O que é um sistema de prevenção de intrusões?
Um sistema de prevenção contra intrusões (IPS) monitora os pacotes de dados de uma rede quanto a atividades suspeitas e tenta executar ações usando políticas específicas. Ele funciona como um sistema de detecção de intrusões que inclui um firewall para evitar ataques. Ele envia um alerta para um administrador de rede ou sistemas quando algo suspeito é detectado, permitindo que o administrador selecione uma ação a ser executada quando o evento ocorrer. Os sistemas de prevenção de intrusões podem monitorar uma rede inteira, protocolos de rede sem fio, comportamento da rede e tráfego de um único computador. Cada IPS usa métodos de detecção específicos para analisar riscos.
Dependendo do modelo IPS e de seus recursos, um sistema de prevenção de intrusões pode detectar várias violações de segurança. Alguns podem detectar a disseminação de malware em uma rede, a cópia de arquivos grandes entre dois sistemas e o uso de atividades suspeitas, como a verificação de portas. Depois que o IPS compara o problema às suas regras de segurança, ele registra cada evento e documenta a frequência do evento. Se o administrador da rede configurou o IPS para executar uma ação específica com base no incidente, o sistema de prevenção contra intrusões executará a ação atribuída. Um alerta básico é enviado ao administrador para que ele possa responder adequadamente ou exibir informações adicionais no IPS, se necessário.
Existem quatro tipos gerais de sistemas de prevenção de intrusões, incluindo análise de comportamento de rede baseada em rede, sem fio e baseada em host. Um IPS baseado em rede analisa vários protocolos de rede e é comumente usado em servidores de acesso remoto, servidores de rede privada virtual e roteadores. Um IPS sem fio observa atividades suspeitas em redes sem fio e também procura redes sem fio não autorizadas em uma área. A análise do comportamento da rede procura ameaças que possam derrubar uma rede ou espalhar malware e é comumente usada com redes privadas que se conectam à Internet. Um IPS baseado em host funciona em um único sistema e procura processos de aplicativos estranhos, tráfego de rede incomum para o host, modificação do sistema de arquivos e alterações na configuração.
Existem três métodos de detecção que um sistema de prevenção de intrusões pode usar e muitos sistemas usam uma combinação dos três. A detecção baseada em assinatura funciona bem para detectar ameaças conhecidas, comparando um evento a uma assinatura já documentada para determinar se ocorreu uma violação de segurança. A detecção baseada em anomalias procura atividades anormais quando comparadas aos eventos normais que ocorrem em um sistema ou rede e é particularmente útil para identificar ameaças desconhecidas. A análise de protocolo com estado procura atividades que vão contra a maneira como um protocolo específico é normalmente usado.