos.

Acima temos uma tabela que nos auxiliar no conceito e a aplicao de IDS e IPS.Segundo Kurose sistemas IDS so responsveis por detectar inmeras formas de ataques, como por exemplo: escaneamento de portas, wors e vrus, ataques de vulnerabilidades e sistemas operacionais e de aplicaes. Ainda segundo Kurose, so disponibilizados sistemas de IDS de forma patenteadas por empresas como Cisco, Check Point e outras empresas que fornecem equipamentos de segurana. Existem ainda sistemas IDS que possuem cdigo aberto e esto disponibilizados para domnio pblico, podemos citar o Snort IDS.

As empresas podem trabalhar com um ou vrios sensores de IDS conforme demonstrado na figura acima. Ilustrao retirada do livro Redes de Computadores 5.Ed. 2010, uma abordagem Top-Down, Kurose.Ross.Segundo Kurose, possvel classificar sistemas IDS baseados em assinaturas ou anomalias. Sistemas baseados em assinaturas so alimentados constantemente em seu banco de dados com informaes sobre os ataques, estas assinaturas que representam um acumulado de regras que possuem relao com as atividades maliciosas variam e dispem de informaes percebidas em seus pacotes tais como: nmero de portas de origem e destino, tipo de protocolo. Processo este relacionado a um pacotes ou a vrios. Administradores de rede podem personalizar sua prpria lista, mas, comum que especialistas em redes alimentem estas listas por terem pesquisado ataques j conhecidos. Caso um pacote malicioso seja detectado em seu banco de dados o IDS baseado em assinatura informa ao administrador de rede para tomada de decises.Os inconvenientes do sistema baseado em assinaturas so: Conhecimento prvio de um ataque para gerao de alertas. Mesmo que atitude supostamente maliciosa seja um ataque, o alerta gerado. Como a comparao feita de forma minuciosa em seu banco de dados, torna o processamento pesado, podendo causar falhas. J os sistemas baseados em anomalias no procuram por ataques j conhecidos e sim alimentam seu prprio perfil que pesquisa por uma srie de pacotes incomuns. O grande desafio diferenciar o trfego normal dos ditos incomuns.