-
Gabarito E
IDS (Intrusion detection System) é um sistema de detecção de Intrusão na rede que geralmente trabalha no modo passivo. O seu modo Inline é conhecido como IPS (Intrusion Prevention System) que é capaz de fazer a detecção em tempo real.
Em outras palavras o IDS é um sistema de configurações e regras que tem como objetivo gerar alertas quando detectar pacotes que possam fazer parte de um possível ataque.
Existem diversos tipos de ferramentas IDS para diferentes plataformas, mas basicamente trabalham analisando os pacotes que trafegam na rede e comparando-os com assinaturas de ataques ou anomalias conhecidas, evitando que possa ocorrer danos em sua rede/computador.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
-
As técnicas utilizadas para a detecção de invasores, tanto em IDSs quanto IPSs, são basicamente três:
1- Detecção por assinatura: se baseia na identificação de um padrão conhecido e relacionado a uma
ameaça. Fornece boa acurácia mas não consegue identificar novas ameaças ou variações de ameaças.
2- Detecção por anomalia: o modelo se baseia na definição do que é considerado uma atividade normal
e considera como anomalia aquilo que se desvia significativamente do normal. A descrição de uma
atividade normal leva em consideração diversos fatores, como uso de banda de conexão, número de
conexões por usuário, número de tentativas de login, etc. Esse método pode detectar ameaças ainda
não conhecidas, ao contrário do método de detecção por assinatura.
3- Análise de protocolo: também se baseia em perfis com a definição do que é considerado atividade
normal, mas avalia protocolos de comunicação e as conexões estabelecidas usando esses perfis para
identificar aquilo que se desvia do normal. Deve existir um perfil para cada protocolo monitorado, em
qualquer camada de rede, especificando sequências de comandos consideradas normais, entre outras
características.
-
Firewall Stateless. > São firewalls de primeira geração
- considerado um filtro de pacotes simples
- Possui regras de funcionamento básicas
- controla o tráfego de dados da rede
- Restringe e bloqueia pacotes de acordo com as regras
- não possui estado de sessão
- analisa todos os pacotes isoladamente
- Não identifica pacotes maliciosos, mascarados, camuflados..
Firewall Stateful. > são firewalls de segunda geração
- chamado de filtro de estado de sessão
- possui estado de sessão
- analisa uma sessão
- os pacotes da sessão aberta podem passar
- compara as ações da rede com as regras definidas
- é capaz de prever situações de risco na segurança
- age para melhorar o desempenho da rede
Firewall Proxy. ou Firewall de Aplicação > são firewalls de terceira geração
- relacionado ao uso dos aplicativos e protocolos da web
- camada de aplicação : HTTP, SMTP, FTP, SSH, TELNET
- indicado para redes de grande porte ( empresas)
- utilizado para habilitar serviços de: E-mail, mensagens, websites, cloud computing...
Gateway VPN.
- Um gateway de VPN é um tipo específico de gateway de rede virtual que é usado para enviar tráfego criptografado entre uma rede virtual e um local na Internet pública
IDS.
- O IPS é um complemento do IDS, ele acrescenta à detecção de ataques a possibilidade de prevenção. Ambos IDS e IPS necessitam de uma base de dados de assinaturas conhecidas para realizar a comparação com possíveis ataques.
- anomalia > Um sistema baseado em anomalia é um sistema que monitora as ações que ocorrem numa rede e, através de técnicas de inteligência computacional (como, por exemplo, redes neurais e classificadores estatísticos), aprende o comportamento padrão do sistema.
- assinatura > Um IDS baseado em assinaturas utiliza um banco de dados com os ataques já conhecidos e compara-os com as ações, utilizando algoritmos estatísticos para reconhecer algum desses ataques
-
e-
IDS- . examina o tráfego da rede em busca de ameaças que gerem padrões incomuns de fluxo de dados como ataques DDoS, alguns tipos de malware, violações de privacidade, etc.