O que é um sistema de prevenção de intrusões?
Um sistema de prevenção de intrusões (IPS) monitora os pacotes de dados de uma rede para obter atividades suspeitas e tenta agir usando políticas específicas. Ele age um pouco como um sistema de detecção de intrusão que inclui um firewall para evitar ataques. Ele envia um alerta para um administrador de rede ou sistemas quando algo suspeito é detectado, permitindo que o administrador selecione uma ação a ser executada quando o evento ocorrer. Os sistemas de prevenção de intrusões podem monitorar uma rede inteira, protocolos de rede sem fio, comportamento de rede e tráfego de um único computador. Cada IPS usa métodos de detecção específicos para analisar os riscos.
Dependendo do modelo IPS e de seus recursos, um sistema de prevenção de intrusões pode detectar várias violações de segurança. Alguns podem detectar a propagação de malware em uma rede, a cópia de arquivos grandes entre dois sistemas e o uso de atividades suspeitas, como a digitalização da porta. Depois que o IPS compara o problema às suas regras de segurança, ele registra cada evento e documenta o eventofreqüência. Se o administrador da rede configurou o IPS para executar uma ação específica com base no incidente, o sistema de prevenção de intrusões tomará a ação atribuída. Um alerta básico é enviado ao administrador para que ele possa responder adequadamente ou ver informações adicionais sobre o IPS, se necessário.
Existem quatro tipos gerais de sistemas de prevenção de intrusões, incluindo análise de comportamento de rede, sem fio, sem fio e baseada em host. Um IPS baseado em rede analisa vários protocolos de rede e é comumente usado em servidores de acesso remoto, servidores de rede privada virtual e roteadores. Um IPS sem fio observa atividades suspeitas em redes sem fio e também procura redes sem fio não autorizadas em uma área. A análise de comportamento da rede procura ameaças que possam derrubar uma rede ou espalhar malware e é comumente usado com redes privadas que se conectam à Internet. Um host-O IPS baseado funciona em um único sistema e procura processos de aplicativos estranhos, tráfego de rede incomum para o host, modificação do sistema de arquivos e alterações de configuração.
Existem três métodos de detecção que um sistema de prevenção de intrusões pode usar e muitos sistemas usam uma combinação dos três. A detecção baseada em assinatura funciona bem para detectar ameaças conhecidas, comparando um evento com uma assinatura já documentada para determinar se ocorreu uma violação de segurança. A detecção baseada em anomalia procura atividades anormais quando comparadas aos eventos normais que ocorrem em um sistema ou rede e é particularmente útil para identificar ameaças desconhecidas. Análise de protocolo com estado de Estado procura atividades que vão contra como um protocolo específico é normalmente usado.