Um Sistema de Detecção de Intrusão (IDS) é uma tecnologia de segurança de rede originalmente construída para detectar explorações de vulnerabilidade contra uma aplicação ou computador de destino. Os Sistemas de Prevenção de Intrusão (IPS) ampliaram as soluções IDS adicionando a capacidade de bloquear ameaças além de detectá-las e se tornou a opção de implantação dominante para as tecnologias IDS/IPS. Este artigo irá desenvolver a configuração e funções que definem a implantação do IDS.
Um IDS precisa apenas detectar ameaças e como tal é colocado fora da banda na infra-estrutura de rede, o que significa que não está no verdadeiro caminho de comunicação em tempo real entre o remetente e o receptor da informação. Pelo contrário, as soluções IDS muitas vezes aproveitam uma porta TAP ou SPAN para analisar uma cópia do fluxo de tráfego em linha (e assim garantir que o IDS não tenha impacto no desempenho da rede em linha).
IDS foi originalmente desenvolvido desta forma porque na altura a profundidade de análise necessária para a detecção de intrusão não podia ser realizada a uma velocidade que pudesse acompanhar o ritmo dos componentes no caminho das comunicações directas da infra-estrutura de rede.
Como explicado, o IDS é também um dispositivo que só escuta. O IDS monitora o tráfego e relata seus resultados a um administrador, mas não pode automaticamente tomar medidas para evitar que um exploit detectado tome conta do sistema. Os atacantes são capazes de explorar vulnerabilidades muito rapidamente uma vez que entram na rede, tornando o IDS um dispositivo de prevenção inadequado.
A tabela seguinte resume as diferenças de tecnologia intrínseca ao IPS e à implantação do IDS:
| Sistema de Prevenção de Intrusão | Desdobramento do AIDS | |
|---|---|---|
| Placement in Network Infrastructure | Parte da linha direta de comunicação (inline) | Sair da linha direta de comunicação (out-de banda) |
| Tipo de sistema | Activo (monitor & defender automaticamente) e/ou passivo | Passivo (monitor & notificar) |
| Mecanismos de detecção | 1. Detecção baseada em anomalias estatísticas 2. Detecção de assinaturas: – Assinaturas voltadas para a exploração – Assinaturas voltadas para a vulnerabilidade |
1. Detecção de assinaturas: – Assinaturas voltadas para a exploração |