-
IDS/IPS, o que é isso afinal?
Um IDS e IPS, acrônimos para Intrusion Detection System ou Sistema de Detecção de Intrusão e Intrusion Prevention System ou Sistema de Prevenção de Intrusão respectivamente, são sistemas que tem por função detectar e prevenir os acessos não autorizados às redes ou hosts de uma ou mais redes, sendo portanto grandes aliados dos(as) administradores(as) de redes na manutenção da segurança dos ambientes por eles(as) controlados.
Estes sistemas podem ser implementados com a utilização de hardwares dedicados à estas funções, ou através da instalação de softwares com esta função em hardwares já existentes na rede, como uma switch, um roteador, ou mesmo em um ou vários servidores ou desktops. Dependendo de suas localizações na rede, eles possuem designações diferentes, assim como métodos ou arquiteturas de verificação e proteção diferentes, sendo considerados de tipos diferentes.
Por exemplo, um conjunto IDS/IPS instalado em um computador ou servidor é considerado do tipo HIDS/HIPS, ou seja, Host Intrusion Detection System/Host Intrusion Prevention System, que significam Sistema de Detecção de Intrusão baseado em Host/Sistema de Prevenção de Intrusão baseado em Host, assim chamados por atuarem na detecção e prevenção de intrusões com base no comportamento e no histórico do tráfego de dados do computador no qual está instalado. Neste tipo de instalação, podemos encontrar uma sub-categoria conhecida por Honeypot, que é aquela em que o computador no qual este sistema está instalado tem a finalidade de permitir o acesso do(o) invasor(a) a um ambiente controlado, para que assim o(a) administrador(a) da rede possa estudar a forma como o atacante agiu, além de observar seu comportamento e intenções após a suposta obtenção deste acesso à rede.
Já um conjunto IDS/IPS instalado em uma switch, ou roteador por exemplo, é considerado do tipo NIDS/NIPS, ou seja Network Intrusion Detection System/Network Intrusion Prevention System, que querem dizer Sistema de Detecção de Intrusão baseado em Rede/ Sistema de Prevenção de Intrusão baseado em Rede, sendo assim chamados por ter foco no monitoramento e atuação na rede em que estão acoplados, baseando-se no histórico de comportamento e tráfego de dados desta. Esses tipos podem ser combinados em soluções mistas, mesclando o monitoramento de rede(s) com hosts e servidores.
-
Erros
a - unico dispositivo
c - incapazes de analisar camadas mais elevadas
d - seguimento particular -- ele atua em modo promiscuo
e - somente em camadas mais elevadas
Uma das características do Sistema de Detecção de Intrusão (IDS) baseado em rede é que
a) é capaz de monitorar tráfego criptografado.
b) não necessita de hardware adicional para operar.
c) monitora acessos em arquivos do sistema operacional.
d) independe da topologia de rede para funcionar.
e) captura pacotes e analisa os seus cabeçalhos e conteúdos.
-
IDS do tipo NBA melhora a segurança da rede, ele fica monitorando o trafego a rede e detecta padrões incomuns de ameças ainda não catalogadas.
palavras chave: ameaças avançadas, anomalias no trafego da rede.
-
Gabarito B
Tipos de IDS
Os IDPS podem ser categorizados em quatro grupos de acordo com o tipo de evento que monitoram e a forma como são implantados.
Network-Based
Monitora o tráfego de rede em um seguimento particular da rede ou dispositivo e analisa a rede e atividade protocolo de aplicação para identificar atividades suspeitas. Sistemas deste tipo são capazes de identificar vários tipos de eventos de interesse. Normalmente é empregado como fronteira entre duas redes, como nas proximidades de firewalls ou roteadores, servidores de redes privadas (VPN), servidores de acesso remoto e redes sem fio.
Wireless
Empregado no monitoramento do tráfego e na análise de protocolos para identificar atividades suspeitas envolvendo os próprios protocolos. Sistemas deste tipo são incapazes de identificar atividades suspeitas em aplicações ou em protocolos das camadas mais elevadas (como TCP, UDP) que estejam sendo transferidos na rede. Apesar de ser mais comumente utilizados dentro do alcance de rede sem fio de uma organização para monitorá-la, pode ser usado em locais onde haja suspeita de tráfego não autorizado na rede sem fio.
Network Behavior Analysis (NBA)
Examina o trafego de rede em busca de ameaças que gerem padrões incomuns de fluxo de dados como ataques DDos, alguns tipos de malware, violações de privacidade. Sistemas NBA são os mais usados para monitorar o tráfego entre uma rede interna de uma instituição e redes externas.
Host-Based
Monitora características de um único dispositivo e os eventos que acontecem com ele em busca de atividades suspeitas. Algumas características que podem ser monitoradas por host-based IDPS: trafego da rede para este dispositivo, logs do sistema, processos em execução, atividades de aplicações, acesso e alteração em arquivos e modificações em aplicações e no sistema. São usados apenas para alguns dispositivos cujo funcionamento é essencial para o sistema como servidores de acesso público e servidores que contenham informações sigilosas.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
-
talvez a dúvida de alguns seja referente ao nome "Behavior Analysis", traduzindo seria o NIDS baseado em anomalia, mas a banca quis sacanear.
Há também o baseado em assinatura: Knowledg-Based Intrusion Detection.
Então galerinha, vamos ficar atentos aos nomes em inglês tbm.
-
Prova pra técnico de operações de computadores ? ou pra perito da Polícia Federal ?
-
Tiraram a questão de um link aleatório, em vez de cobrar de livros e delimitar o assunto:
https://www.gta.ufrj.br/grad/12_1/ids/TiposdeIDS.html
a D também se enquadra no IDS baseado em rede por anomalia/comportamento, mas a banca pegou uma classificação mais específica ainda tirada de um link aleatório...
Coloquei D e estou muito p***